Zurück zu den Nachrichten
Untersuchungsbericht – Standesbeamter

Trustname[.]com: Ein Blick hinter die Kulissen eines „unangreifbaren“, von der ICANN akkreditierten Registrars, der betrügerische Casinos bedient

Ein von der ICANN akkreditierter Registrar (IANA-Nr. 4318), der sich selbst als „am schnellsten wachsender unabhängiger Registrar“ vermarktet. Aus estnischen Steuerunterlagen gehen Einnahmen in Höhe von 120 €, ein Mitarbeiter, ein negatives Eigenkapital und ein Löschhinweis. Beide Betreiber sind Weißrussen. Es tauchen immer wieder neue Domains von Betrugs-Casinos auf.

14. April 2026 PhishDestroy-Forschung 14 Minuten Lesezeit
Trustname.com-Untersuchungs-Dashboard – IANA 4318, Umsatz 120 EUR, Status: Liquidation
Überblick über die Untersuchung: Ein von der ICANN akkreditierter Registrar, der einen Umsatz von 120 € angibt, obwohl er eine Full-Stack-Plattform für die Domainregistrierung betreibt.
120 €
Ausgewiesene Einnahmen 2024
1
Mitarbeiter
-71.000 €
Eigenkapital
6
Betrügerische Casinos / Woche
4318
IANA-ID
Zusammenfassung

Trustname.com wird betrieben von Fewmoretaps OÜ — eine estnische Briefkastenfirma mit nicht eingezahltem Stammkapital, 120 € als angegebener Jahresumsatz, ein Mitarbeiter, ein negatives Eigenkapital von −71.648 € und ein Löschhinweis im estnischen Handelsregister eingetragen. Das Unternehmen bezeichnet sich selbst wörtlich als „absolut zuverlässiger Domain-Registrar“ in seinem eigenen DNS-TXT-Eintrag. Beide Inhaber sind belarussische Staatsbürger. Der Registrar wird aktiv zur Registrierung genutzt Gefälschte Elon-Musk-Krypto-Casinos versteckt hinter seinen eigenen Offshore-Proxys zum Schutz der Privatsphäre.

Die estnische Shell: Fewmoretaps OÜ

Fewmoretaps OÜ ist im estnischen Handelsregister unter der Registernummer 16354846, MwSt. EE102702659, mit einer virtuellen Büroadresse – Roseni tn 13, Tallinn. Gegründet am 01.11.2021 mit einem Stammkapital von 2.500 €, das nie eingezahlt („Ohne Einlage gegründet“ – Jahresbericht 2022).

Unternehmensstruktur von Fewmoretaps OU – Trustname.com, harakiri.org und whoispps.com unter einem einzigen belarussischen Betreiber
Eigentümerstruktur: Ein belarussischer Betreiber kontrolliert die estnische Mantelgesellschaft, die beiden „unabhängigen“ Datenschutz-Proxys sowie die Marketing-Fassade fewmoretaps.com.

Eigentümerkette

Gründer (2021–2023)
Vitali Tsyvinski
Alleiniges Vorstandsmitglied und Gesellschafter
Personen-ID 39403090187
Weißrussland („Valgevene“)
Unterzeichneter Jahresbericht 2022 vom 13.01.2023
Jahr ohne Aktivitäten
Derzeitiger Eigentümer (seit Mai 2023)
Kiryl Nestsiarovich
„Kir N.“ – Geschäftsführer (trustname.com/about)
Geburtsdatum: 09.09.1993
Weißrussland
+375 29 2964411 (MTS-Mobilfunknummer)
fewmoretaps@gmail.com
100-prozentiger AnteilseignerErnannt am 23.05.2023
Rechtsträger
Fewmoretaps OÜ
Handelsname: Trustname.com
Reg.-Nr. 16354846 · Umsatzsteuer-Identifikationsnummer EE102702659
Roseni tn 13, Tallinn 10111
Gegründet am 01.11.2021
Löschhinweis veröffentlicht
2.500 € nicht eingezahltes Kapital

Finanzen: 120 € pro Jahr und steigende Verluste

Die in Estland vorgeschriebenen Jahresberichte sind öffentlich zugänglich. Die Zahlen sprechen eine klare Sprache:

Forderungen von Trustname gegenüber estnischen Steuererklärungen – Millionen von Kunden gegenüber 120 EUR Umsatz
Marketingaussagen vs. eingereichte Unterlagen: „Millionen vertrauen uns“ und „Fortune-500-Kunden“ auf der einen Seite — 120 € Umsatz, 1 Mitarbeiter, Liquidation andererseits.

Finanztabelle (EUR)

Metrisch202220232024
Umsatz0 €0 €120 €
Nettoverlust0−20.711−50.937
Personalkosten08,32424,084
Langfristige Verbindlichkeiten035,370175,310
Eigenkapital0−20.711−71.648
Mitarbeiter (Vollzeitäquivalente)011
Die Rechnung geht nicht auf

Allein die ICANN-Akkreditierungsgebühr beträgt ~4.000 $/Jahr. AWS (3 Kafka-Broker + EKS + S3) läuft $500–2,000/month. Die Großhandelskosten für OpenSRS-Domains betragen 8–12 € pro .com-Domain. Hinzu kommen die Gebühren für Vercel, Freshdesk, Brevo und Stripe. Mindestbetriebskosten: 35.000–50.000 € pro Jahr. Angegebener Umsatz: 120 €. Die Finanzierungslücke wird durch „langfristige Verbindlichkeiten“ in Höhe von 175.310 € aus nicht näher bezeichneten Quellen gedeckt.

„Kugelsicher“ – ihre eigenen Worte

Das ist keine Marketing-Fassung von PhishDestroy – es steht buchstäblich in Trustnames eigenem DNS-TXT-Eintrag:

„Trustname ist von der ICANN akkreditiert und der weltweit vertrauenswürdigste unabhängige Domain-Registrar für datenschutzbewusste Privatpersonen und Unternehmen in sensiblen Branchen. Verlassen Sie sich auf uns als Ihren zuverlässiger Domain-Registrar„Wir sind vertrauenswürdig, zuverlässig und preiswert.“

Von jedem mit einem DNS-Client überprüfbar: dig TXT trustname.com. In der Hosting- und Registrar-Branche, „kugelsicher“ ist ein Fachbegriff – er bezieht sich eindeutig auf Dienste, die sich gegen missbräuchliche Löschungsanträge wehren und Betreiber illegaler Inhalte unterstützen.

Das Netzwerk betrügerischer Casinos

Innerhalb von einem eine Woche (8.–13. April 2026) wurden über Trustname sechs betrügerische Krypto-Casino-Domains registriert, die alle hinter Trustnames eigenen Datenschutz-Proxys verborgen waren:

Sechs betrügerische Casino-Domains, die das russischsprachige Backend des Admin-Panels von gambler-partners.is gemeinsam nutzen
Alle sechs Casinos nutzen identische Next.js-Vorlagen, Webpack-Chunk-Hashes und ein gemeinsames russischsprachiges Admin-Backend unter gambler-partners.is.

Bestätigte Betrugsdomains (alle über IANA #4318 registriert)

noawin.com

2026-04-12
Krypto-Casino

Bevollmächtigter: Perfect Privacy LLC (KN)

henofex.com

2026-04-09
„Elon Musk“-Casino

Proxy: WHOIS-Datenschutz (FL)

jopexplay.com

2026-04-10
Von Cloudflare blockiert

Proxy: WHOIS-Datenschutz (FL)

bezowin159.pro

2026-04-13
Krypto-Casino

Proxy: WHOIS-Datenschutz (FL)

noswin152.pro

2026-04-08
Krypto-Casino

Proxy: WHOIS-Datenschutz (FL)

bazowin781.pro

2026-04-08
Krypto-Casino

Proxy: WHOIS-Datenschutz (FL)

Gemeinsame Backend-Nachweise

JavaScript-Analyse von noawin.com offengelegte API-Aufrufe an https://gambler-partners.is/api, /api/slots, /payser, und Bild-CDN https://pictures-cdn.is/. Die gambler-partners.is Die Website selbst zeigt ein russischsprachiges Admin-Panel mit dem Titel „Gambler | Startseite“ (Gambler | Startseite) mit Beschreibung „Traffic-Management-Panel“ (Traffic-Management-Panel). Gleiche Codebasis, gleiches Backend, dasselbe CDN – das ist ein gut organisiertes Netzwerk betrügerischer Online-Casinos.

Offshore-Datenschutz-Proxys – im Besitz des Registrars

Trustname nutzt keine unabhängigen Datenschutzdienste von Drittanbietern. Das Unternehmen betreibt eigene Dienste:

Weltkarte mit den Verbindungen der estnischen „Shell“-Gesellschaft, des Proxy-Anbieters auf St. Kitts, des Proxy-Anbieters in Florida und des Betreibers in Weißrussland
Tallinn (Shell) → Charlestown, Nevis (Perfect Privacy LLC) → Orlando, FL (WHOIS Privacy LLC) → Minsk (Betreiber). Alle Knoten werden von derselben Person kontrolliert.

harakiri.org

Perfect Privacy LLCSt. Kitts und NevisBTC / LTC / XMR / ZEC / ETHÜber IANA 4318 registriert

whoispps.com

WHOIS Privacy Protection LLCOrlando, FL 32837„Postsendungen werden entsorgt“Über IANA 4318 registriert
Die zirkuläre Struktur zur Behandlung von Fehlern

Wenn eine Missbrauchsbeschwerde für eine datenschutzgeschützte Domain eingeht, nimmt Trustname diese entgegen und leitet sie weiter an … sich selbst. Die whoispps.com Auf der Website heißt es ausdrücklich, dass „Postsendungen werden entsorgt.“ Das ist keine Privatsphäre – es ist ein Geldwäsche durch Missbrauch Eine Struktur, die darauf ausgelegt ist, dass Beschwerden ins Leere laufen.

Wohin fließt das Geld?

Zahlungen über Stripe und Monero fließen an Fewmoretaps OU, wobei bei der estnischen Steuerbehörde lediglich 120 EUR angegeben wurden
Zahlungsmethoden: Stripe + BTC/ETH/LTC/XMR/ZEC. An die estnische Steuerbehörde gemeldete Zahlungen: 120 € pro Jahr. Die Finanzierungslücke wurde durch „langfristige Darlehen“ in Höhe von 175.310 € aus nicht genannten Quellen gedeckt.

Die Trustname-Plattform akzeptiert Kartenzahlungen über Stripe (/v2/users/billing/stripe/payment-methods) und Kryptowährung über die folgenden Wallet-Adressen, die in den authentifizierten API-Benachrichtigungsendpunkt eingebettet sind:

ETH:  0xdee6582dc53fa56180311393018121c6f1e8bd7c
LTC:  MEREvHtzqAUTJ1XvEevmci8UqMnDvfe2ri
ZEC:  t1d19KevpcXpesr9XA9UUyMW9XGYVDxkK9S
XMR:  8B5N29BocrTjkRCeGCARnkhKgBeHBhg4oH7ay4RfXfnL7RqBdyiuL4k6iN4GVUVxt1EQJvZRqLg8n4qgCNWmYHQQDZmfytM

Die Akzeptanz von Monero (XMR) — eine Kryptowährung, die speziell darauf ausgelegt ist, nicht zurückverfolgbar zu sein — in Verbindung mit einem regulierten Zahlungsdienstleister (Stripe), der eine Identitätsprüfung (KYC) verlangt, und gleichzeitig zu erklären, 120 € Jahresumsatz Für die estnischen Steuerbehörden ergibt sich daraus ein Compliance-Paradoxon. Eine einzige .com-Registrierung zum Großhandelspreis (~13 US-Dollar) übersteigt bereits den angegebenen Jahresumsatz.

Frage zur Geldwäschebekämpfung in Estland

Nach estnischem Recht (Gesetz zur Verhinderung von Geldwäsche und Terrorismusfinanzierung) müssen Anbieter von Dienstleistungen im Bereich virtueller Vermögenswerte über eine Lizenz der Finanzermittlungsstelle verfügen. Verfügt Fewmoretaps OÜ über diese Lizenz? Andernfalls könnte bereits die Annahme von Kryptowährungszahlungen für Dienstleistungen einen Verstoß gegen die Vorschriften darstellen.

Marketingaussagen vs. Steuererklärungen

Was sie ihren Kunden sagen

  • „Der am schnellsten wachsende unabhängige Domain-Registrar im Jahr 2025“
  • „Millionen von Domain-Inhabern vertrauen darauf“
  • „Von Fortune-500-Unternehmen geschätzt“
  • „Ein Team von über 35 Mitarbeitern an verschiedenen Standorten weltweit“
  • Niederlassungen in London, Beverly Hills und Melbourne
  • Kunden: McDonald’s, Vodafone, Adidas, Tata, Yahoo, BCG (Logo-Wand auf fewmoretaps.com)
  • „Seit 1997“ (fewmoretaps.com)

Was sie bei der estnischen Steuerbehörde einreichen

  • 0 € Umsatz im Jahr 2023, 120 € Umsatz im Jahr 2024
  • 1 Mitarbeiter (Vollzeitäquivalent) in beiden Jahren
  • Eigenkapital −71.648 €, nicht eingezahltes Kapital in Höhe von 2.500 €
  • Virtuelles Büro in der Roseni tn 13, Tallinn
  • Eingetragen 2021, nicht 1997
  • Unternehmen in Liquidation

Gefälschte Erfahrungsberichte („Wall of Love“)

Trustname „Wall of Love“ – gefälschte Bewertungen mit doppelten Vornamen: Jack, Lily, Megan
30 Bewertungen. 11 verschiedene Vornamen. „Jack“ taucht 5 Mal auf, „Lily“ 6 Mal. Keine Fotos, keine Datumsangaben, keine überprüfbaren Profile, keine Links zu Trustpilot oder G2. Keine Nachnamen.

Analyse der trustname.com/wall-of-love Seite: 30 „Kundenbewertungen“, nur 11 verschiedene Vornamen. „Jack“ taucht fünfmal auf. „Lily“ sechsmal. „Megan“ dreimal. Alle Bewertungen bestehen aus allgemeinen, einzeiligen Lobeshymnen in einem einheitlichen Schreibstil. Es gibt keine Links zu unabhängigen Bewertungsplattformen. Keine überprüfbaren Kundenidentitäten. Zum Vergleich: Namecheap und Porkbun verfügen über Tausende verifizierter Bewertungen auf Trustpilot und G2.

Risiken im Bereich Infrastruktur und Sicherheit

Diagramm der Trustname-Infrastruktur mit den offengelegten Kafka-Ports, den offenen Admin-Panels und dem FTP-Zugang auf dem Ursprungsserver
Infrastrukturübersicht: Vercel-Frontend, AWS eu-central-1 Kubernetes mit öffentlich zugänglichen Kafka-Brokern auf Port 7777, offenes Strapi-Admin-Panel, ungeschütztes CoreNIC-WHOIS-System im Entwicklungsmodus.
trustname.com (Vercel / Next.js)
  ├── api.trustname.com              Fastify API (Swagger behind Basic Auth only)
  ├── admin.trustname.com            React-Admin panel (publicly accessible)
  ├── blog.trustname.com             Strapi CMS (admin UI exposed)
  ├── support.trustname.com          Freshdesk (EU instance)
  └── whois-fewmoretaps.corenic.net  Knipp DomainSRS (JSF Development mode)

fewmoretaps.com (WordPress) origin: 37.1.219.211
     Open ports: FTP:21 (vsftpd 3.0.5), SSH:22, HTTP:80, HTTPS:443

AWS eu-central-1 (EKS Kubernetes):
  35.156.29.145 / 18.196.68.81 / 52.28.105.156
  Port 7777 — Apache Kafka (Strimzi)
  SSL cert CN: kafka-staging-kafka   SAN: staging.kafka-0.trustname.com
  Namespace: backend-staging

Upstream registrar: OpenSRS (Tucows)
Invoicing: Quaderno · Payments: Stripe + Crypto
Email: Brevo  ·  Analytics: Google, Fuago
S3: domain-registrar-strapi-media (eu-central-1, leaked via CSP header)
Festgestellte Fehlkonfigurationen
  1. Admin-Bereich öffentlich zugänglich (admin.trustname.com) — Schutz nur durch Anmeldung, keine IP-Whitelist.
  2. Die Admin-Oberfläche des Strapi-CMS ist erreichbar unter blog.trustname.com.
  3. JSF im Entwicklungsmodus im CoreNIC-WHOIS-System.
  4. Drei AWS-Kafka-Broker sind über Port 7777 für das öffentliche Internet zugänglich; SSL-SAN gibt den Kubernetes-Namespace preis.
  5. Die Ursprungs-IPs umgehen Cloudflare – direkter Zugriff ist möglich.
  6. FTP (vsftpd) ist auf dem „fewmoretaps“-Origin-Server aktiv.
  7. Swagger / OpenAPI nur bei Basic-Auth-Authentifizierung api.trustname.com/api-json.

Zeitleiste

2004-06-04
Erstzulassung von trustname.com (Vorbesitzer).
2021-07-11
fewmoretaps.com Registriert. Die gesamte Marketing-Website wurde innerhalb von 5 Tagen von einem einzigen WordPress-Nutzer namens „riseup“ erstellt.
2021-11-01
Fewmoretaps OÜ, eingetragen in Estland. Inhaber: Vitali Tsyvinski (Weißrussland). Stammkapital 2.500 € – noch nicht eingezahlt.
2023-01-13
Erster Jahresbericht eingereicht (keine Aktivitäten im Jahr 2022).
2023-05-23
Eigentumsübergang an Kiryl Nestsiarovich (Weißrussland).
2023-08-20
whoispps.com Domain mit Datenschutz-Proxy registriert.
2023
ICANN-Akkreditierung erhalten (IANA-ID 4318).
2024-02-01
Umsatzsteuer-Identifikationsnummer (EE102702659).
2024-12-31
Jahresbericht 2024 eingereicht. Umsatz 120 €, Nettoverlust −50.937 €, Eigenkapital −71.648 €.
08.04.2026…13
Massenregistrierung von sechs betrügerischen Casino-Domains innerhalb einer einzigen Woche.
2026-04
Bekanntmachung über die Löschung eines Unternehmens im estnischen Handelsregister.

Wer macht das möglich?

ICANN, AWS, Stripe, Cloudflare, Vercel, Tucows, OpenSRS – Badges zur Rechenschaftspflicht
Jede größere Plattform, die mit diesem Vorgang in Berührung kommt, verfügt über eigene Nutzungsrichtlinien, die Betrug verbieten. Keine davon hat Maßnahmen ergriffen.

An die ICANN

  • Wie konnte ein Unternehmen mit 0 € Umsatz und 0 Mitarbeiter Wurde zum Zeitpunkt der Antragstellung eine ICANN-Akkreditierung eingeholt? Welche Sorgfaltsprüfung wurde durchgeführt?
  • Ein Registrar, dessen DNS-TXT-Eintrag wörtlich lautet: „absolut zuverlässiger Domain-Registrar“ und „sensible Nischen“ — Inwiefern steht dies im Einklang mit der Registrierungs-Akkreditierungsvereinbarung?
  • Der Registrator steht nun unter Liquidation in Estland. Was geschieht mit laufenden Missbrauchsbeschwerden bezüglich Domains, die über IANA #4318 registriert wurden?
  • Beide Eigentümer sind Staatsangehörige von Weißrussland — ein Land, gegen das seit 2020 umfassende Sanktionen der EU und der USA verhängt wurden. Wurde dies bei der Akkreditierung offengelegt?

An OpenSRS (Tucows)

  • OpenSRS stellt die Upstream-API bereit, die Trustname zur Registrierung von Domains nutzt (bestätigt durch opensrsOrderId (in den Transaktionsdaten). Führt Tucows Compliance-Prüfungen bei Wiederverkäufern durch, die sich offen als „bulletproof“ vermarkten?
  • Sechs Domains von Betrugs-Casinos – darunter eine, die bereits von Cloudflare markiert wurde – wurden innerhalb einer Woche über OpenSRS via Trustname registriert. Welche automatisierten Maßnahmen zur Betrugserkennung gibt es auf Reseller-Ebene?

An AWS, Stripe, Vercel, Cloudflare

  • AWS: Der EKS-Cluster, der S3-Bucket und drei öffentlich zugängliche Kafka-Broker befinden sich in eu-central-1. Die AWS-Nutzungsrichtlinien verbieten Dienste, die Betrug begünstigen.
  • Streifen: Kartenzahlungen werden über /v2/users/billing/stripe/payment-methods. Die Liste der unzulässigen Geschäftsbereiche von Stripe verbietet Dienste, die illegale Aktivitäten ermöglichen. Wurde das Kundenportfolio überprüft?
  • Vercel: trustname.com und admin.trustname.com werden auf Vercel gehostet. Die Nutzungsbedingungen von Vercel verbieten „Dienste, die betrügerische Machenschaften fördern“.
  • Cloudflare: jopexplay.com wird als „mutmaßlich irreführende Website“ gekennzeichnet. Die anderen fünf Casinos, die identische Vorlagen verwenden, sind weiterhin aktiv. Warum diese Uneinheitlichkeit?

Über Weißrussland und Monero

  • Beide Eigentümer sind In Belarus steuerlich ansässige Personen. Weltweite Einkünfte müssen in Belarus gemäß belarussischem Steuerrecht angegeben werden. Die belarussischen Behörden haben mit den meisten westlichen Staaten kein Amtshilfeabkommen (MLAT) geschlossen – die Durchsetzung läuft daher praktisch ins Leere.
  • Trustname akzeptiert Monero (XMR), eine Kryptowährung, die so konzipiert ist, dass sie nicht zurückverfolgt werden kann. Wie werden XMR-Zahlungen im Hinblick auf Mehrwertsteuer, Geldwäschebekämpfung und die estnische Finanzberichterstattung ausgewiesen? Der Jahresbericht zeigt 120 €. Gehört Kryptowährung dazu? Wenn nicht, wo wird sie dann eingeordnet?

Anzeichen für eine Kompromittierung

Registrar-Kennungen

IANA ID:        4318
WHOIS Server:   whois.fewmoretaps.com
Abuse email:    abuse@trustname.com
Abuse phone:    +372.6884747

Infrastruktur

trustname.com
fewmoretaps.com
harakiri.org
whoispps.com
gambler-partners.is
pictures-cdn.is

37.1.219.211      fewmoretaps.com origin (FTP, SSH, HTTP, HTTPS)
195.253.23.47     CoreNIC WHOIS origin
35.156.29.145     AWS Kafka broker
18.196.68.81      AWS Kafka broker
52.28.105.156     AWS Kafka broker

Bestätigte Betrugsdomains

noawin.com          henofex.com         jopexplay.com
bezowin159.pro      noswin152.pro       bazowin781.pro

Fazit

Trustname.com ist kein „datenschutzorientierter Registrar“. Es handelt sich um eine speziell entwickelte Infrastruktur, die Online-Betrug ermöglicht:

  • Estnische Briefkastenfirma mit nicht eingezahltem Kapital und zwei belarussischen Eigentümern
  • Keine legitimen Einnahmen trotz laufender Domain-Registrierungsvorgänge
  • „Unabhängige“ Offshore-Proxyserver in privater Hand auf St. Kitts und in Florida
  • Akzeptanz nicht zurückverfolgbarer Kryptowährungen (Monero, Zcash)
  • Dutzende neu registrierte Domains von Betrugs-Casinos, die auf identischen Vorlagen basieren
  • Ein DNS-TXT-Eintrag, in dem sie sich buchstäblich selbst so nennen kugelsicher
  • Unternehmen derzeit in Liquidation — eine bereits in die Wege geleitete Ausstiegsstrategie

ICANN und OpenSRS (Tucows) sollten die Akkreditierung von IANA Nr. 4318. Bei Domains, die über die Datenschutz-Proxys von Trustname registriert wurden, ist eine verstärkte Überprüfung bei Missbrauchsmeldungen erforderlich. Bis dahin kennzeichnet PhishDestroy jede bei Trustname registrierte Domain in unserem Scanner mit einem Warnung des Registrars, so wie wir es bei NiceNIC und NameSilo tun.

Verwandte Forschungsarbeiten

Quellen & Überprüfung

Jede Aussage in diesem Bericht stützt sich auf öffentlich zugängliche Unterlagen oder auf Daten, die über das eigene, authentifizierte Konto des Forschers abgerufen wurden. Nachstehend sind die Primärquellen mit Anweisungen zur unabhängigen Überprüfung aufgeführt.

Handelsregister und Steuerunterlagen

BehauptungQuelleSo überprüfen Sie
Firmenregistrierung, Eigentümer, Status, LöschmitteilungEstnisches Handelsregister (Äriregister)ariregister.rik.ee — Registrierungscode suchen 16354846
Geschäftsberichte 2022, 2023, 2024 – Umsatz, Eigenkapital, MitarbeiterEstnisches Handelsregister – vorgeschriebene Eintragungen für OÜ-UnternehmenDerselbe Registereintrag → Registerkarte „Jahresberichte“. Die Berichte sind öffentlich zugänglich.
Namen der Eigentümer, Ausweisnummern, Staatsangehörigkeit (Tsyvinski, Nestsiarovich)Jahresbericht – Seiten für Aktionäre (Osanikud)Bericht 2022, S. 6 (Tsyvinski); Berichte 2023–2024 (Nestsiarovich)
Umsatzsteuer-Registrierung EE102702659Estnische Steuer- und ZollbehördeÜber die EU überprüfen VIES

ICANN- und Registrar-Kennungen

BehauptungQuelleSo überprüfen Sie
IANA-ID 4318 — ICANN-AkkreditierungListe der von der ICANN akkreditierten Registrareicann.org/de/akkreditierte-Registrare — Suche nach „Fewmoretaps“ oder „4318“
Ansprechpartner bei Missbrauch (abuse@trustname.com, +372.6884747)WHOIS-Einträge für alle bei Trustname registrierten Domainswhois trustname.com über einen beliebigen RDAP-/WHOIS-Client
WHOIS-Server whois.fewmoretaps.comWHOIS-EinträgeAufgeführt bei jeder über IANA #4318 registrierten Domain

WHOIS- und DNS-Nachweise

BehauptungVerfahren
DNS-TXT-Eintrag – das wörtliche Zitat „bulletproof“dig TXT trustname.com oder DNSChecker
Datenschutz-Proxy für WHOIS-Daten (Perfect Privacy LLC, WHOIS Privacy LLC)whois noawin.com, whois harakiri.org, whois whoispps.com
Registrierung von Betrugsdomains über TrustnameWHOIS-Abfrage über Port 43 an 195.253.23.47:43 oder einen beliebigen öffentlichen WHOIS-Dienst
MX- und NS-Einträge für die InfrastrukturzuordnungStandard-DNS-Abfragen (dig NS trustname.com, dig MX)

Marketingaussagen (live + archiviert)

Technische Infrastruktur (nicht-intrusiv)

Die vollständige Tabelle der Datenquellen anzeigen
DatenpunktVerfahren
Ursprungs-IPs (37.1.219.211, 195.253.23.47)DNS-Auflösung + HTTP-Header-Analyse
Subdomains (api / admin / blog / support)Standardmäßige DNS-Enumeration
Technik des Admin-Panels (React-Admin)Öffentliche JS-Bundles, bereitgestellt von admin.trustname.com
API-EndpunktübersichtFrontend-Chunk-Analyse (öffentlich bereitgestellt)
Strapi CMS – VorstellungHTTP-Antwort von blog.trustname.com
Kafka auf Port 7777 + SSL-SAN-Lecknmap -sV; openssl s_client -connect 35.156.29.145:7777
CoreNIC / Knipp DomainSRSHTTP-Antwort von whois-fewmoretaps.corenic.net
FTP-Banner auf dem Ursprungsservernmap -sV 37.1.219.211 — vsftpd 3.0.5-Banner
Vorgelagerter Anbieter (OpenSRS)Feld details.opensrsOrderId im Datenmodell des Admin-Panels
Integration des Zahlungsdienstes StripeEndpunkt /v2/users/billing/stripe/payment-methods
Adressen von Kryptowährungs-WalletsGET /users/notifications auf api.trustname.com (eigene Darstellung des Forschers)
S3-Bucket domain-registrar-strapi-mediaÜber den Content-Security-Policy-Header weitergegeben auf blog.trustname.com
Casino-Backend gambler-partners.isAuszug aus app/layout-414e3e65ac0c109b.js auf noawin.com

Analyse von Casino-Netzwerken

  • Casino-Inhalte („Elon Musks offizielles Casino“) — curl https://henofex.com
  • Cloudflare-Phishing-Blockierung — curl https://jopexplay.com Zeigt eine Cloudflare-Zwischenseite an
  • Gemeinsame Vorlage (identische Chunk-Hashes) – vergleichen _next/static/chunks/ in allen sechs Bereichen
  • Russischsprachiges Admin-Panel — curl https://gambler-partners.is gibt den Titel zurück „Gambler | Startseite“

Verwendete Werkzeuge

DNS / WHOIS:    dig, nslookup, whois
Port scanning:  nmap (service / version detection only)
HTTP:           curl (header + content retrieval)
SSL:            openssl s_client
JavaScript:     manual deobfuscation of publicly served bundles
PDF:            PyPDF2 (annual report text extraction)

Methodik zur Ermittlung der finanziellen Kosten

Die Mindestbetriebskosten von 35.000–50.000 Euro Diese Zahl basiert auf öffentlich zugänglichen Preisangaben:

  • ICANN-Akkreditierungsgebühr: ~$4,000/year (Von der ICANN veröffentlichte Tarife)
  • OpenSRS-Großhandel .com: $8–12/domain (Preise für Tucows-Wiederverkäufer)
  • AWS eu-central-1 (3× m5.large für Kafka + EKS-Steuerungsebene + S3): $500–2,000/month (AWS-Preisrechner)
  • Vercel Pro: 20 $/Monat, Freshdesk: 15 $/Agent/Monat, Brevo: 25 $/Monat (öffentliche Preislisten)
  • Ausgewiesene Personalkosten für 2024: 24.084 € (der eigene Geschäftsbericht des Unternehmens)

Ethik und Methodik

Was wurde getan?
  • Recherche in öffentlichen Registern (estnisches Handelsregister, ICANN, VIES, WHOIS, DNS).
  • Nicht-invasive technische Erkundung: DNS-Abfragen, Auslesen von HTTP-Headern, Überprüfung von SSL-Zertifikaten, Analyse von JavaScript aus öffentlichen Bundles, nmap Diensterkennung ohne Ausnutzung.
  • Authentifiziertes API-Testen unter Verwendung des eigenen, ordnungsgemäß registrierten Trustname-Kontos des Forschers.
  • Abgleich von Wayback-Machine-Snapshots mit Marketingaussagen.
Was NICHT getan wurde
  • Keine Brute-Force-Angriffe auf irgendeinen Login.
  • Keine SQL-Injection, RCE oder andere Ausnutzungsversuche.
  • Kein unbefugter Zugriff auf Systeme, Konten oder Daten.
  • Es findet keine Datenexfiltration von geschützten Endgeräten statt.
  • Es wurden keinerlei Daten geändert, selbst wenn dies aufgrund von Fehlkonfigurationen möglich gewesen wäre.
  • Die Endpunkte der Admin-API wurden auf BOLA (Broken Object Level Authorization) getestet — Es wurde bestätigt, dass RBAC ordnungsgemäß implementiert wurde; Benutzer-Token werden von den Admin-Endpunkten korrekt abgelehnt.

Offenlegung und Berichterstattung

Diese Untersuchung wurde in voller Länge veröffentlicht als Offenlegung. PhishDestroy ist ein OSINT-Rechercheteam und keine regulierte meldepflichtige Einrichtung; daher besteht keine gesetzliche Verpflichtung gemäß § 306 des estnischen Strafgesetzbuchs (KarS) oder vergleichbarer EU-Rechtsvorschriften, eine private Meldung bei den Behörden einzureichen – diese Verpflichtung gilt ausschließlich für Banken, VASPs und ähnliche regulierte meldepflichtige Einrichtungen.

Sollten Missbrauchsmeldungen, die gegen über IANA #4318 registrierte Domains eingereicht wurden, weiterhin ignoriert werden, wird dieses Dossier offiziell an folgende Stelle weitergeleitet:

  1. Einhaltung der ICANN-Vorgabenicann.org/compliance/complaint · RAA § 3.7.8 (Richtigkeit der WHOIS-Daten) und § 3.18 (Umgang mit Missbrauch)
  2. Tucows / OpenSRS — Upstream-Registrar; abuse@tucows.com, compliance@opensrs.com
  3. CERT-EE (RIA) — cert@cert.ee
  4. Estnische Steuerbehörde (MTA) (Maksu- ja Tolliamet, Steuer- und Zollbehörde) — Hotline für Hinweise auf Steuerbetrug vihjeliin@emta.ee
  5. Estnische FIU (Statistisches Amt) — rab@politsei.ee im Zusammenhang mit Geldwäsche (AML) und nicht lizenzierten VASP-Aktivitäten
  6. Stellen zur Bekämpfung von Missbrauch auf Plattformen — AWS Trust & Safety, Stripe Risk, Vercel Abuse, Cloudflare Trust & Safety
  7. EU FIU.net über die estnische FIU – für den Teil, der die Sanktionen gegen Weißrussland betrifft

Vorerst wurde eine formelle Eskalation bewusst zurückgestellt: Die Registrierungsstelle befindet sich in Estland bereits in Liquidation, die Betreiber haben ihren Sitz in Weißrussland (kein MLAT ⇒ Vollstreckungssackgasse), und ein öffentlicher Bericht hat mehr Gewicht als ein Ticket in der Warteschlange. Wir werden die Lage neu bewerten, sollten sich die Umstände ändern – oder sollte jemand, der dies liest, ein Argument vorbringen, das dies rechtfertigt.

Diese Untersuchung wurde ausschließlich unter Verwendung von OSINT-Methoden und nicht-intrusiver technischer Analyse durchgeführt. Alle Datenquellen sind öffentlich zugänglich oder wurden über das eigene, authentifizierte Konto des Forschers auf der Plattform bezogen. Zu keinem Zeitpunkt wurde ein unbefugter Zugriff vorgenommen. Korrekturen, Gegenbeweise oder zusätzliche Daten: @PhishDestroy_bot · @Phish_Destroy · github.com/PhishDestroy.

Diese Untersuchung teilen

X / Twitter Telegram Reddit LinkedIn

Verwandte Ermittlungen

xmrwallet.com entlarvt: 10 Jahre gestohlene Schlüssel
GRÜNDLICHE UNTERSUCHUNG
xmrwallet.com entlarvt: 10 Jahre gestohlene Schlüssel
Untersuchung von NiceNIC: ICANN-Registrar begünstigt Cyberkriminalität
GRÜNDLICHE UNTERSUCHUNG
Untersuchung von NiceNIC: ICANN-Registrar begünstigt Cyberkriminalität
NameSilo, Webnic, NiceNic: Registrare, die Betrugsmaschen ermöglichen
UNTERSUCHUNG
NameSilo, Webnic, NiceNic: Registrare, die Betrugsmaschen ermöglichen