Foire aux questions

Notre pipeline traite chaque jour des milliers de domaines en passant par quatre étapes :

Phase 1 : Découverte et ingestion préventives

Nous utilisons un réseau décentralisé de Plus de 30 analyseurs syntaxiques propriétaires pour détecter les domaines malveillants dès leur apparition :

• Journaux de transparence des certificats (CT) — surveillance en temps réel des nouveaux certificats SSL afin de détecter les domaines de hameçonnage dans les minutes qui suivent leur enregistrement
• Surveillance du DNS — suivi des nouveaux enregistrements de domaines et des configurations suspectes
• Détection des publicités malveillantes — un suivi continu de Google Ads, des résultats de recherche optimisés pour le référencement naturel (SEO) et des campagnes tendance sur les réseaux sociaux (Twitter/X, YouTube et Telegram)
• Typosquatting — en exploitant dnstwist et des heuristiques personnalisées pour détecter les domaines ressemblants qui ciblent des marques reconnues
• Intelligence communautaire — intégration en temps réel via notre bot Telegram, par e-mail et via les flux de nos partenaires
• Agrégation de flux de phishing — Intégration avec plus de 13 sources communautaires, dont OpenPhish, PhishTank et URLhaus

Phase 2 : Analyse et notation

• Moteurs 95 AV via VirusTotal
• Enrichissement des données WHOIS/DNS (bureau d'enregistrement, serveurs de noms, géolocalisation IP, pays)
• Analyse des certificats SSL (émetteur, noms de domaine alternatifs, dates de validité)
• Capture d'écran et comparaison de contenus visuels
• Identification des kits de phishing
• Calcul du score de risque (0-100) à partir de plus de 12 signaux pondérés

Phase 3 : Rapports des fournisseurs à l'échelle mondiale

Une fois la confirmation reçue, nous transmettons à Plus de 50 exposants en même temps:

Sans oublier les notifications officielles d'abus adressées aux bureaux d'enregistrement de noms de domaine et aux hébergeurs, accompagnées de dossiers de preuves.

Phase 4 : Transparence publique

• Mises à jour en temps réel vers le Dépôt Destroylist
• Tableau de bord de surveillance en temps réel sur phishdestroy.io/live
• Alertes automatiques sur Twitter, Telegram, et Mastodon
• Réévaluation conditionnelle : alertes de suivi si la menace reste active au-delà de 24 heures

Chaque domaine reçoit un score de risque compris entre 0 et 100 sur la base de signaux pondérés :

Niveaux de gravité :

70-100 CRITIQUE40-69 ÉLEVÉ20-39 ans en moyenne1-19 FAIBLE

De plus, nos rapports internes sur les domaines (disponibles à l'adresse phishdestroy.io/domain) utilisent un système de notation enrichi distinct qui intègre les détections de VirusTotal, l'ancienneté du WHOIS, les modèles SSL, l'analyse de contenu, le degré d'usurpation de marque et les taux historiques d'abus des bureaux d'enregistrement, sur la base de plus de 12 indicateurs.

La plupart des listes de blocage ne liste domaines. Nous proposons des services complets de veille sur les menaces :

• Détection préventive — nous interceptons les noms de domaine quelques minutes après leur enregistrement, avant qu'ils n'atteignent leurs victimes
• Enquête approfondie — nous suivons les transactions cryptographiques sur la blockchain, cartographions les infrastructures, décompilons les kits de phishing et établissons un lien entre les campagnes et leurs auteurs
• Accès « root » — nous avons pu accéder à des panneaux de contrôle, au code source de kits de phishing et aux journaux de discussion des opérateurs, ce qui nous a permis d'acquérir une compréhension sans précédent des TTP des attaquants
• Suppression active — nous ne nous contentons pas de signaler les domaines; nous transmettons des dossiers de preuves aux bureaux d'enregistrement, aux hébergeurs et à plus de 50 éditeurs d'antivirus, et nous suivons chaque domaine jusqu'à ce qu'il soit définitivement hors service
• Vérification du contenu — Nos flux de vérification du contenu vont au-delà du DNS : nous effectuons de véritables requêtes HTTP pour vérifier que la page de phishing est bien active, ce qui nous permet de détecter les tentatives de dissimulation
• Responsabilité des bureaux d'enregistrement — nous publions les taux d'abus et les délais de réponse des bureaux d'enregistrement, ce qui oblige les prestataires négligents à rendre des comptes

La vérification du contenu signifie que nous ne nous contentons pas de vérifier si un domaine est résolvable (DNS), mais que nous consultons réellement la page pour vérifier si elle contient du contenu de hameçonnage.

C'est important parce que les escrocs ont recours au cloaking: ils affichent des pages factices ou vides aux robots d'indexation, tandis qu'ils présentent la véritable page de phishing aux victimes humaines. Un domaine qui ne figure PAS dans notre liste de domaines dont le contenu a été vérifié pas Cela ne veut pas dire qu'il est sûr — il se peut simplement qu'il soit dissimulé.

Nos flux dont le contenu a été vérifié :

• Contenu principal — une sélection de domaines contenant du contenu de phishing actif et vérifié (mise à jour toutes les 12 heures)
• Contenu communautaire — flux agrégés avec un contenu vérifié (mis à jour toutes les 24 heures)

Pour une protection optimale, utilisez notre Primaire - Tout or Généralités sur la communauté flux, qui incluent tous les domaines, quel que soit leur statut de vérification du contenu.

Notre taux de faux positifs est inférieur à 0,01 %. Chaque détection automatisée passe par plusieurs niveaux de vérification avant qu'un rapport ne soit établi. Nous assurons :

• Liste blanche — une liste établie manuellement de domaines dont la fiabilité est avérée et qui ne sont jamais signalés
• Recours dans un délai de 48 heures — chaque faux positif est examiné et résolu rapidement
• Amélioration continue du classificateur — nous suivons l'issue de chaque recours et mettons à jour la logique de détection
• Validation croisée multi-sources — les domaines doivent déclencher plusieurs signaux avant d'être validés

Nous surveillons toutes les principales familles de logiciels malveillants visant à vider les portefeuilles électroniques ainsi que tous les types de kits de phishing :

• Abus de Wallet Connect — De fausses invites WalletConnect permettent de détourner des autorisations
• Inferno Drainer — l'un des pirates les plus prolifiques sur plusieurs chaînes
• Angel Drainer — système de drainage avancé compatible avec la culture NFT
• Pink Drainer — combinaison d'ingénierie sociale et de drain
• Hameçonnage lié aux permis/autorisations — Failles liées à l'autorisation des jetons ERC-20 (Permit2)
• Vol de phrase de récupération — de faux formulaires intitulés « Vérifier le portefeuille » ou « Synchroniser le portefeuille »
• Escroqueries liées à la lutte contre le blanchiment d'argent et à la connaissance du client — de fausses pages de vérification de conformité
• Arnaques liées aux airdrops — pages de réclamation de jetons frauduleuses
• Escroqueries à l'investissement — fausses plateformes de trading, systèmes de Ponzi
• Solana Drainer — Kits de vidage de portefeuille spécifiques à Solana

Parcourez notre base de données par type de fraude, méthode de fraude ou marque ciblée.

Le API PhishDestroy Threat est un API gratuite et ouverte fournissant une évaluation des risques liés aux domaines en temps réel pour l'ensemble de Plus de 883 000 menaces. Aucune clé API n'est requise.

Critères d'évaluation :

Exemple :

curl "https://api.destroy.tools/v1/check?domain=suspicious-site.xyz"

La réponse comprend : threat (booléen), risk_score (0-100), severity (critique/élevé/moyen/faible), lists (quels flux contiennent ce domaine), et last_seen horodatage.

Nous proposons 7 flux de données distincts par l'intermédiaire de Dépôt Destroylist:

Recommandé : Utilisation list.json or active_domains.json pour la production. Utiliser blocklist.json pour une couverture optimale.

Tous les flux sont disponibles en JSON et texte format. Des listes de domaines racines (sans sous-domaines, hébergeurs exclus) sont également disponibles séparément.

Chaque flux est disponible en 7 formats pour une intégration immédiate :

Tous les formats sont disponibles sur : github.com/phishdestroy/destroylist/tree/main/rootlist/formats/

Python :

import requests

r = requests.get(f"https://api.destroy.tools/v1/check?domain={domain}")
data = r.json()
if data["threat"]:
    print(f"BLOCKED: {data['severity']} (score: {data['risk_score']})")

JavaScript :

const r = await fetch(`https://api.destroy.tools/v1/check?domain=${domain}`);
const data = await r.json();
if (data.threat) console.warn("PHISHING:", data.severity, data.risk_score);

Vérification groupée (jusqu'à 500 domaines) :

curl -X POST "https://api.destroy.tools/v1/check/bulk" \
  -H "Content-Type: application/json" \
  -d '{"domains":["site1.com","site2.xyz","site3.top"]}'

Vérification simple de la liste noire (Bash) :

curl -s https://raw.githubusercontent.com/phishdestroy/destroylist/main/list.txt \
  | grep -q "suspicious-domain.com" && echo "BLOCKED"

Listes de racines ne contiennent que des domaines de premier niveau — aucun sous-domaine — et les fournisseurs d'hébergement (Vercel, Pages.dev, Netlify, etc.) sont exclus. Cela les rend parfaits pour :

• Règles de pare-feu — bloquer des domaines entiers, et pas seulement des sous-domaines spécifiques
• Blocage DNS — sans danger pour les résolveurs DNS, sans risque de bloquer des plateformes d'hébergement légitimes
• Analyse des registres — des données fiables pour le calcul des taux d'abus

Trois versions disponibles :

• Toutes les racines — tous les domaines racines confirmés
• En direct uniquement — Racines actives vérifiées par DNS
• Services uniquement — héberger séparément les sous-domaines de la plateforme (Vercel, Pages.dev, Netlify, etc.)

Chacun rapport sur le domaine est un dossier complet de renseignements comprenant :

• Cote de risque — Indice de menace composite de 0 à 100 avec classification par niveau de gravité
• Résultats de VirusTotal — détections provenant de 95 moteurs antivirus, avec une ventilation par éditeur
• Capture d'écran — instantané visuel capturé au moment de l'analyse (plus de 75 000 captures d'écran stockées localement)
• Données WHOIS — registraire, date de création, informations sur le titulaire, serveurs de noms
• Enregistrements DNS — A, MX, NS, TXT avec géolocalisation IP et drapeaux de pays
• Certificat SSL — émetteur, validité, noms alternatifs du sujet (SAN)
• Statut de la liste noire — figurant sur plus de 11 listes noires de sécurité majeures
• Type d'arnaque — vol de fonds, vol de phrase de récupération, arnaque aux airdrops, arnaque à l'investissement, etc.
• Ciblage par marque — quelle marque légitime fait l'objet d'une usurpation d'identité (plus de 350 marques suivies)
• Domaines connexes — d'autres domaines partageant la même infrastructure, la même icône de site ou le même kit de phishing
• Cloudflare Radar — État de la catégorisation des domaines
• Analyse d'URLQuery — analyse de sécurité complémentaire

Raisons possibles :

• Votre domaine était déjà compromis et utilisées à des fins de hameçonnage à votre insu
• Votre domaine partage son infrastructure (adresse IP, serveurs de noms) avec des domaines connus pour être utilisés à des fins de hameçonnage
• Un classificateur automatisé a signalé un faux positif — cela se produit dans moins de 0,01 % des cas
• Quelqu'un a signalé votre domaine via les canaux de la communauté

Important : PhishDestroy ne bloque pas directement les domaines. Nous signalons les cas aux éditeurs d'antivirus et aux bureaux d'enregistrement, qui prennent leurs propres décisions en matière de blocage. Si votre domaine a été signalé à tort, faire appel — nous répondons dans les 48 heures et ajoutons les domaines validés à notre liste blanche permanente.

Deux voies de recours :

1. Formulaire de recours (le plus rapide) — enregistrez votre nom de domaine en fournissant une preuve de sa légitimité
2. Tique GitHub — créer un ticket en joignant des pièces justificatives

Procédure :

• Nous examinons au sein de 48 heures (la plupart le jour même)
• Si la validation est réussie, le domaine est ajouté à notre liste permanente liste blanche
• La liste blanche est publique : allowlist.json
• Les modifications sont immédiatement répercutées dans notre API et notre base de données

L'ensemble du processus est entièrement gratuit. Nous ne facturons jamais les recours ni les retraits de la liste — nous ne l'avons jamais fait et ne le ferons jamais.

Rien. Zéro. Gratuit. Toujours.

Tout tiers prétendant pouvoir faire retirer votre domaine de PhishDestroy contre rémunération mène une arnaque. Nous ne proposons aucun programme payant de retrait des listes et n'en proposerons jamais. Signalez-nous de tels services.

PhishDestroy n'est qu'une source parmi tant d'autres. Même après avoir nettoyé votre domaine, d'autres systèmes pourraient continuer à le signaler :

• Navigation sécurisée de Google — envoyer à safebrowsing.google.com
• Fournisseurs d'antivirus — chacun gère ses propres listes de blocage; contactez le service de signalement des violations de la politique de confidentialité de chaque fournisseur
• Avertissements du navigateur — peut conserver d'anciennes données en cache pendant 24 à 48 heures

Vérifiez votre domaine sur VirusTotal pour voir quels fournisseurs précis signalent ce problème, puis contactez chacun d'entre eux individuellement.

Lorsque nous signalons des abus, nous respectons les normes de l'ICANN :

• Signalements officiels d'abus aux bureaux d'enregistrement via les contacts chargés des abus WHOIS
• Dossiers complets de preuves — résultats de numérisation, captures d'écran, rapports PDF avec métadonnées
• L'ICANN exige les bureaux d'enregistrement doivent examiner les plaintes pour abus dans un délai de 24 heures
• Nouvelle détection conditionnelle — si un domaine reste actif au bout de 24 heures, nous intensifions la surveillance en envoyant des alertes de suivi

Lorsqu'un domaine fait l'objet de 10 à 30 signalements d'abus ou plus et qu'un registraire continue de les ignorer pendant des mois, nous le rendons public. Le registraire n'est alors plus un simple spectateur : il fournit de fait une infrastructure permettant des activités illégales. Notre base de données publique favorise la responsabilisation.

Le temps presse. Agissez sans tarder :

1. RÉVOQUEZ IMMÉDIATEMENT les autorisations de jetons — aller à revoke.cash annuler immédiatement toutes les autorisations de portefeuille en attente. Cela permet de mettre fin à la fuite de fonds en cours.
2. Contactez SEAL 911 — Intervention d'urgence en cas d'incident lié aux cryptomonnaies par des professionnels de la sécurité. Rendez-vous sur phishdestroy.io/mesure-d'urgence
3. Transférer les fonds restants — transférer tous les actifs du portefeuille compromis vers un nouveau portefeuille non compromis
4. Signaler à la police — Déposez une plainte pour cybercriminalité auprès de la police locale. Demandez un numéro de dossier.
5. Signaler publiquement — dossier sur Abus de chaînes pour avertir les autres et conserver une trace écrite
6. Conservez TOUTES les preuves — adresses de portefeuille, identifiants de transaction, captures d'écran, historiques de discussion, e-mails, URL de hameçonnage

NE CONTACTEZ PAS les « services de récupération » trouvés sur Internet. Plus de 95 % d'entre eux sont des escroqueries secondaires visant les victimes.

Parfois, mais à condition d'agir vite:

• Approbations de jetons non encore exécutées : Si vous avez simplement signé un accord malveillant, vous pouvez le révoquer à revoke.cash empêche immédiatement de nouvelles pertes
• Retraits CEX : Si l'auteur de l'attaque transfère des fonds vers Binance, Coinbase, etc., les forces de l'ordre peuvent geler ces comptes — mais elles ont besoin de votre plainte
• Pauses de Bridge : Certains ponts inter-chaînes ont suspendu les transactions dès qu'une fraude a été signalée

Retour à la réalité : La plupart des vols de cryptomonnaies sur la blockchain sont irréversibles. La prévention est la meilleure défense : utilisez des portefeuilles matériels, vérifiez les URL et ne communiquez jamais vos phrases de récupération.

Signaux d'alerte :

• URL non correspondante — « metamask-login.com » au lieu de « metamask.io »
• Formule d'urgence — « Agissez maintenant ou perdez l'accès », « Votre portefeuille sera verrouillé »
• Demandes de phrase de récupération — AUCUN service légitime ne vous demandera JAMAIS votre phrase de récupération
• Fenêtres contextuelles inattendues du portefeuille — Des notifications de WalletConnect ou MetaMask que vous n'avez pas déclenchées
• Trop beau pour être vrai — airdrops gratuits, retours garantis, « réclamez votre récompense »
• Publicités sur les réseaux sociaux — Le phishing recourt massivement aux publicités payantes sur Twitter, Google et Telegram
• Arnaques par message privé ou en réponse — « le service client » qui prend contact avec vous en premier

Protection: Vérifiez toujours les noms de domaine sur phishdestroy.io/domain ou utilisez notre Bot Telegram avant de connecter votre portefeuille. Consultez notre guide complet : Les bases de la sécurité des cryptomonnaies

Presque jamais. Plus de 95 % des « services de recouvrement » sont escroqueries secondaires qui s'adressent à des personnes ayant déjà subi des pertes financières.

Signaux d'alerte :

• Ils garantissent la récupération (ce qui est impossible à garantir)
• Ils exigent un paiement d'avance
• Ils t'ont trouvé grâce à des commentaires sur les réseaux sociaux indiquant que tu avais été victime d'une arnaque
• Ils se présentent comme des « hackers éthiques » capables d'« annuler des transactions »
• Ils vous demandent votre phrase de récupération ou l'accès à votre portefeuille

Aide fiable (entièrement gratuite) : SEAL 911, les forces de l'ordre locales, l'équipe d'assistance de votre plateforme d'échange, Abus de chaînes à des fins de publication.

Accéder à l'administration de Pi-hole → Paramètres → Listes noires → collez cette URL :

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/hosts.txt

Enregistrez et mettez à jour Gravity. La liste se met automatiquement à jour selon le calendrier défini dans Pi-hole.

uBlock Origin : Paramètres → Listes de filtres → Importer → coller :

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/adblock.txt

AdGuard Home : Filtres → Listes de blocage DNS → Ajouter une liste de blocage → collez la même URL.

Pour le résolveur DNS Unbound (pfSense/OPNsense) :

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/unbound.conf

Pour BIND ou Knot DNS (format RPZ) :

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/rpz.zone

Pour Dnsmasq :

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/dnsmasq.conf

Oui ! Voici comment faire :

• Signaler des domaines de hameçonnage — Bot Telegram or [email protected]
• Intégrez nos listes de blocage — ajouter Liste des destructions à votre DNS, à votre pare-feu ou à vos outils de sécurité
• Utilisez notre API — créer des outils, des bots ou des tableaux de bord à l'aide de API de menaces
• Soumettre des PR — améliorations apportées aux algorithmes de détection, conseils d'intégration, dernières informations
• Sensibiliser — Partagez nos recherches sur les réseaux sociaux

Nous n'acceptons pas de dons : la meilleure façon de nous soutenir est de mettre nos données à profit.

Nos données (licence MIT) sont utilisées pour :

• Sécurité des réseaux — règles de pare-feu, blocage DNS, filtrage des e-mails
• Automatisation — Intégration SIEM/SOC, gestion automatisée des incidents
• Recherche sur les menaces — analyse des campagnes de hameçonnage, tendances en matière d'usurpation d'identité de marques
• Formation en apprentissage automatique et intelligence artificielle — ensembles de données d'entraînement pour les modèles de détection du phishing
• Analyse des tendances — taux d'abus des bureaux d'enregistrement, tendances en matière de risques liés aux TLD, évolution des « draineurs »
• Preuve juridique — rapports sur les domaines horodatés destinés aux forces de l'ordre et aux demandes d'indemnisation

Voûte historique : Plus de 500 000 domaines archivés depuis plus de 5 ans. Contactez-nous [email protected] pour y accéder.