Ir direto para o conteúdo principal
Anatomia de uma remoção
CIBERDEFESA

A anatomia de uma remoção: como o PhishDestroy combate o crime cibernético

De uma iniciativa incipiente em 2019 a uma potência capaz de neutralizar mais de 400 mil domínios maliciosos, a trajetória do PhishDestroy revela o poder da comunidade, da tecnologia e de uma reputação conquistada com muito esforço.

Anatomia da remoção — scanner de detecção, verificação biométrica, martelo do registrador, extração de DNS, domínio inativo

Na batalha incansável contra a fraude online, o PhishDestroy surgiu como uma força essencial, evoluindo de uma iniciativa específica em 2019 para uma operação altamente eficaz. Nossa missão é clara: desmantelar a infraestrutura de phishing e golpes, protegendo usuários em todo o mundo. Não se trata apenas de bloquear links maliciosos; trata-se de compreender a anatomia de um ataque cibernético e neutralizá-lo em sua essência.

Nossa evolução: de semanas a minutos

Como um link de phishing desencadeia toda uma cadeia de remoções
Como um link de phishing desencadeia toda uma cadeia de remoções

Quando o PhishDestroy começou, derrubar um domínio malicioso podia levar semanas. Ao longo dos anos, crescemos, firmamos alianças sólidas e conquistamos a confiança de atores-chave no cenário da segurança cibernética. Nosso foco sempre esteve totalmente voltado para o phishing, o que nos permitiu desenvolver conhecimentos especializados e manter uma taxa mínima de falsos positivos.

Hoje, o que antes levava semanas agora pode ser reduzido a meros minutos. Essa aceleração é uma prova de nossa inovação contínua e da sólida reputação que construímos.

O processo de remoção

1. Detecção e verificação rápidas

A detecção ocorre por meio de denúncias da comunidade através do nosso Bot do Telegram, monitoramento automatizado e feeds de inteligência contra ameaças. Nossas equipes verificam rapidamente as ameaças para garantir uma taxa mínima de falsos positivos.

2. Análise aprofundada e coleta de provas

Nossos analistas investigam a ameaça em profundidade, identificando suas características, alvos e métodos. Isso envolve a análise da carga maliciosa, o mapeamento da infraestrutura e a avaliação do impacto sobre as vítimas. Cada elemento de prova é meticulosamente documentado.

3. Coordenação e ação estratégicas

É aí que nossa reputação entra em jogo. Construímos relações sólidas com centenas de provedores de hospedagem, registradores de domínios e órgãos de segurança pública. Quando o PhishDestroy envia uma denúncia, mais de 50 sistemas reconhecem instantaneamente nossa solicitação. Se um site denunciado for realmente um site de phishing, ele poderá ser desativado em questão de minutos.

4. Liquidação e acompanhamento

O objetivo final é a remoção completa. Assim que a remoção é iniciada, monitoramos o status para garantir que o site esteja fora do ar e permaneça assim. Nossos esforços resultaram na interrupção bem-sucedida de mais de 500.000 domínios maliciosos desde 2019, com verificação contínua após a remoção para detectar a reaparecimento de infraestrutura em questão de horas.

Metodologia operacional: automação, precisão, escala

Nosso modelo combina reportagens da comunidade com sistemas de detecção automatizados e análises precisas. O Pipeline foi projetado para se adaptar desde um único relatório até milhares de remoções por dia, sem comprometer a qualidade.

  • Analisadores personalizados analisar continuamente os resultados de pesquisa de SEO, anúncios patrocinados e o Google Ads em busca de indicadores de phishing — detectando ameaças no momento em que o primeiro anúncio pago é veiculado.
  • As ameaças identificadas são enviadas automaticamente para Mais de 50 fornecedores de antivírus e fontes de inteligência sobre ameaças, maximizando a cobertura global de bloqueios nos primeiros minutos após a detecção.
  • Mantemos um taxa de falsos positivos inferior a 0,5%, com mais de 100.000 relatórios validados — o que comprova que nossos sistemas não são apenas rápidos, mas também altamente precisos.
  • Colaboradores verificados que enviam Mais de 100 relatórios precisos são concedidos "confiável" status, permitindo envios diretos sem moderação e reduzindo drasticamente o tempo de remoção para denunciantes conhecidos.
  • Uma transmissão ao vivo contador de danos estima o prejuízo financeiro causado aos golpistas — com base no valor médio dos domínios e nos custos de divulgação (cerca de US$ 15 por domínio para esquemas típicos de golpes envolvendo criptomoedas).

Fontes de detecção — Onde as ameaças surgem

A infraestrutura de phishing raramente se esconde — ela se divulga. Nós coletamos leads a partir de:

  • Relatórios do bot do Telegram da nossa comunidade por meio de @PhishDestroy_bot — atendimento público primário.
  • Analisadores de SEO e anúncios pagos — Google Ads, Bing, Yandex; as palavras-chave patrocinadas relacionadas a carteiras de criptomoedas, exchanges e pontes são monitoradas continuamente.
  • Feeds de inteligência sobre ameaças compartilhadas conosco por parceiros e pesquisadores.
  • Redes “honeypot” e tokens “canary” de frase-semente que nos alertam quando golpistas tentam usar dados roubados.
  • WHOIS e transparência de certificados monitoramento de domínios semelhantes recém-registrados que tenham como alvo marcas protegidas.

Preservação de provas — Registro digital permanente

As remoções são apenas o primeiro passo. A preservação das provas é nossa principal prioridade — pois um domínio excluído não tem utilidade para os investigadores se não restar nenhum registro.

  • Cada domínio detectado é arquivado por meio de scanners públicos (urlscan.io, Wayback Machine, nossos próprios pipelines de captura de instantâneos) para capturar impressões digitais completas dos sites — HTML, capturas de tela, chamadas de rede, cargas de JavaScript.
  • Cada operação deixa um registro digital que seja imune à exclusão por parte de invasores — publicado abertamente em Lista de exclusão do GitHub e o Arquivo do ScamIntelLogs.
  • Os arquivos incluem painéis de administração de golpistas, exportações de conversas do Telegram, fluxos de pagamento, registros das vítimas e IOCs — o que auxilia na atribuição de responsabilidade e no processo judicial muito tempo depois da remoção do conteúdo.
  • Enquanto os golpistas apagam os rastros, nós os tornamos permanentes.

Aliados e adversários entre os registradores

A rapidez da remoção depende inteiramente da capacidade de resposta do registrador e do provedor de hospedagem. Os dados dos nossos parceiros mostram uma diferença marcante:

  • Parceiros que responderam:NamecheapSó a equipe de atendimento a casos de abuso 24 horas por dia, 7 dias por semana, já ajudou a eliminar Mais de 30.000 domínios maliciosos. GoDaddy, Hostinger, Squarespace, e IONOS agir sistematicamente poucas horas após o recebimento de uma denúncia comprovada.
  • Fatores facilitadores persistentes:NiceNIC, Cosmotown, NameSilo, e Webnic ignoram repetidamente denúncias de abuso — funcionando, na prática, como refúgios para operações de cibercriminosos. Veja nossa investigação: Como a NameSilo, a Webnic e a NiceNIC facilitam golpes globais.

Retaliação criminal — Confirmação do impacto

Nossa eficácia gerou uma reação organizada, que consideramos uma prova de impacto, e não de perturbação:

  • Ataques DDoS contra nossa infraestrutura (mitigado pelo Cloudflare).
  • Campanhas coordenadas de difamação e remoção por meio de divulgações pagas de relações públicas (ver como a mídia paga distorce a segurança cibernética).
  • Relatórios em massa de nossas contas nas redes sociais para impedir a divulgação de notícias.
  • Nossa conta no X (Twitter) com Mais de 140.000 denúncias documentadas de phishing foi suspenso permanentemente após pressão do secretário — veja NameSilo acabou com o nosso Twitter. O arquivo continua disponível ao público: Arquivo do GitHub.

Os criminosos tentam apagar seus rastros; nós garantimos que esses rastros permaneçam para sempre.

Status jurídico e coordenação

Somos uma sem fins lucrativos, coletivo de operadores — não é uma empresa, não é uma pessoa jurídica, não está afiliada a nenhum governo. Tudo o que fazemos é transparente:

  • Todos os relatórios e evidências são publicados abertamente no GitHub, no Telegram e no Mastodon — nada é ocultado ou armazenado de forma privada.
  • Em investigações de grande porte que envolvam a identificação de atores, rastreamento financeiro ou mapeamento de infraestrutura, nós transferir formalmente os pacotes completos de provas para as autoridades policiais ou equipes CERT.
  • Todas essas transferências são realizadas em total conformidade com a lei e somente quando são verificadas informações de inteligência que justifiquem uma ação.
  • Nós não armazene nenhum dado pessoal dos colaboradores — protegendo os denunciantes contra retaliações e eliminando o risco de violação de dados.

Nosso papel é documentar e neutralizar operações maliciosas e, em seguida, apoiar aqueles que têm autoridade legal para agir com base nas evidências.

Em números

  • 500,000+ domínios de phishing e golpes desativados desde 2019.
  • 130,000+ ameaças ativas selecionadas em lista de destruição.
  • 50+ Os fornecedores de antivírus e as plataformas de inteligência contra ameaças recebem nossos feeds.
  • 30,000+ domínios removidos exclusivamente por meio da parceria com a Namecheap.
  • <0,5% taxa de falsos positivos em 100,000+ relatórios validados.
  • 140,000+ relatórios arquivados após a suspensão da nossa conta no X.
  • Mais de 888 mil assinantes da comunidade em todos os feeds.

Como você pode ajudar

"A ação coletiva é a defesa mais forte. Nossa trajetória mostra o que é possível alcançar quando a tecnologia, o conhecimento especializado e a comunidade se unem contra o crime cibernético."

#CyberDefense#Takedown#Phishing#Community

Compartilhe este artigo

Investigações relacionadas

$0 Takedowns: How We Disrupt Phishing Infrastructure
INVESTIGAÇÃO
$0 Takedowns: How We Disrupt Phishing Infrastructure
Métricas de impacto: mais de 500 mil ameaças de phishing neutralizadas
MÉTRICAS
Métricas de impacto: mais de 500 mil ameaças de phishing neutralizadas
NameSilo, Webnic, NiceNIC: Registradores que facilitam golpes
INVESTIGAÇÃO
NameSilo, Webnic, NiceNIC: Registradores que facilitam golpes
Aviso de transparência. O PhishDestroy é um projeto independente e sem fins lucrativos. Nossa pesquisa pode refletir um viés inerente contra a infraestrutura de golpes e os serviços que a possibilitam. Incentivamos os leitores a avaliarem todo o material de forma crítica e independente. Leia nossa declaração de transparência completa →