Ir direto para o conteúdo principal
Voltar às notícias
Investigação de acompanhamento

Veredicto da NiceNIC: Todos os domínios analisados, nenhum uso legítimo encontrado

IANA 3765 · NiceNIC INTERNATIONAL GROUP CO., LIMITED · Hong Kong

Veredicto da NiceNIC
5,000+
Ingressos únicos ignorados
24,7 MB
Conjunto de dados do domínio publicado
0
Domínios válidos encontrados
100%
Domínios agora sinalizados

Decidimos verificar

Depois que nossa primeira investigação revelou que a NiceNIC, um registrador credenciado pela ICANN, estava facilitando o crime cibernético global, uma pergunta permaneceu: será que é realmente TUDO ruim? Seria possível que houvesse empresas legítimas escondidas sob a montanha de phishing, golpes envolvendo criptomoedas e coisas ainda piores?

Decidimos descobrir. Analisamos todo o portfólio de domínios da NiceNIC — cada registro, cada endereço IP, cada conteúdo ao qual tivemos acesso. O resultado é um conjunto de dados de 24,7 MB publicado no GitHub para que qualquer pessoa possa verificar de forma independente.

A conclusão foi unânime e inequívoca.

O resultado

Procuramos por QUALQUER caso de uso legítimo. Um único negócio idôneo. Um blog pessoal. Um site de portfólio. Não encontramos nenhum.

Esta investigação se baseia em nossas conclusões iniciais. Leia o contexto completo:

O que descobrimos

Os domínios registrados por meio da NiceNIC se enquadram em categorias claras de abuso:

CategoriaPrevalênciaNotas
Phishing e programas de drenagem de criptomoedasDominanteRoubos de carteiras, exchanges falsas, golpes de airdrop
Jogos de azar e cassinos falsosAlto Relacionado a operações que já investigamos (OFEDREX, LuxardGambling)
Phishing (Geral)AltoRoubo de credenciais, falsificação de identidade de marcas
Distribuição de malwareModeradoDownloads automáticos, software falso
Conteúdo criminoso não divulgadoPresente Conteúdo que viola a legislação penal em todas as jurisdições — deliberadamente não descrito

Aviso sobre o conteúdo

Alguns conteúdos hospedados em domínios da NiceNIC são tão extremos que descrevê-los em detalhes já seria, por si só, uma atitude irresponsável. Existem categorias que violam os códigos penais em todo o mundo. Documentamos tudo. Não divulgaremos detalhes.

A única categoria “duvidosa” foi a dos jogos de azar — mas mesmo essa não resistiu a uma análise mais detalhada. Os domínios relacionados a jogos de azar levavam diretamente a operações de cassinos falsos que já havíamos investigado: OFEDREX com suas 383 vítimas confirmadas, LuxardGambling com seus anúncios falsos envolvendo celebridades. Esses não são sites legítimos de apostas. São os mesmos esquemas fraudulentos com aparências diferentes.

A conexão com o Fórum de Hackers

A relação da NiceNIC com os cibercriminosos vai muito além da negligência passiva. O registrador participa ativamente desse ecossistema:

"NiceNIC mantém uma presença ativa no BlackHatWorld, um fórum conhecido por spam de SEO, kits de ferramentas de phishing e serviços fraudulentos."
"E-mails promocionais da NiceNIC foram documentados se gabando de 'menos denúncias de abuso' — um texto de marketing elaborado especificamente para atrair clientes criminosos."
"Quando uma denúncia de abuso é feita, a NiceNIC encaminha as informações de contato pessoais do denunciante — incluindo endereços de e-mail — diretamente ao proprietário do domínio. Isso não é um descuido. É um recurso criado para intimidar os denunciantes."

Principais incidentes

Infográfico: 5.000 denúncias de abuso enviadas ao NiceNIC, 0 medidas tomadas — uma montanha de denúncias ignoradas na lixeira
Infográfico: 5.000 denúncias de abuso enviadas ao NiceNIC, 0 medidas tomadas — uma montanha de denúncias ignoradas na lixeira

Incidente no BreachForums

NiceNIC reativou um domínio APÓS um pedido de remoção do FBI, e, segundo relatos, teria suspendido a própria conta do FBI para impedir novas trocas de mensagens.

Telegram @NiceNIC_NET

Conversas registradas nas quais se discute desativação do WHOIS e prestando serviços à prova de falhas a suspeitos de crimes.

GDPR / Violações de privacidade

Compartilhar dados de denunciantes com invasores — transformando o processo de denúncia de abusos em uma arma contra os denunciantes.

5.000 multas ignoradas

Esse número não é uma estimativa. Não contém dados duplicados. Mais de 5.000 tickets de abuso distintos foram apresentadas contra domínios da NiceNIC — cada uma com novas evidências, cada uma referente a um domínio malicioso diferente. Essa contagem exclui escalamentos repetidos, envios de acompanhamento e relatórios com referências cruzadas.

O padrão de resposta era sempre o mesmo:

“Evidências insuficientes” — resposta automática padrão da NiceNIC a PDFs forenses que contêm relatórios do VirusTotal com mais de 15 detecções de fornecedores, capturas de tela de página inteira de portais de phishing ativos, mapeamento de DNS e metadados técnicos.

Mecanismos de abuso

  • Atraso de 48 horas na suspensão: A política interna da NiceNIC permite que os domínios denunciados permaneçam ativos por 48 horas, dando aos golpistas tempo suficiente para roubar as vítimas
  • Manipulação de WHOIS/RDAP: desativado ou inoperante intencionalmente para clientes, a pedido destes, violando os requisitos de transparência do RAA da ICANN
  • Reclamações encerradas automaticamente: Os tickets enviados para abuse@nicenic.net são automaticamente encaminhados aos proprietários dos domínios e encerrados

A decisão empresarial

5.000 multas não constituem uma falha de conformidade. Trata-se de uma decisão comercial. Cada bilhete não atendido tem sua receita protegida.

Nosso veredicto

Com base nas evidências — a análise completa do domínio, os mais de 5.000 tickets ignorados, a presença em fóruns de hackers, o incidente envolvendo o FBI, a intimidação ao denunciante e a taxa confirmada de uso legítimo igual a zero —, a PhishDestroy tomou uma decisão definitiva:

Denominação oficial

Todos os domínios registrados pela NiceNIC (IANA 3765) estão agora sinalizados como potencialmente perigosos no sistema de inteligência de ameaças do PhishDestroy. Isso se aplica à nossa API, às listas de bloqueio, aos avisos do navegador e a todas as integrações com parceiros.

Isso não é uma punição generalizada. Trata-se de uma conclusão estatística. Quando 100% do conteúdo analisado é malicioso e o registrador o permite ativamente, o registrador É a infraestrutura criminosa.

Declaração Final

Isso não é negligência. Isso não é incompetência. Trata-se de um modelo de negócios baseado na resiliência ao abuso. Os proprietários da NiceNIC INTERNATIONAL GROUP CO., LIMITED devem responder criminalmente — não por terem deixado de agir, mas por terem optado deliberadamente por não agir. Estamos esperando que prestem contas.

O modelo de negócios é claro: cobrar dos criminosos pelo registro de domínios, ignorar todas as denúncias de abuso, compartilhar dados de denunciantes com os invasores e anunciar em fóruns de hackers. Isso não é uma área cinzenta. Trata-se de uma infraestrutura organizada para o crime organizado. Um precedente jurídico nesse caso enviaria uma mensagem a todos os registradores “à prova de balas” que operam sob a égide da ICANN.

Participe do jogo: Encontre um domínio válido

Estamos tornando o desafio público. O conjunto de dados completo foi publicado. Todos os domínios do NiceNIC que analisamos estão disponíveis para download e verificação independente.

As regras são simples: encontre um único domínio legítimo registrado pela NiceNIC. Uma empresa de verdade. Um site pessoal. Qualquer coisa que não seja phishing, golpe ou algo pior.

Se você encontrar algum, nos avise. Nós ainda não encontramos.

Denunciar. Bloquear. Expor.

Grade de domínios do NiceNIC — evidência visual da concentração de tentativas de phishing
Grade de domínios do NiceNIC — evidência visual da concentração de phishing

O modelo de negócios da NiceNIC se mantém graças ao silêncio. Cada denúncia, cada bloqueio, cada exposição pública aumenta o custo da cumplicidade. Os dados são públicos. As evidências são contundentes. É hora de agir.

#NiceNIC#ICANN#RegistrarVerdict#Investigation#CyberCrime
Aviso de transparência. O PhishDestroy é um projeto independente e sem fins lucrativos. Nossa pesquisa pode refletir um viés inerente contra a infraestrutura de golpes e os serviços que a possibilitam. Incentivamos os leitores a avaliarem todo o material de forma crítica e independente. Leia nossa declaração de transparência completa →