Ir direto para o conteúdo principal
Voltar às notícias
Quando as denúncias de abuso não dão em nada — Falha na resposta do registrador
INVESTIGAÇÃO • 15 a 18 minutos de leitura

Quando as denúncias de abuso não dão em nada: como os registradores se tornam cúmplices silenciosos do crime cibernético

Enviamos denúncias de abuso repletas de evidências — detecções do VirusTotal, capturas de tela, dados de listas negras, análises de antivírus. Os registradores recebem essas denúncias e não tomam nenhuma providência. Alguns domínios de phishing continuam ativos 1.788 horas e 13 relatórios distintos. Isso não é uma falha do sistema — é uma escolha de projeto. Aqui estão os dados.

O sistema falho

Cada denúncia de abuso que enviamos segue um protocolo claro: URL do domínio, categoria (phishing, crypto drainer, cassino falso), número de detecções no VirusTotal, capturas de tela como prova e status na lista negra. Não se trata de reclamações vagas — são pacotes forenses. E, mesmo assim, domínio após domínio permanece online por semanas e meses após o primeiro relatório.

Não existe um padrão universal sobre como os registradores devem lidar com denúncias de abuso. Não há SLA. Não há prazo de resposta obrigatório. Não há métrica de prestação de contas. Cada registrador decide por conta própria se um domínio sinalizado por 16 mecanismos antivírus merece atenção — ou uma resposta padrão e um ticket encerrado.

1.788 h
payscrow[.]bet — ativo há 75 dias, apesar de 6 denúncias e 16 detecções no VirusTotal. Registrador: Tucows / Identity Digital.

Quem supera os 16 mecanismos antivírus?

Essa é a pergunta que nenhum registrador quer responder. Quando Kaspersky, ESET, Fortinet, BitDefender, Sophos, G-Data e mais dez fornecedores de segurança sinalizam um domínio como malicioso no VirusTotal — e a equipe de combate a abusos do registrador decide "não é necessária nenhuma ação" — quem exatamente tomou essa decisão?

Considere o absurdo: um único analista de abusos em um registrador anula as informações combinadas de inteligência contra ameaças de 16 mecanismos antivírus independentes, cada uma com bilhões de pontos de dados, laboratórios de pesquisa dedicados e décadas de experiência. Com base em quê? Que infraestrutura de varredura a equipe de combate a abusos da NiceNIC ou da GlobalDomainGroup utiliza que supere a da Kaspersky?

A resposta é simples: nenhuma. Eles não analisam. Não verificam. Ou nem sequer dão uma olhada no relatório, ou se baseiam em um cálculo financeiro: um domínio ativo gera receita; um domínio suspenso, não.

farewex[.]com — 13 denúncias de abuso enviadas. 13 detecções no VirusTotal. Ativo por 1.352 horas (56 dias). O registrador (apiname.com / Verisign) recebeu evidências de fornecedores de antivírus, plataformas de inteligência contra ameaças e da equipe de conformidade da ICANN. O domínio ainda está ativo. Quem decidiu que isso é aceitável?

Vamos deixar bem claro o que isso significa: alguém na entidade registradora analisou as evidências apresentadas por 13 fornecedores independentes de segurança e 13 denúncias distintas de abuso — e decidiu que seu próprio julgamento era superior. Isso não é um erro. É uma política.

Nenhuma autoridade que eles respeitem

Cite um único fabricante de antivírus que os registradores considerem uma referência. Você não consegue — porque não existe nenhum.

  • Kaspersky — detecta o domínio? Ignorado.
  • ESET — identifica como phishing? Ignorado.
  • Fortinet — bloqueia isso no nível da rede? Ignorado.
  • BitDefender — alerta milhões de usuários? Ignorado.
  • Google Safe Browsing — o maior sistema de segurança na internet do mundo? E mesmo assim é ignorado.

Existe sem limite de detecção em que um registrador é obrigado a agir. Nem 5 mecanismos. Nem 10. Nem 16. Um domínio pode ser sinalizado por todos os fornecedores de antivírus no VirusTotal, aparecer em várias listas negras e ter uma dúzia de denúncias de abuso registradas — e o registrador não tem nenhuma obrigação legal de tomar qualquer medida.

Isso não é uma falha no sistema. Este é o sistema. O setor de registro de domínios conseguiu evitar qualquer norma vinculativa que os obrigasse a respeitar as conclusões de pesquisadores de segurança, fornecedores de antivírus ou plataformas de inteligência contra ameaças. Quando 16 dos 70 mecanismos detectam um domínio — isso não é um “talvez”. Isso é um consenso. E a equipe de combate a abusos do registrador, sem nenhuma infraestrutura de varredura e com interesse financeiro em manter o domínio ativo, ignora esse consenso.

0
O número de fornecedores de antivírus cujos registros de detecções são obrigado para agir. Nem a Kaspersky. Nem a ESET. Nem o Google. Zero.
A “Muralha do Silêncio” do setor — mais de 50.000 domínios denunciados ainda estão online, bloqueados pela NiceNIC, Tucows, GlobalDomainGroup, apiname, Porkbun, Dynadot e Endurance
Mais de 50.000 denúncias de abuso registradas. A barreira do registrador permanece intacta. Os domínios continuam no ar.

O incentivo financeiro

Os registradores de domínios cobram taxas anuais por cada domínio. Cada suspensão representa uma perda de receita. Cada remoção representa um risco de reembolso. Existe um incentivo financeiro direto e mensurável para manter os domínios ativos — e nenhuma penalidade financeira por ignorar denúncias de abuso.

Isso não se aplica a todos os provedores de infraestrutura. Cloudflare, por exemplo, processa denúncias de abuso com eficiência e não obtém receita com registros de domínios da mesma forma. Essa distinção é importante: quando a empresa que processa sua denúncia lucra com o fato de o domínio permanecer online, o conflito de interesses é estrutural.

As evidências: dados em tempo real de nossos relatórios

A seguir, apresentamos um exemplo extraído do nosso registro de escalonamento de casos de abuso de março de 2026. Cada entrada representa um domínio de phishing real que foi ainda em atividade no momento da elaboração deste relatório, apesar de relatos anteriores e detecções confirmadas.

DomínioRelatóriosAtivo (horas)VTBLAbuso por parte do registrador
payscrow[.]bet61.788 h16Tucows
6chicken9[.]top41.783 h41Resistência
apphyena[.]trade21.781 h3NiceNIC
airdrop[.]autos31.364 h41Gname
amlstats[.]com71.363 h141Tucows
amlscore[.]info71.363 h91Tucows
amlwallets[.]io41.363 h101nic.io
aavleaderboard[.]assetavenue[.]capital21.359 h1IdentityDigital
airdropchime[.]com21.359 h1Namecheap
farewex[.]com131.352 h13apiname.com
app[.]whitewhalesmeme[.]com41.330 h14Verisign
zordex[.]us31.314 h14apiname.com
alhpatrademarket[.]com21.278 h15GlobalDomainGroup
angelferno[.]com21.278 h71NiceNIC
ansol[.]cc41.278 h41NiceNIC
amltrackerbot[.]com21.278 h61Tucows
amlstatement[.]info41.228 h16Porkbun
a8vx[.]top21.049 h16Dynadot
amlinfo[.]now21.033 h2Porkbun
xwinner[.]cc41.026 h14GlobalDomainGroup
xerowex[.]com61.021 h14apiname.com
menty[.]sbs4985h16gen.xyz
perowex[.]com5971h14apiname.com
amlbot[.]im4965h6nic.im
3capitalstrading[.]com2879h2GlobalDomainGroup
naebex[.]com5826h11PDR
casbatle[.]com2803h2NiceNIC
amlchecknow[.]digital2751h6PDR
sollfalare[.]top2730h3Resistência
marketcsgo[.]net2717h15GlobalDomainGroup
dinadrop[.]com2717h6GlobalDomainGroup
dotabuff[.]org2674h2PIR
casesbattle[.]org2652h2PIR
763182819[.]top2618h15Gname
kahcas[.]com5539h14INWX
qizaro[.]cc5535h12GlobalDomainGroup
apexresolvefix[.]com2496h3Cosmotown
amlriskscore[.]ru2448h1cctld.ru
patricksstash[.]to2427h2tonic.to
stashhpatrick[.]cc2427h5NiceNIC
stake2win[.]me2402h14domain.me
wazbee[.]me2388h16domain.me
dexscreener[.]at2328h16nic.at
2fa[.]walletpinet[.]com116Verisign
appether[.]fi1131

VT = Detecções do VirusTotal em cerca de 70 motores. “Ativo” = horas desde a primeira detecção no momento da escalação. Dados: registro de escalação de abusos do PhishDestroy, 19 a 21 de março de 2026.

Os números não mentem

Tempo médio de atividade

943h

~39 dias, em média, em todos os domínios com horário de funcionamento conhecido

Tempo máximo de atividade

1.788 h

payscrow[.]bet — 75 dias, 6 relatórios, VT:16

Total de relatórios enviados

150+

Relatórios combinados de todos os domínios apenas nesta amostra

Domínios com VT ≥ 10

22

Quase metade de todos os domínios — confirmados como maliciosos por mais de 10 mecanismos antivírus — ainda estão ativos

Os reincidentes: análise por cartório

Nem todos os registradores são iguais. Nossos dados mostram padrões claros — alguns registradores aparecem repetidamente entre os que apresentam pior desempenho.

apiname.com

  • farewex[.]com — 1.352 horas, 13 denúncias, VT:13
  • zordex[.]us — 1.314 horas, 3 denúncias, VT:14
  • xerowex[.]com — 1.021 horas, 6 denúncias, VT:14
  • perowex[.]com — 971h, 5 denúncias, VT:14

4 domínios. No total: 4.658 horas de infraestrutura criminosa. 27 denúncias ignoradas.

GlobalDomainGroup

  • xwinner[.]cc — 1.026h, VT:14
  • marketcsgo[.]net — 717h, VT:15
  • dinadrop[.]com — 717h, VT:6
  • qizaro[.]cc — 535h, VT:12
  • csgomy[.]com — 356h, VT:9
  • tastdrop[.]com — 357h, VT:2
  • casebatle[.]com — 327h, VT:6
  • casebatltle[.]com — 327h, VT:2
  • chestix[.]net — 293h, VT:1
  • ggddrop[.]com — 365h, VT:1

10 domínios. O maior agrupamento isolado em nosso conjunto de dados. Um padrão, não um acaso.

Tucows / IdentityDigital

  • payscrow[.]bet — 1.788h, 6 denúncias, VT:16
  • amlstats[.]com — 1.363h, 7 relatórios, VT:14, BL:1
  • amlscore[.]info — 1.363 horas, 7 denúncias, VT:9, BL:1
  • amltrackerbot[.]com — 1.278 horas, 2 denúncias, VT:6, BL:1

Tucows: 22 denúncias no total, 5.792 horas de fraudes. O amlstats recebeu 7 denúncias — uma por semana — e resistiu a todas elas.

NiceNIC (nicenic.net)

  • apphyena[.]trade — 1.781h, VT:3
  • angelferno[.]com — 1.278 h, VT:7, BL:1
  • ansol[.]cc — 1.278 horas, 4 relatórios, VT:4, BL:1
  • casbatle[.]com — 803h, VT:2
  • stashhpatrick[.]cc — 427h, VT:5
  • casebaetle[.]com — 310h, VT:2
  • casebattle[.]info — primeiro relato, VT:1
  • appalmanak[.]live — primeira reportagem, VT:2

8 áreas. Mais de 5.877 horas no total. Já investigados: Veredicto da NiceNIC — não foram encontrados usos legítimos.

Porkbun

  • amlstatement[.]info — 1.228 h, 4 relatos, VT:16
  • amlinfo[.]now — 1.033 horas, 2 relatórios, VT:2
  • amlspace[.]com — 712h, 2 denúncias, VT:1

amlstatement[.]info: 16 detecções de antivírus, 4 denúncias e 51 dias online. O que a equipe de combate a abusos da Porkbun considerou aceitável?

Dynadot

  • a8vx[.]top — 1.049h, 2 relatos, VT:16
  • aave[.]events — primeiro relatório, VT:2, BL:1
  • aavetrading[.]net — primeiro relatório, VT:9

a8vx[.]top: 16 detecções de VT e 44 dias de atividade criminosa. A Dynadot é um registrador credenciado pela ICANN.

domain.me

  • wazbee[.]me — 388h, VT:16
  • stake2win[.]me — 402h, VT:14

Ambos os domínios apresentaram de 14 a 16 detecções por antivírus. Ambos continuavam ativos após o segundo relatório.

Parceiros silenciosos no crime cibernético — Diagrama de rede mostrando registradores conectados ao Hub ABUSE IGNORED com horas de inatividade
Cada nó é um registrador credenciado pela ICANN. Cada número representa o número de horas em que uma infraestrutura criminosa confirmada permaneceu online após denúncias de abuso.

Total de horas de inatividade por secretário

NiceNIC
5.877 h
Tucows
5.792 h
GlobalDomainGroup
5.520 h+
apiname.com
4.658 h
Porkbun
2.973 h
Resistência
2.513 h
Dynadot
1.049h+
domain.me
790h

Total de horas ativas de todos os domínios relatados por registrador em nosso conjunto de dados de março de 2026. Não se trata do total de abusos por parte dos registradores — apenas do que observamos em uma amostra.

O que enviamos x o que eles fazem

Cada denúncia de abuso no PhishDestroy inclui:

Nosso relatório contém

  • URL do domínio e dados de registro
  • Pontuação no VirusTotal com os nomes dos fornecedores
  • Captura de tela de página inteira do site de phishing
  • Classificação por categoria (phishing, drainer, cassino fraudulento)
  • Status na lista negra proveniente de vários feeds
  • URLscan.io ou resultados de varredura semelhantes
  • Histórico e cronograma de relatórios anteriores

Resposta do registrador

  • Nenhuma resposta (o mais comum)
  • Confirmação de recebimento do modelo, sem necessidade de ação
  • "Vamos analisar" — as semanas se passam, o domínio permanece
  • "Não podemos confirmar a alegação" — apesar das 16 detecções de VT
  • Tíquete encerrado sem resolução
  • Solicitação de provas já apresentadas

Diante da falta de ação do registrador, encaminhamos o caso para Conformidade com a ICANN (compliance@icann.org). Em todos os casos apresentados acima, a ICANN foi incluída em cópia no segundo relatório ou nos relatórios subsequentes. Os resultados? Igualmente inexistentes.

A norma da ICANN que não existe

Da ICANN Acordo de Credenciamento de Registradores (RAA), Seção 3.18 exige que os registradores mantenham um contato para denúncias de abuso e que “tomem medidas razoáveis e imediatas para investigar e responder de forma adequada” às denúncias de abuso.

Na prática, “razoável e imediato” significa o que o registrador decidir que significa. Há:

  • Sem tempo máximo de resposta — um registrador pode esperar semanas e alegar que isso foi “razoável”
  • Não há limite mínimo para a suspensão obrigatória — 16 detecções de VT não acionam automaticamente nada
  • Não há exigência de divulgação pública — os registradores não são obrigados a divulgar quantas denúncias recebem nem a informar as medidas que tomam a respeito
  • Nenhuma penalidade significativa — A ICANN raramente revogou o credenciamento por omissão diante de abusos

O resultado: os registradores tratam o gerenciamento de abusos como um centro de custos a ser minimizado, e não como uma obrigação de segurança a ser cumprida.

Como deveria ser o padrão: Confirmação em 24 horas. Ação em 72 horas para domínios com VT ≥ 10. Suspensão automática após 3 ou mais denúncias independentes. Relatórios trimestrais públicos sobre métricas de abuso. Multas financeiras por descumprimento sistemático.

Eles agem contra o typosquatting — mas não contra o phishing

Eis o que torna isso ainda mais absurdo. Alguns desses mesmos registradores que ignoram denúncias de phishing por meses são extremamente eficientes em um tipo específico de abuso: typosquatting — domínios que são semelhantes a ponto de causar confusão com nomes de marcas já estabelecidas.

Por quê? Porque o typosquatting tem como alvo empresas com orçamentos jurídicos. Quando o Google, a Apple ou a Microsoft apresentam uma reclamação UDRP sobre um domínio semelhante, os registradores agem em questão de dias. A ameaça de litígio e de sanções da ICANN por abuso de marca registrada é real e imediata.

Mas e quando um domínio de phishing rouba dinheiro de vítimas individuais? Quando um “crypto drainer” esvazia as economias de uma vida inteira de alguém? Quando um cassino falso rouba dados de cartão de crédito de jogadores? Sem equipe jurídica corporativa. Sem processo UDRP. Sem urgência. O departamento de abuso do registrador aplica um padrão diferente — no qual o prejuízo financeiro da vítima não suscita a mesma reação que uma questão relacionada à marca registrada de uma empresa.

Relatório sobre typosquatting

  • Proprietário da marca entra com um pedido de UDRP
  • O registrador responde em poucos dias
  • Domínio bloqueado/suspenso rapidamente
  • Consequências jurídicas da omissão

Denúncia de phishing/golpe

  • Vítimas/pesquisadores registram denúncias de abuso
  • O registrador ignora a situação por semanas/meses
  • O domínio permanece ativo até o vencimento
  • Nenhuma consequência pela inércia

A mensagem é clara: Os registradores protegem marcas, não pessoas. Eles respondem à autoridade legal, não às evidências de dano. Nossos relatórios contêm mais evidências objetivas do que qualquer petição apresentada no âmbito da UDRP — análises do VirusTotal, detecções de antivírus, confirmações de listas negras, capturas de tela — e, mesmo assim, permanecem sem resposta.

Nós fazemos o trabalho deles — de graça

O PhishDestroy é um projeto independente e sem fins lucrativos. Analisamos domínios. Classificamos ameaças. Geramos relatórios do VirusTotal. Fazemos capturas de tela. Redigimos relatórios detalhados de abuso e os enviamos aos registradores, aos registros e à ICANN. Nós realizamos o trabalho de segurança que os registradores deveriam estar fazendo por conta própria.

E eis a verdade incômoda: Alguns registradores realmente realizam esse trabalho. Alguns registradores mantêm sua própria infraestrutura de varredura de domínios, utilizam fontes privadas de inteligência contra ameaças e suspendem proativamente domínios maliciosos antes mesmo que alguém os denuncie. Eles existem. Eles provam que isso é possível.

Registradores que agem

  • Executar ferramentas de varredura internas (privadas, não públicas)
  • Suspender proativamente domínios que apresentem indícios evidentes de fraude
  • Responder às denúncias de abuso em poucas horas
  • Colaborar com pesquisadores e autoridades policiais
  • Aceitar os dados do VirusTotal e da lista negra como prova

Esses registradores comprovam que uma resposta rápida a casos de abuso é viável tanto do ponto de vista técnico quanto econômico.

Registradores que protegem golpistas

  • Não há absolutamente nenhuma infraestrutura de digitalização
  • Espere pelos relatórios e, depois, ignore-os
  • Respostas padrão, ticket encerrado, domínio ativo
  • Negar o recebimento de relatórios (padrão NameSilo)
  • Ignorar 16 mecanismos antivírus sem nenhuma evidência

Esses registradores priorizaram a receita em detrimento da segurança. Sua inércia é subsidiada pela comunidade de segurança, que realiza o trabalho deles de graça.

A questão não é se é possível responder rapidamente a casos de abuso. É mesmo. A questão é por que alguns registradores optam por não fazer isso. E a resposta, sempre, remete ao mesmo incentivo estrutural: Domínios ativos geram receita. Domínios suspensos, não.

Normas oficiais que devem ser aplicadas

Já existe uma estrutura para responsabilizar os registradores — só que ela não é aplicada:

ICANN RAA §3.18

O Contrato de Credenciamento de Registrador exige que os registradores mantenham canais de contato para denúncias de abuso e investiguem as denúncias prontamente. Na prática, a fiscalização é praticamente inexistente.

APWG

O Grupo de Trabalho Anti-Phishing publica relatórios trimestrais sobre as tendências de phishing, mostrando a dimensão do problema. Os registradores participam do APWG — e, mesmo assim, ignoram os relatórios.

Ações da FTC

O Carta de advertência da FTC à NameSilo (dezembro de 2024) destacou explicitamente a falta de medidas contra a fraude. A própria ICANN Departamento de Conformidade recebe nossas escalações e não responde.

DNSAI

O Instituto de Abuso de DNS (pelo PIR) desenvolve ferramentas como o DAAR e promove as melhores práticas. No entanto, o próprio registro do PIR hospeda os domínios dotabuff[.]org (674h ativo, VT:2) e casesbattle[.]org (652h).

50.000 domínios e esse número não para de crescer

Os exemplos acima são um amostra de uma única semana. A escala real é impressionante.

Mais de 50 mil
Domínios de phishing ativos em nosso lista de destruição que receberam denúncias de abuso. A maioria são ainda online.

Nosso feed de ameaças, atualizado continuamente, em content_active.txt contém mais de 50.000 domínios que foram denunciados como maliciosos. Cada um deles recebeu pelo menos uma denúncia de abuso. Muitos receberam várias. Os registradores receberam as evidências — as análises do VirusTotal, as capturas de tela, as confirmações da lista negra — e priorizaram seus clientes em detrimento da segurança do público.

Porque é disso que se trata: uma escolha. O cliente do registrador é a pessoa que registrou o domínio — o golpista. O cliente do registrador não é a avó que perdeu suas economias em um site bancário falso, nem o usuário de criptomoedas cuja carteira foi esvaziada, nem o jogador cuja conta do Steam foi roubada. O registrador escolheu o golpista. Sempre.

50.000 domínios, zero responsabilidade — Linha de produção de domínios de phishing com a indicação “SEM AÇÃO” da NiceNIC, Tucows, GlobalDomainGroup, apiname e Porkbun
A esteira rolante das denúncias de abuso: os domínios chegam com detecções VT:16, recebem o carimbo “SEM AÇÃO” e seguem adiante. Os nomes dos registradores aparecem em destaque acima da linha que criaram.

Da denúncia às vítimas: cada hora conta

No momento em que enviamos uma denúncia de abuso, o prazo começa a correr. A partir desse momento, o registrador é oficialmente ciente de que um domínio sob sua gestão está sendo usado para cometer fraudes. Cada hora de inação após essa notificação é uma hora de cumplicidade consciente.

Muitos domínios em nosso conjunto de dados não sobrevivem apenas a algumas denúncias — eles sobrevivem até que seu o prazo de inscrição expira. Eles seguem todo o ciclo: registram, aplicam o golpe, são denunciados, são denunciados novamente, o caso é encaminhado à ICANN, continuam aplicando golpes e o domínio expira naturalmente. O registrador recebeu a taxa de registro. O golpista ficou com os fundos roubados. As vítimas não receberam nada.

NameSilo negou publicamente ter recebido denúncias de abuso das quais temos provas documentadas de que foram enviadas. Quando um registrador mente sobre o recebimento de denúncias para se eximir de responsabilidade, que recursos as vítimas têm? Talvez seja hora de uma auditoria independente sobre o tratamento dado às denúncias de abuso por parte dos registradores — uma auditoria que compare as denúncias enviadas com as medidas tomadas, com resultados divulgados publicamente.

A suspensão oportuna de um domínio não é apenas uma medida administrativa. Não se trata apenas de “um inconveniente para o registrante”. É uma operação de resgate. Cada domínio bloqueado a tempo representa uma carteira que não foi esvaziada, uma credencial que não foi roubada, uma conta poupança que não foi esvaziada. Os registradores que apresentam essas remoções como “censura” ou “interrupção dos negócios” estão revelando exatamente a quem servem.

Os registradores deveriam indenizar as vítimas?

Eis a questão que todo o setor de registro de domínios se recusa a abordar:

Se um registrador receber uma denúncia de abuso comprovada por evidências — com detecções do VirusTotal, capturas de tela e confirmações de inclusão em listas negras — e optar por não tomar medidas, ele será responsável pelos danos causados às vítimas a partir desse momento?

Pense nisso. Assim que o registrador receber o relatório, ele estará não mais ignorante. Eles foram informados, com provas, de que um domínio sob seu controle está sendo usado para roubar dinheiro, credenciais e identidades. A partir desse momento, a inércia contínua não é negligência — é uma decisão consciente para permitir que ocorra dano.

  • O registrador está disposto a assumir a responsabilidade? por cada dólar roubado por meio de um domínio sobre o qual eles foram alertados?
  • O registrador está disposto a indenizar as vítimas? quem perdeu dinheiro depois que a denúncia de abuso foi apresentada e ignorada?
  • A equipe jurídica do registrador você entende que “analisamos e não encontramos nenhum problema” — quando 16 mecanismos antivírus discordam — não é uma posição defensável?

Se a resposta para todas as três perguntas for “não” — então não há motivo válido para manter o domínio ativo. Suspender primeiro, investigar depois. É assim que os provedores de infraestrutura responsáveis atuam. É assim que a Cloudflare atua. É assim que provedores de hospedagem como a Hetzner e a OVH atuam cada vez mais. Apenas os registradores de domínios se apegam a um modelo em que a conveniência do golpista se sobrepõe à segurança da vítima.

Quem paga o preço

Cada hora que um domínio de phishing permanece online se traduz diretamente em vítimas:

  • Domínios que roubam criptomoedas (farewex, perowex, xerowex, naebex) — carteiras esvaziadas em segundos. As 4.658 horas combinadas dos domínios do apiname.com representam milhares de possíveis esvaziamentos de carteiras.
  • Cassinos falsos / Golpes relacionados ao CS:GO (casebattle variants, csgomy, ggddrop, tastdrop) — fraude com cartão de crédito, roubo de identidade e manipulação de resultados direcionados a jogadores.
  • Falsificação de identidade de serviço (dexscreener[.]at, trustwallet[.]receipts[.]sh, amlbot[.]im, dotabuff[.]org) — falsificação de identidade de marcas, resultando em roubo de credenciais e prejuízos financeiros.
  • Infraestrutura de cardagem (patricksstash, stashhpatrick) — venda de dados de pagamento roubados a outros criminosos.
75
dias O fato de o site payscrow[.]bet ter continuado em operação — o equivalente a deixar um batedor de carteiras em um shopping center por 2,5 meses depois que a segurança foi informada sobre ele, viu as imagens e identificou o suspeito.

O que precisa mudar

O modelo atual é falho por natureza. Os registradores lucram com a manutenção dos domínios ativos. A ICANN não tem poder de fiscalização. As vítimas não têm a quem recorrer. Eis o que resolveria o problema:

  1. SLA obrigatório para resposta a denúncias de abuso: Confirmação em 24 horas, ação inicial em 72 horas, fluxo de escalonamento em 7 dias. Mensurável. Auditável.
  2. Limite de suspensão automática: Qualquer domínio com ≥10 detecções no VirusTotal e 2 ou mais relatórios independentes deve ser suspenso até que seja analisado — e não o contrário.
  3. Relatórios públicos sobre transparência em casos de abuso: Todo registrador credenciado pela ICANN deve publicar trimestralmente: relatórios recebidos, tempo médio de resposta, medidas tomadas e domínios suspensos.
  4. Multas por descumprimento: Multas progressivas para os registradores que sistematicamente deixam de agir. Perda do credenciamento para os infratores reincidentes.
  5. Ombudsman independente para casos de abuso: Um órgão independente capaz de revisar as decisões do registrador, reverter a inércia e acelerar o processo de suspensão em casos de ameaças graves.
  6. Lista de bloqueio entre registradores: Quando for confirmado que um registrante é um infrator reincidente, todos os registradores credenciados devem ser notificados. Chega de “domain shopping”.

O que o PhishDestroy fez a respeito

Não nos limitamos a elaborar relatórios e esperar que o setor se corrija por conta própria. Criamos sistemas que exigem transparência e estabelecem consequências para a inércia.

Banco de Dados Público de Ameaças

Criamos e mantemos o lista de destruição — um banco de dados público e constantemente atualizado com mais de 50.000 domínios maliciosos. Cada denúncia de abuso que enviamos agora é comunicada ao registrador: esse domínio será listado em um banco de dados público. As vítimas em potencial dos domínios de seus clientes poderão ver quando a denúncia foi apresentada e por quanto tempo o registrador a ignorou. Isso é incômodo para os registradores — e é exatamente esse o objetivo.

Páginas de ameaças a domínios

Cada domínio que sinalizamos agora tem uma página dedicada em phishdestroy.io/domain — com análise completa, descrição da ameaça gerada por IA e um Pipeline de resposta a ameaças mostrando as etapas exatas do processamento: detecção, envio do relatório, escalonamento, notificação à ICANN. Os status são atualizados em tempo real. Agora estamos adicionando registros de data e hora exatos de cada relatório de acompanhamento para garantir total transparência. Qualquer pessoa pode ver exatamente quando o registrador foi notificado e por quanto tempo ele optou por não tomar nenhuma medida.

Sistema de escalonamento — Não relatar alagamentos

Nós fazemos não inundar os registradores com relatórios duplicados. Em 98% dos casos, enviamos um único relatório inicial e não o repetimos — tanto devido aos limites diários de e-mail quanto porque acreditamos que a duplicação em massa não é a abordagem correta. Só enviamos um relatório de acompanhamento quando um domínio está detectado novamente como ativo durante uma nova varredura. Se enviássemos spam para todos os domínios ativos diariamente, isso significaria 50.000 e-mails por dia. Mas não fazemos isso. Nosso sistema de escalonamento gera relatórios de acompanhamento (n.º 2, n.º 3 etc.) com resumos de ameaças analisados por IA, pontuações atualizadas do VirusTotal e uma contagem das horas que o registrador ignorou a ameaça.

Ferramenta de reenvio de relatórios da comunidade

No nosso bot do Telegram @PhishDestroy_bot, os usuários agora podem enviar relatórios repetidos para domínios que eles identificaram como ainda ativos após nosso relatório inicial. Como muitos registradores permitem que golpistas atuem livremente e ignoram os danos catastróficos causados, damos voz à comunidade. Se um registrador não nos der ouvidos, talvez dê ouvidos ao grande número de denúncias independentes feitas por usuários reais.

Uma observação aos proprietários de projetos fraudulentos e aos registradores negligentes: Se você acha que estamos “atacando” você com relatórios em massa — não é o caso. Enviamos um relatório por evento de detecção. Se você está recebendo muitos relatórios, é porque possui muitos domínios maliciosos. Os relatórios são todos diferentes, referentes a domínios distintos, com evidências diferentes. O problema não é o nosso volume de relatórios — é seu portfólio de domínios.

PhishDestroy — não protegemos marcas. Não defendemos vítimas. Nós destruímos infraestruturas de phishing e golpes.

Conclusão

Quando 16 mecanismos antivírus indicam que um domínio é malicioso e um registrador responde “sem ação”, o registrador não está exercendo seu julgamento — está protegendo sua receita. Quando 13 denúncias de abuso distintas ficam sem resposta e um domínio permanece ativo por 1.352 horas, o registrador não está lidando com um acúmulo de trabalho — está facilitando a prática de crimes.

Os dados apresentados neste artigo não são teóricos. Trata-se do nosso registro real de escalação de denúncias de abuso referente a uma única semana em março de 2026 — e por trás disso estão Mais de 50.000 domínios registrados em nosso feed de ameaças, que é atualizado constantemente. Não se trata de um problema isolado relacionado a um único registrador. Trata-se de um falha generalizada no setor que o ecossistema de registro de domínios não tem interesse em resolver, pois o modelo atual é lucrativo.

Não há nenhum fornecedor de antivírus cujas conclusões os registradores sejam obrigados a respeitar. Não há nenhum limite de detecção que desencadeie uma ação obrigatória. Não há SLA, nem prestação de contas, nem consequências. O registrador cobra a taxa, ignora os relatórios e as vítimas pagam o preço.

Os registradores não são provedores neutros de infraestrutura. Eles são os guardiões que optam — todos os dias, a cada denúncia ignorada — por manter a infraestrutura criminosa ativa. Eles estão cientes dos danos causados. Têm o poder de impedir isso. Mas optam por não fazê-lo. E até que alguém lhes faça a única pergunta que importa — "Vocês estão dispostos a indenizar as vítimas dos domínios que se recusaram a suspender?" — nada vai mudar.

O silêncio do setor sobre essa questão é a resposta mais eloquente de todas.

#AbuseReports#ICANN#Registrars#VirusTotal#PhishingTakedown#Investigation#CyberSecurity

Pesquisas relacionadas

Registradores que facilitam golpes globais
Como a NameSilo, a Webnic e a NiceNIC mantêm viva a infraestrutura de golpes ao ignorar denúncias de abuso.
Veredicto da NiceNIC
Todos os domínios da NiceNIC foram analisados — não foi encontrado nenhum uso legítimo em todo o portfólio.
Investigação sobre a NiceNIC
Revelando a IANA 3765 — o registrador da ICANN que alimenta o cibercrime global com uma pontuação de phishing de 1.141,74.
Aviso de transparência. O PhishDestroy é um projeto independente e sem fins lucrativos. Nossa pesquisa pode refletir um viés inerente contra a infraestrutura de golpes e os serviços que a possibilitam. Incentivamos os leitores a avaliarem todo o material de forma crítica e independente. Leia nossa declaração de transparência completa →