सीड फ्लडिंग: फिशडिस्ट्रॉय खुलेआम क्यों
"हमले" फ़िशिंग साइटें
हम इसे छिपाते नहीं हैं। जब PhishDestroy किसी सक्रिय फ़िशिंग साइट का पता लगाता है जो क्रिप्टो वॉलेट सीड फ़्रेज़ इकट्ठा कर रही है, तो हम उस साइट को मान्य प्रारूप की सीड फ़्रेज़ प्रविष्टियों से भर देते हैं। यहाँ ठीक-ठीक बताया गया है कि हम क्या करते हैं, क्यों करते हैं, और हमें इस पर शर्म क्यों नहीं है।

समस्या: एक फ़िशिंग साइट अभी लाइव है।
कल्पना कीजिए कि आप एक क्रिप्टो वॉलेट फ़िशिंग पेज देखते हैं जो पेड गूगल विज्ञापन चला रहा है। यह वैध दिखता है। इस पर ट्रैफ़िक आ रहा है। असली उपयोगकर्ता हर कुछ मिनटों में इस पर आ रहे हैं, अपने सीड फ़्रेज़ दर्ज कर रहे हैं, और सब कुछ खो रहे हैं।
आप इसे Google को रिपोर्ट करते हैं। आप इसे रजिस्ट्रार को रिपोर्ट करते हैं। आप होस्टिंग प्रदाता को दुरुपयोग रिपोर्ट जमा करते हैं। और फिर आप इंतजार करते हैं।
इस बीच, ठग ने पीड़ित संख्या 47 को इकट्ठा किया। फिर 48 को। फिर 49 को।
मानक दुरुपयोग रिपोर्टिंग Pipeline 5–10 कार्यदिवसों की समयसीमा पर काम करती है। सक्रिय फ़िशिंग साइटें घंटों में अपरिवर्तनीय वित्तीय क्षति पहुँचाती हैं। यह अंतराल प्रणाली में कोई बग नहीं है — यह एक संरचनात्मक कमजोरी है जिसका स्कैमर जानबूझकर फायदा उठाते हैं।

बीज बाढ़ क्या है?
सीड फ्लडिंग एक काउंटर-फ़िशिंग तकनीक है जहाँ मान्य प्रारूप लेकिन खाली/बेकार क्रिप्टोकरेंसी वॉलेट सीड फ़्रेज़ स्वचालित रूप से एक नियंत्रित दर पर फ़िशिंग फ़ॉर्म में सबमिट हो जाते हैं।

यह क्यों काम करता है: एक सस्ते फ़िशिंग किट की संरचना
सक्रिय क्रिप्टो फ़िशिंग साइटों का विशाल बहुमत कॉपी-पेस्ट किट पर आधारित है। नि:शुल्क-स्तरीय तृतीय-पक्ष सेवाएँ. यह उनकी सबसे बड़ी कमजोरी है। गहरी विश्लेषण के लिए देखें हमारी पूरी जांच.

| मॉड्यूल | नि:शुल्क स्तर सीमा | जलमग्नता का प्रभाव |
|---|---|---|
| ईमेलजेएस | ~200 प्रस्तुतियाँ/माह | घंटों में थक गया, ईमेल डिलीवरी रोक देता है |
| फ़ॉर्मस्प्री | 50 सबमिशन/महीना | लगभग तुरंत अक्षम |
| वेब3फॉर्म्स | 250 सबमिशन/महीना | तेज़ी से तटस्थ |
| टेलीग्राम बॉट एपीआई | प्रति सेकंड दर-सीमित | टाइमआउट लूपों में डूब जाना |
| फ़ायरबेस मुफ़्त स्तर | पढ़ने/लिखने के कोटा | डेटाबेस की लागतें बढ़ जाती हैं या लॉक हो जाती हैं |
हमने सीधे तौर पर देखा है कि सीड फ्लडिंग ने इसकी सूचना Pipeline समाप्त कर देने के बाद फ़िशिंग इंफ्रास्ट्रक्चर बंद हो गया। ठग को नहीं पता कि यह काम करना क्यों बंद कर दिया। उन्हें बस डेटा मिलना बंद हो गया।
हमारा तकनीकी दृष्टिकोण: क्लाउडफ्लेयर वर्कर्स, बॉटनेट्स नहीं

हम उपयोग करते हैं क्लाउडफ्लेयर वर्कर्स. अनुरोध Cloudflare के अपने एज नेटवर्क से उत्पन्न होते हैं। किसी भी आवासीय आईपी का दुरुपयोग नहीं किया गया। कोई बॉटनेट नहीं। कोई तृतीय-पक्ष सर्वर बोझिल नहीं होता। केवल धोखेबाज़ के डेटा संग्रहण सिस्टम को प्रभावित किया गया है।
बाढ़ी प्रवाह
दर सीमित करना: एक सख्त 2 submissions per 10 secondsयह DDoS नहीं है। यह एक धीमी, जानबूझकर की गई, लक्षित संदूषण है, जो इतने बड़े पैमाने पर होता है कि दर्जनों एक साथ लक्ष्यों पर मामूली प्रति-साइट दरें भी सार्थक हो जाती हैं।
हम सर्वरों को बंद करने की कोशिश नहीं कर रहे हैं। हम ठगों का कार्यदिवस दुःखद बना रहे हैं और उनका डेटाबेस बेकार कर रहे हैं — वैध बुनियादी ढांचे पर बिना किसी दुष्प्रभाव के।
प्रत्यक्ष केस स्टडीज़: व्यवहार में नियंत्रित संदूषण
नीचे दिए गए संचालन हमारे उत्पादन लॉग्स से शब्दशः लिए गए हैं। डोमेन और प्रदाता पहचानकर्ता केवल उन स्थानों पर हटाए गए हैं जहाँ प्रकाशन से बचाव में सहायता मिलती; HTTP वायर कैप्चर अपरिवर्तित हैं। दोनों लक्ष्य हस्तक्षेप के समय सक्रिय थे, भुगतान किए गए विज्ञापन से इनबाउंड ट्रैफ़िक की पुष्टि हुई थी, और स्वतंत्र रूप से वर्गीकृत किए गए थे। फ़िशिंग द्वारा VirusTotal पर ≥ 2 बाहरी विक्रेता हमारी ओर से किसी भी कार्रवाई से पहले।
कार्यात्मक सिद्धांत
प्रत्येक सीड-फ्लडिंग ऑपरेशन एक ही पाँच-सिद्धांतों के दायरे में संचालित होता है। कोई अपवाद नहीं है; कोई भी ऑपरेशन जो इन सभी पाँचों को पूरा नहीं कर सकता, वह नहीं चलाया जाता।
मामला 1 — फॉर्मस्पार्क एक्सफिल एंडपॉइंट, मासिक कोटा समाप्त
चेकब्लॉक डॉट नेट डॉट पेजेज़ डॉट डेव निरस्तखतरे का पैटर्न: वॉलेट रिकवरी लूर ("Dapp Node Sync") 12-शब्दीय BIP-39 सीड वाक्यांशों को मुफ्त स्तर पर हमलावर-नियंत्रित Formspark एंडपॉइंट पर भेज रहा है। संलग्नता की शुरुआत में दो विज्ञापन प्लेटफ़ॉर्मों से भुगतान किए गए विज्ञापन ट्रैफ़िक की पुष्टि हुई।
messageपरिचालन समयरेखा (UTC, सहभागिता T-शून्य के लिए गुमनामीकृत)
submit-form.com/32BrdUqfX पृष्ठ JS से निकाला गया; पेलोड का आकार रिवर्स-इंजीनियर्ड किया गया। विश्लेषण2 req / 10 s, एकल Cloudflare वर्कर, पहचानी गई UA स्ट्रिंग, हस्ताक्षरित ओरिजिन।200 OK के साथ formspark-quota: 64. आधार रेखा कैप्चर हो गई।formspark-quota शून्य पार करने पर → अंतिम बिंदु चुपचाप अग्रेषण बंद कर देता है। ड्रेनर ब्लाइंडformspark-quota: −18बाढ़ कार्यकर्ता को बर्खास्त किया गया।वायर पर सबमिशन (बीज एक अभिव्यक्तिपूर्ण छलावा है — 12 यादृच्छिक BIP-39 शब्द जो किसी भी वास्तविक वॉलेट से असंबंधित हैं)
प्रतिक्रिया — टी+01:02 (बेसलाइन, शेष कोटा)
प्रतिक्रिया — T+06:12 (कोटा समाप्त, एंडपॉइंट 200 लौटाता रहता है लेकिन अग्रेषित नहीं करेगा)
देखने योग्य प्रभाव। T+06:08 से लेकर T+19:30 पर अंतिम गिराने तक — एक 13 घंटे और 22 मिनट की खिड़की — हर असली पीड़ित जो पहुँचा checkblochn.pages.dev और रिकवरी फ्लो पूरा करने के बाद उन्होंने अपना सीड वाक्यांश एक एंडपॉइंट पर सबमिट किया जिसने लौटाया 200 OK लेकिन अब यह पेलोड को ऑपरेटर के इनबॉक्स में नहीं भेजता था। फ़िशिंग पेज प्रकट हुआ पीड़ित के ब्राउज़र में सफल होने के लिए (कोई त्रुटि नहीं, कोई चेतावनी नहीं), जो वांछनीय है: एक स्वचालित "यह काम नहीं किया" प्रतिक्रिया अक्सर उपयोगकर्ताओं को अगली नकली साइट पर वही क्रेडेंशियल फिर से दर्ज करने के लिए प्रेरित करती है। यहाँ, इंटरैक्शन ऑपरेटर अंधा करके समाप्त.
भुगतान किए गए विज्ञापनों के माध्यम से अभी भी सक्रिय रूप से प्रचारित हो रही किसी साइट पर आने वाले प्रत्येक अगले आगंतुक के लिए 13 घंटे की सुरक्षा खिड़की। यह खिड़की तब बंद हुई जब Cloudflare Pages ने हमारी समानांतर ट्रैक दुरुपयोग रिपोर्ट का जवाब दिया — ठीक वैसे ही जैसे डिज़ाइन किया गया था। इस बाढ़ ने वैध हटाने की प्रक्रिया को प्रतिस्थापित नहीं किया; इसने उस अंतराल को ढक दिया। जब तक कानूनी कार्रवाई सफल रही।
मामला 2 — EmailJS रिले, ऑपरेटर-प्रकाशित पहचानकर्ता
ऑलसिंकऐप.पेजेज़.डेव सक्रिय संचालनखतरे का पैटर्न: वॉलेट "सिंक" चारा जो पीड़ित द्वारा दर्ज किए गए सीड को ऑपरेटर के मेलबॉक्स में ईमेल करता है, के माध्यम से ईमेलजेएस — एक वैध लेन-देन ईमेल SaaS। फ़िशिंग पेज ऑपरेटर के बंडल करता है service_id, template_id और user_id क्लाइंट-साइड जावास्क्रिप्ट में, क्योंकि उन पहचानकर्ताओं के बिना पीड़ित का ब्राउज़र उस POST को पूरा नहीं कर सकता जो ईमेल को ट्रिगर करता है। ये पहचानकर्ता इसलिए उस सार्वजनिक हमले की सतह का हिस्सा हैं जिसे ऑपरेटर ने स्वेच्छा से उजागर किया है।
कैप्चर की गई सबमिशन — फ़िशिंग पेज के अपने POST से बिल्कुल वैसा ही पेलोड।
पहचानकर्ता निष्कर्षण (फ़िशिंग पेज स्रोत पर एकल-पंक्ति रेगेक्स)
मुख्य सिद्धांतगत बिंदु। यह मामला ठीक इसलिए शिक्षाप्रद है क्योंकि हमारे द्वारा कोई एंडपॉइंट नहीं खोजा गया. ऑपरेटर प्रकाशित करता है EmailJS को उनके मेलबॉक्स में सीड भेजने के लिए आवश्यक तीन पहचानकर्ता। फिशिंग पेज रेंडर करने वाला कोई भी ब्राउज़र इनके पास होता है। हमारा वर्कर वही करता है जो पीड़ित का ब्राउज़र करता है — वह उस फॉर्म को सबमिट करता है जिसकी आकृति और पहचानकर्ता पेज स्वयं निर्देशित करता है। अंतर पेलोड में है: वास्तविक वॉलेट क्रेडेंशियल्स के बजाय यादृच्छिक BIP-39 शब्द।
परिणाम पैटर्न एक बार मासिक सीमा पूरी हो जाने पर, EmailJS लौटाता है 402 Payment Required या 429 Too Many Requests और टेम्पलेट भेजा नहीं जाता। ठग का मेलबॉक्स शांत हो जाता है। साथ ही, EmailJS Trust & Safety को सेवा/टेम्पलेट/उपयोगकर्ता पहचानकर्ताओं और हमारे प्रकाशित साक्ष्य पैकेज के लिंक के साथ एक औपचारिक शिकायत प्राप्त होती है — जो ऐतिहासिक मिसाल के अनुसार, ऑपरेटर के EmailJS खाते को समाप्त किया गया, रेट-लिमिटेड नहीं। ऑपरेटर को एक नया EmailJS खाता प्राप्त करना होगा, पहचानकों को पुनः उत्पन्न करना होगा, तैनात किए गए फिशिंग पेज को संपादित करना होगा, और प्रत्येक मौजूदा वितरण लिंक को अमान्य करना होगा — प्रत्येक रोटेशन के लिए कई घंटे का वर्कफ़्लो।
अटैक-प्रोफ़ाइल तुलना: सीड फ्लडिंग क्या नहीं है
बार-बार यह आरोप लगाया जाता है कि हम फिशिंग साइटों पर "हमले" करते हैं। यह फ्रेमिंग उसी क्षण ध्वस्त हो जाती है जब आप वास्तविक ट्रैफ़िक प्रोफ़ाइल को उन गतिविधियों की प्रोफ़ाइल के साथ तुलना में रखते हैं, जिनके साथ इसे भ्रमित किया जा रहा है।
| आयाम | बीज बाढ़ (हमारा) | डीडीओएस / एल7 फ्लड | स्पैम सबमिशन दुरुपयोग | एलई स्टिंग ऑपरेशन |
|---|---|---|---|---|
| उद्देश्य | पीड़ित संरक्षण — अगले पीड़ित से पहले घोटालेबाज़ का निकासी कोटा पूरा करें | अवसंरचना सेवा अस्वीकृति | व्यावसायिक लाभ / संदेश प्रसार | साक्ष्य संकलन, नियंत्रित छल |
| प्रवाह क्षमता | 0.1 – 0.3 रिक्वेस्ट प्रति सेकंड — नीचे प्रदाता सेवा की शर्तें | 103 – 108 req/s — संतृप्ति-उन्मुख | विस्फोट / स्वचालित उच्च-मात्रा | एकल अंतःक्रिया आमतौर पर |
| लक्ष्य | एकल एक्सफिल एंडपॉइंट हमलावर ने प्रकाशित किया है। | पीड़ित संगठन का वेब सर्वर / नेटवर्क स्तर | वैध साइटों के संपर्क फ़ॉर्म | संदिग्ध बुनियादी ढांचा या व्यक्तित्व |
| संरचनात्मक प्रभाव | कोई नहीं — प्रदाता काउंटर ToS-बजट के भीतर निर्धारित व्यवहार के अनुसार टिक होते हैं | सेवा बाधा, अपस्ट्रीम भीड़ | इनबॉक्स का बोझ, कैप्चा विचलन, मॉडरेशन का भार | कार्यप्रणाली पर निर्भर करता है |
| वैध उपयोगकर्ता प्रभावित | शून्य — फिशिंग फॉर्मों के कोई वैध उपयोगकर्ता नहीं होते। | वे सभी | फ़ॉर्म-स्वामी कर्मचारी / मॉडरेटर | अंतर्निर्मित परहेज़ |
| मूल पहचान | PhishDestroy Cloudflare Workers नामित — ऑडिट करने योग्य | बॉटनेट, छद्म स्रोत, प्रतिबिंब | एक बार उपयोग करने योग्य प्रॉक्सी | वर्गीकृत अवसंरचना |
| अधिकृत मॉडल | एंडपॉइंट है आमंत्रित: फ़ॉर्म स्पष्ट रूप से इस इनपुट का अनुरोध करता है, पहचानकर्ता पृष्ठ पर सार्वजनिक रूप से वितरित किए जाते हैं | कोई नहीं — अनुरोध की मात्रा ही हानि है | उद्देश्यित उपयोग को बाईपास करता है, दुरुपयोग-रोधी संकेतों को अनदेखा करता है | वैधानिक प्राधिकरण |
| समांतर कानूनी कार्रवाई | दुर्व्यवहार की रिपोर्ट दर्ज की गई पहले बाढ़ शुरू होती है, केस आईडी के साथ | लागू नहीं | लागू नहीं | संचालन में अंतर्निहित |
एक सीड-फ़्लड सबमिशन लगभग 140 बाइट्स का एकल HTTPS POST है, जो हमारे हस्ताक्षरित ओरिजिन को वहन करने वाले एक Cloudflare वर्कर से उत्पन्न होता है, प्रदाता द्वारा स्वीकार्य दर के एक अंश पर, एक ऐसे एंडपॉइंट को लक्षित करता है जिसके पहचानकर्ता ऑपरेटर ने एक सार्वजनिक वेब पेज में एम्बेड करने का निर्णय लिया था। यह है सम्पूर्ण दृश्यमान अवशेष. प्रत्येक संरचनात्मक तत्व जो अनुरोध को "हमला" बनाता है — अनधिकृत पहुँच, संसाधन क्षय का इरादा, वॉल्यूमेट्रिक संतृप्ति, प्रभावित तृतीय पक्ष, छिपी हुई उत्पत्ति — अनुपस्थित है। निम्नलिखित कानूनी विश्लेषण रचनात्मक वकालत नहीं है; यह प्राकृतिक तथ्यात्मक प्रोफ़ाइल को स्पष्ट रूप से प्रस्तुत करने के बाद विधेयक का पठन।
कानूनी विश्लेषण — क्या यह कानूनी है? क्या यह नैतिक है?

सार्वजनिक रूप से उपलब्ध वेब फॉर्म में डेटा जमा करना — भले ही वह नकली डेटा हो — अधिकांश फ्रेमवर्क में स्वाभाविक रूप से अवैध नहीं है। हम निजी सिस्टम तक पहुँच नहीं रहे हैं, अनधिकृत कमजोरियों का शोषण नहीं कर रहे हैं, या संचार को इंटरसेप्ट नहीं कर रहे हैं। ठग ने एक जाल बनाया। हम इसे पत्थरों से भर रहे हैं।
PhishDestroy कानूनी सलाह प्रदान नहीं कर रहा है। यह एक वास्तविक धूसर क्षेत्र में मौजूद है जो क्षेत्राधिकार के अनुसार भिन्न होता है। हम इस जटिलता की पूरी जानकारी के साथ कार्य करते हैं।
ठग के डेटाबेस का क्या होता है?
यह बेकार हो जाता है — हज़ारों प्रविष्टियों के लिए मैन्युअल सत्यापन की आवश्यकता होती है, सिग्नल-टू-नोइज़ अनुपात ध्वस्त हो जाता है। या यह टूट जाता है — Firebase Spark और साझा MongoDB इंस्टेंस की कठोर सीमाएँ होती हैं। इन सीमाओं तक पहुँचने पर परिणाम होते हैं।
दोनों परिणाम अच्छे हैं
चाहे डेटाबेस बन जाए बेकार या पूरी तरह से टूट जाता है — असली पीड़ितों के सीड फ़्रेज़ उपयोगी रूप में हमलावर तक कभी नहीं पहुँचते। हर अप्रासंस्कृत सीड फ़्रेज़ एक ऐसा वॉलेट है जो खाली नहीं होता।
हम बीज बाढ़ को कब सक्रिय करते हैं?
| मानदंड | जाँचें | यह क्यों मायने रखता है |
|---|---|---|
| सक्रिय ट्रैफ़िक की पुष्टि हुई | आवश्यक | विज्ञापन प्लेटफ़ॉर्म या ट्रैफ़िक टूल्स पुष्टि करते हैं कि वास्तविक उपयोगकर्ता साइट पर आ रहे हैं। |
| फ़िशिंग की संरचना का विश्लेषण | आवश्यक | हमारे फ्लड से पहले मुफ्त-स्तरीय एक्सफिल मॉड्यूल पहचाने गए। |
| दुर्व्यवहार की रिपोर्ट दर्ज की गई | आवश्यक | हम हमेशा एक साथ वैध मार्ग का अनुसरण करते हैं। |
| एसएलए के भीतर कोई निष्कासन नहीं | आम ट्रिगर | पंजीकरणकर्ता/होस्टिंग से स्वीकार्य समय में कोई प्रतिक्रिया नहीं |
| उच्च-मात्रा / सशुल्क विज्ञापन साइट | तत्काल ट्रिगर | भुगतान विज्ञापन का मतलब है कि हम नौकरशाही प्रक्रिया की प्रतीक्षा किए बिना कार्य करते हैं। |
बड़ी तस्वीर
क्रिप्टो इकोसिस्टम को नुकसान होता है प्रति वर्ष अरबों डॉलर फ़िशिंग के लिए। रक्षा पक्ष ऐतिहासिक रूप से प्रतिक्रियाशील रहा है। PhishDestroy को पेश करने के लिए मौजूद है। सक्रिय हस्तक्षेप इस चक्र में
हम अँधेरे में काम नहीं करते। हम अपनी कार्यप्रणाली प्रकाशित करते हैं। हम अपनी तकनीकों की व्याख्या करते हैं। हम जिन फ़िशिंग किट का विश्लेषण करते हैं, उन्हें दस्तावेज़ित करते हैं। सुरक्षा समुदाय को केवल ब्लैक-बॉक्स सेवा का उपभोग करने के बजाय काउंटर-फ़िशिंग विधियों का मूल्यांकन करने का अधिकार है।

आप क्या कर सकते हैं
- को रिपोर्ट करें गूगल सुरक्षित ब्राउज़िंग, फ़िशटैंक, और डोमेन रजिस्ट्रार
- इसे हमें जमा करें — हम उच्च-यातायात वाले सक्रिय खतरों को प्राथमिकता देते हैं।
- जाँचें हमारा शरीर रचना डेटाबेस यह समझने के लिए कि आप क्या देख रहे हैं
- जागरूकता साझा करें — ज़्यादातर पीड़ितों को तब तक पता नहीं चलता कि एक सीड फ़्रेज़ फ़िशिंग पेज कैसा दिखता है, जब तक बहुत देर न हो चुकी हो।
अगर आपको लगता है कि अपराधियों की खाली जेबें भरना अनैतिक है — तो यह आपकी राय है, और आप इसे बनाए रख सकते हैं। हमने अपना स्पष्ट कर दिया है।


