Informazioni su PhishDestroy
Chi siamo, la nostra missione e i risultati che abbiamo ottenuto
Che cos'è PhishDestroy?
PhishDestroy è una piattaforma indipendente e non commerciale dedicata all'intelligence sulle minacce che, dal 2019, contrasta efficacemente il phishing, le truffe legate alle criptovalute e le operazioni di svuotamento dei portafogli digitali. Siamo un piccolo team di cacciatori di minacce indipendenti che gestisce l'intero ciclo di vita degli attacchi, dal rilevamento alla rimozione.
La nostra infrastruttura comprende:
- Oltre 30 parser proprietari monitoraggio in tempo reale dei log CT, del DNS, degli annunci pubblicitari, dei social media e dei feed dei partner
- Distribuzione in tempo reale dei feed a oltre 50 fornitori di soluzioni di blocco e antivirus — Cloudflare, Google Safe Browsing, Microsoft, VirusTotal, ESET, Bitdefender, Netcraft, Norton e altri ancora
- API gratuita per le minacce alle api.destroy.tools che copre Oltre 834.000 minacce con valutazione del rischio in tempo reale
- Lista di distruzione — liste di blocco open source su GitHub in 7 formati (JSON, TXT, Hosts, AdBlock, Dnsmasq, Unbound, RPZ)
- Database di dominio pubblico alle phishdestroy.io/dominio con oltre 175.000 domini analizzati
I nostri risultati: Oltre 175.000 domini di phishing monitorati, Oltre 50.000 segnalazioni di abusi presentate, Oltre 152.000 rimozioni coordinate, con un tasso di falsi positivi inferiore allo 0,01%.
Chi gestisce PhishDestroy? È un'azienda?
No, PhishDestroy è non è un'azienda. Si tratta di un progetto indipendente e non commerciale gestito da un piccolo team di “threat hunter” con esperienza nei settori della sicurezza informatica, della blockchain forense e della gestione degli abusi.
Noi siamo completamente indipendente:
- Nessun sostegno da parte di società o investitori
- Nessuna rimozione a pagamento dall'elenco — mai e poi mai
- Non si accettano donazioni né sponsorizzazioni
- Non affiliato ad alcun registrar, provider di hosting o fornitore di antivirus
Abbiamo iniziato dando la caccia ai truffatori su Steam e agli annunci pubblicitari spam. Oggi il nostro raggio d’azione si estende al phishing nel settore delle criptovalute a livello globale, alle reti di “drainer” e alle operazioni di frode su larga scala. Svolgiamo un’analisi completa dei casi: tracciamo i flussi di denaro sulla blockchain, mappiamo le infrastrutture e colleghiamo le campagne a operatori specifici. Scopri di più sul nostro Pagina "Chi siamo".
Quali sono i principali risultati raggiunti da PhishDestroy?
Dal 2019 abbiamo raggiunto i seguenti risultati:
| 175,000+ | Domini di phishing individuati e monitorati per oltre 350 marchi |
| 50,000+ | Segnalazioni formali di abusi presentate a registri, provider di hosting e fornitori di soluzioni antivirus |
| 152,000+ | Coordinamento efficace delle operazioni di rimozione dei domini |
| 834,000+ | Minacce indicizzate nel nostro database API |
| 500,000+ | Domini storici archiviati (dati relativi a 5 o più anni) |
| 50+ | Fornitori di soluzioni di sicurezza che ricevono i nostri dati sulle minacce |
| 30+ | Parser proprietari attivi 24 ore su 24, 7 giorni su 7 |
| 13+ | Fonti della comunità aggregate nelle nostre liste di blocco |
| <0,01% | Tasso di falsi positivi |
Indagini principali: XMRWallet smascherato (un portafoglio Monero falso che ha sottratto milioni nell'arco di 10 anni), Il pannello di TrustWallet è stato compromesso (un pannello di drenaggio da 8,5 milioni di dollari con 1.900 log di chat trapelati), L'impero delle truffe di TheProject (centinaia di domini coordinati).
Ma è davvero tutto gratis?
Sì, è gratuito al 100%. Non vendiamo nulla, non accettiamo donazioni e non addebitiamo mai alcun costo per i nostri servizi:
- Gratis database sulla sicurezza dei domini — Oltre 175.000 segnalazioni
- Gratis API delle minacce — non è richiesta alcuna chiave API
- Gratis liste di blocco — Licenza MIT, open source
- Gratis procedura di ricorso — Risposta entro 48 ore
- Gratis Bot di Telegram — report istantanei sui domini
Come posso contattare PhishDestroy?
- Segnalazioni di abusi:abuse@phishdestroy.io
- Informazioni generali:contact@phishdestroy.io
- Bot di Telegram:@PhishDestroy_bot (verifica immediata dei domini)
- Canale Telegram:@destroy_phish (avvisi in tempo reale)
- Twitter/X:@phish_destroy
- Mastodon:@PhishDestroy
- GitHub:github.com/PhishDestroy
- Tecnica:PhishDestroy.medium.com
- Ricorsi:phishdestroy.io/appeals
- Dati storici (oltre 500.000 domini):contact@phishdestroy.io
Processo di rilevamento e metodologia
Il nostro flusso di lavoro in quattro fasi per l'intelligence sulle minacce in dettaglio
Come funziona la pipeline di rilevamento a 4 fasi?
La nostra pipeline elabora migliaia di domini ogni giorno attraverso 4 fasi:
Fase 1: Individuazione preventiva e acquisizione dei dati
Utilizziamo una rete distribuita di Oltre 30 parser proprietari per individuare i domini dannosi nella fase più precoce:
- Registri di Certificate Transparency (CT) — monitoraggio in tempo reale dei nuovi certificati SSL per individuare i domini di phishing entro pochi minuti dalla registrazione
- Monitoraggio del DNS — monitoraggio delle nuove registrazioni di domini e delle configurazioni sospette
- Rilevamento del malvertising — monitoraggio continuo di Google Ads, dei risultati di ricerca ottimizzati per il SEO e delle campagne di tendenza sui social media su Twitter/X, YouTube e Telegram
- Typosquatting — sfruttando dnstwist ed euristiche personalizzate per individuare domini simili che prendono di mira marchi affermati
- Intelligenza collettiva — acquisizione in tempo reale tramite il nostro bot di Telegram, e-mail e feed dei partner
- Aggregazione di feed relativi al phishing — integrazione con oltre 13 fonti della comunità, tra cui OpenPhish, PhishTank e URLhaus
Fase 2: Analisi e valutazione
- 95 motori AV tramite VirusTotal
- Arricchimento dei dati WHOIS/DNS (registrar, server dei nomi, geolocalizzazione IP, paese)
- Analisi dei certificati SSL (emittente, SAN, date di validità)
- Acquisizione di screenshot e corrispondenza dei contenuti visivi
- Identificazione delle impronte digitali dei kit di phishing
- Calcolo del punteggio di rischio (0-100) sulla base di oltre 12 segnali ponderati
Fase 3: Rendicontazione globale dei fornitori
Una volta confermata, la inviamo a Oltre 50 venditori contemporaneamente:
Inoltre, notifiche formali di abuso inviate ai registrar di domini e ai fornitori di servizi di hosting, corredate da documentazione probatoria.
Fase 4: Trasparenza pubblica
- Commit in tempo reale al Repository Destroylist
- Pannello di controllo in tempo reale all'indirizzo phishdestroy.io/live
- Avvisi automatici su Twitter, Telegram, e Mastodon
- Rilevamento condizionale: avvisi di follow-up se la minaccia rimane attiva oltre le 24 ore
In cosa consiste la metodologia di valutazione del rischio?
Ogni dominio riceve un punteggio di rischio da 0 a 100 in base a segnali ponderati:
| Segnale | Punti | Descrizione |
|---|---|---|
| Elenco dei blocchi selezionato | +40 | Presente nella nostra lista principale “Destroylist” |
| DNS attivo | +30 | Il dominio viene attualmente risolto tramite DNS |
| Segnalato dalla comunità | +20 | Segnalati dai feed della community |
| Da più fonti | +10 | Confermato da almeno due fonti indipendenti |
| Parole chiave sospette | +5 each | Metamask, portafoglio, airdrop, connettersi, richiedere, ecc. |
| TLD a rischio | +5 | .xyz, .top, .club, .icu, .buzz, .cfd, ecc. |
Livelli di gravità:
Inoltre, i nostri report interni sui domini (all'indirizzo phishdestroy.io/dominio) utilizzano un sistema di valutazione avanzato e indipendente che integra i rilevamenti di VirusTotal, l’anzianità del WHOIS, i modelli SSL, l’analisi dei contenuti, il grado di imitazione del marchio e i tassi storici di abuso dei registrar, per un totale di oltre 12 indicatori.
Cosa distingue PhishDestroy dalle altre liste di blocco?
Solo la maggior parte delle liste di blocco elenco domini. Ci occupiamo di intelligence sulle minacce end-to-end:
- Rilevamento preventivo — intercettiamo i domini pochi minuti dopo la registrazione, prima che raggiungano le vittime
- Indagine approfondita — monitoriamo le transazioni crittografiche sulla blockchain, mappiamo le infrastrutture, decompiliamo i kit di phishing e colleghiamo le campagne agli autori
- Accesso "a livello di root" — abbiamo ottenuto l’accesso ai pannelli di drenaggio, al codice sorgente del kit di phishing e ai log delle chat degli operatori, il che ci ha fornito una visione senza precedenti delle TTP degli autori degli attacchi
- Rimozione attiva — non ci limitiamo a segnalare i domini; presentiamo fascicoli di prove ai registrar, agli host e a oltre 50 fornitori di software antivirus e monitoriamo ogni dominio fino a quando non viene disattivato
- Verifica dei contenuti — i nostri feed con verifica dei contenuti vanno oltre il DNS: effettuiamo vere e proprie richieste HTTP per verificare che la pagina di phishing sia attiva, individuando eventuali tentativi di cloaking
- Responsabilità del responsabile del registro — rendiamo pubblici i tassi di abuso dei registrar e i tempi di risposta, garantendo così la responsabilità dei fornitori negligenti
Che cos’è la verifica dei contenuti? Perché è importante?
Per "verifica dei contenuti" intendiamo che non ci limitiamo a controllare se un dominio è raggiungibile (DNS), ma visitiamo effettivamente la pagina per verificare se sono presenti contenuti di phishing.
Questo è importante perché i truffatori ricorrono al cloaking: mostrano pagine false o vuote agli scanner automatici, mentre alle vittime umane viene mostrata la vera pagina di phishing. Un dominio che NON compare nel nostro elenco di domini verificati in base al contenuto non non significa che sia sicuro — potrebbe semplicemente essere camuffato.
I nostri feed con contenuti verificati:
- Contenuto principale — domini selezionati con contenuti di phishing attivi e verificati (aggiornati ogni 12 ore)
- Contenuti della comunità — feed aggregati con contenuti verificati (aggiornati ogni 24 ore)
Per una protezione ottimale, utilizza il nostro Primaria - Tutti oppure Comunità - Generale feed, che includono tutti i domini indipendentemente dallo stato di verifica dei contenuti.
Le vostre segnalazioni di rimozione sono automatizzate?
No. L'individuazione è automatizzata — i sistemi di classificazione segnalano i domini sospetti nel giro di pochi minuti — ma nessuna segnalazione viene inviata automaticamente al registrar o all'host. Ogni richiesta di rimozione che inviamo è il risultato di una valutazione umana, supportata da prove concrete, basata sulle segnalazioni delle vittime e sulle nostre indagini.
Ciò che un registrar riceve effettivamente da PhishDestroy non è una semplice notifica automatica generica. Si tratta invece di un’e-mail specifica che illustra il motivo concreto, i fatti a sostegno, gli screenshot e la documentazione. Nei casi ricorrenti o che richiedono un intervento più approfondito, aggiungiamo una spiegazione precisa di ciò che non va ancora, oltre a ulteriori prove: rilevamenti di VirusTotal, corrispondenze nei database di intelligence sulle minacce e indicatori correlati.
Gli unici messaggi automatici in questo scambio sono le conferme automatiche inviate dagli stessi registrar. Da parte nostra si tratta di una constatazione comprovata e di una richiesta formale di esaminare il dominio e intervenire — non di spam automatico.
Quanto è preciso PhishDestroy?
Il nostro tasso di falsi positivi è inferiore a 0.01%. Ogni rilevamento automatico viene sottoposto a diversi livelli di verifica prima che venga generato un rapporto. Garantiamo:
- Lista dei siti consentiti — un elenco, aggiornato manualmente, di domini noti come affidabili che non vengono mai segnalati
- Ricorsi entro 48 ore — ogni falso positivo viene esaminato e risolto rapidamente
- Perfezionamento continuo del classificatore — monitoriamo l'esito di ogni ricorso e aggiorniamo la logica di rilevamento
- Validazione incrociata su più fonti — i domini devono generare più segnali prima di essere confermati
Quali kit di phishing e programmi di drenaggio monitorate?
Monitoriamo tutte le principali famiglie di programmi che svuotano i portafogli e tutti i tipi di kit di phishing:
- Abuso di Wallet Connect — Falsi messaggi di WalletConnect che sottraggono le autorizzazioni
- Inferno Drainer — uno dei più prolifici "drainer" multi-chain
- Angel Drainer — sistema di drenaggio avanzato con supporto NFT
- Sgocciolatoio rosa — combinazione di ingegneria sociale e drain
- Phishing relativo a permessi/autorizzazioni — Vulnerabilità relative all’approvazione dei token ERC-20 (Permit2)
- Furto della frase di seed — moduli fasulli con la dicitura “verifica il portafoglio” o “sincronizza il portafoglio”
- Truffe relative all'antiriciclaggio (AML) e alla verifica dell'identità dei clienti (KYC) — pagine fasulle di verifica della conformità
- Truffe legate agli airdrop — pagine che fingono di offrire token
- Truffe nel settore degli investimenti — piattaforme di trading fasulle, schemi di Ponzi
- Solana Drainer — Kit per lo svuotamento dei portafogli specifici per Solana
Sfoglia il nostro database per tipo di truffa, metodo di truffa o marchio preso di mira.
API sulle minacce e feed di dati
Accesso gratuito alle API, feed delle liste di blocco e formati di download
Che cos’è l’API PhishDestroy Threat?
Il API PhishDestroy Threat è un API gratuita e aperta fornendo una valutazione in tempo reale del rischio associato ai domini in tutto il Oltre 834.000 minacce. Non è richiesta alcuna chiave API.
Criteri di valutazione:
| Metodo | Endpoint | Descrizione |
|---|---|---|
GET | /v1/check?domain= | Verifica di un singolo dominio con punteggio di rischio e gravità |
POST | /v1/check/bulk | Controllo in blocco fino a 500 domini su richiesta |
GET | /v1/search?q= | Cerca i domini inseriti nella lista nera per parola chiave |
GET | /v1/feed/{list} | Scarica i feed completi (primario, della comunità, attivo) |
GET | /v1/stats | Statistiche in tempo reale e numero di domini |
Esempio:
curl "https://api.destroy.tools/v1/check?domain=suspicious-site.xyz" La risposta comprende: threat (booleano), risk_score (0-100), severity (critico/alto/medio/basso), lists (quali feed contengono il dominio), e last_seen data e ora.
Quali feed di dati sono disponibili?
Offriamo 7 flussi di dati distinti tramite il Repository Destroylist:
| Feed | Descrizione | Aggiornamento |
|---|---|---|
| Primaria | Domini di phishing selezionati dai nostri parser | In tempo reale |
| Primary Live | Domini primari la cui esistenza è stata verificata tramite DNS | Ogni 24 ore |
| Contenuto principale | Contenuti di phishing primari e verificati tramite HTTP | Ogni 12 ore |
| Comunità | Dati aggregati da oltre 13 fonti esterne | Ogni 2 ore |
| Community Live | Domini della comunità la cui esistenza è stata verificata tramite DNS | Ogni 24 ore |
| Contenuti della comunità | Comunità + contenuti verificati relativi al phishing | Ogni 24 ore |
| Lista dei siti consentiti | Elenco di protezione dai falsi positivi | Manuale |
Consigliato: Utilizzo list.json oppure active_domains.json per la produzione. Utilizzare blocklist.json per ottenere la massima copertura.
Tutti i feed sono disponibili in JSON e TXT formato. Sono disponibili separatamente anche elenchi di domini di primo livello (senza sottodomini, esclusi i provider di hosting).
Quali formati di download sono supportati?
Ogni feed è disponibile in 7 formati per un'integrazione immediata:
| Formato | Caso d'uso |
|---|---|
| TXT | Elenco dei domini semplici — universale |
| JSON | Dati strutturati — Integrazioni API, script |
| Presentatori | Pi-hole, /etc/hosts, file hosts di Windows |
| AdBlock | uBlock Origin, AdGuard, AdGuard Home |
| Dnsmasq | Server DNS Dnsmasq |
| Senza limiti | Firewall pfSense e OPNsense |
| RPZ | BIND, Knot DNS (Response Policy Zone) |
Tutti i formati sono disponibili su: github.com/phishdestroy/destroylist/tree/main/rootlist/formats/
Come posso utilizzare l'API nel mio codice?
Python:
import requests
r = requests.get(f"https://api.destroy.tools/v1/check?domain={domain}")
data = r.json()
if data["threat"]:
print(f"BLOCKED: {data['severity']} (score: {data['risk_score']})") JavaScript:
const r = await fetch(`https://api.destroy.tools/v1/check?domain=${domain}`);
const data = await r.json();
if (data.threat) console.warn("PHISHING:", data.severity, data.risk_score); Verifica in blocco (fino a 500 domini):
curl -X POST "https://api.destroy.tools/v1/check/bulk" \
-H "Content-Type: application/json" \
-d '{"domains":["site1.com","site2.xyz","site3.top"]}' Semplice verifica della lista di blocco (Bash):
curl -s https://raw.githubusercontent.com/phishdestroy/destroylist/main/list.txt \
| grep -q "suspicious-domain.com" && echo "BLOCKED" Cosa sono le "Root List" e perché dovrei utilizzarle?
Elenchi di root contengono solo domini di primo livello — nessun sottodominio — e sono esclusi i provider di hosting (Vercel, Pages.dev, Netlify, ecc.). Ciò li rende ideali per:
- Regole del firewall — bloccare interi domini, non solo sottodomini specifici
- Blocco DNS — sicuro per i resolver DNS, senza il rischio di bloccare piattaforme di hosting legittime
- Analisi del registro — dati puliti per il calcolo dei tassi di abuso
Sono disponibili tre varianti:
- All Roots — tutti i domini di primo livello confermati
- Solo in diretta — Root attive verificate tramite DNS
- Solo servizi — ospitare separatamente i sottodomini della piattaforma (Vercel, Pages.dev, Netlify, ecc.)
Rapporti sulla sicurezza dei domini
Comprendere il nostro database di informazioni di settore
Quali informazioni sono contenute in un rapporto sulla sicurezza del dominio?
Ciascuno rapporto sul dominio è un dossier informativo completo che contiene:
- Punteggio di rischio — Indice composito di minaccia da 0 a 100 con classificazione in base alla gravità
- Risultati di VirusTotal — rilevamenti effettuati da 95 motori antivirus, con ripartizione per fornitore
- Screenshot — istantanea visiva acquisita al momento della scansione (oltre 75.000 screenshot archiviati localmente)
- Dati WHOIS — gestore del registro, data di creazione, informazioni sul registrante, server dei nomi
- Record DNS — A, MX, NS, TXT con geolocalizzazione IP e bandiere dei paesi
- Certificato SSL — emittente, validità, nomi alternativi del soggetto (SAN)
- Stato della lista nera — presenza in oltre 11 delle principali liste di blocco relative alla sicurezza
- Tipo di truffa — truffe che svuotano il portafoglio, furto della frase di seed, truffe legate agli airdrop, truffe sugli investimenti, ecc.
- Marchi di riferimento — quale marchio legittimo è oggetto di contraffazione (oltre 350 marchi monitorati)
- Domini correlati — altri domini che condividono infrastrutture, favicon o kit di phishing
- Cloudflare Radar — Stato della classificazione dei domini
- Analisi di URLQuery — analisi di sicurezza supplementare
Perché il mio dominio, che è legittimo, compare nel vostro database?
Possibili motivi:
- Il tuo dominio era già compromesso e utilizzato per il phishing a tua insaputa
- Il tuo dominio condivide l'infrastruttura (IP, server dei nomi) con domini noti per attività di phishing
- Un classificatore automatico ha segnalato un falso positivo — ciò si verifica in meno dello 0,01% dei casi
- Qualcuno ha segnalato il tuo dominio tramite i canali della community
Importante: PhishDestroy non blocca direttamente i domini. Segnaliamo i casi ai produttori di antivirus e ai registrar, che decidono autonomamente se procedere al blocco. Se il tuo dominio è stato segnalato erroneamente, presentare ricorso — rispondiamo entro 48 ore e aggiungiamo i domini autorizzati alla nostra lista di autorizzazioni permanente.
Con quale frequenza vengono aggiornati i dati?
| Tipo di dati | Frequenza |
|---|---|
| Rilevamento di nuovi domini | In tempo reale (log CT, parser) |
| Analisi con VirusTotal | Ogni 12-24 ore |
| Stato "vivo/morto" | Più volte al giorno |
| Arricchimento dei dati DNS/WHOIS | Al rilevamento + al cambiamento |
| Schermate | Al primo rilevamento + aggiornamento periodico |
| Sincronizzazione della lista dei blocchi | Ogni 4-6 ore (memorizzazione nella cache degli ETag) |
| Sincronizzazione dei feed API | Orario |
| Generazione delle carte OG | On demand + ogni 2 ore |
| Lista nera della comunità | Ogni 2 ore (oltre 13 fonti) |
Ricorsi e cancellazione dalla quotazione
Come risolvere i falsi positivi e le controversie relative ai domini
Come posso presentare ricorso contro un falso positivo?
Due modalità di ricorso:
- Modulo di ricorso (più veloce) — invia il tuo dominio con una prova della sua legittimità
- Issue su GitHub — apri una segnalazione allegando le prove
Procedura:
- Esaminiamo all'interno di 48 ore (per lo più in giornata)
- Se l'operazione viene approvata, il dominio viene aggiunto al nostro elenco permanente lista dei permessi
- La lista dei permessi è pubblica: allowlist.json
- Le modifiche vengono immediatamente propagate alla nostra API e al nostro database
L'intero processo è completamente gratuito. Non applichiamo mai costi per i ricorsi o le rimozioni dall'elenco: non l'abbiamo mai fatto e non lo faremo mai.
Quanto è affidabile e trasparente la vostra procedura di gestione dei falsi positivi?
Abbiamo ricostruito l'intero processo di gestione dei reclami e dei falsi positivi. Ora è molto più veloce, più affidabile e in gran parte automatizzato: un dominio attendibile (classificato nella classifica mondiale di Tranco) con rilevamenti di corrente pari a zero è stato rimosso dalla quotazione automaticamente, nel giro di pochi minuti per presentare ricorso — senza dover attendere l'intervento di un operatore. Tutto il resto viene esaminato dal team entro il nostro SLA di 48 ore.
Il nostro tasso reale di falsi positivi è inferiore allo 0,01%. Quando commettiamo un errore, lo correggiamo rapidamente e in modo trasparente: non abbiamo paura di ammettere i nostri errori.
Ci impegniamo a garantire trasparenza e verificabilità. Ogni aggiunta e ogni rimozione è pubblica e verificabile nel nostro repository aperto, github.com/PhishDestroy/destroylist — La cronologia completa delle inserzioni e delle rimozioni è visibile a chiunque. Su richiesta, possiamo inoltre fornire informazioni sui tempi di elaborazione, l'elenco dei ricorsi respinti con le relative motivazioni e le prove a sostegno di ogni inserzione.
La cancellazione dall'elenco è sempre gratuita. Chiunque chieda denaro per rimuovere il tuo nome da PhishDestroy sta mettendo in atto una truffa.
Quanto costa la revoca dalla quotazione?
Niente. Zero. Gratis. Sempre.
Qualsiasi terza parte che affermi di poter rimuovere il tuo dominio da PhishDestroy in cambio di denaro sta conducendo un’attività truffa. Non disponiamo di alcun programma a pagamento per la rimozione dall'elenco e non ne avremo mai uno. Segnalateci tali servizi.
Il mio dominio è stato sbloccato, ma è ancora bloccato altrove
PhishDestroy è solo una delle tante fonti. Anche dopo aver ripulito il tuo dominio, altri sistemi potrebbero comunque segnalarlo:
- Google Safe Browsing — invia a safebrowsing.google.com
- Produttori di antivirus — ciascuno gestisce liste di blocco indipendenti; contattare il canale di segnalazione delle vulnerabilità FP di ciascun fornitore
- Avvisi del browser — potrebbe conservare in cache i dati precedenti per 24-48 ore
Verifica il tuo dominio su VirusTotal per verificare quali fornitori specifici lo segnalano, quindi contattare ciascuno di essi singolarmente.
Come funziona il processo di conformità dell'ICANN?
Quando presentiamo segnalazioni di abuso, ci atteniamo agli standard dell'ICANN:
- Segnalazioni formali di abusi ai registrar tramite i contatti preposti alla gestione degli abusi nel sistema WHOIS
- Fascicoli completi di prove — risultati delle scansioni, schermate, report in formato PDF con metadati
- L'ICANN richiede i registrar devono esaminare le segnalazioni di abuso entro 24 ore
- Rilevamento condizionale — se un dominio rimane attivo dopo 24 ore, inviamo avvisi di follow-up
Quando un dominio riceve tra le 10 e le 30 o più segnalazioni di abuso e il registrar continua a ignorarle per mesi, rendiamo pubblica la notizia. Il registrar non è più un semplice osservatore passivo, ma fornisce di fatto l’infrastruttura necessaria per attività illegali. Il nostro database pubblico promuove la responsabilità.
Risorse per le vittime
Misure di emergenza e linee guida per la protezione
Sono stato vittima di una truffa. Cosa devo fare SUBITO?
Il tempo è fondamentale. Agisci subito:
- REVOCA SUBITO le autorizzazioni relative ai token — vai a revoke.cash revocare immediatamente tutte le autorizzazioni relative ai portafogli ancora in sospeso. In questo modo si blocca il prelievo in corso.
- Contatta SEAL 911 — risposta agli incidenti crittografici di emergenza da parte di professionisti della sicurezza. Visita phishdestroy.io/azione-critica
- Trasferire i fondi rimanenti — trasferire tutti gli asset dal portafoglio compromesso a un nuovo portafoglio non compromesso
- Denuncia alla polizia — Sporgi denuncia per un reato informatico presso la polizia locale. Fatti fornire il numero di protocollo.
- Segnalare pubblicamente — file su Chainabuse per mettere in guardia gli altri e lasciare una traccia documentale
- Conservare TUTTE le prove — indirizzi di portafogli, ID delle transazioni, screenshot, cronologie delle chat, e-mail, l'URL di phishing
NON contattate i “servizi di recupero” che si trovano online. Oltre il 95% di essi sono truffe secondarie che prendono di mira le vittime.
È possibile recuperare le criptovalute rubate?
A volte, ma solo se agisci in fretta:
- Approvazioni di token non ancora eseguite: Se hai firmato solo un'approvazione dannosa, revocala all'indirizzo revoke.cash impedisce immediatamente ulteriori perdite
- Prelievi da CEX: Se l'autore dell'attacco trasferisce fondi su Binance, Coinbase, ecc., le forze dell'ordine possono congelare i conti, ma hanno bisogno della tua denuncia alla polizia
- Pause del ponte: Alcuni ponti cross-chain hanno sospeso le transazioni non appena sono state segnalate frodi
Un po' di realismo: La maggior parte dei furti di criptovalute sulla blockchain è irreversibile. La prevenzione è la migliore difesa: usa portafogli hardware, verifica gli URL e non condividere mai le frasi seed.
Come faccio a riconoscere un sito web di phishing?
Segnali di allarme:
- Discrepanza nell'URL — "metamask-login.com" anziché "metamask.io"
- Formulazione relativa all'urgenza — «Agisci subito o perderai l'accesso», «Il tuo portafoglio verrà bloccato»
- Richieste relative alla frase di seed — Nessun servizio legittimo ti chiederà MAI la tua frase di seed
- Finestre pop-up inaspettate del portafoglio — Richieste di WalletConnect o MetaMask che non hai avviato tu
- Troppo bello per essere vero — airdrop gratuiti, rendimenti garantiti, "ritira il tuo premio"
- Pubblicità sui social media — Il phishing fa ampio ricorso agli annunci a pagamento su Twitter, Google e Telegram
- Truffe tramite messaggi diretti/risposte — il “servizio clienti” che ti contatta per primo
Protezione: Controlla sempre i domini su phishdestroy.io/dominio oppure utilizza il nostro Bot di Telegram prima di collegare il tuo portafoglio. Leggi la nostra guida completa: Nozioni fondamentali sulla sicurezza delle criptovalute
I "servizi di recupero delle criptovalute" sono affidabili?
Quasi mai. Oltre il 95% dei "servizi di recupero" sono truffe secondarie rivolgendosi a persone che hanno già subito perdite finanziarie.
Segnali di allarme:
- Garantiscono il recupero (cosa impossibile da garantire)
- Richiedono il pagamento anticipato
- Ti hanno trovato grazie ai commenti sui social media in cui parlavi di essere stato truffato
- Affermano di essere “hacker etici” in grado di “annullare le transazioni”
- Ti chiedono la tua frase di recupero o l'accesso al tuo portafoglio
Aiuti affidabili (tutti gratuiti): SEAL 911, le forze dell'ordine locali, il team di assistenza della vostra piattaforma di scambio, Chainabuse ai fini della rendicontazione pubblica.
Integrazione e configurazione
Come integrare PhishDestroy nel proprio stack di sicurezza
Come faccio ad aggiungere Destroylist a Pi-hole?
Vai su Pi-hole Admin → Impostazioni → Elenchi di blocchi → incolla questo URL:
https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/hosts.txt Salva e aggiorna gravity. L'elenco si aggiorna automaticamente in base alla pianificazione di Pi-hole.
Come faccio ad aggiungere Destroylist a uBlock Origin o AdGuard?
uBlock Origin: Impostazioni → Elenchi dei filtri → Importa → incolla:
https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/adblock.txt AdGuard Home: Filtri → Elenchi di blocco DNS → Aggiungi elenco di blocco → incolla lo stesso URL.
Come si aggiunge Destroylist a pfSense / OPNsense?
Per il resolver DNS Unbound (pfSense/OPNsense):
https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/unbound.conf Per BIND o Knot DNS (formato RPZ):
https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/rpz.zone Per Dnsmasq:
https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/dnsmasq.conf Posso contribuire a PhishDestroy?
Sì! Ecco come fare:
- Segnala i domini di phishing — Bot di Telegram oppure abuse@phishdestroy.io
- Integra le nostre liste di blocco — aggiungi Lista di distruzione al tuo DNS, al firewall o agli strumenti di sicurezza
- Utilizza la nostra API — creare strumenti, bot o dashboard utilizzando il API delle minacce
- Invia richieste di pull — miglioramenti agli algoritmi di rilevamento, consigli sull’integrazione, informazioni aggiornate
- Sensibilizzare l'opinione pubblica — condividi la nostra ricerca sui social media
Non accettiamo donazioni: il modo migliore per sostenerci è rendere utili i nostri dati.
Per cosa posso utilizzare i dati di PhishDestroy?
I nostri dati (licenza MIT) vengono utilizzati per:
- Sicurezza di rete — regole del firewall, blocco DNS, filtraggio delle e-mail
- Automazione — Integrazione SIEM/SOC, risposta automatizzata agli incidenti
- Ricerca sulle minacce — analisi delle campagne di phishing, tendenze relative all'usurpazione dell'identità dei marchi
- Formazione in ML/AI — set di dati per l'addestramento dei modelli di rilevamento del phishing
- Analisi delle tendenze — tassi di abuso dei registrar, modelli di rischio dei TLD, evoluzione dei drainer
- Prove giuridiche — rapporti sui domini con indicazione della data e dell’ora destinati alle forze dell’ordine e alle richieste di risarcimento assicurativo
Camera storica: Oltre 500.000 domini archiviati in più di 5 anni. Contattaci contact@phishdestroy.io per l'accesso.
