L'anatomia di una rimozione: come PhishDestroy contrasta la criminalità informatica
Da un’iniziativa agli esordi nel 2019 a una forza trainante in grado di neutralizzare oltre 400.000 domini dannosi, il percorso di PhishDestroy mette in luce il potere della comunità, della tecnologia e di una reputazione conquistata con grande impegno.
Nella lotta senza tregua contro le frodi online, PhishDestroy si è affermata come una forza fondamentale, evolvendosi da un’iniziativa specifica avviata nel 2019 a un’operazione altamente efficace. La nostra missione è chiara: smantellare le infrastrutture utilizzate per il phishing e le truffe, proteggendo gli utenti in tutto il mondo. Non si tratta solo di bloccare i link dannosi, ma di comprendere l’anatomia di un attacco informatico e di neutralizzarlo alla radice.
La nostra evoluzione: da settimane a minuti
Quando PhishDestroy ha iniziato la sua attività, la rimozione di un dominio dannoso poteva richiedere settimane. Nel corso degli anni siamo cresciuti, abbiamo stretto solide alleanze e ci siamo guadagnati la fiducia dei principali attori nel panorama della sicurezza informatica. La nostra attenzione si è sempre concentrata in modo mirato sul phishing, consentendoci di sviluppare competenze specialistiche e di mantenere un tasso di falsi positivi minimo.
Oggi, ciò che un tempo richiedeva settimane può ora essere ridotto a pochi minuti. Questa accelerazione testimonia la nostra continua innovazione e la solida reputazione che ci siamo costruiti.
Il processo di rimozione
1. Rilevamento e verifica rapidi
L'individuazione avviene grazie alle segnalazioni della comunità tramite il nostro Bot di Telegram, monitoraggio automatizzato e feed di intelligence sulle minacce. I nostri team verificano rapidamente le minacce per garantire un tasso minimo di falsi positivi.
2. Analisi approfondita e raccolta di prove
I nostri analisti approfondiscono la minaccia, identificandone le caratteristiche, gli obiettivi e i metodi. Ciò comporta l'analisi del payload, la mappatura dell'infrastruttura e la valutazione dell'impatto sulle vittime. Ogni elemento di prova viene meticolosamente documentato.
3. Coordinamento strategico e azione
È qui che entra in gioco la nostra reputazione. Abbiamo instaurato solidi rapporti con centinaia di provider di hosting, registrar di domini e forze dell’ordine. Quando PhishDestroy invia una segnalazione, oltre 50 sistemi riconoscono immediatamente la nostra richiesta. Se un sito segnalato risulta effettivamente essere un sito di phishing, può essere chiuso nel giro di pochi minuti.
4. Liquidazione e monitoraggio
L'obiettivo finale è la rimozione completa. Una volta avviata la procedura di rimozione, monitoriamo lo stato del sito per assicurarci che sia offline e che rimanga tale. I nostri sforzi hanno portato alla disattivazione di oltre 500.000 domini dannosi dal 2019, con una verifica continua dopo la rimozione per individuare le infrastrutture che ricompaiono nel giro di poche ore.
Metodologia operativa: automazione, precisione, scalabilità
Il nostro modello combina reportistica della comunità con sistemi di rilevamento automatici e analisi di precisione. Il flusso di lavoro è progettato per adattarsi a qualsiasi volume, da un singolo report a migliaia di rimozioni al giorno, senza compromettere la qualità.
- Parser personalizzati analizza costantemente i risultati di ricerca SEO, gli annunci sponsorizzati e Google Ads alla ricerca di indicatori di phishing, individuando le minacce nel momento stesso in cui viene pubblicato il primo annuncio a pagamento.
- Le minacce individuate vengono automaticamente inviate a Oltre 50 produttori di antivirus e i feed di intelligence sulle minacce, massimizzando la copertura globale dei blocchi nei primi minuti successivi al rilevamento.
- Manteniamo un tasso di falsi positivi inferiore allo 0,5%, con oltre 100.000 segnalazioni convalidate — a dimostrazione del fatto che i nostri sistemi non sono solo veloci, ma anche estremamente precisi.
- I collaboratori verificati che inviano Oltre 100 rapporti accurati vengono concessi "affidabile" stato, consentendo l'invio diretto dei contenuti senza moderazione e riducendo drasticamente i tempi di rimozione per gli utenti noti come segnalatori.
- Un live contatore dei danni stima la perdita finanziaria causata ai truffatori — sulla base del valore medio dei domini e dei costi promozionali (~15 $ per dominio per le tipiche truffe legate alle criptovalute).
Fonti di rilevamento — Dove emergono le minacce
L'infrastruttura di phishing raramente si nasconde: anzi, si mette in mostra. Raccogliamo contatti da:
- Rapporti del bot di Telegram dalla nostra comunità tramite @PhishDestroy_bot — raccolta primaria da parte delle autorità pubbliche.
- Parser per SEO e annunci a pagamento — Google Ads, Bing, Yandex; le parole chiave sponsorizzate relative a portafogli crittografici, piattaforme di scambio e bridge vengono monitorate costantemente.
- Feed di intelligence sulle minacce condivisi con noi da partner e ricercatori.
- Reti honeypot e i token "canary" basati sulla seed phrase che ci avvisano quando i truffatori tentano di utilizzare dati rubati.
- WHOIS e trasparenza dei certificati monitoraggio dei domini simili di nuova registrazione che prendono di mira marchi protetti.
Conservazione delle prove — Registrazione digitale permanente
Le rimozioni sono solo il primo passo. La salvaguardia delle prove è la nostra priorità assoluta — perché un dominio cancellato è inutile per gli investigatori se non ne rimane alcuna traccia.
- Ogni dominio rilevato è archiviati tramite scanner pubblici (urlscan.io, Wayback Machine, le nostre pipeline di snapshot) per acquisire le impronte digitali complete dei siti: codice HTML, screenshot, richieste di rete, payload JavaScript.
- Ogni operazione lascia un registrazione digitale che sia a prova di cancellazione da parte degli hacker — pubblicato apertamente su Lista di eliminazione di GitHub e il Archivio ScamIntelLogs.
- Gli archivi includono pannelli di amministrazione dei truffatori, esportazioni delle chat di Telegram, flussi di pagamento, registri delle vittime e IOC, che consentono di attribuire la responsabilità e perseguire i responsabili anche molto tempo dopo la rimozione dei siti.
- Mentre i truffatori cancellano le tracce, noi le rendiamo indelebili.
Alleati e avversari tra i registrar
La velocità di rimozione dipende interamente dalla reattività del registrar e dell’host. I dati dei nostri partner evidenziano una netta differenza:
- Partner reattivi:NamecheapIl solo team dedicato agli abusi, attivo 24 ore su 24, 7 giorni su 7, ha contribuito a eliminare Oltre 30.000 domini dannosi. GoDaddy, Hostinger, Squarespace, e IONOS intervenire sistematicamente entro poche ore dalla segnalazione verificata.
- Fattori abilitanti persistenti:NiceNIC, Cosmotown, NameSilo, e Webnic ignorano ripetutamente le segnalazioni di abusi — fungendo di fatto da rifugio sicuro per le operazioni dei criminali informatici. Leggi la nostra inchiesta: Come NameSilo, Webnic e NiceNIC favoriscono le truffe a livello globale.
Ritorsioni criminali — Conferma dell'impatto
La nostra efficacia ha scatenato una reazione contraria organizzata, che consideriamo una prova del nostro impatto piuttosto che un ostacolo:
- Attacchi DDoS contro la nostra infrastruttura (mitigato da Cloudflare).
- Campagne coordinate di diffamazione e rimozione tramite inserzioni a pagamento (vedi In che modo i media a pagamento distorcono la sicurezza informatica).
- Segnalazione di massa dei nostri account sui social media per impedire la diffusione di notizie.
- Il nostro account X (Twitter) con Oltre 140.000 segnalazioni di phishing documentate è stato sospeso definitivamente a seguito delle pressioni esercitate dal responsabile dell'anagrafe — vedi NameSilo ci ha distrutto l'account Twitter. L'archivio rimane pubblico: Archivio GitHub.
I criminali cercano di cancellare le loro tracce; noi facciamo in modo che rimangano per sempre.
Status giuridico e coordinamento
Siamo un'azienda senza scopo di lucro, collettivo di operatori — non è un’azienda, non è una persona giuridica, non è affiliata ad alcun governo. Tutto ciò che facciamo è trasparente:
- Tutti i rapporti e le prove sono pubblicati apertamente su GitHub, Telegram e Mastodon: nulla viene nascosto o archiviato in modo riservato.
- Nelle indagini di ampia portata che riguardano l'attribuzione degli attori, la tracciabilità finanziaria o la mappatura delle infrastrutture, noi trasferire formalmente i fascicoli completi delle prove alle forze dell'ordine o ai team CERT.
- Tutti questi trasferimenti vengono effettuati nel pieno rispetto della legge e solo previa verifica di informazioni operative attendibili.
- Noi non conservare alcun dato personale dei collaboratori — proteggendo gli informatori da ritorsioni ed eliminando il rischio di violazioni dei dati.
Il nostro ruolo consiste nel documentare e smantellare le operazioni illecite, per poi fornire supporto a chi ha l'autorità legale per agire sulla base delle prove raccolte.
I numeri parlano chiaro
- 500,000+ Domini utilizzati per attività di phishing e truffe bloccati dal 2019.
- 130,000+ minacce attive selezionate in lista da eliminare.
- 50+ I fornitori di antivirus e le piattaforme di intelligence sulle minacce ricevono i nostri feed.
- 30,000+ domini rimossi esclusivamente tramite la partnership con Namecheap.
- <0,5% tasso di falsi positivi in 100,000+ rapporti convalidati.
- 140,000+ post archiviati dopo la sospensione del nostro account su X.
- 888.000+ abbonati della community su tutti i feed.
Come puoi dare una mano
- Segnala un dominio:@PhishDestroy_bot su Telegram.
- Iscriviti agli avvisi:@PhishDestroyAlerts.
- Utilizza la nostra lista di blocchi nel firewall, nel DNS o nello stack di sicurezza: github.com/PhishDestroy/destroylist.
- Leggi le nostre inchieste:Registrar che favoriscono le truffe, $100K returned, Oltre 150 estensioni Mozilla contraffatte.
"L'azione collettiva è la difesa più efficace. Il nostro percorso mette in luce ciò che si può ottenere quando la tecnologia, le competenze e la comunità si uniscono contro la criminalità informatica."





