/>
Non veniamo pagati. Corriamo il rischio di subire conseguenze concrete da parte di criminali messi alle strette e con disponibilità finanziarie. Questa pagina spiega perché abbiamo scelto questa battaglia, cosa stiamo cercando di dimostrare e come abbiamo strutturato questa indagine.
Indipendenza e competenza
Operiamo in modo indipendente. Nessuno sponsor aziendale, nessuna sovvenzione, nessuna leva finanziaria da sfruttare. Questa autonomia ci permette di perseguire obiettivi che le società di sicurezza tradizionali evitano a causa di responsabilità legali o conflitti di interesse. Oltre 130.000 domini di phishing neutralizzati. Anni di attività sul campo. Conosciamo bene le infrastrutture utilizzate per le truffe, il comportamento degli operatori sotto pressione, la gestione delle segnalazioni di abuso delle piattaforme e i meccanismi delle campagne di soppressione.
Come è stata avviata l'indagine
L’operatrice (“Nathalie Roy”) è stata avvertita direttamente: non mentire, non aggravare la situazione. Ha avuto diverse occasioni per risolvere la questione in modo discreto — cancellare due issue su GitHub e lasciar perdere. Se nessuna vittima si fosse lamentata, la questione sarebbe finita lì. Invece, ha scelto di minacciare, mentire e coinvolgere il proprio registrar. NameSilo ha quindi pubblicato un tweet contenente 4 affermazioni facilmente confutabili, difendendo pubblicamente uno strumento di drenaggio segnalato da VirusTotal davanti a un pubblico di 11.000 persone. Quell'errore tattico ha dato il via a un'operazione investigativa su vasta scala.
Il nostro obiettivo è racchiuso nel nostro nome: PhishDestroy. NameSilo ha scelto di partecipare all'operazione di phishing — difendendola, pubblicando dichiarazioni false e occultando le prove. La risposta è di natura procedurale: documentare la protezione, neutralizzare la truffa, segnalare il caso alle forze dell'ordine.
Uno dei nostri ricercatori sta scrivendo un articolo di ricerca forense sulla criminologia delle frodi online. La presente indagine costituisce il caso di studio principale. L’articolo sviluppa una metodologia per indagare sui furti di criptovaluta non rintracciabile (Monero) — dove l'analisi tradizionale della blockchain risulta impossibile.
Monero non dispone di un registro pubblico. Non è possibile dimostrare un furto tramite l'analisi della blockchain. Niente Etherscan, nessuna traccia delle transazioni, nessuna attribuzione al wallet. Ecco perché xmrwallet.com è sopravvissuto per un decennio: nessuno riusciva a quantificare il danno utilizzando strumenti standard. L’articolo dimostra che, quando non è possibile seguire il flusso di denaro, è comunque possibile provare il reato attraverso:
Questa indagine dimostra che il metodo funziona. Ogni elemento di prova raccolto qui — gli schemi di soppressione, il comportamento identico, la risposta al CAPTCHA, i 21 milioni di voci registrate — confluisce direttamente nell’articolo. Il caso doveva esistere affinché la ricerca potesse esistere. È stata la loro arroganza a renderlo possibile.
Metodologia operativa e contromisure
Avevamo previsto ogni loro mossa. Abbiamo deliberatamente evitato di scrivere su Twitter che sappiamo cosa fanno a persone come noi — perché Sono così arroganti che non si sono resi conto che non ci stavano affatto reprimendo. Stavano facendo esattamente quello che volevamo noi.
Tracce parallele, contemporaneamente:
Li abbiamo provocati? No. Abbiamo fatto quello che facciamo sempre: abbiamo segnalato gli abusi, pubblicato i risultati e documentato le risposte. Hanno deciso di nasconderlo. Sapevamo già che l'avrebbero fatto, e stavamo registrando.
Abbiamo presentato 11-12 denunce formali di abuso a NameSilo — non per ingannarli, ma per verificare la nostra ipotesi. Se fossero davvero indipendenti dall’operatore, indagherebbero su un sito segnalato da VirusTotal, con vittime documentate, e con le stesse e-mail dell’operatore che ne ammettono il controllo. Li hanno ignorati tutti, senza eccezioni. Tutti gli altri registrar che abbiamo testato hanno preso provvedimenti.
Distribuzione multipiattaforma e tracciamento delle soppressioni
Abbiamo pubblicato su su più piattaforme, in modo deliberato. Medium, dev.to, il nostro sito. Non perché non potessimo pubblicarlo tutto in un unico posto, ma perché avevamo bisogno che lo sopprimessero separatamente su ciascuna piattaforma. Ogni azione di soppressione viene registrata dalla piattaforma ricevente: identità del richiedente, indirizzo IP, data e ora, metodo. Tutte le registrazioni della piattaforma sono a disposizione delle forze dell'ordine tramite i normali procedimenti legali.

Articolo su Medium — 304 clap, 15 commenti, 19 min di lettura. Una delle numerose piattaforme su cui abbiamo scelto di pubblicare.
Honeytokens e esche di distrazione
Non li abbiamo “adescati”. Abbiamo fatto esattamente ciò che fa qualsiasi ricercatore che si occupa di anti-phishing: abbiamo pubblicato i risultati delle nostre ricerche, segnalato gli abusi e documentato le risposte ricevute. Hanno scelto di tacere invece di reagire. Ce lo aspettavamo — perché è lo schema ricorrente di tutti gli operatori che abbiamo studiato. La differenza è che questa volta c'era qualcuno che osservava e registrava.
Abbiamo non ho alcun interesse a diffamare NameSilo. Non ci interessa il prezzo delle loro azioni. Abbiamo pubblicato un tweet — per vedere come avrebbero reagito. E così è stato: uno dei loro investitori ha tentato di divulgare i dati personali di un ricercatore, per poi cancellare i tweet. NameSilo ha risposto con la solita risposta standard che ha dimostrato il loro comportamento primitivo e prevedibile — identico a quello dell'operatore. Il nostro obiettivo è racchiuso nel nostro nome: PhishDestroy. Noi combattiamo il phishing. Ecco fatto.
Abbiamo rinunciato al nostro account Twitter — oltre 200.000 tweet, anni di prove — perché l’indagine lo richiedeva. Speriamo che il procedimento consenta di ripristinare tutto ciò che è stato soppresso, poiché ogni tweet cancellato, ogni link rimosso, ogni articolo deindicizzato costituisce di per sé una prova soggetta a verifica. Ogni piattaforma su cui ci hanno censurato conserva dei dati. Per un decennio sono riusciti a cancellare ogni contenuto negativo dai risultati di ricerca: la nostra analisi SEO lo dimostra. Hanno lasciato solo ciò che faceva comodo a loro.
Abbiamo pubblicato due articoli su Medium. L'articolo n. 1 menzionava solo xmrwallet, senza alcun riferimento a NameSilo. L'articolo n. 2 era specificamente ottimizzato per i motori di ricerca (SEO) in relazione a NameSilo. Entrambi sono stati rimossi dall'indice. Sul nostro sito — stessa cosa: contenuti che riguardano esclusivamente xmrwallet e contenuti specifici su NameSilo. Oltre 20 link per parola chiave, tutti soppressi. Se NameSilo e l’operatore non sono collegati — chi sta ripulendo i risultati di ricerca di NameSilo? L’operatore che sta ripulendo la reputazione del proprio registrar? Non è così che funzionano le entità non correlate.
Ogni analisi che abbiamo pubblicato includeva un avvertimento sul registrar e la verità sul suo comportamento. A loro non è piaciuto. Ma quella che loro considerano una “battaglia” — i nostri post contro le loro richieste di rimozione — Non è mai stata una battaglia. È stata un'operazione pianificata. Ogni operazione è stata pianificata con un unico obiettivo: indurli a fornire prove contro se stessi. Credono di aver reagito ad attacchi. In realtà stavano abboccando all’esca. Ogni richiesta di rimozione, ogni deindicizzazione, ogni DMCA — prove che essi stessi hanno fabbricato a proprio carico.
Monero è irrintracciabile. Non lascia tracce sulla blockchain. I metodi investigativi tradizionali qui non funzionano. Quindi ci siamo adattati: Se non riusciamo a seguire il flusso di denaro, seguiamo il comportamento. Siamo diventati il bersaglio proprio per permettere loro di mettere in atto lo schema. Un cacciatore non insegue prede introvabili nella foresta: tende delle trappole e aspetta. Loro ci sono caduti tutti, uno per uno.
Infrastruttura decentralizzata e mitigazione dei rischi
Perché non siamo una sola persona. 4 o più ricercatori Hanno collaborato a questa indagine. Le vittime hanno fornito il proprio contributo. Le forze dell'ordine di diversi paesi sono state informate. Le prove sono archiviate su IPFS: immutabili, decentralizzate e soggette a monitoraggio automatico. Se un mirror smette di funzionare, ne viene attivato automaticamente uno nuovo.
Pensano che cancellare i link faccia sparire le prove. Non è così. Anzi, fornisce ulteriori prove. Ogni cancellazione viene registrata. Ogni tentativo di soppressione costituisce un ulteriore elemento di prova nel fascicolo del caso.

Pubblicazione su dev.to — ripubblicata per creare più record di soppressione su diverse piattaforme.
Valutazione delle minacce per gli operatori
L'operatore ci ha inviato un'e-mail: "Ho assunto un avvocato e un investigatore privato." Non si è presentato nessun avvocato. Non si è presentato nessun investigatore privato. Cosa si è visto invece: richieste di rimozione ai sensi del DMCA, segnalazioni di massa, attacchi DDoS provenienti da njal.la (un rivenditore di NameSilo) e una manipolazione coordinata su Trustpilot. Ogni minaccia, ogni azione, ogni data e ora: tutto documentato.

Google Search Console — ogni dominio che vedete qui è stato creato con un unico scopo: essere rimosso. E così è stato. Tutti quanti.
Guarda quello screenshot. Ogni sottodominio di Azure, ogni URL di un articolo — Li abbiamo creati appositamente affinché venissero segnalati e rimossi. Perché mai qualcuno dovrebbe creare una dozzina di copie dello stesso contenuto su piattaforme diverse? Perché ci servivano per presentare una dozzina di richieste di rimozione separate. Ogni richiesta viene registrata dalla piattaforma. Ogni registrazione contiene l'identità del richiedente, l'indirizzo IP, la data e l'ora e il metodo utilizzato. I registri relativi alle richieste di rimozione ai sensi del DMCA e del GDPR vengono conservati dalle piattaforme per anni.
Non ci hanno pensato due volte. Hanno visto contenuti negativi e hanno cliccato su “segnala”. Sia per NameSilo che per xmrwallet. Stesso schema, stessa rapidità, stesse piattaforme. Non si sono mai fermati a chiedersi: Perché PhishDestroy continua a creare nuovi link? Perché mai un “volontario pazzo” dovrebbe continuare a creare specchi che vengono continuamente rimossi? Perché ogni rimozione è una prova. Ogni segnalazione ai sensi del DMCA è un’impronta digitale forense. E quando gli investigatori emettono un mandato di comparizione nei confronti di Google, Bing, Twitter, Trustpilot e Medium — lo schema sarà identico in entrambe le entità. Stesso richiedente. Stesso metodo. Stessa tempistica. Non si tratta di due società non collegate tra loro. Si tratta di un’unica operazione.
Abbiamo indagato su centinaia di operazioni fraudolente. Nessuno di loro aveva quell'aspetto. La maggior parte degli autori di attacchi di phishing scappa, si nasconde o smette di farsi sentire quando viene smascherata. Questi invece no. Hanno fatto proprio il contrario:
È proprio questo che rende il caso interessante dal punto di vista forense. Il stesso schema di soppressione sia su NameSilo che su xmrwallet è l'impronta digitale che ci siamo proposti di rilevare. Non abbiamo avuto bisogno di dimostrare il collegamento tramite e-mail o pagamenti: lo abbiamo dimostrato attraverso il comportamento. Abbiamo fornito loro degli obiettivi. Li hanno eliminati in modo identico per entrambe le entità: stesse piattaforme, stessa velocità, stessi metodi. Quel modello comportamentale costituisce la prova. Ed è l'unica cosa che non possono cancellare, perché è presente nei registri della piattaforma di ogni azienda a cui ci hanno segnalato.
Avvelenamento del database e contaminazione dei dati di telemetria
Poiché il nostro obiettivo è proteggere le persone — e finché xmrwallet.com è rimasto attivo, le persone hanno continuato a perdere denaro. Abbiamo creato uno script Cloudflare Workers che inseriva continuamente indirizzi di portafogli in ogni dominio xmrwallet (.com, .me, .cc, .biz, .net) — negli stessi campi in cui le vere vittime inseriscono le loro chiavi effettive. Se si tratta di un portafoglio lato client legittimo (come sostengono), ciò non ha alcuna conseguenza. L'inserimento della frase di recupero su un portafoglio legittimo viene elaborato localmente. Non c'è nulla da "attaccare".
Ma xmrwallet.com ruba ogni frase seed inserita. Abbiamo condotto un’operazione sistematica di “data poisoning”, inserendo 21 milioni di esche crittografiche per rendere i loro set di dati rubati inutilizzabili dal punto di vista operativo. Non ci saremmo fermati. Non prima che il sito fosse fuori uso. Che avessero aggiunto hCaptcha, Cloudflare Turnstile o qualsiasi altra cosa, avremmo continuato a inserire indirizzi di portafogli e a proteggere le persone da loro. È proprio questo il significato del nostro nome.
I nostri portafogli non si sono limitati ad autorizzare e andarsene. Ogni sessione comportamento realistico simulato degli utenti — cliccare sui link, navigare tra le pagine, attendere intervalli di tempo variabili, simulare diversi tipi di utenti (esploratore, mittente, utente esperto, principiante, paranoico). Sappiamo come funzionano i sistemi di analisi — e xmrwallet.com funziona Google Analytics, Google Tag Manager e un pixel di tracciamento di Google su un portafoglio “anonimo”. Le nostre sessioni sono state progettate con un elevato grado di casualità, in modo che l’operatore non riusciva a distinguere le nostre segnalazioni dalle vittime reali in base al comportamento durante la sessione, ai tempi o ai modelli di navigazione. Ogni wallet rubato presente nei loro registri è nascosto in un mare di dati come il nostro.
Dopo che il nostro strumento era rimasto in funzione per settimane, l'operatore ha aggiunto un CAPTCHA — una semplice sfida di tipo "brute force" di secondo grado, risolvibile in circa 0,1 secondi con Python. Un wallet legittimo non richiede un CAPTCHA durante l'inserimento della frase di seed. Ledger non ne ha uno. Trezor non ne ha uno. MyMonero non ne ha uno. Nessun portafoglio affidabile ne ha uno — perché i portafogli affidabili elaborano i seed localmente. L'unico motivo per aggiungere un CAPTCHA è se si sta raccogliere e registrare ogni input lato server. Il CAPTCHA è di per sé una prova dell'esistenza del meccanismo di furto.
Ci aspettavamo che implementassero una soluzione vera e propria — hCaptcha, Cloudflare Turnstile, qualcosa di valido. Non l'hanno fatto. Hanno implementato un test banale, risolvibile con un attacco di forza bruta quadratico in 0,1 secondi. Questo la dice lunga sul loro livello tecnico. Stavano proteggendo il loro canale di furti, non i propri utenti.
xmrwallet.com: 4.743 sessioni · xmrwallet.me: 114.031 sessioni. Esempio di registro di una sessione. Lo strumento è stato riavviato e aggiornato più volte — in occasione della rimozione o della modifica di domini, oppure quando è stato introdotto il CAPTCHA. I log completi relativi a tutte le esecuzioni ammontano complessivamente a circa 21 milioni di partecipazioni andate a buon fine su tutti i domini xmrwallet, da febbraio ad aprile 2026. Il set di dati completo è a disposizione delle forze dell'ordine su richiesta.
5.4 Totale RPS per tutte le azioni — ma non più di un'autorizzazione ogni 7-10 secondi. Questo non è un problema per un portafoglio che funziona sul lato client, giusto? A meno che non funzioni sul lato server. A meno che non registrino ogni singolo input. A meno che non rubino tutto e redigano il registro completo. Ed è esattamente quello che fanno.
Si tratta di un attacco? No. Abbiamo inserito dei dati in un modulo web pubblico. Tutto qui. Non abbiamo aggirato l’autenticazione, non abbiamo sfruttato vulnerabilità, non abbiamo avuto accesso a nessun sistema a cui non avremmo dovuto accedere. Abbiamo utilizzato il sito esattamente come previsto, ovvero come un “portafoglio”. Se il sito funziona come pubblicizzato (solo lato client), i dati che abbiamo inserito non hanno alcun significato. Se invece i dati che abbiamo inserito sono rilevanti per loro — che dimostra l'esistenza del meccanismo di furto.
Abbiamo formalmente informato DDoS-Guard (il loro provider di hosting) sulla natura della nostra attività, descritto il meccanismo di raccolta delle frasi seed e fornito gli indirizzi IP dei server. Non ci hanno mai contattato, non hanno mai sollevato obiezioni, né ci hanno mai chiesto di interrompere l’attività. Il silenzio equivale a nessun problema. Il nostro script consumava meno di 50 MB di RAM e funzionava a una velocità di 5,4 richieste al secondo — meno dell'1% della capacità del server. Sappiamo più o meno quale server abbiano usato. Il nostro traffico era invisibile.
Ed ecco la parte più bella. In quanto “portafoglio privato lato client”, xmrwallet.com dichiara di non conservare alcun registro. Ma se loro fare tengono dei registri (perché rubano), e ora hanno all’incirca lo stesso numero di voci che abbiamo noi — 21 milioni. E se stessero cercando di analizzare, valutare e svuotare ogni portafoglio? Si tratta di 21 milioni di portafogli Monero da scansionare, caricare e di cui verificare i saldi. Il costo computazionale necessario per analizzare 21 milioni di portafogli è enorme. Ogni portafoglio vuoto rappresenta uno spreco di tempo e risorse. Il portafoglio di ogni vittima reale è sepolto in un pagliaio di voci. Era proprio questo il punto.
Vuoi accusarci di aver sferrato un attacco? Richiedete i nostri registri. Forniremo gigabyte di dati che dimostrano l’inserimento di 21 milioni di frasi seed nel tuo “portafoglio client legittimo”. Spiega a un tribunale perché un portafoglio client abbia registrato, elaborato e tentato di utilizzare tutte queste frasi.
Su tutti i domini xmrwallet (.com, .me, .cc, .biz, .net), il nostro strumento ha registrato circa 21 milioni di inserimenti nel portafoglio andati a buon fine. Per "riuscito" si intende che xmrwallet.com ha accettato la frase seed, l'ha elaborata sul lato server e ha tentato di accedere al portafoglio — esattamente come fa con le vittime reali. Abbiamo i log di ogni singolo caso. Ogni voce è la prova che il sito raccoglie ed elabora le frasi di seed lato server. Se fosse davvero “solo lato client”, non ci sarebbe nulla da registrare, nulla da elaborare e nessun motivo per aggiungere un CAPTCHA per impedirci di procedere.
L'ironia: Hanno cercato di proteggere il loro sistema di furto invece di proteggere se stessi. Hanno aggiunto i CAPTCHA per continuare a rubare. Avrebbero dovuto preparare una difesa legale. Ogni CAPTCHA risolto, ogni sfida di DDoS-Guard, ogni sessione lato server: tutto registrato e contrassegnato con data e ora. Erano così impegnati a difendere la loro capacità di derubare la gente che si sono dimenticati che qualcuno stava registrando tutto.
Le frasi seed di Monero non memorizzano la data di creazione del portafoglio (restore height). Ciò pone l'autore dell'attacco di fronte a un dilemma cruciale: se si limita a scansionare i blocchi più recenti, rischia di tralasciare i portafogli più vecchi, potenzialmente di dimensioni enormi. I truffatori sono avidi. Per assicurarsi di non tralasciare i possessori di lungo periodo, sono costretti a setacciare l'intera blockchain di Monero — dal blocco Genesis del 2014 ad oggi — alla ricerca di ogni singola frase seed.
Anche con un’infrastruttura ottimizzata e nodi locali, una scansione crittografica dell’intera catena richiede circa Da 2 a 5 minuti di carico elevato della CPU per ogni portafoglio.
Abbiamo creato asimmetria computazionale assoluta: a noi basta qualche millisecondo per generare e inserire un’esca valida, ma a loro costa un’infrastruttura concreta, migliaia di dollari in costi di server e un rischio operativo enorme per valutarla. Non ci siamo limitati a inquinare il loro database — Hanno sfruttato la loro stessa avidità per mandare in bancarotta le loro risorse informatiche.
Ecco perché alcuni ritengono che i nostri metodi siano aggressivi. Noi li consideriamo proporzionale e pienamente etico. Niente proxy. Niente botnet. Niente servizi di attacco a pagamento. Niente infrastrutture illegali. Nessuna collaborazione con fornitori del mercato grigio. Tutto funziona su Cloudflare Workers standard: leggero, legale, trasparente. Non abbiamo bisogno di strumenti costosi o illegali per proteggere le persone. Le soluzioni semplici e legali sono più efficaci — e reggono in tribunale.

Google Search Console — phishdestroy.github.io/DO-NOT-USE-xmrwallet-com: dati relativi all'indicizzazione e alle prestazioni.
Qui non ci sono vie di mezzo.
Un sito o è una truffa o non lo è. Non ci sono vie di mezzo. Non ci interessa chi ne trae profitto, quanto paghi o chi lo protegga. L'operatore è un criminale. L'ufficiale di stato civile o non ne era a conoscenza (negligenza) oppure ne era a conoscenza (complicità). Le prove indicano la seconda ipotesi.
Hai commesso degli errori di proposito?
Sì. Noi indicatori di IA lasciati intenzionalmente visibili e abbiamo ripreso modelli comportamentali da altre indagini — piccoli errori che hanno fatto sì che l’operatore e il responsabile della registrazione si sentissero sicuri della loro campagna di soppressione. Volevamo che ci sottovalutassero. Volevamo che premessero il pulsante “segnala” con la piena convinzione che avrebbe funzionato, che fossimo dei dilettanti destinati ad arrendersi. Ogni azione di repressione intrapresa con sicurezza è ora un elemento probatorio corredato di data e ora. I dettagli saranno pubblicati in un prossimo articolo accademico dedicato all'analisi forense delle frodi online — in particolare all'identificazione comportamentale degli autori delle truffe.
Qual è l'obiettivo finale?
Le prove sono state presentate a Conformità contrattuale dell'ICANN e forze dell'ordine federali. Le indagini proseguono attraverso i canali ufficiali. Questo archivio è stato creato affinché nulla possa essere cancellato, modificato o soppresso. Ogni segnalazione è supportata da prove. Ogni screenshot è sottoposto a hash. Ogni azione è documentata.
Se negano di aver cancellato le recensioni, presentiamo le copie d’archivio di Wayback Machine. Se negano di aver ignorato i reclami, presentiamo le ricevute di consegna. Se negano il collegamento, presentiamo i timestamp di PR Newswire, la corrispondenza con lo schema di soppressione e i registri di acquisto dei domini.
Hanno rimosso 30-50+ link dai risultati di ricerca su Google, Bing e diverse piattaforme — per entrambe le entità. Ciò dimostra una delle due cose: o sono straordinariamente stupidi e non si rendono conto che ogni richiesta di rimozione viene registrata e crea una traccia forense, oppure hanno un accordo permanente con qualcuno per rimuovere i contenuti negativi. In ogni caso, i registri esistono, lo schema è identico per entrambe le società e tutto è oggetto di un mandato di comparizione. L’intera indagine è stata concepita proprio per produrre questo insieme di dati — sia per l’articolo accademico che per le forze dell’ordine.
Non è mai stata una discussione animata. Questo è un fascicolo.

PhishDestroy Medium — una delle numerose piattaforme di pubblicazione utilizzate per documentare e diffondere le prove.
Ogni affermazione sopra riportata è corredata da un documento pubblico. Cominciamo dai casi più eclatanti:
Team di ricerca PhishDestroy
Iniziativa indipendente contro il phishing — fondata nel 2019
← Torna a PhishDestroy · Archivio notizie · abuse@phishdestroy.io