Anatomy of a Takedown
Zurück zu den Nachrichten
CYBERABWEHR

Die Anatomie einer Zerschlagung: Wie PhishDestroy die Cyberkriminalität bekämpft

Von einer noch jungen Initiative im Jahr 2019 bis hin zu einer treibenden Kraft, die über 400.000 bösartige Domains unschädlich macht – die Entwicklung von PhishDestroy verdeutlicht die Kraft der Gemeinschaft, der Technologie und eines hart erarbeiteten Rufs.

4 Minuten Lesezeit· Aktualisiert März 2026· PhishDestroy Intelligence
Takedown anatomy — detection scanner, biometric verification, registrar gavel, DNS extraction, domain tombstone
Begleitartikel auf Medium: Ein direkter Kampf gegen Phishing-Aktivitäten

Im unerbittlichen Kampf gegen Online-Betrug hat sich PhishDestroy zu einer entscheidenden Kraft entwickelt und sich von einer speziellen Initiative im Jahr 2019 zu einer hochwirksamen Organisation gewandelt. Unsere Mission ist klar: Wir wollen die Infrastruktur von Phishing- und Betrugsangriffen zerschlagen und Nutzer weltweit schützen. Dabei geht es nicht nur darum, bösartige Links zu blockieren, sondern auch darum, die Funktionsweise eines Cyberangriffs zu verstehen und ihn an seiner Wurzel zu bekämpfen.

Unsere Entwicklung: Von Wochen zu Minuten

How one phishing link triggers a full takedown chain
Wie ein einziger Phishing-Link eine ganze Kette von Abschaltungen auslöst

Als PhishDestroy seine Arbeit aufnahm, konnte die Abschaltung einer bösartigen Domain Wochen dauern. Im Laufe der Jahre sind wir gewachsen, haben starke Partnerschaften geknüpft und das Vertrauen wichtiger Akteure in der Cybersicherheitsbranche gewonnen. Unser Fokus lag stets ganz klar auf Phishing, wodurch wir spezialisiertes Fachwissen aufbauen und eine minimale Fehlalarmquote gewährleisten konnten.

Was früher Wochen dauerte, lässt sich heute auf wenige Minuten verkürzen. Diese Beschleunigung ist ein Beweis für unsere kontinuierliche Innovationskraft und den soliden Ruf, den wir uns aufgebaut haben.

Das Verfahren zur Entfernung

1. Schnelle Erkennung und Überprüfung

Die Erkennung erfolgt durch Meldungen aus der Community über unsere Telegram-Bot, automatisierte Überwachung und Feeds mit Bedrohungsinformationen. Unsere Teams überprüfen Bedrohungen umgehend, um eine möglichst geringe Fehlalarmquote zu gewährleisten.

2. Eingehende Analyse und Beweissicherung

Unsere Analysten untersuchen die Bedrohung eingehend und ermitteln ihre Merkmale, Ziele und Vorgehensweisen. Dazu gehören die Analyse der Schadcode-Nutzlast, die Erfassung der Infrastruktur sowie die Bewertung der Auswirkungen auf die Opfer. Jeder Beweis wird sorgfältig dokumentiert.

3. Strategische Koordination und Maßnahmen

Hier kommt unser guter Ruf ins Spiel. Wir haben enge Beziehungen zu Hunderten von Hosting-Anbietern, Domain-Registraren und Strafverfolgungsbehörden aufgebaut. Wenn PhishDestroy eine Meldung einreicht, Mehr als 50 Systeme erkennen unsere Anfrage sofort. Wenn es sich bei einer gemeldeten Website tatsächlich um Phishing handelt, kann sie innerhalb weniger Minuten geschlossen werden.

4. Liquidation und Überwachung

Das oberste Ziel ist die vollständige Entfernung. Sobald ein Löschvorgang eingeleitet wurde, überwachen wir den Status, um sicherzustellen, dass die Website offline ist und bleibt. Unsere Bemühungen haben zur erfolgreichen Unterbindung von über 500.000 bösartige Domains seit 2019, mit kontinuierlicher Überprüfung nach der Entfernung, um erneute Auftauchstellen innerhalb weniger Stunden zu erkennen.

Betriebsmethodik: Automatisierung, Genauigkeit, Skalierbarkeit

Unser Modell kombiniert Bürgerbeteiligung mit automatische Erkennungssysteme und präzise Analysen. Die Pipeline ist so konzipiert, dass sie von einem einzelnen Bericht auf Tausende von Löschungen pro Tag skaliert werden kann, ohne dass dabei die Qualität leidet.

  • Maßgeschneiderte Parser die SEO-Suchergebnisse, gesponserte Anzeigenplatzierungen und Google Ads kontinuierlich auf Anzeichen für Phishing überprüfen – und Bedrohungen bereits beim ersten Erscheinen einer bezahlten Anzeige erkennen.
  • Erkannte Bedrohungen werden automatisch an Über 50 Antiviren-Anbieter sowie Feeds mit Bedrohungsinformationen, wodurch die globale Blockierungsabdeckung bereits in den ersten Minuten nach der Erkennung maximiert wird.
  • Wir führen ein Falsch-positiv-Rate unter 0,5 %, mit über 100.000 validierte Berichte — was beweist, dass unsere Systeme nicht nur schnell, sondern auch äußerst präzise sind.
  • Verifizierte Mitwirkende, die Beiträge einreichen Über 100 präzise Berichte werden gewährt „vertrauenswürdig“ Status, der direkte Meldungen ohne vorherige Überprüfung ermöglicht und die Zeit bis zur Entfernung für bekannte Melder drastisch verkürzt.
  • Ein Live-Auftritt Schadensanzeige schätzt den finanziellen Schaden, den Betrüger verursachen – basierend auf dem durchschnittlichen Domainwert und den Werbekosten (~15 $ pro Domain bei typischen Krypto-Betrugsmaschen).

Erkennungsquellen – Wo Bedrohungen auftauchen

Phishing-Infrastrukturen verstecken sich selten – sie machen auf sich aufmerksam. Wir gewinnen Leads aus:

  • Telegram-Bot-Berichte aus unserer Community über @PhishDestroy_bot — Erstannahme durch die Behörden.
  • SEO- und Paid-Ad-Parser — Google Ads, Bing, Yandex; gesponserte Suchbegriffe zu Krypto-Wallets, Börsen und Brücken werden kontinuierlich überwacht.
  • Feeds zu Bedrohungsinformationen die uns von Partnern und Forschern zur Verfügung gestellt wurden.
  • Honeypot-Netzwerke sowie Seed-Phrase-Canary-Token, die uns benachrichtigen, wenn Betrüger versuchen, gestohlene Daten zu nutzen.
  • WHOIS und Zertifikatstransparenz Überwachung auf neu registrierte, markenähnliche Domains, die auf geschützte Marken abzielen.

Beweissicherung – Dauerhafte digitale Aufzeichnung

Die Festnahmen sind nur der erste Schritt. Die Sicherung von Beweismitteln hat für uns oberste Priorität — denn eine gelöschte Domain ist für Ermittler nutzlos, wenn keine Aufzeichnungen mehr vorhanden sind.

  • Jede erkannte Domain ist über öffentliche Scanner archiviert (urlscan.io, Wayback Machine, unsere eigenen Snapshot-Pipelines), um vollständige Website-Fingerabdrücke zu erfassen – HTML, Screenshots, Netzwerkaufrufe, JavaScript-Payloads.
  • Jeder Vorgang hinterlässt eine digitale Aufzeichnung die vor Löschungen durch Angreifer geschützt ist – öffentlich veröffentlicht auf GitHub-Destroyliste und die ScamIntelLogs-Archiv.
  • Die Archive umfassen Admin-Panels von Betrügern, Telegram-Chat-Exporte, Zahlungsabläufe, Opferdaten und IOCs – und unterstützen so die Zuordnung und Strafverfolgung noch lange nach der Abschaltung.
  • Während Betrüger ihre Spuren verwischen, machen wir sie unauslöschlich.

Verbündete und Gegner unter den Registrierstellen

Die Geschwindigkeit der Löschung hängt vollständig von der Reaktionsfähigkeit des Registrars und des Hosts ab. Die Daten unserer Partner zeigen eine deutliche Kluft:

  • Zuverlässige Partner:NameCheapAllein das rund um die Uhr verfügbare Team zur Bekämpfung von Missbrauch hat dazu beigetragen, Über 30.000 bösartige Domains. GoDaddy, Hostinger, Squarespaceund IONOS innerhalb weniger Stunden nach Eingang einer bestätigten Meldung konsequent handeln.
  • Dauerhafte Faktoren:NiceNic, Cosmotown, NameSilound Webnic Missbrauchsmeldungen immer wieder ignorieren – und damit faktisch als Rückzugsorte für kriminelle Online-Aktivitäten dienen. Siehe unsere Untersuchung: Wie NameSilo, Webnic und NiceNic weltweite Betrugsmaschen ermöglichen.

Kriminelle Vergeltungsmaßnahmen – Bestätigung der Auswirkungen

Unsere Wirksamkeit hat organisierten Widerstand ausgelöst, den wir jedoch eher als Beweis für unsere Wirkung denn als Störung betrachten:

  • DDoS-Angriffe gegen unsere Infrastruktur (abgewehrt durch Cloudflare).
  • Koordinierte Verleumdungs- und Rufmordkampagnen über bezahlte PR-Platzierungen (siehe Wie bezahlte Medien die Cybersicherheit verzerren).
  • Massenmeldung unserer Social-Media-Konten, um Berichterstattung zu unterbinden.
  • Unser X-Account (Twitter) mit Über 140.000 dokumentierte Phishing-Meldungen wurde nach Druck seitens der Registrierstelle dauerhaft gesperrt – siehe NameSilo hat unseren Twitter-Account lahmgelegt. Das Archiv bleibt öffentlich zugänglich: GitHub-Archiv.

Kriminelle versuchen, ihre Spuren zu verwischen; wir sorgen dafür, dass ihre Spuren dauerhaft erhalten bleiben.

Rechtlicher Status und Koordinierung

Wir sind ein gemeinnütziges, ehrenamtliches Kollektiv — kein Unternehmen, keine juristische Person, keiner Regierung verbunden. Alles, was wir tun, geschieht offen:

  • Alle Berichte und Belege werden offen auf GitHub, Telegram und Mastodon veröffentlicht – nichts wird verheimlicht oder privat gespeichert.
  • Bei umfangreichen Ermittlungen, bei denen es um die Zuordnung von Akteuren, die Rückverfolgung von Finanzströmen oder die Kartierung von Infrastruktur geht, die vollständigen Beweismittelpakete offiziell an die Strafverfolgungsbehörden oder CERT-Teams übergeben.
  • Alle derartigen Übermittlungen erfolgen unter vollständiger Einhaltung der gesetzlichen Vorschriften und nur dann, wenn verwertbare Erkenntnisse überprüft wurden.
  • We Speichern Sie keine personenbezogenen Daten der Mitwirkenden – Schutz von Whistleblowern vor Vergeltungsmaßnahmen und Beseitigung des Risikos von Datenschutzverletzungen.

Unsere Aufgabe besteht darin, böswillige Handlungen zu dokumentieren und zu unterbinden und anschließend diejenigen zu unterstützen, die rechtlich befugt sind, auf der Grundlage dieser Beweise zu handeln.

In Zahlen

  • über 500.000 Seit 2019 gesperrte Phishing- und Betrugsdomains.
  • über 130.000 Aktuelle Bedrohungen, zusammengestellt in Löschliste.
  • 50+ Antiviren-Anbieter und Plattformen für Bedrohungsinformationen beziehen unsere Feeds.
  • über 30.000 Domains, die allein im Rahmen der Partnerschaft mit Namecheap gelöscht wurden.
  • <0,5 % Falsch-positiv-Rate über über 100.000 validierte Berichte.
  • über 140.000 Berichte, die nach der Sperrung unseres X-Kontos archiviert wurden.
  • achtundachtzigtausend und mehr Abonnenten der Community über alle Feeds hinweg.

So können Sie helfen

„Gemeinsames Handeln ist die wirksamste Verteidigung. Unser Weg zeigt, was erreicht werden kann, wenn Technologie, Fachwissen und Gemeinschaft im Kampf gegen Cyberkriminalität zusammenwirken.“

#CyberDefense#Takedown#Phishing#Community

Diesen Artikel teilen

Verwandte Untersuchungen

$0 Takedowns: How We Disrupt Phishing Infrastructure
UNTERSUCHUNG
Kostenlose Abschaltungen: Wie wir Phishing-Infrastrukturen zerschlagen
Impact Metrics: 500K+ Phishing Threats Neutralized
KENNZAHLEN
Wirkungsdaten: Über 500.000 Phishing-Angriffe abgewehrt
NameSilo, Webnic, NiceNic: Registrars Enabling Scams
UNTERSUCHUNG
NameSilo, Webnic, NiceNic: Registrare, die Betrug ermöglichen
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, von Freiwilligen getragenes Projekt. Unsere Untersuchungen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen unseren Lesern, alle Informationen kritisch und eigenständig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →