Langsung ke konten utama
Kembali ke Berita
Ketika Laporan Pelecehan Tak Ditindaklanjuti — Kegagalan Tanggapan Pihak Pendaftar
PENELITIAN • Waktu baca: 15—18 menit

Ketika Laporan Penyalahgunaan Tak Menemui Tindakan: Bagaimana Penyedia Layanan Pendaftaran Menjadi Mitra Diam-diam dalam Kejahatan Siber

Kami mengirimkan laporan penyalahgunaan yang dilengkapi bukti-bukti — hasil deteksi VirusTotal, tangkapan layar, data daftar hitam, serta hasil pemindaian antivirus. Penyedia layanan pendaftaran domain menerima laporan tersebut namun tidak mengambil tindakan apa pun. Beberapa domain phishing tetap bertahan 1.788 jam dan 13 laporan terpisah. Ini bukan kegagalan sistem — ini adalah pilihan desain. Berikut datanya.

Sistem yang Rusak

Setiap laporan penyalahgunaan yang kami kirimkan mengikuti protokol yang jelas: URL domain, kategori (phishing, crypto drainer, kasino palsu), jumlah deteksi di VirusTotal, bukti tangkapan layar, dan status daftar hitam. Ini bukanlah keluhan yang samar-samar — melainkan paket bukti forensik. Namun, domain demi domain tetap online selama minggu dan bulan setelah laporan pertama.

Tidak ada standar universal mengenai cara pendaftar domain harus menangani laporan penyalahgunaan. Tidak ada Perjanjian Tingkat Layanan (SLA). Tidak ada batas waktu respons yang wajib dipatuhi. Tidak ada tolok ukur akuntabilitas. Setiap pendaftar domain memutuskan sendiri apakah domain yang dilaporkan sebagai 16 mesin antivirus layak mendapat perhatian — atau balasan templat dan tiket yang ditutup.

1.788 jam
payscrow[.]bet — tetap aktif selama 75 hari meskipun ada 6 laporan dan 16 deteksi dari VirusTotal. Penyedia layanan pendaftaran domain: Tucows / Identity Digital.

Siapa yang Mampu Mengatasi 16 Mesin Antivirus?

Inilah pertanyaan yang tidak ingin dijawab oleh registrar mana pun. Ketika Kaspersky, ESET, Fortinet, BitDefender, Sophos, G-Data dan sepuluh penyedia layanan keamanan lainnya menandai sebuah domain sebagai berbahaya di VirusTotal — dan tim penanggulangan penyalahgunaan dari penyedia nama domain tersebut memutuskan "tidak perlu mengambil tindakan apa pun" — Siapa sebenarnya yang menelepon itu?

Bayangkan betapa tidak masuk akalnya hal ini: seorang analis penyalahgunaan di sebuah lembaga pendaftaran domain dapat mengesampingkan informasi intelijen ancaman gabungan dari 16 mesin antivirus independen, masing-masing dengan miliaran titik data, laboratorium penelitian khusus, dan pengalaman puluhan tahun. Berdasarkan apa? Infrastruktur pemindaian apa yang digunakan oleh tim penanggulangan penyalahgunaan di NiceNIC atau GlobalDomainGroup sehingga lebih unggul daripada milik Kaspersky?

Jawabannya sederhana: tidak ada. Mereka tidak memeriksa. Mereka tidak memverifikasi. Mereka bisa jadi sama sekali tidak melihat laporan tersebut, atau mereka menggunakan perhitungan finansial: domain yang aktif menghasilkan pendapatan; domain yang ditangguhkan tidak.

farewex[.]com — 13 laporan penyalahgunaan telah dikirim. 13 deteksi oleh VirusTotal. Aktif selama 1.352 jam (56 hari). Penyedia layanan pendaftaran domain (apiname.com / Verisign) telah menerima bukti dari vendor antivirus, platform intelijen ancaman, dan tim kepatuhan ICANN. Domain tersebut masih aktif. Siapa yang memutuskan bahwa hal ini bisa diterima?

Mari kita jelaskan secara gamblang apa artinya ini: seseorang di pihak pendaftar menelaah bukti dari 13 penyedia layanan keamanan independen dan 13 laporan penyalahgunaan yang terpisah — lalu memutuskan bahwa penilaiannya sendiri lebih tepat. Itu bukan kesalahan. Itu adalah kebijakan.

Tak Ada Otoritas yang Mereka Hormati

Sebutkan satu saja vendor antivirus yang dianggap sebagai sumber terpercaya oleh para pendaftar domain. Anda tidak bisa — karena memang tidak ada.

  • Kaspersky — mendeteksi domain? Diabaikan.
  • ESET — menandainya sebagai phishing? Diabaikan.
  • Fortinet — memblokirnya di tingkat jaringan? Diabaikan.
  • BitDefender — memperingatkan jutaan pengguna? Diabaikan.
  • Google Safe Browsing — sistem keamanan web terbesar di Bumi? Tetap diabaikan.

Ada tidak ada ambang batas deteksi di mana pendaftar domain diwajibkan untuk bertindak. Bukan 5 mesin. Bukan 10. Bukan 16. Sebuah domain bisa ditandai oleh setiap vendor antivirus di VirusTotal, muncul di berbagai daftar hitam, dan menerima selusin laporan penyalahgunaan — namun pendaftar domain tidak memiliki kewajiban yang dapat ditegakkan untuk melakukan apa pun.

Ini bukanlah celah dalam sistem. Inilah sistemnya. Industri pendaftaran domain telah berhasil menghindari standar mengikat apa pun yang mewajibkan mereka untuk menghormati temuan para peneliti keamanan, vendor antivirus, atau platform intelijen ancaman. Ketika 16 dari 70 mesin mendeteksi sebuah domain — itu bukan sekadar "mungkin." Itu adalah konsensus. Namun, tim penanggulangan penyalahgunaan dari registrar, yang tidak memiliki infrastruktur pemindaian sama sekali dan memiliki kepentingan finansial untuk mempertahankan domain tersebut tetap aktif, mengabaikan konsensus tersebut.

0
Jumlah vendor antivirus yang temuan-temuan pendaftar domainnya diwajibkan yang bisa diandalkan. Bukan Kaspersky. Bukan ESET. Bukan Google. Nol.
Tembok Keheningan Industri — Lebih dari 50.000 domain yang dilaporkan masih aktif, diblokir oleh NiceNIC, Tucows, GlobalDomainGroup, apiname, Porkbun, Dynadot, dan Endurance
Lebih dari 50.000 laporan penyalahgunaan telah diajukan. Tembok pelindung pendaftar tetap kokoh. Nama domain tetap aktif.

Insentif Keuangan

Penyedia layanan pendaftaran domain mengenakan biaya tahunan untuk setiap domain. Setiap penangguhan berarti hilangnya pendapatan. Setiap Penghapusan domain berisiko menimbulkan pengembalian dana. Ada insentif finansial yang langsung dan dapat diukur untuk menjaga agar domain tetap aktif — dan tidak ada sanksi finansial jika laporan penyalahgunaan diabaikan.

Hal ini tidak berlaku bagi semua penyedia infrastruktur. Cloudflare, misalnya, menangani laporan penyalahgunaan secara efisien dan tidak memperoleh pendapatan dari pendaftaran domain dengan cara yang sama. Perbedaan ini penting: ketika perusahaan yang menangani laporan Anda memperoleh keuntungan dari tetap aktifnya domain tersebut, konflik kepentingan tersebut bersifat struktural.

Bukti: Data Real-Time dari Laporan Kami

Di bawah ini adalah contoh dari catatan eskalasi penyalahgunaan bulan Maret 2026. Setiap entri mewakili domain phishing yang sebenarnya yang masih aktif pada saat laporan ini dibuat, meskipun telah ada laporan sebelumnya dan temuan yang telah dikonfirmasi.

DomainLaporanAktif (jam)VTBLPenyalahgunaan Layanan Pendaftaran
payscrow[.]bet61.788 jam16Tucows
6chicken9[.]top41.783 jam41Ketahanan
apphyena[.]trade21.781 jam3NiceNIC
airdrop[.]autos31.364 jam41Nama
amlstats[.]com71.363 jam141Tucows
amlscore[.]info71.363 jam91Tucows
amlwallets[.]io41.363 jam101nic.io
aavleaderboard[.]assetavenue[.]capital21.359 jam1Identitas Digital
airdropchime[.]com21.359 jam1Namecheap
farewex[.]com131.352 jam13apiname.com
app[.]whitewhalesmeme[.]com41.330 jam14Verisign
zordex[.]us31.314 jam14apiname.com
alhpatrademarket[.]com21.278 jam15GlobalDomainGroup
angelferno[.]com21.278 jam71NiceNIC
ansol[.]cc41.278 jam41NiceNIC
amltrackerbot[.]com21.278 jam61Tucows
amlstatement[.]info41.228 jam16Porkbun
a8vx[.]top21.049 jam16Dynadot
amlinfo[.]now21.033 jam2Porkbun
xwinner[.]cc41.026 jam14GlobalDomainGroup
xerowex[.]com61.021 jam14apiname.com
menty[.]sbs4985 jam16gen.xyz
perowex[.]com5971h14apiname.com
amlbot[.]im4965 jam6nic.im
3capitalstrading[.]com2879h2GlobalDomainGroup
naebex[.]com5826h11PDR
casbatle[.]com2803h2NiceNIC
amlchecknow[.]digital2751h6PDR
sollfalare[.]top2730 jam3Ketahanan
marketcsgo[.]net2717h15GlobalDomainGroup
dinadrop[.]com2717h6GlobalDomainGroup
dotabuff[.]org2674 jam2PIR
casesbattle[.]org2652 jam2PIR
763182819[.]top2618 jam15Nama
kahcas[.]com5539h14INWX
qizaro[.]cc5535 jam12GlobalDomainGroup
apexresolvefix[.]com2496 jam3Cosmotown
amlriskscore[.]ru2448 jam1cctld.ru
patricksstash[.]to2427 jam2tonic.to
stashhpatrick[.]cc2427 jam5NiceNIC
stake2win[.]me2402h14domain.me
wazbee[.]me2388 jam16domain.me
dexscreener[.]at2328 jam16nic.at
2fa[.]walletpinet[.]com116Verisign
appether[.]fi1131

VT = Deteksi VirusTotal dari sekitar 70 mesin pemindaian. "Aktif" = jumlah jam sejak deteksi pertama pada saat eskalasi. Data: Catatan eskalasi penyalahgunaan PhishDestroy, 19–21 Maret 2026.

Angka-angka Tidak Bohong

Waktu Aktif Rata-rata

943h

~39 hari rata-rata di seluruh domain yang diketahui memiliki jam operasional

Waktu Aktif Maksimum

1.788 jam

payscrow[.]bet — 75 hari, 6 laporan, VT:16

Jumlah Laporan yang Dikirim

150+

Laporan gabungan dari seluruh bidang dalam sampel ini saja

Domain dengan VT≥10

22

Hampir setengah dari seluruh domain — yang telah dipastikan berbahaya oleh 10 atau lebih mesin antivirus, masih aktif

Para Pelanggar Berulang: Rincian Berdasarkan Petugas Pendaftaran

Tidak semua penyedia layanan pendaftaran domain sama. Data kami menunjukkan pola yang jelas — beberapa penyedia layanan pendaftaran domain berulang kali muncul dalam daftar yang berkinerja terburuk.

apiname.com

  • farewex[.]com — 1.352 jam, 13 laporan, VT:13
  • zordex[.]us — 1.314 jam, 3 laporan, VT:14
  • xerowex[.]com — 1.021 jam, 6 laporan, VT:14
  • perowex[.]com — 971 jam, 5 laporan, VT:14

4 domain. Secara keseluruhan: 4.658 jam aktivitas infrastruktur kriminal. 27 laporan diabaikan.

GlobalDomainGroup

  • xwinner[.]cc — 1.026 jam, VT:14
  • marketcsgo[.]net — 717 jam, VT:15
  • dinadrop[.]com — 717 jam, VT:6
  • qizaro[.]cc — 535h, VT:12
  • csgomy[.]com — 356 jam, VT:9
  • tastdrop[.]com — 357 jam, VT:2
  • casebatle[.]com — 327 jam, VT:6
  • casebatltle[.]com — 327 jam, VT:2
  • chestix[.]net — 293 jam, VT:1
  • ggddrop[.]com — 365 jam, VT:1

10 domain. Kelompok terbesar dalam kumpulan data kami. Sebuah pola, bukan kebetulan.

Tucows / IdentityDigital

  • payscrow[.]bet — 1.788 jam, 6 laporan, VT:16
  • amlstats[.]com — 1.363 jam, 7 laporan, VT:14, BL:1
  • amlscore[.]info — 1.363 jam, 7 laporan, VT:9, BL:1
  • amltrackerbot[.]com — 1.278 jam, 2 laporan, VT:6, BL:1

Tucows: 22 laporan secara keseluruhan, 5.792 jam kasus penipuan. amlstats menerima 7 laporan — satu per minggu — dan berhasil mengatasi semuanya.

NiceNIC (nicenic.net)

  • apphyena[.]trade — 1.781 jam, VT:3
  • angelferno[.]com — 1.278 jam, VT:7, BL:1
  • ansol[.]cc — 1.278 jam, 4 laporan, VT:4, BL:1
  • casbatle[.]com — 803h, VT:2
  • stashhpatrick[.]cc — 427 jam, VT:5
  • casebaetle[.]com — 310 jam, VT:2
  • casebattle[.]info — laporan pertama, VT:1
  • appalmanak[.]live — laporan pertama, VT:2

8 domain. Total lebih dari 5.877 jam. Telah diteliti sebelumnya: Kesimpulan NiceNIC — tidak ditemukan satupun penggunaan yang sah.

Porkbun

  • amlstatement[.]info — 1.228 jam, 4 laporan, VT:16
  • amlinfo[.]now — 1.033 jam, 2 laporan, VT:2
  • amlspace[.]com — 712 jam, 2 laporan, VT:1

amlstatement[.]info: 16 deteksi antivirus, 4 laporan, dan 51 hari online. Apa yang dianggap dapat diterima oleh tim penanggulangan penyalahgunaan Porkbun?

Dynadot

  • a8vx[.]top — 1.049 jam, 2 laporan, VT:16
  • aave[.]events — laporan pertama, VT:2, BL:1
  • aavetrading[.]net — laporan pertama, VT:9

a8vx[.]top: 16 deteksi VT dan 44 hari aktivitas kriminal. Dynadot adalah registrar yang terakreditasi oleh ICANN.

domain.me

  • wazbee[.]me — 388 jam, VT:16
  • stake2win[.]me — 402h, VT:14

Kedua domain tersebut terdeteksi oleh 14–16 program antivirus. Keduanya masih aktif setelah laporan kedua.

Mitra Diam-diam dalam Kejahatan Siber — Diagram jaringan yang menunjukkan pendaftar domain yang terhubung ke Hub ABUSE IGNORED dengan waktu tidak aktif selama berjam-jam
Setiap node merupakan pendaftar yang terakreditasi oleh ICANN. Setiap angka menunjukkan jumlah jam infrastruktur kriminal yang telah dikonfirmasi masih tetap online setelah adanya laporan penyalahgunaan.

Jumlah Total Jam Ketidakaktifan oleh Panitera

NiceNIC
5.877 jam
Tucows
5.792 jam
GlobalDomainGroup
5.520 jam+
apiname.com
4.658 jam
Porkbun
2.973 jam
Ketahanan
2.513 jam
Dynadot
1.049 jam+
domain.me
790h

Jumlah total jam aktif dari semua domain yang dilaporkan per pendaftar dalam dataset kami bulan Maret 2026. Bukan jumlah total penyalahgunaan oleh pendaftar — melainkan hanya yang kami amati dalam satu sampel.

Apa yang Kami Kirim vs. Apa yang Mereka Lakukan

Setiap laporan penyalahgunaan PhishDestroy mencakup:

Laporan Kami Berisi

  • URL domain dan data pendaftaran
  • Skor VirusTotal beserta nama-nama vendor
  • Tangkapan layar satu halaman penuh dari situs phishing tersebut
  • Klasifikasi kategori (phishing, drainer, kasino penipuan)
  • Status daftar hitam dari beberapa sumber
  • URLscan.io atau hasil pemindaian serupa
  • Riwayat laporan sebelumnya dan garis waktu

Tanggapan Pejabat Pendaftaran

  • Tidak ada respons sama sekali (yang paling umum)
  • Template ucapan terima kasih, tidak perlu tindakan apa pun
  • "Kami akan meninjaunya" — berminggu-minggu berlalu, domainnya tetap ada
  • "Kami tidak dapat memverifikasi klaim tersebut" — meskipun terdapat 16 deteksi VT
  • Tiket ditutup tanpa penyelesaian
  • Permohonan terkait bukti yang telah diserahkan

Setelah pihak pendaftaran tidak mengambil tindakan, kami meneruskan masalah ini ke Kepatuhan terhadap ICANN (compliance@icann.org). Dalam setiap kasus yang disebutkan di atas, ICANN dicantumkan sebagai penerima salinan (CC) pada laporan kedua atau laporan-laporan berikutnya. Hasilnya? Sama-sama tidak ada.

Standar ICANN yang Tidak Ada

ICANN's Perjanjian Akreditasi Pendaftar (RAA), Bagian 3.18 mewajibkan penyedia layanan pendaftaran domain untuk menyediakan kontak khusus penanganan penyalahgunaan serta "mengambil langkah-langkah yang wajar dan segera untuk menyelidiki dan menanggapi dengan tepat" laporan-laporan mengenai penyalahgunaan.

Dalam praktiknya, frasa "wajar dan segera" berarti apa pun yang diputuskan oleh petugas pendaftaran. Ada:

  • Tidak ada batas waktu respons maksimum — seorang pendaftar bisa menunggu berminggu-minggu dan mengklaim bahwa hal itu "wajar"
  • Tidak ada ambang batas penangguhan wajib — 16 deteksi VT tidak secara otomatis memicu apa pun
  • Tidak ada kewajiban pelaporan kepada publik — lembaga pendaftaran tidak wajib mempublikasikan jumlah laporan yang mereka terima atau tindakan yang mereka ambil terkait laporan tersebut
  • Tidak ada sanksi yang berarti — ICANN jarang mencabut akreditasi karena tidak mengambil tindakan terhadap penyalahgunaan

Hasilnya: penyedia layanan pendaftaran menganggap penanganan penyalahgunaan sebagai pos biaya yang harus diminimalkan, bukan kewajiban keselamatan yang harus dipenuhi.

Seperti apa seharusnya standar tersebut: Konfirmasi dalam waktu 24 jam. Tindakan dalam waktu 72 jam untuk domain dengan VT≥10. Penangguhan otomatis setelah ada 3 atau lebih laporan independen. Pelaporan triwulanan terbuka mengenai metrik penyalahgunaan. Sanksi finansial atas ketidakpatuhan yang sistematis.

Mereka Menindak Praktik Typosquatting — Namun Tidak Menindak Praktik Phishing

Inilah yang membuat hal ini semakin tidak masuk akal. Beberapa registrar yang sama, yang mengabaikan laporan phishing selama berbulan-bulan, justru sangat efisien dalam menangani satu jenis penyalahgunaan tertentu: penyalahgunaan nama domain — domain yang sangat mirip sehingga dapat menimbulkan kebingungan dengan nama merek yang sudah mapan.

Mengapa? Karena typosquatting menargetkan perusahaan yang memiliki anggaran hukum. Ketika Google, Apple, atau Microsoft mengajukan pengaduan UDRP terkait domain yang mirip, penyedia layanan pendaftaran domain akan bertindak dalam hitungan hari. Ancaman gugatan hukum dan sanksi dari ICANN akibat penyalahgunaan merek dagang itu nyata dan segera.

Tapi bagaimana jika sebuah domain phishing mencuri uang dari korban perorangan? Bagaimana jika sebuah program penguras aset kripto menghabiskan tabungan seumur hidup seseorang? Bagaimana jika kasino palsu mencuri data kartu kredit para pemain? Tidak ada tim hukum perusahaan. Tidak ada pengajuan UDRP. Tidak ada urgensi. Bagian penanganan penyalahgunaan di lembaga pendaftaran menerapkan standar yang berbeda — yaitu standar di mana kerugian finansial yang dialami korban tidak memicu tanggapan yang sama seperti masalah merek dagang yang dihadapi suatu merek.

Laporan Typosquatting

  • Pemilik merek mengajukan gugatan UDRP
  • Pihak pendaftaran akan membalas dalam beberapa hari
  • Domain terkunci/ditangguhkan dengan cepat
  • Konsekuensi hukum akibat kelalaian

Laporan Phishing/Penipuan

  • Korban/peneliti mengajukan laporan pelecehan
  • Petugas pendaftaran mengabaikannya selama berminggu-minggu/berbulan-bulan
  • Domain tetap aktif hingga masa berlakunya habis
  • Tidak ada konsekuensi sama sekali akibat ketidakbertindakan

Pesannya jelas: Penyedia layanan pendaftaran domain melindungi merek, bukan individu. Mereka menanggapi kewenangan hukum, bukan bukti adanya kerugian. Laporan-laporan kami berisi lebih banyak bukti objektif daripada pengajuan UDRP mana pun — hasil pemindaian VirusTotal, deteksi antivirus, konfirmasi daftar hitam, tangkapan layar — namun tetap tidak ditanggapi.

Kami Melakukan Pekerjaan Mereka — Tanpa Biaya

PhishDestroy adalah sebuah proyek independen dan non-komersial. Kami memindai domain. Kami mengklasifikasikan ancaman. Kami membuat laporan VirusTotal. Kami mengambil tangkapan layar. Kami menyusun laporan penyalahgunaan yang terperinci dan mengirimkannya kepada pendaftar domain, lembaga pendaftaran domain, dan ICANN. Kami menangani urusan keamanan yang seharusnya ditangani sendiri oleh para pendaftar domain.

Dan inilah kenyataan yang tidak menyenangkan: Beberapa penyedia layanan pendaftaran domain memang melakukan pekerjaan ini. Beberapa penyedia layanan pendaftaran domain mengelola infrastruktur pemindaian domain mereka sendiri, menggunakan sumber informasi ancaman eksklusif, dan secara proaktif menangguhkan domain berbahaya bahkan sebelum ada yang melaporkannya. Mereka memang ada. Mereka membuktikan bahwa hal itu mungkin dilakukan.

Penyedia Layanan Pendaftaran yang Aktif

  • Jalankan alat pemindaian internal (pribadi, tidak untuk umum)
  • Secara proaktif menangguhkan domain yang jelas-jelas melakukan penipuan
  • Menanggapi laporan pelecehan dalam hitungan jam
  • Bekerja sama dengan para peneliti dan penegak hukum
  • Menerima data dari VirusTotal dan daftar hitam sebagai bukti

Penyedia layanan pendaftaran domain ini membuktikan bahwa respons cepat terhadap penyalahgunaan secara teknis dan ekonomis dapat dilakukan.

Penyedia Layanan Pendaftaran Nama Domain yang Melindungi Para Penipu

  • Sama sekali tidak ada infrastruktur pemindaian
  • Tunggu laporan-laporannya, lalu abaikan saja
  • Tanggapan templat, tiket ditutup, domain aktif
  • Menolak menerima laporan (pola NameSilo)
  • Menolak 16 mesin antivirus tanpa bukti apa pun

Penyedia layanan pendaftaran domain ini lebih mengutamakan pendapatan daripada keamanan. Ketidakaktifan mereka ditopang oleh komunitas keamanan yang melakukan pekerjaan mereka secara sukarela.

Pertanyaannya bukanlah apakah respons cepat terhadap pelecehan itu mungkin dilakukan. Benar. Pertanyaannya adalah mengapa beberapa pendaftar memilih untuk tidak melakukannya. Dan jawabannya, setiap kali, selalu kembali ke insentif struktural yang sama: Domain yang aktif menghasilkan pendapatan. Domain yang ditangguhkan tidak.

Standar Resmi yang Harus Diterapkan

Kerangka kerja untuk meminta pertanggungjawaban pendaftar domain sebenarnya sudah ada — hanya saja belum ditegakkan:

ICANN RAA Pasal 3.18

Yang Perjanjian Akreditasi Penyedia Layanan Pendaftaran mewajibkan penyedia layanan pendaftaran domain untuk menyimpan data kontak pelaporan penyalahgunaan dan segera menyelidiki laporan yang masuk. Penegakan aturan tersebut pada dasarnya tidak ada.

APWG

Yang Kelompok Kerja Anti-Phishing menerbitkan laporan tren phishing triwulanan yang menunjukkan seberapa besar masalah ini. Penyedia layanan pendaftaran domain ikut serta dalam APWG — namun tetap mengabaikan laporan-laporan tersebut.

Tindakan FTC

Yang Surat peringatan FTC kepada NameSilo (Desember 2024) secara tegas menyoroti kegagalan dalam menangani kasus penipuan. ICANN sendiri Bagian Kepatuhan menerima laporan eskalasi kami, namun tidak memberikan tanggapan apa pun.

DNSAI

Yang Lembaga Penanggulangan Penyalahgunaan DNS (oleh PIR) mengembangkan alat-alat seperti DAAR dan mempromosikan praktik terbaik. Namun, pendaftaran domain milik PIR sendiri menampung dotabuff[.]org (aktif selama 674 jam, VT:2) dan casesbattle[.]org (652 jam).

50.000 Domain dan Terus Bertambah

Contoh-contoh di atas merupakan sebuah contoh dari satu minggu. Skala sebenarnya sungguh mencengangkan.

50 ribu+
Domain phishing yang aktif di sistem kami daftar penghancuran yang telah menerima laporan penyalahgunaan. Sebagian besar di antaranya adalah masih online.

Sumber informasi ancaman kami yang terus diperbarui di content_active.txt berisi lebih dari 50.000 domain yang telah dilaporkan sebagai domain berbahaya. Masing-masing domain tersebut menerima setidaknya satu laporan penyalahgunaan. Banyak di antaranya bahkan menerima lebih dari satu laporan. Penyedia layanan pendaftaran domain tersebut telah menerima bukti-bukti — hasil pemindaian VirusTotal, tangkapan layar, serta konfirmasi daftar hitam — namun mereka lebih memilih untuk membela klien mereka daripada mengutamakan keselamatan masyarakat.

Karena memang begitulah adanya: sebuah pilihan. Klien pendaftar domain adalah orang yang mendaftarkan domain tersebut — si penipu. Klien pendaftar domain bukanlah nenek yang kehilangan tabungannya akibat halaman perbankan palsu, atau pengguna kripto yang dompet digitalnya dihabiskan, atau gamer yang akun Steam-nya dicuri. Pendaftar domainlah yang memilih si penipu. Setiap kali.

50.000 Domain, Tanpa Pertanggungjawaban — Rantai produksi domain phishing yang diberi cap "TIDAK ADA TINDAKAN" oleh NiceNIC, Tucows, GlobalDomainGroup, apiname, dan Porkbun
Jalur konveyor laporan penyalahgunaan: domain-domain masuk dengan deteksi VT:16, diberi cap "TIDAK ADA TINDAKAN," dan terus berjalan. Nama-nama registrar terpampang di atas baris yang mereka buat.

Dari Laporan hingga Korban: Setiap Jam Berarti

Begitu kami mengirimkan laporan penyalahgunaan, hitungan waktu pun dimulai. Sejak saat itu, pihak pendaftar akan secara resmi mengetahui bahwa sebuah domain yang berada di bawah pengelolaan mereka sedang digunakan untuk melakukan penipuan. Setiap jam yang dibiarkan berlalu tanpa tindakan setelah pemberitahuan tersebut merupakan satu jam keterlibatan yang disadari.

Banyak domain dalam kumpulan data kami tidak hanya bertahan setelah beberapa laporan — mereka bertahan hingga masa pendaftaran berakhir. Mereka menjalani siklus lengkap: mendaftar, melakukan penipuan, dilaporkan, dilaporkan lagi, kasusnya diteruskan ke ICANN, terus melakukan penipuan, hingga masa berlakunya habis secara alami. Penyedia layanan pendaftaran mengantongi biaya pendaftaran. Penipu mengantongi dana hasil curian. Para korban tidak mendapat apa-apa.

NameSilo telah secara terbuka membantah telah menerima laporan pelecehan yang kami miliki bukti tertulis bahwa laporan tersebut telah dikirimkan. Ketika sebuah registrar berbohong mengenai penerimaan laporan untuk menghindari pertanggungjawaban, apa saja langkah hukum yang dapat diambil oleh para korban? Mungkin sudah saatnya dilakukan audit independen terhadap penanganan kasus pelecehan oleh registrar — audit yang membandingkan laporan yang dikirimkan dengan tindakan yang diambil, serta hasilnya dipublikasikan.

Penangguhan domain yang tepat waktu bukan sekadar tindakan administratif. Hal itu bukan sekadar “ketidaknyamanan bagi pemegang nama domain.” Ini adalah operasi penyelamatan. Setiap domain yang diblokir tepat waktu berarti dompet yang tidak terkuras, kredensial yang tidak dicuri, dan rekening tabungan yang tidak dikosongkan. Penyedia layanan pendaftaran domain yang menggambarkan penghapusan tersebut sebagai "pensensoran" atau "gangguan bisnis" justru memperlihatkan dengan jelas kepentingan siapa yang mereka layani.

Haruskah Penyedia Layanan Pendaftaran Memberikan Kompensasi kepada Korban?

Inilah pertanyaan yang enggan dijawab oleh seluruh industri pendaftaran domain:

Jika sebuah registrar menerima laporan penyalahgunaan yang didukung bukti — termasuk hasil deteksi VirusTotal, tangkapan layar, dan konfirmasi daftar hitam — namun memilih untuk tidak mengambil tindakan, apakah registrar tersebut bertanggung jawab atas kerugian yang diderita korban setelah saat itu?

Coba pikirkan. Begitu petugas pendaftaran menerima laporan tersebut, mereka akan tidak lagi tidak tahu. Mereka telah diberi tahu, disertai bukti, bahwa sebuah domain yang berada di bawah kendali mereka sedang digunakan untuk mencuri uang, kredensial, dan identitas. Sejak saat itu, ketidakberdayaan yang terus berlanjut bukanlah kelalaian — melainkan sebuah keputusan yang disadari agar terjadi kerugian.

  • Apakah pihak pendaftaran bersedia bertanggung jawab? untuk setiap dolar yang dicuri melalui domain yang telah diperingatkan kepada mereka?
  • Apakah pihak pendaftaran bersedia memberikan ganti rugi kepada para korban? Siapa saja yang mengalami kerugian setelah laporan penyalahgunaan diajukan namun diabaikan?
  • Apakah tim hukum pendaftar Apakah Anda memahami bahwa pernyataan "kami telah memeriksa dan tidak menemukan masalah apa pun" — padahal 16 mesin antivirus menunjukkan hasil yang berbeda — bukanlah posisi yang dapat dibenarkan?

Jika jawaban untuk ketiga pertanyaan tersebut adalah "tidak" — maka tidak ada alasan yang sah untuk mempertahankan domain tersebut agar tetap aktif. Tangguhkan dulu, selidiki nanti. Begitulah cara penyedia infrastruktur yang bertanggung jawab beroperasi. Begitulah cara Cloudflare beroperasi. Begitulah cara penyedia layanan hosting seperti Hetzner dan OVH semakin sering beroperasi. Hanya pendaftar domain yang masih berpegang teguh pada model di mana kenyamanan penipu lebih diutamakan daripada keselamatan korban.

Siapa yang Menanggung Akibatnya

Setiap jam domain phishing tetap aktif berarti ada korban baru:

  • Domain penguras kripto (farewex, perowex, xerowex, naebex) — dompet terkuras dalam hitungan detik. Total 4.658 jam penggunaan domain apiname.com menandakan ribuan potensi pengurasan dompet.
  • Kasino palsu / Penipuan CS:GO (varian casebattle, csgomy, ggddrop, tastdrop) — penipuan kartu kredit, pencurian identitas, dan manipulasi hasil permainan yang menargetkan para gamer.
  • Peniruan identitas layanan palsu (dexscreener[.]at, trustwallet[.]receipts[.]sh, amlbot[.]im, dotabuff[.]org) — peniruan merek yang berujung pada pencurian kredensial dan kerugian finansial.
  • Infrastruktur penyortiran (patricksstash, stashhpatrick) — menjual data pembayaran hasil pencurian kepada penjahat lainnya.
75
hari Fakta bahwa situs payscrow[.]bet masih beroperasi — sama saja dengan membiarkan seorang pencopet berkeliaran di pusat perbelanjaan selama 2,5 bulan setelah pihak keamanan telah diberi tahu tentang keberadaannya, diperlihatkan rekaman CCTV, dan mengidentifikasi tersangka.

Apa yang Harus Diubah

Model yang ada saat ini memang dirancang untuk tidak berfungsi. Penyedia layanan pendaftaran domain meraup keuntungan selama domain tersebut tetap aktif. ICANN tidak memiliki kewenangan penegakan hukum yang memadai. Para korban tidak memiliki jalan keluar. Inilah yang bisa memperbaikinya:

  1. SLA wajib untuk penanganan kasus penyalahgunaan: Konfirmasi dalam 24 jam, tindakan awal dalam 72 jam, jalur eskalasi dalam 7 hari. Dapat diukur. Dapat diaudit.
  2. Ambang batas penangguhan otomatis: Setiap domain yang terdeteksi oleh VirusTotal ≥10 dan memiliki 2 atau lebih laporan independen harus ditangguhkan sementara menunggu peninjauan — bukan sebaliknya.
  3. Laporan transparansi kasus pelecehan di ruang publik: Setiap pendaftar yang terakreditasi oleh ICANN wajib mempublikasikan laporan triwulanan mengenai: laporan yang diterima, waktu respons rata-rata, tindakan yang diambil, serta domain yang ditangguhkan.
  4. Sanksi denda atas ketidakpatuhan: Sanksi denda berjenjang bagi lembaga pendaftaran yang secara sistematis gagal bertindak. Pencabutan akreditasi bagi pelanggar berulang.
  5. Ombudsman independen untuk kasus-kasus kekerasan: Sebuah lembaga independen yang dapat meninjau keputusan pendaftar, mengatasi kelambanan, dan mempercepat proses penangguhan dalam kasus ancaman kritis.
  6. Daftar larangan lintas pendaftar: Apabila seorang pendaftar dipastikan sebagai pelaku pelanggaran berulang, semua penyedia layanan pendaftaran yang terakreditasi harus diberi tahu. Tidak boleh lagi ada praktik "domain shopping".

Apa yang Telah Dilakukan PhishDestroy Terkait Hal Ini

Kami tidak sekadar menyusun laporan dan menunggu industri memperbaiki dirinya sendiri. Kami membangun sistem yang memaksa adanya transparansi dan memberikan konsekuensi atas ketidakaktifan.

Basis Data Ancaman Publik

Kami telah membuat dan mengelola daftar penghancuran — sebuah basis data publik yang terus diperbarui, berisi lebih dari 50.000 domain berbahaya. Setiap laporan penyalahgunaan yang kami kirimkan kini diteruskan kepada pendaftar domain: Domain ini akan dicantumkan dalam basis data publik. Calon korban dari domain klien mereka akan mengetahui kapan laporan tersebut diajukan dan berapa lama pendaftar domain mengabaikannya. Hal ini tentu tidak menyenangkan bagi para pendaftar domain — dan itulah tujuannya.

Halaman Ancaman Domain

Setiap domain yang kami tandai kini memiliki halaman khusus di phishdestroy.io/domain — lengkap dengan analisis mendalam, deskripsi ancaman yang dihasilkan oleh AI, dan sebuah Alur Tanggapan Ancaman Pipeline menampilkan tahapan pemrosesan secara terperinci: deteksi, pengiriman laporan, eskalasi, pemberitahuan kepada ICANN. Status diperbarui secara real time. Kami kini menambahkan cap waktu yang tepat untuk setiap laporan tindak lanjut demi transparansi penuh. Siapa pun dapat melihat dengan jelas kapan pendaftar diberitahu dan berapa lama mereka memilih untuk tidak mengambil tindakan apa pun.

Sistem Eskalasi — Jangan Laporkan Banjir

Kami melakukannya tidak membanjiri petugas pendaftaran dengan laporan ganda. Dalam 98% kasus, kami hanya mengirimkan satu laporan awal dan tidak mengulanginya — baik karena batasan jumlah email harian maupun karena kami yakin duplikasi massal bukanlah pendekatan yang tepat. Kami hanya mengirimkan laporan lanjutan jika sebuah domain terdeteksi kembali sebagai aktif selama pemindaian baru. Jika kami mengirim spam ke setiap domain aktif setiap hari, jumlahnya akan mencapai 50.000 email per hari. Kami tidak melakukannya. Sistem eskalasi kami menghasilkan laporan tindak lanjut (#2, #3, dan seterusnya) yang berisi ringkasan ancaman yang dianalisis oleh AI, skor VirusTotal terbaru, serta jumlah jam sejak registrar mengabaikan ancaman tersebut.

Alat Pelaporan Ulang Komunitas

Di bot Telegram kami @PhishDestroy_bot, pengguna kini dapat mengirimkan laporan ulang untuk domain yang mereka temukan masih aktif setelah laporan awal kami. Karena terlalu banyak penyedia layanan pendaftaran domain yang membiarkan para penipu beroperasi dengan bebas dan mengabaikan dampak yang sangat merugikan, kami memberikan ruang bagi komunitas untuk bersuara. Jika sebuah penyedia layanan pendaftaran domain tidak mau mendengarkan kami, mungkin mereka akan mendengarkan banyaknya laporan independen dari pengguna sungguhan.

Peringatan bagi pemilik proyek penipuan dan penyedia layanan pendaftaran yang lalai: Jika Anda mengira kami "menyerang" Anda dengan laporan dalam jumlah besar — sebenarnya tidak demikian. Kami mengirimkan satu laporan untuk setiap kejadian deteksi. Jika Anda menerima banyak laporan, itu karena Anda memiliki banyak domain berbahaya. Semua laporan tersebut berbeda-beda, untuk domain yang berbeda-beda, dengan bukti yang berbeda pula. Masalahnya bukanlah volume laporan kami — melainkan portofolio domain Anda.

PhishDestroy — kami tidak melindungi merek. Kami tidak membela korban. Kami menghancurkan infrastruktur phishing dan penipuan.

Kesimpulan

Ketika 16 mesin antivirus menyatakan suatu domain berbahaya dan pendaftar domain mengatakan "tidak ada tindakan," pendaftar domain tersebut bukanlah sedang menggunakan penilaiannya — melainkan sedang melindungi pendapatannya. Ketika 13 laporan penyalahgunaan terpisah tidak ditanggapi dan sebuah domain tetap aktif selama 1.352 jam, pendaftar domain tersebut bukan sedang menangani tumpukan pekerjaan — melainkan memfasilitasi kejahatan.

Data dalam artikel ini bukanlah data teoretis. Ini adalah catatan eskalasi kasus penyalahgunaan yang kami kumpulkan secara langsung selama satu minggu di bulan Maret 2026 — dan di baliknya terdapat Lebih dari 50.000 domain yang dilaporkan dalam umpan ancaman kami yang terus diperbarui. Ini bukanlah masalah yang hanya terjadi pada satu pendaftar domain saja. Ini adalah sebuah kegagalan di seluruh industri bahwa ekosistem pendaftaran domain tidak berminat untuk memperbaikinya, karena model yang ada saat ini menguntungkan.

Tidak ada vendor antivirus yang temuan-temuannya wajib dipatuhi oleh pendaftar domain. Tidak ada ambang batas deteksi yang memicu tindakan wajib. Tidak ada Perjanjian Tingkat Layanan (SLA), tidak ada pertanggungjawaban, dan tidak ada konsekuensi. Pendaftar domain memungut biaya, mengabaikan laporan-laporan tersebut, dan para korbanlah yang menanggung akibatnya.

Penyedia layanan pendaftaran domain bukanlah penyedia infrastruktur yang netral. Mereka adalah para penjaga gerbang yang memilih — setiap hari, dengan setiap laporan yang diabaikan — untuk membiarkan infrastruktur kriminal tetap beroperasi secara daring. Mereka mengetahui dampak buruknya. Mereka memiliki kuasa untuk menghentikannya. Namun, mereka memilih untuk tidak melakukannya. Dan sampai ada yang menanyakan satu-satunya pertanyaan yang penting kepada mereka — "Apakah Anda bersedia memberikan ganti rugi kepada para korban dari domain-domain yang Anda tolak untuk ditangguhkan?" — tidak akan ada yang berubah.

Diamnya industri ini terkait pertanyaan ini justru merupakan jawaban yang paling jelas.

#AbuseReports#ICANN#Registrars#VirusTotal#PhishingTakedown#Investigation#CyberSecurity

Penelitian Terkait

Penyedia Layanan Pendaftaran Nama Domain yang Memfasilitasi Penipuan Global
Bagaimana NameSilo, Webnic, dan NiceNIC mempertahankan infrastruktur penipuan dengan mengabaikan laporan penyalahgunaan.
Kesimpulan NiceNIC
Setiap domain NiceNIC telah ditinjau — tidak ditemukan satupun penggunaan yang sah di seluruh portofolio.
Penyelidikan NiceNIC
Mengungkap IANA 3765 — registrar ICANN yang memfasilitasi kejahatan siber global dengan skor phishing sebesar 1.141,74.
Pemberitahuan mengenai transparansi. PhishDestroy adalah proyek independen yang bersifat non-komersial. Penelitian kami mungkin mencerminkan bias bawaan terhadap infrastruktur penipuan dan layanan yang mendukungnya. Kami mendorong para pembaca untuk mengevaluasi semua materi secara kritis dan mandiri. Baca pernyataan transparansi lengkap kami →