/>
Pourquoi nous faisons cela

Dans les coulisses de l'enquête — Motivation, objectifs et méthodes

Nous ne sommes pas rémunérés. Nous nous exposons à de réelles représailles de la part de criminels acculés et disposant de moyens financiers. Cette page explique pourquoi nous avons choisi de mener ce combat, ce que nous essayons de démontrer et comment nous avons mené cette enquête.

Autonomie et autonomie

Nous fonctionnons en toute indépendance. Nous ne dépendons d'aucun sponsor, ne bénéficions d'aucune subvention et n'avons aucun levier financier à exploiter. Cette autonomie nous permet de nous attaquer à des cibles que les entreprises de sécurité traditionnelles évitent en raison de risques de responsabilité civile ou de conflits d'intérêts. Plus de 130 000 domaines de hameçonnage neutralisés. Des années d'expérience sur le terrain. Nous maîtrisons le fonctionnement des infrastructures frauduleuses, le comportement des opérateurs sous pression, le traitement des signalements d'abus sur les plateformes, ainsi que les mécanismes des campagnes de suppression.

Comment l'enquête a été lancée

L'opératrice (« Nathalie Roy ») a été directement mise en garde : ne mentez pas, n'aggravez pas la situation. Elle a eu de multiples occasions de régler le problème en toute discrétion — supprimer deux tickets GitHub et passer à autre chose. Si aucune victime ne s'était plainte, l'affaire se serait arrêtée là. Au lieu de cela, elle a choisi de proférer des menaces, de mentir et de faire intervenir son registraire. NameSilo a ensuite publié un tweet contenant quatre affirmations pouvant être facilement réfutées, défendant publiquement un programme de drainage signalé par VirusTotal devant un public de 11 000 personnes. Cette erreur tactique a déclenché une opération d'enquête à grande échelle.

Notre objectif est inscrit dans notre nom : PhishDestroy. NameSilo a choisi de se rendre complice de cette opération d'hameçonnage — en la défendant, en publiant de fausses déclarations et en dissimulant des preuves. La réponse est d'ordre procédural : consigner les mesures de protection, neutraliser l'arnaque, saisir les forces de l'ordre.

La recherche universitaire — La véritable motivation

L'un de nos chercheurs est en train d'écrire un article de recherche en criminalistique consacré à la criminologie de la fraude en ligne. Cette enquête constitue l'étude de cas principale. L'article propose une méthodologie permettant d'enquêter sur les vols de cryptomonnaie intraçable (Monero) — là où l'analyse traditionnelle de la blockchain est impossible.

Monero ne dispose pas de registre public. Il est impossible de prouver un vol par le biais d'une analyse de la blockchain. Pas d'Etherscan, pas de trace des transactions, pas d'attribution des portefeuilles. C'est pourquoi xmrwallet.com a pu survivre pendant une décennie : personne ne pouvait quantifier les dommages à l'aide d'outils classiques. L'article démontre que même lorsqu'il est impossible de retracer le parcours de l'argent, il est tout de même possible de prouver l'infraction grâce à :

Cette étude constitue la validation de principe démontrant que la méthode fonctionne. Chaque élément de preuve recueilli ici — les schémas de censure, les comportements identiques, la réponse au CAPTCHA, les 21 millions d’entrées enregistrées — alimente directement l’article. Cette affaire devait exister pour que cette recherche puisse voir le jour. C’est leur arrogance qui l’a rendue possible.

Méthodologie opérationnelle et contre-mesures

Nous avions anticipé chacune de leurs actions. Nous avons délibérément évité d'écrire sur Twitter que nous savions ce qu'ils faisaient à des gens comme nous — parce que Ils sont tellement arrogants qu'ils ne se sont pas rendu compte qu'ils ne nous réprimaient pas. Ils faisaient exactement ce que nous voulions.

Des pistes parallèles, simultanément :

11 à 12 plaintes officielles pour abus adressées à NameSilo — non pas pour les piéger, mais pour vérifier l'hypothèse. Tous les autres bureaux d'enregistrement ont pris des mesures. Ils les ont tous ignorés.
Corruption de base de données sur l'ensemble des domaines xmrwallet — 21 millions de leurres cryptographiques ont été injectés afin de protéger les victimes et de fausser les données de télémétrie des opérateurs.
Leurre de suppression traçable déployés sur Medium, dev.to, Azure, GitHub, nos propres domaines et d’autres qui n’ont pas encore été révélés. Plus de 20 liens par mot-clé. Chacun d’entre eux est conçu pour générer une demande de retrait enregistrée — une empreinte digitale à des fins médico-légales.
phishdestroy.io a été entièrement désindexé de Bing. Quand ils ont compris que le site comporterait plusieurs articles les concernant, ils ne se sont pas contentés de désindexer ces articles. Ils ont désindexé l'ensemble du domaine. Cela faisait également partie du plan.
Twitter comme appât. 200 000 tweets supprimés. Ils ont verrouillé le compte via la coche dorée. Le système de X n'a constaté aucune infraction. Le compte reste verrouillé.

Est-ce qu'on leur a tendu un piège ? Non. On a fait ce qu'on fait toujours : on a signalé les abus, publié nos conclusions et consigné les réponses reçues. Ils ont choisi de passer cela sous silence. On savait bien qu'ils allaient le faire, et on était en train de filmer.

La stratégie de suppression des empreintes digitales

Nous avons soumis 11 à 12 plaintes officielles pour maltraitance à NameSilo — non pas pour les piéger, mais pour vérifier notre hypothèse. S’ils étaient véritablement indépendants de l’opérateur, ils enquêteraient sur un site signalé par VirusTotal, pour lequel il existe des victimes avérées, et pour lequel l’opérateur lui-même a admis, dans ses propres e-mails, en avoir le contrôle. Ils les ont toutes ignorées, sans exception. Tous les autres registraires que nous avons testés ont pris des mesures.

Distribution multiplateforme et suivi des suppressions

Nous avons publié le sur plusieurs plateformes, de manière délibérée. Medium, en développement, sur notre propre site. Non pas parce que nous ne pouvions pas tout regrouper au même endroit, mais parce que Il fallait qu'ils le suppriment séparément sur chaque plateforme.. Chaque action de suppression est consignée par la plateforme destinataire : identité du demandeur, adresse IP, horodatage, méthode. Toutes les données enregistrées sur la plateforme sont mises à la disposition des forces de l'ordre dans le cadre d'une procédure judiciaire normale.

Article de Medium : NameSilo a menti pour se défendre dans une affaire d'escroquerie à la cryptomonnaie de 20 millions de dollars

Article sur Medium — 304 « claps », 15 commentaires, 19 min de lecture. L'une des nombreuses plateformes sur lesquelles nous avons délibérément publié cet article.

01
Publié sur Medium. J'ai attendu la désindexation. J'ai consigné l'opération.
02
Publié sur dev.to. Nos liens et notre site ont été signalés. Désindexés par Bing. Fait constat.
03
J'ai publié deux articles consacrés spécifiquement à NameSilo — pas un, mais deux. Ils allaient donc déposer deux distincts les demandes de désindexation. C'est une empreinte numérique.
04
A désigné notre compte Twitter comme « cible ». Ils l'ont verrouillé via Gold Checkmark. Le système d'automatisation de X n'a détecté aucune infraction. Le verrouillage persiste. Fait constaté.
05
Plainte déposée auprès de l'ICANN. Dossier complet de preuves. Transmis aux autorités fédérales chargées de l'application de la loi. Réponse du registraire à une plainte déposée par un organisme accrédité par l'ICANN concernant une arnaque signalée par VirusTotal : le silence.

Honeytokens et leurres de diversion

Nous ne les avons pas « piégés ». Nous avons fait exactement ce que fait tout chercheur spécialisé dans la lutte contre le phishing : nous avons publié nos conclusions, signalé les abus et consigné les réponses reçues. Ils ont préféré passer sous silence la situation plutôt que d'y réagir. Nous nous y attendions — car c'est le schéma qui se répète chez tous les opérateurs que nous avons étudiés. La différence, c'est que cette fois-ci, quelqu'un observait et enregistrait la scène.

Nous avons Je n'ai aucune envie de dénigrer NameSilo. Le cours de leur action ne nous intéresse pas. Nous avons publié un tweet — pour voir quelle serait la réaction. Et nous avons eu ce que nous voulions : l'un de leurs investisseurs a tenté de divulguer les informations personnelles d'un chercheur, puis a supprimé ses tweets. NameSilo a répondu par la même réponse type, ce qui a confirmé son comportement primitif et prévisible — identique à celui de l'opérateur. Notre objectif est inscrit dans notre nom : PhishDestroy. Nous mettons fin au phishing. C'est tout.

Nous avons sacrifié notre compte Twitter — plus de 200 000 tweets, des années de preuves — parce que l'enquête l'exigeait. Nous espérons que cette procédure permettra de rétablir tout ce qui a été supprimé, car chaque tweet effacé, chaque lien supprimé, chaque article désindexé constitue en soi une preuve susceptible d'être vérifiée. Toutes les plateformes sur lesquelles elles nous ont censurés conservent des archives. Pendant une décennie, ils ont réussi à effacer tout contenu négatif des résultats de recherche — notre analyse SEO le prouve. Ils n'ont laissé que ce qui leur convenait.

Le test des deux articles

Nous avons publié deux articles sur Medium. L'article n° 1 ne mentionnait que xmrwallet — aucune référence à NameSilo. L'article n° 2 était spécifiquement optimisé pour le référencement naturel (SEO) en faveur de NameSilo. Les deux ont été désindexés. Sur notre propre site, c'est la même chose : du contenu consacré exclusivement à xmrwallet, et du contenu portant spécifiquement sur NameSilo. Plus de 20 liens par mot-clé, tous supprimés. Si NameSilo et l'opérateur n'ont aucun lien entre eux, qui s'occupe de « nettoyer » les résultats de recherche de NameSilo ? L'opérateur cherche-t-il à préserver la réputation de son registraire ? Ce n'est pas ainsi que fonctionnent les entités indépendantes les unes des autres.

Nous l'avons écrit dès notre premier e-mail, puis à nouveau dans un article publié : « En mentant, vous nous obligez à mener une enquête. » Nous ne l'avons pas caché. Ils ne nous ont pas crus. C'est là qu'ils ont commis une erreur.
Pourquoi nous avons parlé de NameSilo sur toutes les plateformes

Chacune des analyses que nous avons publiées comportait une mise en garde concernant ce registraire et révélait la vérité sur ses agissements. Cela ne leur a pas plu. Mais ce qu’ils considèrent comme une « bataille » — nos publications contre leurs demandes de retrait — Ce n'était pas une bataille. C'était une opération planifiée. Chaque mesure a été conçue dans un seul but : les amener à fournir des preuves à charge contre eux-mêmes. Ils pensent qu’ils réagissaient à des attaques. En réalité, ils mordaient à l’hameçon. Chaque demande de retrait, chaque désindexation, chaque notification DMCA — des preuves qu'ils ont eux-mêmes fabriquées à leur encontre.

Monero est intraçable. Il n'y a aucune trace sur la blockchain. Les méthodes d'enquête traditionnelles ne fonctionnent pas dans ce cas. Nous nous sommes donc adaptés : Si on ne peut pas remonter la piste de l'argent, on suit celle du comportement. Nous sommes devenus leur cible pour qu’ils puissent illustrer ce schéma. Un chasseur ne poursuit pas une proie insaisissable à travers la forêt : il pose des pièges et attend. Ils sont tombés dans chacun d’entre eux.

Infrastructure décentralisée et atténuation des risques

Parce que nous ne sommes pas une seule et même personne. 4 chercheurs ou plus ont participé à cette enquête. Les victimes y ont contribué. Les forces de l'ordre de plusieurs pays ont été informées. Les preuves se trouvent sur l'IPFS : elles sont immuables, décentralisées et font l'objet d'une surveillance automatisée. Si un miroir tombe en panne, un nouveau est déployé automatiquement.

Ils pensent qu'en supprimant les liens, les preuves disparaissent. Ce n'est pas le cas. Cela ne fait qu'apporter davantage de preuves. Chaque suppression est consignée. Chaque tentative de suppression constitue un élément de preuve supplémentaire dans le dossier.

Article sur dev.to concernant l'arnaque xmrwallet

Publication sur dev.to — republiée afin de créer plusieurs enregistrements de suppression sur différentes plateformes.

Évaluation des menaces pesant sur les opérateurs

L'opérateur nous a envoyé un e-mail : « J'ai engagé un avocat et un détective privé. » Aucun avocat ne s'est manifesté. Aucun détective privé ne s'est manifesté. Ce qui s'est produit : des demandes de retrait au titre de la DMCA, des signalements en masse, des attaques DDoS provenant de njal.la (un revendeur NameSilo) et une manipulation coordonnée sur Trustpilot. Chaque menace, chaque action, chaque horodatage… tout est consigné.

Google Search Console affiche l'infrastructure de phishdestroy

Google Search Console — tous les domaines que vous voyez ici ont été créés dans un seul but : être supprimés. Et ils l'ont été. Tous, sans exception.

L'infrastructure « Bait »

Regardez cette capture d'écran. Chaque sous-domaine Azure, chaque URL d'article — Nous les avons créés spécialement pour qu'ils soient signalés et supprimés. Pourquoi quelqu'un créerait-il une douzaine de copies d'un même contenu sur différentes plateformes ? Parce que nous en avions besoin pour déposer une douzaine de demandes de retrait distinctes. Chaque demande est enregistrée par la plateforme. Chaque enregistrement contient l'identité du demandeur, son adresse IP, l'horodatage et la méthode utilisée. Les registres relatifs aux demandes de retrait au titre du DMCA et du RGPD sont conservés par les plateformes pendant des années.

Ils n'ont pas réfléchi. Dès qu'ils ont vu du contenu négatif, ils ont cliqué sur « Signaler ». Que ce soit pour NameSilo ou pour xmrwallet. Même schéma, même rapidité, mêmes plateformes. Ils ne se sont jamais demandé : Pourquoi PhishDestroy ne cesse-t-il de créer de nouveaux liens ? Pourquoi un « bénévole fou » continuerait-il à créer des miroirs qui ne cessent d’être supprimés ? Parce que chaque suppression est une pièce à conviction. Chaque plainte déposée au titre du DMCA est une empreinte numérique. Et lorsque les enquêteurs assignent Google, Bing, Twitter, Trustpilot et Medium à comparaître — le schéma sera identique pour les deux entités. Même demandeur. Même méthode. Même calendrier. Il ne s'agit pas de deux entreprises sans lien entre elles. Il s'agit d'une seule et même opération.

Il ne s'agit pas d'une arnaque classique

Nous avons enquêté sur des centaines d'opérations frauduleuses. Aucun d'entre eux ne ressemblait à ça. La plupart des auteurs d'attaques de hameçonnage prennent la fuite, se cachent ou se font discrets lorsqu'ils sont démasqués. Ce n'était pas le cas ici. Ils ont fait exactement le contraire :

C'est ce qui rend cette affaire intéressante d'un point de vue médico-légal. Le un schéma de suppression identique tant sur NameSilo que sur xmrwallet C'est l'empreinte que nous cherchions à mettre en évidence. Nous n'avons pas eu besoin de prouver ce lien à l'aide d'e-mails ou de transactions financières : nous l'avons démontré par leur comportement. Nous leur avons donné des cibles. Ils les ont attaquées de manière identique pour les deux entités : mêmes plateformes, même rapidité, mêmes méthodes. Ce comportement constitue la preuve. Et c'est la seule chose qu'ils ne peuvent pas effacer, car elle figure dans les journaux de la plateforme de toutes les entreprises auxquelles ils nous ont signalés.

Corruption de bases de données et contamination des données de télémétrie

Parce que Notre objectif est de protéger les gens — et tant que xmrwallet.com était en ligne, des gens perdaient de l'argent. Nous avons créé un script Cloudflare Workers qui saisissait en continu des adresses de portefeuille sur tous les domaines xmrwallet (.com, .me, .cc, .biz, .net) — dans les mêmes champs de saisie où les véritables victimes entrent leurs clés réelles. S’il s’agit d’un portefeuille côté client légitime (comme ils le prétendent), cela n’a aucune incidence. Les saisies de phrase de récupération sur un portefeuille légitime sont traitées localement. Il n'y a rien à « attaquer ».

Mais xmrwallet.com vole toutes les phrases de récupération saisies. Nous avons mené une opération systématique d'empoisonnement des données, en injectant 21 millions de leurres cryptographiques dans rendre leurs ensembles de données volés inutilisables sur le plan opérationnel. Nous n’aurions pas cessé. Pas avant que le site ne soit hors d’état de fonctionner. Qu’ils aient ajouté hCaptcha, Cloudflare Turnstile ou n’importe quoi d’autre, nous aurions continué à saisir les adresses de portefeuilles et à protéger les gens contre eux. C’est littéralement ce que signifie notre nom.

Bien plus que de simples données d'entrée : des sessions comportementales complètes

Nos portefeuilles ne se sont pas contentés d'autoriser la transaction puis de se déconnecter. À chaque session comportement réaliste simulé de l'utilisateur — cliquer sur des liens, parcourir des pages, respecter des délais variables, imiter différents types d'utilisateurs (explorateur, expéditeur, utilisateur expérimenté, débutant, paranoïaque). Nous comprenons le fonctionnement des systèmes d'analyse — et xmrwallet.com fonctionne Google Analytics, Google Tag Manager et un pixel de suivi Google sur un portefeuille « anonyme ». Nos sessions ont été conçues avec un fort degré d'aléatoire afin que l'opérateur n'a pas pu distinguer nos signalements de ceux des véritables victimes en fonction du comportement lors de la session, du moment ou des habitudes de navigation. Chaque portefeuille volé figurant dans leurs journaux n'est qu'une goutte d'eau dans l'océan de nos propres journaux.

Le CAPTCHA prouve qu'il s'agit d'un vol

Après plusieurs semaines de fonctionnement de notre outil, l'opérateur a ajouté un CAPTCHA — un test de force brute quadratique rudimentaire pouvant être résolu en environ 0,1 seconde avec Python. Un portefeuille fiable ne nécessite pas de CAPTCHA lors de la saisie de la phrase de récupération. Ledger n'en a pas. Trezor n'en a pas. MyMonero n'en a pas. Aucun portefeuille fiable n'en a — car les portefeuilles fiables traitent les graines en local. La seule raison d'ajouter un CAPTCHA, c'est si vous êtes collecter et enregistrer chaque entrée côté serveur. Le CAPTCHA est en soi la preuve de l'existence d'un mécanisme de vol.

Nous nous attendions à ce qu'ils mettent en place une véritable solution — hCaptcha, Cloudflare Turnstile, quelque chose de fiable. Ce n'est pas ce qu'ils ont fait. Ils ont mis en place un test trivial, pouvant être résolu par une attaque par force brute en 0,1 seconde. Cela en dit long sur leur niveau technique. Ils protégeaient leur réseau de vol, pas leurs utilisateurs.

Statistiques d'exploitation — 1 763 tours (149 heures)
Séances : 118,585Authentification réussie : 67%Nombre total d'actions : 2,595,623RPS moyen : 5.4Captcha résolu : 167,558 (95%)Temps moyen de résolution : 6,2 sSalariés en activité : 306Bande passante : 107 GoErreurs commises par les employés : 0Durée moyenne d'une session : 10,5 pagesGénération d'entropie : ÉlevéSynthèse de graines réaliste sur le plan cryptographique pour empêcher le filtrage algorithmique

xmrwallet.com : 4 743 sessions · xmrwallet.me : 114 031 sessions. Exemple de journal de bord d'une session. L'outil a été redémarré et mis à jour à plusieurs reprises — notamment lorsque des domaines ont été supprimés ou modifiés, ou lorsque le CAPTCHA a été mis en place. Le volume total des journaux complets pour l'ensemble des exécutions s'élève à environ 21 millions de participations retenues sur l'ensemble des domaines xmrwallet, de février à avril 2026. L'ensemble des données est mis à la disposition des forces de l'ordre sur simple demande.

5,4 RPS au total pour l'ensemble des actions — mais pas plus d'une autorisation toutes les 7 à 10 secondes. Ce n'est pas un problème pour un portefeuille qui fonctionne côté client, n'est-ce pas ? À moins qu'il ne fonctionne côté serveur. À moins qu'ils n'enregistrent chaque transaction. À moins qu'ils ne volent tout et ne rédigent le journal complet. Ce qui est exactement ce qu'ils font.

S'agit-il d'une attaque ? Non. Nous avons saisi des données dans un formulaire Web public. C'est tout. Nous n’avons pas contourné l’authentification, nous n’avons pas exploité de failles, nous n’avons accédé à aucun système auquel nous n’étions pas censés avoir accès. Nous avons utilisé le site exactement comme prévu — comme un « portefeuille ». Si le site fonctionne comme annoncé (uniquement côté client), nos saisies n’ont aucune importance. Si nos saisies ont de l’importance pour eux — qui prouve l'existence du mécanisme de vol.

Nous avons officiellement informé DDoS-Guard (leur hébergeur) de la nature de notre activité, décrit le mécanisme de collecte des phrases de départ et fourni les adresses IP des serveurs. Ils ne nous ont jamais contactés, n’ont jamais émis d’objection, ne nous ont jamais demandé d’arrêter. Silence = pas de problème. Notre script consommait moins de 50 Mo de RAM et fonctionnait à un rythme de 5,4 requêtes par seconde — moins de 1 % de la capacité du serveur. Nous savons à peu près quel serveur ils ont utilisé. Notre trafic était invisible.

Et voilà le plus beau dans tout ça. En tant que « portefeuille privé côté client », xmrwallet.com affirme ne pas conserver de journaux d'activité. Mais s'ils faire tiennent des registres (parce qu’ils volent) ; ils ont désormais à peu près le même nombre d’entrées que nous — 21 millions. Et s'ils essayaient de traiter, d'évaluer et de vider chaque portefeuille ? Cela représente 21 millions de portefeuilles Monero à analyser, à charger et dont il faut vérifier les soldes. Le coût de calcul nécessaire pour analyser 21 millions de portefeuilles est colossal. Chaque portefeuille vide représente une perte de temps et de ressources. Chaque portefeuille appartenant à une véritable victime est noyé dans la masse de nos entrées. C'était justement ça, le but.

Vous voulez nous accuser d'avoir perpétré une attaque ? Demandez-nous nos journaux. Nous vous fournirons des gigaoctets de données montrant que 21 millions de phrases de récupération ont été saisies dans votre « portefeuille côté client légitime ». Expliquez à un tribunal pourquoi un portefeuille côté client a enregistré, traité et tenté d'utiliser chacune d'entre elles.

21 millions de « vols » réussis… de nos portefeuilles

Sur l'ensemble des domaines xmrwallet (.com, .me, .cc, .biz, .net), notre outil a enregistré environ 21 millions d'enregistrements de portefeuille réussis. Le terme « réussi » signifie que xmrwallet.com a accepté la phrase de récupération, l'a traitée côté serveur et a tenté d'accéder au portefeuille — exactement comme il le fait avec de vraies victimes. Nous disposons de journaux pour chacune de ces opérations. Chaque entrée prouve que le site collecte et traite les phrases de récupération côté serveur. Si cela fonctionnait véritablement « uniquement côté client », il n'y aurait rien à enregistrer, rien à traiter, et aucune raison d'ajouter un CAPTCHA pour nous en empêcher.

L'ironie, c'est que : Ils ont cherché à protéger leur système de vol plutôt que de se protéger eux-mêmes. Ils ont ajouté des CAPTCHA pour continuer à voler. Ils auraient dû préparer leur défense juridique. Chaque CAPTCHA résolu, chaque défi DDoS-Guard, chaque session côté serveur… tout était enregistré et horodaté. Ils étaient tellement occupés à défendre leur capacité à voler les gens qu’ils ont oublié que quelqu’un enregistrait tout.

Le piège de la cupidité : l'asymétrie cryptographique

Les phrases de récupération Monero ne contiennent pas la date de création du portefeuille (hauteur de restauration). Cela pose un dilemme crucial à l'attaquant : s'il se contente d'analyser les blocs récents, il passe à côté de portefeuilles plus anciens, qui peuvent contenir des sommes considérables. Les escrocs sont cupides. Pour s'assurer de ne pas passer à côté des détenteurs de longue date, ils sont contraints de passer au crible l'intégralité de la blockchain de Monero — depuis le bloc Genesis de 2014 jusqu'à aujourd'hui — à la recherche de chaque phrase de récupération.

Même avec une infrastructure optimisée et des nœuds locaux, une analyse cryptographique de la chaîne complète prend environ 2 à 5 minutes de charge CPU élevée par portefeuille.

21 000 000 leurres × 2 min = 700 000 heures-processeur
À traiter en 1 mois = Environ 1 000 cœurs de processeur à 100 % en continu

Nous avons créé asymétrie de calcul absolue: cela ne nous prend que quelques millisecondes pour générer et injecter un leurre valide, mais pour eux, l'évaluer représente un investissement concret en infrastructure, des milliers de dollars de frais de serveurs et un risque opérationnel considérable. Nous ne nous sommes pas contentés de polluer leur base de données — Ils ont utilisé leur propre cupidité comme arme pour épuiser leurs ressources informatiques.

C'est pourquoi certains considèrent nos méthodes comme agressives. Nous, en revanche, nous les considérons comme proportionnées et pleinement éthiques. Pas de serveurs proxy. Pas de botnets. Pas de services d'attaques payants. Pas d'infrastructure illégale. Pas de collaboration avec des prestataires du marché gris. Tout fonctionne sur des Cloudflare Workers standard : légers, légaux, transparents. Nous n'avons pas besoin d'outils coûteux ou illégaux pour protéger les gens. Les solutions simples et conformes à la loi sont plus efficaces — et elles tiennent la route devant les tribunaux.

Google Search Console indique que phishdestroy.github.io est indexé

Google Search Console — phishdestroy.github.io/DO-NOT-USE-xmrwallet-com : données d'indexation et de performances.

Il n'y a pas de compromis possible ici.

Un site est soit une arnaque, soit il ne l'est pas. Il n'y a pas de demi-mesure. Peu nous importe qui en tire profit, combien ils paient ou qui les protège. L'opérateur est un criminel. Soit le greffier n'était pas au courant (négligence), soit il l'était (complicité). Les éléments de preuve penchent en faveur de cette dernière hypothèse.

As-tu fait des erreurs exprès ?

Oui. Nous marqueurs d'IA laissés visibles intentionnellement et avons repris des schémas de comportement observés lors d’autres enquêtes — de petites erreurs qui ont donné à l’opérateur et au responsable de l’enregistrement l’assurance que leur campagne de suppression allait porter ses fruits. Nous voulions qu’ils nous sous-estiment. Nous voulions qu’ils cliquent sur « signaler » en étant pleinement convaincus que cela fonctionnerait, que nous étions des amateurs qui finirions par abandonner. Chaque mesure de répression qu’ils ont prise en toute assurance constitue désormais une pièce à conviction horodatée. Ces informations seront publiées dans un prochain article scientifique consacré à l'analyse judiciaire de la fraude en ligne, et plus particulièrement à l'identification comportementale des auteurs d'escroqueries.

Quel est l'objectif final ?

Les éléments de preuve ont été transmis à Conformité contractuelle de l'ICANN et forces de l'ordre fédérales. L'enquête se poursuit par la voie officielle. Ces archives ont pour but de garantir que rien ne puisse être supprimé, modifié ou occulté. Chaque affirmation est étayée. Chaque capture d'écran est cryptée. Chaque action est consignée.

S'ils nient avoir supprimé des avis, nous présentons les captures d'écran de la Wayback Machine. S'ils nient avoir ignoré les plaintes, nous présentons les accusés de réception. S'ils nient tout lien, nous présentons les horodatages de PR Newswire, la correspondance avec le schéma de suppression et les registres d'achat de domaine.

Ils ont retiré 30 à 50 liens et plus issus des résultats de recherche sur Google, Bing et de nombreuses plateformes — pour ces deux entités. Cela prouve l'une des deux choses suivantes : soit elles sont d'une stupidité extraordinaire et ne se rendent pas compte que chaque demande de retrait est enregistrée et laisse une trace numérique, soit ils ont conclu un accord permanent avec une personne chargée de supprimer les contenus négatifs. Quoi qu'il en soit, les journaux existent, le schéma est identique pour les deux entreprises, et tous ces éléments peuvent faire l'objet d'une assignation à comparaître. Toute cette enquête avait pour but de produire précisément cet ensemble de données — tant pour l'article universitaire que pour les forces de l'ordre.

Cela n'a jamais été une dispute houleuse. Il s'agit d'un dossier d'affaire.

PhishDestroy, profil moyen

PhishDestroy Medium — l'une des nombreuses plateformes de publication utilisées pour consigner et diffuser des éléments de preuve.

Ils pensaient nous réduire au silence. En réalité, ils ne faisaient que renforcer notre cause.

Lire les éléments de preuve à l'appui

Chacune des allégations ci-dessus s'accompagne d'une pièce à conviction accessible au public. Commençons par les affaires les plus marquantes :

Équipe de recherche PhishDestroy

Initiative indépendante de lutte contre le phishing — créée en 2019

← Retour à PhishDestroy · Archives des actualités · abuse@phishdestroy.io