Torna alle notizie
Rapporto di intelligence in corso

$0 Takedowns, Capricci impagabili

Dal 2019 abbiamo rimosso migliaia di domini di phishing a costo zero. I truffatori hanno reagito con attacchi DDoS, società fittizie, segnalazioni di massa e documenti legali contraffatti. Niente di tutto ciò ha funzionato. Ecco le prove.

Pubblicato il 20 maggio 2025 Aggiornato ad aprile 2026 9 minuti di lettura PhishDestroy Intelligence
Commissione investigativa OSINT che monitora le ritorsioni dei truffatori contro le operazioni di PhishDestroy dal 2019
$0Costo per rimozione
10+Tipi di attacco
5+ anniAttivo dal
0Giorni di inattività
100%Tasso di guasto

Come operiamo

Il nostro modello è volutamente banale. Individuiamo le infrastrutture di phishing, archiviamo le prove, redigiamo rapporti strutturati sugli abusi e rimuoviamo i domini. Niente battaglie di pubbliche relazioni, niente giochi di ego. Solo automazione ed e-mail.

Rileva
Scansione automatizzata + segnalazioni della community tramite bot di Telegram. Oltre 839.000 domini nel nostro database delle minacce.
Archivio
Siti archiviati su Web Archive + copie forensi locali prima della rimozione. La conservazione delle prove è fondamentale.
Relazione
Un'e-mail SMTP strutturata per dominio, con tutto ciò di cui ha bisogno un registrar/host. Flusso di lavoro automatizzato. Costo: 0 $.
Principio fondamentale

Per impostazione predefinita, non viene divulgata alcuna informazione personale. Ci concentriamo sulle infrastrutture, non sulle persone. Quando gli autori delle minacce oltrepassano i limiti di legge (minacce, frodi, furto di identità), segnaliamo il caso alle forze dell'ordine fornendo una documentazione completa delle prove. In caso contrario, ci limitiamo a disattivare i loro domini.

Cosa hanno tentato di fare i truffatori (e perché hanno fallito)

Nel corso degli anni, gli autori delle minacce ci hanno scagliato contro ogni tipo di attacco immaginabile. Ecco un'analisi completa di ogni tattica e del motivo per cui ciascuna di esse si è rivelata un inutile spreco di denaro.

AttaccoMetodoIl loro costoIl nostro impattoStato
Inondazioni di e-mailda 2.000 a 5.000 messaggi al giorno per mesi$50-300/moZeroNon riuscito
Società di comodo nel Regno UnitoAzienda cartiera + documenti falsi relativi alla "proprietà"$500-2,000ZeroNon riuscito
Critiche sui socialCondivisione di massa su X, Telegram, Medium$100-500Account sospesi, archivi attiviFastidio
Attacchi DDoSBotnet noleggiate contro il nostro lander$200-2,000ZeroNon riuscito
Fattorie di botFollower/Mi piace/segnalazioni falsi$50-300ZeroNon riuscito
Segnalazioni infondate di abusiDenunce infondate rivolte al nostro provider di hostingOraZeroNon riuscito
Scambio di contenutiInserire contenuti illegali per far scattare i ban automaticiOraZeroNon riuscito
SoprostoFalsi forum di “hacker russi” che vendono i nostri lavoriOraZeroNon riuscito
DDoS → interruzione del servizio283 milioni di richieste / 1,21 TB — Namecheap ci ha esclusi$2,000+Passaggio a Cloudflare + HetznerFastidio
Falsa notifica DMCADenuncia di violazione del copyright su OnlyFans presentata a GoogleOraZero — OnlyFans ha negato di aver presentato istanzaNon riuscito
Infiltrazione da parte di utenti fidatiUn utente fidato ha inserito 46 domini falsi positiviOraBloccati rapidamente, tutti i ruoli sono stati consolidatiNon riuscito
Modulo per segnalare lo spamOltre 9.000 ricorsi relativi a domini falsi tramite la risoluzione di hCaptcha$100-500Zero — filtrato in modo banaleNon riuscito
Bombardamento di e-mail (in corso)Oltre 400.000 messaggi, senza sosta, cancellati automaticamente$500+/moZeroNon riuscito
X/Twitter: ban (ancora una volta)Richiesta di emergenza in stile "Gov" → account sospeso$3,000+Non ripristino. Ho chiuso con X.Fastidio
Sospensione da RedditAccount bloccato. 1 post pubblicato 5 anni fa.OraZeroNon riuscito
I principi economici sono semplici

Loro spendono oltre 3.000 dollari per ogni rimozione di contenuti social "in stile governativo". Noi spendiamo 0 dollari per ogni rimozione di dominio. Il nostro processo di rimozione è automatizzato tramite e-mail: il sito web è facoltativo. Gli attacchi DDoS contro una pagina di destinazione sono come bombardare un cartellone pubblicitario: i furgoni della posta continuano a circolare.

Cronologia dell'attacco

2019 — Origine
"Non hai nemmeno un sito web!"
I truffatori ci hanno preso in giro in un reclamo presentato al registrar. Ne abbiamo creato uno in 15 minuti. La battuta ha fatto centro. Le rimozioni si sono moltiplicate.
2020-2022 — Ondate di e-mail
Da 2.000 a 5.000 messaggi al giorno
Bombardamento massiccio della casella di posta in arrivo protrattosi per mesi. Non dipendiamo dalle e-mail in arrivo per le nostre operazioni. Nessun impatto di sorta.
2023 — Società di comodo nel Regno Unito
Azienda cartiera + documenti di proprietà falsificati
Abbiamo costituito una società registrata nel Regno Unito e falsificato i documenti relativi alla “titolarità del dominio” per rivendicarne la proprietà. Il dominio è registrato a nome di un privato: le rivendicazioni da parte della società sono destinate a fallire.
2024 — Campagna DDoS
Noleggio di una botnet contro il nostro lander
Hanno noleggiato delle botnet per "mettersi tra noi". Dietro Cloudflare. Il flusso di e-mail è proseguito. Le operazioni di rimozione non ne hanno risentito. Una lezione costosa per loro.
Settembre 2025 — Chiusura di Telegram
Il nostro canale Telegram è stato segnalato in massa
Abbiamo segnalato con successo in massa il nostro canale, i cui domini sono stati inseriti nell'elenco per il ban automatico. Abbiamo immediatamente lanciato un nuovo canale.
2025-2026 — In corso
Operazioni scalate, infrastruttura rafforzata
Ampliato il processo automatizzato di rilevamento e segnalazione. Implementate nuove contromisure contro l'infrastruttura di phishing attiva. Dettagli riservati.
6 marzo 2026 — L’opzione nucleare DDoS
283 milioni di richieste, 1,21 TB — Namecheap ci ha esclusi
Attacco DDoS su vasta scala: 283 milioni di richieste e 1,21 TB di larghezza di banda in 7 giorni. L’hosting di Namecheap non è riuscito a gestirlo e ha chiuso il nostro account. Siamo passati a Cloudflare + Hetzner (da 8 $ al mese a 25 $ al mese). Dopo la migrazione, ci hanno riprovato — e, com’era prevedibile, hanno fallito miseramente. Cloudflare ha assorbito tutto. Zero tempi di inattività.
30 marzo 2026 — Falsa notifica DMCA
Denuncia di violazione del copyright su OnlyFans presentata a Google
È stata presentata a Google una richiesta fraudolenta di rimozione ai sensi del DMCA, sostenendo che la nostra pagina di segnalazione dei domini violasse i contenuti di OnlyFans. La segnalazione è stata presentata da "kanave mogel" utilizzando i nomi degli artisti di OnlyFans. Abbiamo contattato direttamente OnlyFans, che ci ha confermato quanto segue: "Questo avviso non è stato inviato dal team di OnlyFans. Non proviene da noi." Il caso è stato archiviato.
Marzo 2026 — Infiltrazione da parte di un utente fidato
Un utente fidato ha inserito 46 domini falsi positivi
Un utente con lo status di "trusted" è riuscito ad aggiungere 46 domini legittimi alla nostra lista di blocco. Abbiamo individuato rapidamente il problema e abbiamo ripristinato la situazione precedente. Risultato: modello di autorizzazioni più rigoroso per tutti i ruoli utente — amministratori, utenti "trusted" e tutti gli altri. Grazie per l'audit di sicurezza gratuito.
Marzo-aprile 2026 — Ondata di ricorsi
Oltre 9.000 ricorsi falsi tramite la risoluzione di hCaptcha
Hanno inondato il nostro modulo di ricorso relativo al dominio con oltre 9.000 richieste false, pagando per superare i controlli hCaptcha. Sono state filtrate con estrema facilità: gli schemi erano evidenti. A loro è costato tempo e denaro. A noi non è costato nulla.
Aprile 2026 — X/Twitter nuovamente sospeso
Secondo account X disattivato. Non viene ripristinato.
Il nostro account su X è stato nuovamente sospeso, probabilmente a seguito di richieste di emergenza da parte delle autorità. Questa volta abbiamo deciso: ne abbiamo abbastanza di X. Non vale la pena cercare di ripristinarlo. Abbiamo creato canali di comunicazione alternativi e le nostre attività non dipendono da nessuna piattaforma social.
2026 — Reddit bandito
Account di 5 anni fa con 1-3 post. Sparito.
Il nostro account Reddit è stato bannato. Aveva 1 karma, 0 contributi e un post di 5 anni fa nella subreddit r/TREZOR che metteva in guardia dalle app truffaldine su Google Play. Siamo distrutti. (Ma non è vero.) 😂
In corso — Bombardamento di e-mail
Oltre 400.000 e-mail e il numero continua a crescere
Una valanga ininterrotta di e-mail, eliminate automaticamente. Non siamo davvero in grado di dirvi il numero esatto perché i nostri filtri le eliminano automaticamente. Si stima che siano oltre 400.000. Qualcuno è davvero arrabbiato. A quanto pare stiamo facendo qualcosa di giusto.

Archivio delle prove

Di seguito sono riportate le prove documentali relative a episodi specifici. Clicca su una qualsiasi scheda per visualizzare lo screenshot a schermo intero. Tutte le prove sono conservate a garanzia della trasparenza e in vista di eventuali procedimenti legali.

Grafico del traffico degli attacchi DDoS che mostra i tentativi di attacco contro l'infrastruttura di PhishDestroy
Grafico degli attacchi DDoS
Picchi di traffico provenienti da botnet noleggiate. Dietro Cloudflare. Impatto operativo pari a zero sulle interruzioni del servizio via e-mail.
Uno screenshot falso tratto da un forum di hacker russi che pubblicizza il lavoro di PhishDestroy come se fosse un proprio servizio
Forum fasullo sugli "hacker russi"
I truffatori hanno creato forum falsi che si spacciavano per RU e hanno spacciato il nostro lavoro per un loro "servizio". Screenshot conservato a titolo di documentazione.
Prezzi pubblicati su forum dedicati alle truffe per servizi illegali, tra cui l'accesso a banche dati governative
Tariffe del forum — "Gov Access"
Prezzi del forum pubblico dedicato alle truffe. Offrono servizi chiavi in mano e l'accesso a una dashboard automatizzata per le forze dell'ordine.
Segnalazione falsa di abuso inviata al provider di hosting con mascheramento del dominio inventato
Segnalazione infondata di abuso
In un rapporto hanno mascherato il vero dominio come "mysite.com". Non si trattava di un attacco DDoS, bensì del loro endpoint di autenticazione per la cattura dei seed.
I dati analitici di Cloudflare indicano 283 milioni di richieste e 1,21 TB di larghezza di banda a seguito di un attacco DDoS
DDoS: 283 milioni di richieste / 1,21 TB
6 marzo 2026. L'attacco che ha messo fuori uso il nostro hosting Namecheap. Canada, Stati Uniti, Indonesia, Bulgaria: una botnet globale. Siamo passati a Cloudflare.
Avviso di Google relativo a una denuncia fraudolenta ai sensi del DMCA contro PhishDestroy
Falsa segnalazione DMCA tramite Google
È stata falsificata una segnalazione DMCA inviata da OnlyFans per richiedere la rimozione del nostro dominio. Presentata da "kanave mogel". OnlyFans ha confermato di non averla mai presentata.
Risposta ufficiale di OnlyFans in cui si nega di aver presentato la notifica DMCA
OnlyFans: "Non è opera nostra"
Risposta ufficiale di Dana di OnlyFans: "Questo avviso non è stato inviato dal team di OnlyFans. Non proviene da noi."
Account Reddit bannato che mostra 1 karma e un post anti-truffa risalente a 5 anni fa
Account Reddit sospeso
1 karma. 0 contributi. Un post di 5 anni fa che mette in guardia dalle app truffaldine. Una vera minaccia per la società.

Marzo 2026: l'attacco DDoS che ha messo fuori uso il nostro hosting

Il 6 marzo 2026, alcuni truffatori hanno sferrato il più grande attacco DDoS mai registrato contro la nostra infrastruttura: 283,45 milioni di richieste e 1,21 TB di larghezza di banda in soli 7 giorni. L'attacco è partito da una botnet globale che copriva Canada (91 milioni di richieste), Stati Uniti (73 milioni), Indonesia (13 milioni), Bulgaria (13 milioni), Guatemala (12 milioni), Giappone, Russia e Germania.

I dati analitici di Cloudflare indicano 283 milioni di richieste, 1,21 TB di larghezza di banda e 313.000 visite causate da un attacco DDoS che ha coinvolto diversi paesi
Dati analitici di Cloudflare: 283 milioni di richieste, 1,21 TB di larghezza di banda. L'attacco che ci ha costretti a migrare il nostro hosting.

L'hosting da 8 dollari al mese di Namecheap non è riuscito a reggere il carico e ci ha chiuso l'account. Siamo passati a Cloudflare + Hetzner (25 dollari al mese). Dopo la migrazione, ci hanno riprovato — e, com'era prevedibile, hanno fallito miseramente. Cloudflare ha assorbito tutto senza alcuna difficoltà. Tempo di inattività pari a zero. Impatto nullo sulle operazioni di smantellamento.

Attacco falso ai sensi del DMCA

Il 30 marzo 2026, Google ci ha notificato una segnalazione relativa alla violazione del diritto d'autore nei confronti della nostra pagina dedicata ai rapporti sui domini phishdestroy.io/domain/hbmhcw.net/. Nella denuncia si sosteneva che la nostra pagina contenesse contenuti OnlyFans protetti da copyright appartenenti alle performer "Mibadbitch, Bri Naranjo o Brianna Naranjo". La denuncia è stata presentata da una persona di nome "kanave mogel".

Notifica DMCA di Google
Avviso sul copyright di Google
30 marzo 2026. Google rimuove la nostra pagina dedicata ai rapporti sui domini dai risultati di ricerca sulla base di una segnalazione fraudolenta ai sensi del DMCA.
OnlyFans nega di aver presentato la notifica
OnlyFans: Non è un nostro prodotto
Dana di OnlyFans: «Questo avviso non è stato inviato dal team di OnlyFans. Non proviene da noi».

Abbiamo contattato direttamente OnlyFans. La loro risposta è stata chiara: "La notifica DMCA citata (ID database Lumen: 81731777) non è stata presentata dal team di OnlyFans. La nostra piattaforma è stata semplicemente indicata nella notifica come presunta fonte originale del contenuto. Tuttavia, la denuncia non è stata presentata a nostro nome."

Record del database Lumen

lumendatabase.org/notices/81731777 — La notifica DMCA fraudolenta nella sua interezza è di dominio pubblico. È stata presentata da "kanave mogel", un truffatore che sta cercando di sfruttare la legge sul diritto d'autore per rimuovere dai nostri rapporti le prove relative ai propri domini utilizzati per il phishing.

Rimozione dei contenuti dai social media

I nostri profili sui social sono sistematicamente presi di mira. X (Twitter), Telegram, Medium, Reddit: tutti sospesi o bloccati a seguito di segnalazioni di massa, probabilmente sulla base di richieste di emergenza governative contraffatte. Il nostro ultimo account su X è stato chiuso nell’aprile 2026. Abbiamo deciso di non restaurarlo. Ne abbiamo abbastanza di questo gioco al “colpisci la talpa” con le sospensioni delle piattaforme.

X/Twitter — abbandonato definitivamente

Dopo la seconda sospensione, abbiamo deciso: basta. Non perderemo tempo a ripristinare account su piattaforme in cui i truffatori, grazie al denaro, possono presentare false richieste alle autorità per far chiudere gli account. Le nostre attività non hanno mai dipeso dai social media. Le chiusure continuano comunque.

Canali alternativi

Diciamo la verità e contribuiamo a bloccare ciò che va bloccato. Ad alcuni questo non piace. Pensano che bannare o cancellare i nostri account ci fermerà o ci danneggerà. Non ci lamentiamo: a questo punto, onestamente, è divertente. Siamo pronti ad affrontare qualsiasi blocco o rimozione. Truffatori con soldi e senza cervello = attacchi a pagamento e tentativi di distruggerci. Ma PhishDestroy è ancora qui. E noi distruggiamo.

Archivio X
Sono stati conservati oltre 140.000 post rimossi.
Repository GitHub
Archivio medio
Tutti i post del blog sono stati salvati e duplicati.
Visualizza l'archivio
Nuovo canale
Ricostruito subito dopo lo smantellamento.
Iscriviti al canale

Protocollo di conservazione delle prove

Ogni nostra azione segue un rigoroso protocollo di conservazione delle prove, concepito per garantire la massima trasparenza e in vista di eventuali procedimenti legali:

Altre letture consigliate

Rivista Infosecurity: E-mail delle forze dell'ordine e delle istituzioni governative — La qualità delle risposte fornite dai registrar varia notevolmente. Namecheap risponde sempre rapidamente; altri, invece, non altrettanto.

Il modello a 0 dollari nella pratica

La nostra struttura dei costi è volutamente asimmetrica. Ogni dollaro che spendono per le ritorsioni è sprecato. Ogni dominio che eliminiamo non ci costa nulla.

La loro spesaLe nostre spese
$3,000+ per "government-style" social takedown$0 per automated abuse report
$200-2,000 for DDoS botnet rental$0 — behind Cloudflare, email flows continue
$500-2,000 for UK paper company + legal forgeries$0 — private registration, claims auto-rejected
$50-300/mo for email flood services$0 — we don't use inbound email for operations
$50-300 for bot farm fake reports$0 — reported and wiped by platforms

Il tabellone

Ne uccidono a migliaia nel tentativo di fermarci. Noi spendiamo $0 per smantellare la loro infrastruttura. La nostra automazione è scalabile. Il loro panico no. Li avvertiamo: "La tua infrastruttura si spegnerà a breve" — e da quella parte inizia il caos. Nel frattempo, noi continuiamo con la solita routine: scansione, archiviazione, segnalazione, eliminazione.

Vuoi dare una mano?

Se ti sei imbattuto in un sito di phishing o vuoi dare il tuo contributo alla lotta contro le truffe nel mondo delle criptovalute, ecco come fare:

Avviso sulla trasparenza. PhishDestroy è un progetto indipendente e senza fini di lucro. La nostra ricerca potrebbe riflettere un pregiudizio intrinseco nei confronti delle infrastrutture utilizzate per le truffe e dei servizi che le rendono possibili. Invitiamo i lettori a valutare tutto il materiale in modo critico e autonomo. Leggi la nostra dichiarazione completa sulla trasparenza →