Vai al contenuto principale
Torna alle notizie
Indagine di approfondimento

Verdetto di NiceNIC: tutti i domini esaminati, nessun uso legittimo riscontrato

IANA 3765 · NiceNIC INTERNATIONAL GROUP CO., LIMITED · Hong Kong

Il verdetto di NiceNIC
5,000+
Biglietti unici ignorati
24,7 MB
Pubblicato il set di dati relativo ai domini
0
Domini validi individuati
100%
Domini ora contrassegnati

Abbiamo deciso di verificare

Dopo che la nostra prima inchiesta ha smascherato NiceNIC come il registrar accreditato dall’ICANN che alimenta la criminalità informatica globale, è rimasta aperta una domanda: è davvero TUTTO negativo? Potrebbero esserci attività legittime sepolte sotto una montagna di phishing, truffe legate alle criptovalute e cose anche peggiori?

Abbiamo deciso di scoprirlo. Abbiamo esaminato l'intero portafoglio di domini di NiceNIC: ogni registrazione, ogni indirizzo IP, ogni contenuto a cui siamo riusciti ad accedere. Il risultato è un set di dati da 24,7 MB pubblicato su GitHub, affinché chiunque possa verificarlo in modo indipendente.

La conclusione è stata unanime e inequivocabile.

Il risultato

Abbiamo cercato QUALSIASI caso d'uso legittimo. Un'unica attività commerciale in regola. Un blog personale. Un sito di portfolio. Non ne abbiamo trovato nessuno.

Questa indagine si basa sui nostri risultati iniziali. Leggi il contesto completo:

Cosa abbiamo scoperto

I domini registrati tramite NiceNIC rientrano in chiare categorie di abuso:

CategoriaPrevalenzaNote
Phishing e "drainer" nel mondo delle criptovaluteDominanteSottrazione di fondi dai portafogli, exchange fasulli, truffe legate agli airdrop
Gioco d'azzardo e casinò fasulliAlto Collegato a operazioni che abbiamo già esaminato (OFEDREX, LuxardGambling)
Phishing (Informazioni generali)AltoRaccolta di credenziali, usurpazione dell'identità del marchio
Distribuzione di malwareModeratoDownload automatici, software contraffatto
Contenuti di natura criminale non divulgatiPresente Contenuti che violano il diritto penale in ogni giurisdizione — deliberatamente non descritti

Avviso sui contenuti

Alcuni contenuti ospitati sui domini NiceNIC sono talmente estremi che descriverli in dettaglio sarebbe di per sé irresponsabile. Sono presenti categorie che violano i codici penali di tutto il mondo. Abbiamo documentato tutto. Non pubblicheremo però i dettagli.

L'unica categoria "al limite" era quella del gioco d'azzardo — ma anche quella è crollata sotto esame. I domini relativi al gioco d'azzardo riconducevano direttamente a casinò fasulli su cui avevamo già indagato: OFEDREX con le sue 383 vittime accertate, LuxardGambling con le sue pubblicità in cui compaiono celebrità create con la tecnica del deepfake. Questi non sono siti di gioco d’azzardo legittimi. Sono gli stessi siti truffaldini che cambiano solo l’aspetto esteriore.

Il collegamento con l'Hacker Forum

Il rapporto di NiceNIC con i criminali informatici va ben oltre la semplice negligenza passiva. Il registrar partecipa attivamente a tale ecosistema:

"NiceNIC mantiene una presenza attiva su BlackHatWorld, un forum noto per lo spam SEO, i toolkit di phishing e i servizi fraudolenti."
"È stato documentato che le e-mail promozionali di NiceNIC vantano un numero 'minore di segnalazioni di abusi' — un testo pubblicitario concepito appositamente per attirare clienti con intenti criminali."
"Quando viene segnalato un abuso, NiceNIC inoltra i dati di contatto personali del segnalante — compresi gli indirizzi e-mail — direttamente al proprietario del dominio. Non si tratta di una svista. È una funzionalità pensata per intimidire chi denuncia gli abusi."

Episodi salienti

Infografica: 5.000 segnalazioni di abusi inviate a NiceNIC, 0 interventi effettuati – una montagna di segnalazioni ignorate nel cestino
Infografica: 5.000 segnalazioni di abusi inviate a NiceNIC, 0 interventi effettuati — una montagna di segnalazioni ignorate nel cestino

Incidente su BreachForums

NiceNIC ha riattivato un dominio A SEGUITO di una richiesta di rimozione da parte dell’FBI, dopodiché, secondo quanto riferito, avrebbe sospeso l'account dell'FBI stesso per impedire ulteriori scambi di messaggi.

Telegram @NiceNIC_NET

Conversazioni documentate in cui si discute di disattivazione del WHOIS e fornendo servizi inattaccabili a presunti criminali.

GDPR / Violazioni della privacy

Condivisione dei dati dei segnalanti con gli autori degli attacchi: trasformare il processo di segnalazione degli abusi in un’arma contro gli informatori.

5.000 multe ignorate

Il numero non è una stima. Non è gonfiato da duplicati. Oltre 5.000 segnalazioni di abuso uniche sono state presentate contro i domini NiceNIC — ciascuna con nuove prove, ciascuna relativa a un dominio dannoso diverso. Questo conteggio esclude le segnalazioni ripetute, le segnalazioni di follow-up e le segnalazioni con riferimenti incrociati.

La reazione era sempre la stessa:

"Prove insufficienti" — La risposta automatica standard di NiceNIC ai PDF forensi contenenti rapporti di VirusTotal con oltre 15 rilevamenti da parte di diversi fornitori, screenshot a pagina intera di portali di phishing attivi, mappatura DNS e metadati tecnici.

Meccanismi di abuso

  • Ritardo di 48 ore nella sospensione: La politica interna di NiceNIC prevede che i domini segnalati rimangano attivi per 48 ore, concedendo ai truffatori tutto il tempo necessario per prosciugare le risorse delle vittime
  • Manipolazione dei dati WHOIS/RDAP: intenzionalmente disattivato o reso inoperante per i clienti su richiesta, in violazione dei requisiti di trasparenza previsti dal RAA dell’ICANN
  • Reclami chiusi automaticamente: I ticket inviati a abuse@nicenic.net vengono automaticamente inoltrati ai proprietari dei domini e chiusi

La decisione aziendale

5.000 biglietti non costituiscono una violazione delle norme. Si tratta di una decisione aziendale. Ogni ticket ignorato è protetto dal punto di vista dei ricavi.

Il nostro verdetto

Sulla base delle prove raccolte — l'analisi completa del dominio, gli oltre 5.000 ticket ignorati, la presenza sul forum degli hacker, l'incidente con l'FBI, le intimidazioni nei confronti dell'informatore e il tasso confermato pari a zero di utilizzo legittimo — PhishDestroy ha preso una decisione definitiva:

Denominazione ufficiale

Ogni dominio registrato tramite NiceNIC (IANA 3765) è ora contrassegnato come potenzialmente pericoloso nel sistema di intelligence sulle minacce di PhishDestroy. Ciò vale per la nostra API, le liste di blocco, gli avvisi del browser e tutte le integrazioni con i partner.

Non si tratta di una punizione indiscriminata. È una conclusione statistica. Quando il 100% dei contenuti esaminati è dannoso e il registrar lo favorisce attivamente, il registrar STESSO costituisce l’infrastruttura criminale.

Dichiarazione finale

Non si tratta di negligenza. Non si tratta di incompetenza. Si tratta di un modello di business basato sulla capacità di resistere agli abusi. I titolari della NiceNIC INTERNATIONAL GROUP CO., LIMITED dovrebbero essere ritenuti penalmente responsabili — non per aver omesso di agire, ma per aver scelto deliberatamente di non farlo. Stiamo aspettando che qualcuno si assuma le proprie responsabilità.

Il modello di business è chiaro: far pagare i domini ai criminali, ignorare tutte le segnalazioni di abuso, condividere i dati degli informatori con gli autori degli attacchi, fare pubblicità sui forum degli hacker. Non si tratta di una zona grigia. Si tratta di un’infrastruttura organizzata al servizio della criminalità organizzata. Un precedente giuridico in questo ambito invierebbe un messaggio a tutti i registrar “a prova di proiettile” che operano sotto l’egida dell’ICANN.

Gioca: trova un dominio valido

Rendiamo pubblica questa sfida. Il set di dati completo è stato pubblicato. Tutti i domini NiceNIC che abbiamo esaminato sono disponibili per il download e la verifica indipendente.

Le regole sono semplici: trova un unico dominio legittimo registrato tramite NiceNIC. Un'azienda vera e propria. Un sito web personale. Qualsiasi cosa che non sia phishing, truffa o peggio.

Se ne trovi uno, faccelo sapere. Noi non ne abbiamo trovato nessuno.

Segnala. Blocca. Denuncia.

Griglia dei domini NiceNIC — prova visiva della concentrazione delle attività di phishing
Griglia dei domini NiceNIC — prova visiva della concentrazione delle attività di phishing

Il modello di business di NiceNIC sopravvive grazie al silenzio. Ogni segnalazione, ogni blocco, ogni denuncia pubblica fa aumentare il costo della complicità. I dati sono di dominio pubblico. Le prove sono schiaccianti. Agite di conseguenza.

#NiceNIC#ICANN#RegistrarVerdict#Investigation#CyberCrime
Avviso sulla trasparenza. PhishDestroy è un progetto indipendente e senza fini di lucro. La nostra ricerca potrebbe riflettere un pregiudizio intrinseco nei confronti delle infrastrutture utilizzate per le truffe e dei servizi che le rendono possibili. Invitiamo i lettori a valutare tutto il materiale in modo critico e autonomo. Leggi la nostra dichiarazione completa sulla trasparenza →