>
PhishDestroy In diretta
Torna alle notizie
 Condividi: Post Telegram
● ULTIME NOTIZIEAggiornato il 2 luglio 2026 — Presentata la proposta ICANN n. 1479
Indagine

NameSilo Ha difeso un autore di una frode nel settore delle criptovalute da 100 milioni di dollari
— Allora Abbiamo chiuso il nostro account Twitter

Un registrar accreditato dall'ICANN ha pubblicato 4 bugie documentate per proteggere un'operazione di furto di Monero durata 10 anni, si è offerto di cancellare la propria traccia su VirusTotal mentre il drainer era ancora attivo, poi ha utilizzato un X Gold Checkmark a pagamento per bloccare i ricercatori che avevano dimostrato che si sbagliavano. Il loro ingegnere DevOps: ex responsabile IT di una piramide finanziaria russa da un decennio.

1° aprile 2026 — Aggiornato il 2 luglio 2026 Ricerca PhishDestroy 10 minuti di lettura 61 file verificati con SHA-256
$0M+ Stima dei furti
0 anni Operazione Lifespan
0 Bugie documentate
0k Pagine rimosse dall'indice di Bing
0+ Recensioni cancellate
0 File di prova SHA-256
Leggi l'indagine completa su phishdestroy.eth.limo

Questo articolo è un'anteprima. Le prove complete, gli archivi IPFS e tutto il materiale di riferimento sono disponibili al link sopra indicato.

Il contesto: cos’è in realtà xmrwallet.com

xmrwallet.com non è una pagina di phishing. È un portafoglio Monero perfettamente funzionante con una backdoor lato server realizzato nel 2018 e operativo fino a maggio 2026 — quasi un decennio. Il repository GitHub è solo una facciata pubblica. Il codice di furto esiste solo sul server di produzione, non è mai stato sottoposto a commit né a revisione.

Ogni interazione dell'utente invia la chiave di visualizzazione privata ai server dell'operatore tramite una richiesta POST, codificata in Base64 in una variabile denominata session_key — circa 40 trasmissioni per sessione. La transazione lato client viene esplicitamente annullata (raw_tx_and_hash.raw = 0); il server ne crea uno proprio utilizzando le chiavi rubate.

L’“audit di sicurezza” del 2018 che non ha rilevato nulla

L'audit di NewAlchemy ha ottenuto 67 voti positivi su Reddit ed è stato utilizzato per anni come indicatore di affidabilità. Il suo ambito di applicazione esplicito: "Solo JavaScript lato client." Espressamente esclusi dall'ambito di applicazione: "numerosi endpoint dell'API PHP." Quei terminali costituiscono il vero e proprio meccanismo di furto. L'audit era strutturalmente incapace di individuare la backdoor.

Il furto è selettivo per sua natura. I piccoli depositi vengono lasciati intatti per anni, in modo da creare un clima di fiducia e generare recensioni autentiche. Gli importi ingenti vengono sottratti nel giro di pochi minuti. Una delle vittime documentate aveva depositato 590 XMR, che sono scomparsi nel giro di due giorni. Totale prudenziale relativo a oltre 15 vittime documentate: Sono stati rubati da 5.000 a oltre 50.000 XMR (da 1,5 a oltre 15 milioni di dollari a prezzi storici). Il 60% dei post delle vittime è stato segnalato in massa e cancellato prima che le prove potessero essere acquisite.

# The smoking gun: client-side transaction explicitly discarded raw_tx_and_hash.raw = 0 # thrown away; server builds its own with stolen keys # ~40 POST transmissions per session, every session, since 2016: chiave_di_sessione = base64_encode(wallet_address + ":" + private_view_key) # GitHub: 0 occurrences of "session_key" in any commit # Production server: core theft variable, all versions, since 2016
Backdoor di xmrwallet — La facciata pubblica su GitHub reindirizza correttamente, mentre il server di produzione nascosto sottrae la chiave di sessione (session_key)
Il furto in un diagramma: verde = repository pubblico su GitHub (pulito, sottoposto a revisione, affidabile). Rosso = server di produzione — mai incluso in alcun commit, mai sottoposto a revisione, fonte di esfiltrazione session_key all'operatore ad ogni sessione.
Dimostrazione dal vivo — Abbiamo ricostruito l'exploit
Guarda come avviene l'esfiltrazione della chiave di sessione nel tuo browser

Abbiamo ricreato l'esfiltrazione delle chiavi basata su gtag in una demo in ambiente sandbox. Apri DevTools → scheda Rete → interagisci con il wallet. Guarda session_key Le richieste POST vengono inviate in tempo reale. È questo che è andato avanti per 10 anni. È questo che la “verifica di sicurezza” non ha mai preso in esame. È questo che NameSilo ha difeso pubblicamente.

Apri la demo interattiva

La frase che ha spiegato NameSilo

Prova schiacciante — un martelletto incrinato e virgolette luminose
17 febbraio 2026. Una sola frase. Un decennio di fiducia nel suo registrar.

Il 16 febbraio 2026, il gestore di xmrwallet.com ha inviato un’e-mail a PhishDestroy chiedendo la rimozione della segnalazione. Ha firmato come "Nathalie Roy" — account GitHub nathroy, ID 39167759. Abbiamo risposto con un'analisi tecnica dettagliata e un richiamo scritto: "Quello che succederà dopo dipenderà interamente da come sceglierai di procedere."

Il giorno dopo, ci ha inviato una sola frase che ci ha detto tutto sul suo rapporto con NameSilo:

«Non esitate a richiedere al registrar del dominio di fornirvi i miei dati.»
— Gestore di xmrwallet.com, 17 febbraio 2026
Tre settimane prima che NameSilo lo definisse la vittima

Nessuno che utilizzi uno scolapasta vecchio di dieci anni su $550/mo bulletproof Belize hosting, nascondendosi dietro Russian DDoS-Guard, ti invita con calma a richiedere un mandato di comparizione nei confronti del suo registrar — a meno che non conosca già la risposta. Altri tre registrar (PDR, WebNic, NICENIC) hanno sospeso i suoi domini nel giro di pochi giorni dopo aver ricevuto le stesse prove. NameSilo gli ha redatto un comunicato stampa e si è offerto di ripulire la sua reputazione.

Mentre la backdoor era attiva: xmrwallet ha pagato PR Newswire per affermare il contrario

21 gennaio 2026 — xmrwallet ha pagato PR Newswire per diffondere un comunicato stampa in cui si affermava: "Le chiavi private non raggiungono mai i server centrali." Il session_key Durante tutto questo periodo, in ogni sessione utente venivano inviate richieste POST al server di produzione. PR Newswire è un servizio di distribuzione a pagamento: le aziende redigono e finanziano autonomamente i propri testi, senza alcuna revisione editoriale. Fonte: PR Newswire, 21 gennaio 2026


Le quattro bugie di NameSilo, secondo quanto dichiarato ufficialmente

Il 13 marzo 2026, l'account ufficiale di NameSilo ha pubblicato un post nel nostro thread dedicato alle indagini. 11.300 visualizzazioni prima della cattura. Archiviato in modo permanente all'indirizzo ghostarchive.org/archive/CXXZ0. Ogni affermazione è confutata da fonti primarie:


Chi è NameSilo: un’azienda di outsourcing con sede nei Paesi della Comunità degli Stati Indipendenti (CIS) e indirizzo postale negli Stati Uniti

NameSilo LLC è registrata a Phoenix, in Arizona. È quotata alla Borsa canadese con il nome di Brisio Innovations (CSE:BZI) e nel 2025 ha registrato un fatturato di 65,5 milioni di dollari canadesi. Il team tecnico vero e proprio è distribuito tra Russia, Bielorussia, Ucraina, Serbia, Argentina e Lettonia. Sono stati identificati almeno 13 dipendenti di lingua russa. La persona che disponeva di pieno accesso all’infrastruttura DevOps ha gestito per un decennio il reparto IT di una piramide finanziaria russa prima di entrare a far parte di NameSilo.

DevOps — Accesso completo all'infrastruttura
Mikhail Chudinov
Argentina (trasferita)
In precedenza Responsabile IT presso SuperKopilka — Piramide finanziaria russa, 2007–2017. Dieci anni alla guida del sistema informatico di uno schema di circolazione di denaro fino al crollo. Si autodefinisce “appassionato di criptovalute”. Presso NameSilo: diritti DevOps completi su tutta l’infrastruttura.
Ex responsabile IT di Pyramid, 10 anni
Sviluppatore backend PHP
Ivan Borzenkov
Bryansk, Russia (+7 920)
Sviluppatore backend con sede in Russia. GitHub: ivan1986. Accesso diretto tramite PHP al backend di NameSilo dalla Russia.
🇷🇺 Accesso al backend con sede in Russia
Responsabile di progetto
Vladimir Voskov
Mosca, Russia
In precedenza Azienda Zyfra — Contratti statali russi nel settore dell’automazione industriale. Gestione da Mosca di un registrar di domini registrato negli Stati Uniti.
🇷🇺 Mosca — ex appaltatore statale
Responsabile di progetto senior
Tatiana Labutina
Belgrado, Serbia
In precedenza ForexClub Libertex — Broker forex russo, oggetto di numerose sanzioni normative da parte dell’UE. Belgrado: principale polo di ricollocamento per i professionisti russi dopo il 2022.
Ex ForexClub Libertex
Identificati anche

Aleksey Podashevskiy (Frontend) — Bielorussia, giurisdizione soggetta a sanzioni, che opera per un registrar accreditato dall’ICANN e registrato negli Stati Uniti. Sono stati identificati complessivamente più di 13 dipendenti di lingua russa in Russia, Bielorussia, Serbia, Argentina e Lettonia. Nessun hosting occidentale nella catena infrastrutturale di xmrwallet.

Portata dell'indagine

Oltre 5,18 milioni di domini analizzati nell'intero portafoglio di NameSilo — ciascuno di essi è stato sottoposto a un controllo incrociato con VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish e SURBL.

Backend PHP di xmrwallet ricostruito interamente sulla base delle tracce comportamentali raccolte lato client — senza accesso al server, senza codice sorgente, senza alcuna collaborazione. Il meccanismo di furto è stato ricostruito esclusivamente sulla base dei modelli di rete osservabili.

13 membri del team correlati tra LinkedIn, GitHub, HeadHunter, Telegram, i registri delle imprese e gli atti giudiziari di 6 paesi. Modelli di cancellazione su Trustpilot monitorata nell'arco di diversi mesi per individuare una cadenza sistematica di rimozione. CSE:BZI - Relazioni trimestrali confrontati con i dati del portafoglio di domini per individuare l'anomalia nei ricavi. 5,18 milioni di domini analizzati sulla base di 6 fonti di informazioni sulle minacce. Tutti i dati grezzi sono disponibili pubblicamente all'indirizzo github.com/phishdestroy/namesilo-evidence. Presentata all’ICANN, alle autorità di contrasto dell’UE e a tre unità nazionali specializzate nella lotta alla criminalità informatica.


L'anomalia dei domini: il 32,2% non è mai stato attivato — Una cortina fumogena statistica

Abbiamo raccolto e analizzato ogni dominio nel portafoglio di NameSilo — tutti e 5,18 milioni. Ciascuno di essi è stato verificato su VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish e SURBL. I dati grezzi, la metodologia e i risultati per singolo dominio sono di dominio pubblico: github.com/phishdestroy/namesilo-evidence. Risultato: Il 32,2% dei domini non è mai stato attivato — contro il 14,7–22,8% registrato da registrar comparabili. 10.000–17.000 registrazioni in blocco in un solo giorno (picco: 17.180 il 19 luglio 2025). 12 milioni di dollari spesi per domini mai attivati; un «burn rate» annuo di 3,2 milioni di dollari all’anno per domini che non servono a nulla. Nel 2024, quando ShortDot, partner di NameSilo, ha acquisito nuovi TLD (.sbs, .cfd a circa 0,50 dollari all’ingrosso, venduti a 14,95 dollari al dettaglio = 22–31× di maggiorazione), le registrazioni di domini inattivi hanno registrato un’impennata 615% in un solo anno.

Geografia e portata di NameSilo — Azienda di Phoenix (Arizona), team CIS, 5,18 milioni di domini
Registrati negli Stati Uniti. Gestiti dalla CSI. 5,18 milioni di domini, il 32,2% dei quali mai attivati. Il team che collega Phoenix, Mosca e Buenos Aires.

PrivacyGuardian nasconde l'identità dell'acquirente su oltre 3 milioni di domini (registrati a nome di pw-{hex}@privacyguardian.org). Si accettano pagamenti in Bitcoin. Nessuna verifica dell'identità (KYC). Ogni dominio fantasma fa apparire il rapporto tra abusi e totale più basso.

0.43% rispetto a un totale di 5,18 milioni
"quasi nulla"
2.34% vs HTTP-alive
ogni 43° sito
40.9% rispetto alle aziende vere e proprie
1 tentativo di phishing ogni 2,5 tentativi legittimi
Anomalia finanziaria: CSE:BZI

NameSilo registra un fatturato di 65,5 milioni di dollari canadesi (2025). P/E: 143,8× rispetto ai 21× del settore. Ricavi per dominio reale (attivo): 68 C$ contro i 10–15 $ del settore. 95 registrar ICANN vendono i domini .com a prezzi inferiori. Se le registrazioni in massa di domini fantasma servono a riciclare proventi — con un ricarico di 22–31 volte sul cambio BTC-dominio — queste emergono come “ricavi legittimi dei registrar” nei rapporti trimestrali depositati presso la Borsa canadese dei valori mobiliari. Questo schema è documentato e segnalato alle forze dell’ordine.

Come NameSilo crea “copertura mediatica” per gli investitori di CSE:BZI — 6 passaggi
1
NameSilo redige un comunicato stampa su se stessi. In terza persona. "NameSilo, il registrar in più rapida crescita..."
3
PR Newswire lo pubblica automaticamente su Yahoo Finance, Morningstar, StockWatch, newswire.ca — a chiunque abbia pagato, senza revisione editoriale.
4
Yahoo Finance lo pubblica con una piccola didascalia: "Questo è un comunicato stampa a pagamento."
5
La pagina dedicata al titolo CSE:BZI su NameSilo ora mostra "copertura mediatica." "Yahoo Finance ci ha dedicato un articolo." "StockWatch ci ha dedicato un articolo."
!
Nessuno ha scritto di loro. Sono stati loro stessi a scrivere di sé e a pagare per far sembrare che si trattasse di notizie. Questa è la "copertura mediatica" presente nella pagina dedicata agli investitori del CSE di una società il cui responsabile del registro ha difeso pubblicamente un drainer attivo di Monero.
 Un comunicato stampa pagato 805 dollari ≠ giornalismo indipendente. Investitori di CSE:BZI: leggete bene l’etichetta.

Cosa è successo dopo la pubblicazione

Dopo la pubblicazione del nostro articolo, una campagna coordinata di azioni legali e di rimozione dalle piattaforme ha preso di mira tutti i principali canali in cui PhishDestroy era presente. Tre meccanismi — ciascuno dei quali è stato registrato, archiviato e ora fa parte del reclamo ICANN n. 1479.

X / Twitter — L'account @Phish_Destroy è stato bloccato. Il segno di spunta dorato di X offre agli abbonati un canale di assistenza prioritario non disponibile per gli utenti normali. Quel canale è stato utilizzato per presentare un reclamo contro il nostro account. Il sistema di revisione automatizzato di X ha esaminato il caso, ci ha scagionati per iscritto e ha confermato l’assenza di violazioni. Ciononostante, il blocco è rimasto attivo. Abbiamo pubblicato la lettera di proscioglimento prima ancora che il blocco venisse rimosso — la previsione con indicazione dell’ora di GhostArchive è inclusa nell’ICANN n. 1479.
Google — Richieste di cancellazione ai sensi del GDPR + reclami ai sensi del DMCA. Sono state presentate richieste europee relative al “diritto all’oblio” ai sensi del GDPR per costringere Google a rimuovere dai risultati di ricerca specifiche pagine dell’inchiesta PhishDestroy. Parallelamente sono state inviate notifiche di rimozione ai sensi del DMCA rivolte agli URL dell’inchiesta. Entrambi i meccanismi sono stati applicati contemporaneamente: pressione legale tramite la normativa UE sulla privacy e pressione in materia di diritto d’autore tramite la legislazione statunitense. Il contenuto dell’inchiesta in sé non è mai stato contestato con successo dal punto di vista fattuale.
Bing — 108.000 pagine rimosse dall'indice in un solo giorno. L'intero sito phishdestroy.io — 108.000 pagine indicizzate — è stato rimosso dalla ricerca su Bing con un'unica operazione in blocco. La tempistica è stata perfetta: la deindicizzazione ha coinciso esattamente con la pubblicazione del nostro rapporto su NameSilo. Non si è trattato né di un problema di scansione graduale, né di un errore tecnico, bensì di un unico reclamo in blocco che Bing ha elaborato senza preavviso.
IPFS — hanno presentato dei reclami. Non è cambiato nulla. Sono state presentate richieste di rimozione nei confronti del dominio ENS e dei servizi gateway. phishdestroy.eth.limo rimane pienamente operativo. I contenuti IPFS sono identificati tramite l'hash SHA-256: non c'è alcun server da chiudere, nessun account di hosting da sospendere, nessun registrar su cui esercitare pressioni, nessuna rete CDN da contattare. L'indagine è disponibile contemporaneamente su Arweave, GhostArchive e Wayback Machine. La rabbia è proporzionale al senso di impotenza.
Campagna di censura sulle piattaforme — Voto di affidabilità X, GDPR di Google, deindicizzazione da Bing
Un segno di spunta dorato. Tre meccanismi legali. 108.000 pagine su Bing. Tutte le piattaforme hanno ripreso la stessa notizia. Ecco come si presenta il tentativo di mettere a tacere l’informazione finanziato dalle grandi aziende.
L'avevamo previsto — Archiviato su GhostArchive con data e ora prima che accadesse

Prima che il blocco entrasse in vigore, abbiamo pubblicato un tweet in cui prevedevamo che NameSilo avrebbe utilizzato le stesse tattiche di soppressione dei truffatori e ne abbiamo registrato la data e l’ora su GhostArchive. Hanno fatto esattamente quello che avevamo previsto, nei tempi previsti. La previsione con data e ora — che dimostra come avessimo anticipato la tattica prima che venisse utilizzata — è inclusa nel reclamo presentato all’ICANN contro NameSilo (ICANN n. 1479).

L'archivio non può essere toccato

È tutto pronto IPFS (phishdestroy.eth), Arweave, GhostArchive e Wayback Machine. 61 screenshot verificati con SHA-256. Nessuna contestazione legale avuta successo contro alcuna affermazione. Nessuna confutazione tecnica da parte dell’operatore o di NameSilo. Nessuna risposta basata sui fatti — solo minacce legali, attacchi ad hominem e tweet cancellati. L’indagine completa con i dati grezzi, il dossier del team, l’analisi del riciclaggio e le risorse per le vittime è disponibile all’indirizzo phishdestroy.eth.limo — replicato su IPFS, Arweave, GhostArchive e Wayback Machine. Nessuno di questi servizi ha ottenuto il “Gold Checkmark”.


Escape Domain Network: preparato mesi prima dello smantellamento

Inizio 4 febbraio 2026 — nella stessa settimana in cui l’operatore ha contattato PhishDestroy per la prima volta — ha iniziato a registrare segretamente domini di ripiego presso quattro diversi registrar, con abbonamenti prepagati da 5 a 10 anni ciascuno. L’infrastruttura era stata progettata per resistere a qualsiasi singola operazione di smantellamento. Non è riuscita a resistere alle indagini.

Analisi tecnica iniziale con documentazione completa: github.com/phishdestroy/NON-UTILIZZARE-xmrwallet-com

Domini "Escape" — Registrati dopo l'avvio delle indagini
Dominio Segreteria Prepagato IP Stato
xmrwallet.cc Registro del pubblico dominio 8 anni 185.129.100.248 SOSPESO
xmrwallet.biz WebNic.cc 5 anni 190.115.31.40 SOSPESO
xmrwallet.net NICENIC International 10 anni 190.115.31.40 ← DNS NON FUNZIONANTE
xmrwallet.me Key-Systems GmbH 10 anni 185.129.100.248 ← ATTIVO — segnalazione di abuso

Raggruppamento IP: 185.129.100.248 condiviso da .cc e .me — stesso host. 190.115.31.40 condivisi da .biz e .net — stesso host. Quattro registrar, due cluster IP. 33 anni di registrazione prepagata. Tutti registrati in segreto dopo il primo contatto con gli investigatori.


Reputazione acquistata: Wikipedia, Forbes e oltre 15 articoli sponsorizzati

La reputazione pubblica di NameSilo è artificiosa. Wikipedia: avviso "a pagamento/promozionale". Forbes: dichiarazione di affiliazione "Guadagniamo una commissione". SmartCustomer: 1,8/5 — senza alcun risultato negativo su Google.

Wikipedia — Segnalato come contenuto promozionale dagli editori

NameSilo ha una voce su Wikipedia — contrassegnato dagli editori come articolo a pagamento/promozionale, non una copertura editoriale neutrale. Cronologia delle modifiche (archiviata): en.wikipedia.org/w/index.php?title=NameSilo&action=history

Forbes Advisor — Informativa sulle commissioni di affiliazione

NameSilo compare su Forbes Advisor con una dichiarazione esplicita relativa al programma di affiliazione: "Forbes Advisor rispetta rigorosi standard di integrità editoriale... Riceviamo una commissione." Forbes Advisor guadagna quando gli utenti si registrano tramite i suoi link, il che crea un incentivo finanziario diretto a favore di una copertura mediatica positiva. Fonte: forbes.com/advisor/business/software/namesilo-review/

SmartCustomer: 1,8/5 — Nessun risultato negativo su Google

NameSilo detiene un Valutazione 1,8/5 su SmartCustomer — fonte: smartcustomer.com/recensioni/namesilo.com. Nonostante le decine di recensioni negative registrate, una ricerca su Google non restituisce alcun risultato negativo: si tratta di una soppressione attiva che utilizza gli stessi strumenti del GDPR e del DMCA applicati contro la nostra indagine.

PR Newswire — Pubblicato autonomamente, a pagamento, senza revisione editoriale

NameSilo Technologies Corp. (CSE:BZI / OTC: URLOF — società madre quotata in borsa di NameSilo LLC) utilizza PR Newswire per i propri comunicati aziendali. PR Newswire è un servizio di distribuzione a pagamento: la società redige il testo e ne paga la pubblicazione. Esempi di comunicati stampa a pagamento di NameSilo Technologies:

Lo stesso meccanismo: il 21 gennaio 2026 xmrwallet ha utilizzato PR Newswire per pubblicare il suo articolo di copertina (“le chiavi private non raggiungono mai i server centrali”) mentre la backdoor era in funzione. Una distribuzione a pagamento che presentava un testo redatto dall’operatore come contenuto di interesse giornalistico.


Tre reparti. Un’unica azienda. Nessuno di essi sopravvive al contatto con gli altri.

NameSilo non ha mantenuto una versione coerente dei fatti. Ha assunto in successione tre posizioni tra loro incompatibili — esperto sicuro di sé, vittima minacciata, umile funzionario pubblico — a seconda del livello di rischio legale a cui si trovava esposto in quel preciso momento.

1
Marzo 2026 — Il ruolo dell’esperto sicuro di sé
Il team di NameSilo incaricato di gestire i casi di abuso ha definitivamente stabilito Il dominio è stato compromesso. Hanno indagato sull'attacco hacker. Sanno che il titolare del dominio è la vittima. Stanno aiutarlo a rimuovere i risultati rilevati da VirusTotal — il che, secondo la loro stessa logica, significa che sono più autorevoli di tutti i produttori di antivirus che hanno segnalato quel dominio. Livello di confidenza: assoluto.
2
Fase 2 — La minaccia legale (Tweet pubblico, 11 maggio 2026)
@namesilo — Account ufficiale con il segno di spunta dorato — 11 maggio 2026 · 417 visualizzazioni · 107 risposte

"Le vostre affermazioni sono false, calunniose e diffamatorie. NameSilo interviene ed esamina tutte le segnalazioni di abuso che ci vengono inviate. Se avete casi di questo tipo, vi preghiamo di segnalarli all'indirizzo abuse@namesilo.com. In caso contrario, vi preghiamo di contattare direttamente l'host del sito web o il titolare del dominio. E smettete di diffondere falsità nei nostri confronti, altrimenti saremo costretti ad adire le vie legali."

L'esperto sicuro di sé che aveva indagato sull'attacco hacker, identificato il titolare del dominio come vittima e lo stava aiutando a rimuovere i rilevamenti di VirusTotal, ora è solo una semplice casella di posta dedicata agli abusi. L'indagine è svanita. La competenza è svanita. È rimasta solo la minaccia legale.
3
Risposta dell’ICANN — La posizione di “Humble Processor”
Ora si limitano a elaborare i rapporti. Ora non sono in grado di individuare i tentativi di phishing. Ora si affidano ai provider di hosting. Il team che ha superato tutti i principali produttori di antivirus, giungendo alla conclusione che il dominio fosse sicuro ora è troppo timido per fare una telefonata. Non si tratta di incompetenza. L’incompetenza è costante. Si tratta invece di una posizione scelta in base al pubblico di riferimento.
La contraddizione fondamentale — Scegli una delle due, NameSilo

Se il vostro team che si occupa di casi di abuso avesse la competenza per effettuare un'analisi approfondita e dettagliata, stabilire che il dominio è stato violato, identificare il registrante come vittima e iniziare ad aiutarlo a rimuovere i rilevamenti di VirusTotal — in tal caso stai affermando esplicitamente di essere più autorevole e tecnicamente più competente di tutti i produttori di antivirus che hanno segnalato questo dominio come dannoso.

Non potrai poi sostenere di aver elaborare semplicemente i report e non dispongono delle competenze necessarie per individuare i tentativi di phishing. La denuncia presentata all’ICANN non ti chiede di possedere competenze che non hai. Ti chiede invece perché hai usato le competenze che, come è evidente, possiedi — per aiutare il truffatore, anziché le vittime.


Trustpilot: le "bot farm" in competizione tra loro

Esempio: “Patty Johnson” — Profilo negli Stati Uniti, 2 recensioni in totale

Una valutazione a 5 stelle per NameSilo (gennaio 2026): “Leonid è stato davvero disponibile… 5 stelle!” L'altra recensione: su Otrium — un'azienda oggetto di recensioni che denunciano frodi e furti di denaro. Un account bot, due aziende sospettate di truffa. Schema ricorrente: agenti dell'assistenza citati per nome, tempi di risposta elogiati, linguaggio standardizzato. Gli acquirenti di domini reali valutano i prezzi e l'esperienza utente del pannello di controllo. Le recensioni dei bot lodano “Leonid”.

Analisi dei dati — 2.280 recensioni su NameSilo contro 2.480 su Namecheap

Metrico NameSilo Namecheap
Recensioni a 5 stelle88.9%74.0%
Recensioni a 1 stella7.2%16.7%
Account con revisione singola62.4%59.6%
Nessun avatar (account nuovi)67.3%51.5%
Recensioni relative all'assistenza/al servizio70.0%60.2%
Recensioni sul rapporto qualità-prezzo9.8%37.5%
Agente con nome in codice “Leonid”5.7%0.0%
Geolocalizzazione negli Stati Uniti35.1%26.5%
L'anomalia delle Leonidi

Leonid è apparso il 13 aprile 2025. Prima di allora non se ne era mai parlato. Poi, nei primi due mesi, ha ricevuto 65 recensioni. Maggio 2025: 106 recensioni (5 volte il normale), 95% a cinque stelle, nessuna a una stella. Nessun cliente insoddisfatto su 106 recensioni relative a un registrar classificato al 96° posto per i prezzi dei domini .com.

Il 43% delle recensioni su Leonid contiene meno di 80 caratteri. Quattro hanno solo il titolo “Leonid”. Altri tre: «Leonid è stato di grande aiuto.» Tra i recensori: “Satoshi Nakamoto”, “Autore”, “Виктор -”, “Anna Koroleva”, “Boris Martin”, “Andrei Dobrescu” insieme a “Brad”, “LaToya”, “Patty Johnson”. Un generatore di nomi che spazia da un continente all’altro. Il nome Leonid è russo.

Hong Kong: 57 recensioni. 57 su 57 a cinque stelle. Statisticamente impossibile.

Zero recensioni a quattro stelle. Zero recensioni a tre stelle. Zero recensioni di qualsiasi altro tipo. Il 91% degli account ha pubblicato una sola recensione. In un arco di oltre 7 anni. Cina: il 94% delle recensioni è a cinque stelle, l’80% proviene da account con una sola recensione. Singapore: il 95% delle recensioni è a cinque stelle. In totale, 168 recensioni provenienti dai mercati di lingua cinese — quasi interamente inventate.

Perché la Cina? NameSilo è molto attiva sul mercato cinese: namesilo-china.com, bcbay.com/namesilo, post a pagamento su blog cinesi, un articolo su Wikipedia in cinese. Quando gli investigatori si chiedono: «Chi acquista 4,22 milioni di domini inattivi?», NameSilo punta il dito verso la Cina. I dati di Trustpilot dimostrano che l’azienda sta costruendo questo alibi fin dal 2019, una recensione falsa alla volta.

Analisi forense indipendente dell'API Claude — Test alla cieca

2.480 recensioni su Trustpilot relative a NameSilo e 2.480 relative a Namecheap sono state inviate all'API Claude, rendendole anonime con le denominazioni “Azienda A” (NameSilo) e “Azienda B” (Namecheap). L'IA non sapeva quale fosse quale.

Indicatore forense NameSilo (A) Namecheap (B)
Valutazione a 5 stelle89.1%74.0%
Percentuale di valutazioni a 1 stella7.1%16.7%
Account monouso che assegnano 5 stelle92%~65%
Recensioni che menzionano il prezzo11.2%39.2%
Citato come unico agente nelle recensioniLeonid: 168nessuno
Diversità lessicale a 5 stelle (TTR)0.073~0.15
HK: 100% a cinque stelle57/57n/a
Picco maggio-giugno 2025 (5 volte il normale)215 recensioninessuno
Verdetto sulla manipolazione tramite IA92%15%
Conclusione dell'analisi forense basata sull'intelligenza artificiale — Testuale

«L’azienda A presenta prove ampie e multidimensionali di una manipolazione sistematica delle revisioni scientifiche attraverso la generazione artificiale coordinata. La probabilità che tali modelli si verifichino in modo spontaneo è pressoché nulla.»

Analisi completa: phishdestroy.eth.limo/namesilo-trustpilot.html · Dati grezzi: trustpilot-forensic-report-final.txt


I risultati dell'indagine

xmrwallet.com — Attività cessata

A seguito dell'indagine e della pubblicazione di PhishDestroy, xmrwallet.com ha cessato l'attività. L'operatore ha inviato un messaggio di addio — e, cosa degna di nota, non lo ha più firmato come "Nathalie Roy". L'identità che per anni era stata il volto pubblico di xmrwallet è stata silenziosamente abbandonata. Non è stata fornita alcuna spiegazione.

Il dominio ora punta a GitHub — Al terzo tentativo

xmrwallet.com è stato infine reindirizzato al proprio repository GitHub — la stessa facciata pubblica che per un decennio è servita da alibi “open source”. Ci sono voluti tre tentativi. Il repository era inattivo da 5 anni prima del reindirizzamento: nessun commit, nessun aggiornamento, nessuna manutenzione — in linea con un progetto il cui codice effettivo risiedeva esclusivamente su un server di produzione non sottoposto a revisione e non era mai stato destinato alla revisione pubblica.


Il trasferimento del dominio non ha posto fine a tutto questo. Anzi, lo ha reso definitivo.

xmrwallet.com è stato trasferito a Namecheap nel maggio 2026, con registrazione valida fino al 2036. A quanto pare, NameSilo ritiene che la questione sia risolta. Non lo è.

Pensavi che gli esperti in grado di superare ogni produttore di antivirus si sarebbero fermati quando il dominio è stato trasferito? L'indagine è in corso su IPFS. È in corso su Arweave. È stata avviata nell'ambito del sistema formale di reclami dell'ICANN. È stata avviata dalle forze dell'ordine dell'UE. È stata avviata da tre unità nazionali specializzate nella lotta alla criminalità informatica. La minaccia legale ha aggiunto un’ulteriore data al fascicolo. Il trasferimento del dominio ha aggiunto un’ulteriore prova documentale. Ogni azione intrapresa per ostacolare questa indagine costituisce di per sé una prova documentata dello schema che abbiamo descritto.

In quella situazione non eravate certo i più intelligenti. Avevate semplicemente più soldi, per un po’.

Leggi l'inchiesta completa phishdestroy.eth.limo Documentazione su GitHub Segnalare un caso di vittima
Avviso relativo a un'indagine indipendente
PhishDestroy · Ricerca non commerciale sulla sicurezza

Nessuno ha pagato per questo. Questa indagine non ha ricevuto alcun finanziamento, alcuna indicazione editoriale né alcun testo fornito da alcuna parte. A differenza dei contenuti pubblicati su Forbes Advisor e PR Newswire, che NameSilo finanzia direttamente, l’autore non ha alcun rapporto finanziario con NameSilo — né alcun obbligo di presentare la narrativa da loro preferita.

È tutto documentato. Ogni affermazione fattuale è supportata da prove verificabili: risposte dei server, acquisizioni forensi, documenti pubblici, segnalazioni di abusi e fonti primarie citate nel testo. Nulla è inventato. Le fonti sono collegate tramite link. Le prove sono archiviate su IPFS. Si incoraggia la verifica indipendente.

«Smettete di diffondere menzogne su di noi, altrimenti saremo costretti a intraprendere un’azione legale.» — NameSilo, in risposta a questa indagine

Terrificante. Abbiamo assistito a tutta la capacità operativa di NameSilo: far bloccare un account Twitter/X, acquistare spazi pubblicitari su Forbes, scrivere le proprie recensioni su Trustpilot, far rimuovere i rilevamenti da VirusTotal e pubblicare quattro affermazioni palesemente false in un unico tweet.

Per quanto riguarda le “bugie”, qui tutto è basato sui fatti. Se una copertura accurata del vostro prodotto costituisce diffamazione, aprite il vostro pannello di controllo — quello che escludete da ogni articolo a pagamento. È lui stesso a dimostrare la nostra tesi, senza che noi dobbiamo aggiungere altro.

Non avete pagato questo autore. Non avete fornito alcun testo. Non potete rivendicare alcuna ricerca indipendente. Avete invece degli obblighi: nei confronti dell’ICANN, dei vostri registranti e ai sensi delle leggi che regolano i registrar di domini. Tali obblighi non vengono meno solo perché una copertura accurata risulta scomoda.

In merito alle azioni legali: Questa indagine è archiviata su 5–7 nodi IPFS. Poiché NameSilo ha dimostrato di avere esperienza operativa nella rimozione dei contenuti, suggeriamo di iniziare da lì. Sai come funziona. Aspetteremo.

Per maggiore chiarezza — nella tua lingua:

PhishDestroy è un progetto di ricerca non commerciale. Non pretendiamo di essere infallibili né di avere certezze assolute. Il tono di questa indagine può risultare diretto — ne siamo consapevoli. Non intendiamo imporre un punto di vista: raccomandiamo di esaminare i materiali e le fonti primarie e di trarre le proprie conclusioni. Vale la presunzione di innocenza. Si tratta della nostra indagine, delle nostre osservazioni e del nostro confronto soggettivo — a cui abbiamo dedicato molto tempo.

Indagine completa con tutte le prove e gli archivi IPFS: phishdestroy.eth.limo