Editorial — Artigo de opinião

O verdadeiro inimigo não é o golpista. É o registrador que está descontando os cheques dele.

O golpista é um elemento insignificante e substituível em uma economia de desespero. O registrador que aceita sua criptomoeda com um sorriso — e a ICANN, que não o obriga a prestar contas por isso — é que são o problema.

PhishDestroyOperação independente de pesquisa contra o phishing11 minutos de leitura
O verdadeiro inimigo não é o golpista — é o registrador — um artigo de opinião do PhishDestroy

Vamos ser brutalmente honestos sobre algo que o setor de combate à fraude não gosta de admitir abertamente: a maioria dos golpistas não são gênios do crime. Eles não são sofisticados. A maioria deles mal tem competência.

Pare de perseguir os soldados rasos

Há anos que rastreamos os autores de ameaças. Observamos como eles se transformam de um esquema para outro: hoje são operadores de roubo de dados, amanhã desenvolvedores de esquemas de drenagem de fundos e, no próximo trimestre, lojas de carding. Vemos como eles migram suas identidades falsas e infraestrutura — na Suíça neste mês, na Turquia no próximo. Eles não se escondem muito bem. Deixam rastros que até mesmo um analista iniciante conseguiria seguir. A maioria deles acabou entrando nesse “negócio” por um motivo simples: não tinham outra saída e não tinham inteligência suficiente para nada legítimo.

Então, por que o problema continua crescendo? Porque o número de malfeitores é enorme, e caçá-los um por um é matematicamente inútil.

Veja a nossa própria plataforma de inteligência no Telegram. São quase 130 mil agentes mal-intencionados só no nosso conjunto de dados — e isso é apenas um conjunto de dados.

4,678
fontes rastreadas no Telegram (4.394 ativas)
Mais de 12,4 milhões
mensagens coletadas
129,718
perfis de agentes maliciosos únicos
10×
substitutos gerados por cada eliminação
Visualização editada do painel de inteligência do PhishDestroy no Telegram — cerca de 95.000 contas detectadas em 3.485 bots monitorados, com identificadores individuais pixelados
Uma única varredura nos bots monitorados do Telegram: 94,972 contas identificadas em 3,485 bots. Os identificadores individuais são omitido — aparecer na lista de usuários de um bot monitorado é um uma pista, não um veredicto.

Some-se a isso os milhares de outros identificados por investigações anteriores de outras equipes de pesquisa, e o quadro fica claro: não é possível resolver o problema de uma população desse porte apenas com prisões. Prenda um agente, um grupo — após meses de trabalho jurídico, pesadelos com jurisdições transfronteiriças e valores envolvidos que raramente interessam às autoridades — e dez substitutos surgem na mesma semana. O golpista individual é um elo barato e substituível.

A matemática só muda quando você altera a dinâmica econômica. Enquanto os golpes continuarem baratos — domínios baratos, registradores que não fazem perguntas, pagamentos em criptomoedas sem verificação alguma —, eles continuarão sendo muito comuns. A única estratégia que funciona em grande escala é tornar os golpes caros. E isso leva diretamente às pessoas que, atualmente, os tornam baratos:

Os registradores.

Os números indicam que se trata de uma crise. O setor finge que é apenas uma questão climática.

Essa não é a nossa opinião. Essa é a realidade comprovada da internet:

FBI IC3 · 2024

$16B lost, +33% YoY

O IC3 do FBI recebido 859.532 reclamações em 2024, com prejuízos declarados superiores a $16 billion — um aumento de 33% em relação a 2023 — e o principal crime cibernético em termos de volume de denúncias foi o phishing/spoofing. Quase 150 mil denúncias envolveram ativos digitais, totalizando $9.3 billion em prejuízos — um aumento de 66% em relação ao ano anterior.

Interisle · 2025

Aumentou 180% desde 2021

Estudo anual da Interisle Consulting, ao analisar quase quatro milhões de denúncias de phishing entre maio de 2024 e abril de 2025, constatou que o número de denúncias de phishing atingiu quase dois milhões de ataques — um aumento de mais de 180% desde 2021. O mesmo relatório destaca a facilidade com que os criminosos exploram políticas setoriais e práticas comerciais permissivas para adquirir nomes de domínio.

Leia essa última frase novamente. A principal pesquisa independente na área afirma exatamente o que dizemos: o fator determinante é a prática permissiva do setor. Não é a genialidade dos golpistas. É a permissividade. E a concentração comprova isso: a Interisle descobriu que, em uma campanha, uma amostra de 37.000 nomes de domínio relacionados ao golpe de pedágio não pago revelou que 65% foram registrados por meio de um único registrador chinês.

A economia do golpe não está distribuída aleatoriamente pela internet. Ela se concentra em torno de registradores específicos — porque os golpistas buscam o silêncio.

Os registradores não são neutros. Eles são participantes remunerados.

Existe um mito reconfortante de que os registradores são uma “infraestrutura neutra” — prestadores de serviços passivos, sem qualquer interesse no que acontece nos domínios que vendem.

Isso é mentira. Um registrador é uma entidade com fins lucrativos que obtém receita diretamente de cada domínio de phishing que se recusa a suspender. Cada denúncia de abuso ignorada representa receita garantida. Cada resposta do tipo “não podemos julgar o conteúdo” é uma decisão comercial disfarçada de posição jurídica.

Os golpistas não escolhem um registrador pela página de preços ou pelo design. Eles escolhem o registrador que não faz perguntas, não suspende domínios, aceita criptomoedas sem verificação e ignora as denúncias de abuso. Isso é um mercado. Isso é um produto. E os próprios dados do setor mostram quem o comercializa. De acordo com Conclusões da Interisle, os cinco principais registradores de gTLDs, segundo o volume bruto de phishing, foram NameSilo, GoDaddy, GMO (Onamae), PublicDomainRegistry e NameCheap; quando normalizados por domínios sob gestão, os mais utilizados indevidamente foram NiceNIC, URL Solutions, Aceville, WebNic e OwnRegistrar — sendo que a NiceNIC registrou que 45% de seu portfólio de gTLDs foi alvo de phishing.

Quarenta e cinco por cento de um portfólio foi sinalizado por phishing. Em que ponto a “infraestrutura neutra” se transforma em “cadeia de suprimentos criminosa”?

Quem regula os registradores? Tecnicamente, a ICANN. Na prática, ninguém.

Acima dos registradores está a ICANN. Acima da ICANN não há ninguém.

Um URL de phishing “aprovado” por um selo de acreditação enquanto a criptografia sofre perdas — a lacuna na fiscalização da ICANN
A acreditação como mero formalismo: o §3.18 da RAA obriga os registradores a tomarem medidas contra abusos — mas um regime de conformidade em que o cumprimento é opcional não constitui regulamentação.

Acordo de Credenciamento de Registradores da ICANN de 2013, Seção 3.18, obriga contratualmente cada registrador credenciado a manter um contato para denúncias de abuso e a tomar medidas razoáveis e imediatas para investigar e responder adequadamente às denúncias de abuso. No papel — um dever exigível.

Na prática? Pelo que observamos diariamente na linha de frente, estimamos que um único registrador que facilite abusos viole a cláusula 3.18, no mínimo ~1.000 vezes por ano — denúncias ignoradas, “investigações” fantasmas, domínios de phishing deixados ativos por semanas enquanto as vítimas sofrem prejuízos. Se extrapolarmos isso para todo o setor ao longo de cinco anos, o número real de falhas da categoria 3.18 provavelmente chega a um milhão de denúncias ignoradas ou mal conduzidas. Ninguém sabe o número real, porque ninguém é obrigado a contabilizá-lo. Esse é o ponto.

E o conjunto de ferramentas de fiscalização da ICANN? Na prática, trata-se de um único botão nuclear: revogar o credenciamento. Sem multas. Sem penalidades progressivas. Sem indenização às vítimas. E esse botão é acionado quase exclusivamente contra registradores que já estão inativos — empresas-fantasma que deixaram de pagar taxas. Por quê? Porque a ICANN é financiada pelas taxas dos próprios registradores que ela “regulamenta”. Cortar um registrador grande, lucrativo e com alto índice de abusos significa cortar sua própria receita. Ela é estruturalmente incapaz de querer fazer cumprir as regras.

A ICANN assumiu nominalmente o papel de órgão regulador — justamente para preservar sua independência e manter os governos fora do processo. O resultado: uma regra que nenhum registrador teme. Sim, há precedentes — notificações de conformidade e advertências (O caso da WebNIC (entre elas). Veja as consequências. Uma carta com tom severo versus um modelo de negócios que gera milhões. Um regime de conformidade em que o cumprimento é opcional não é regulamentação. É encenação.

Estudo de caso: NameSilo — “o que mais cresce”, o que mais ignora

A NameSilo é uma empresa de capital aberto. Ela apresenta relatórios à bolsa de valores indicando receitas na casa dos milhões e se apresenta como um dos registradores que mais crescem no mundo. Além disso, segundo uma pesquisa independente citada acima, ela ocupa o primeiro lugar no ranking de volume bruto de phishing. Coincidência? Eis o que testemunhamos pessoalmente:

Documentado

Vinte relatos e, em seguida, “nenhum relato anterior”

Denunciamos um site de phishing à NameSilo. Não foi só uma vez — pelo menos 20 relatos documentados nesse único domínio, com provas, capturas de tela, digitalizações e análises. Nada aconteceu até que levamos o caso a público no Twitter/X. A resposta pública da NameSilo: que eles “não haviam recebido nenhuma denúncia prévia”. Um registrador de capital aberto, diante de evidências documentadas de vinte denúncias de abuso ignoradas, alegou publicamente que as denúncias não existiam. Isso significa ou um canal de denúncias de abuso com falhas que eles se recusam a consertar, ou uma mentira pública. Nenhuma das duas opções é aceitável — e ambas são lucrativas.

Quantos pedidos de proteção de usuários dos EUA a NameSilo ignorou diretamente para evitar a perda de receita? Vamos responder com base em nossa experiência: não apenas muitos — acreditamos que a maioria. E não há qualquer prestação de contas por isso.

E fica ainda melhor. A NameSilo descreveu publicamente como ajudou um cliente — sobre o qual alegou não ter recebido nenhuma reclamação — a remover as detecções do VirusTotal. Veja a lógica:

  • Solicitação para suspender um domínio de phishing: "Não temos competência para determinar o que é malicioso."
  • Ajudando um cliente pagante: de repente, passou a ter competência para anular os veredictos de detecção emitidos por fornecedores de segurança da Fortune 500.

Você não pode usar a incompetência técnica como desculpa e a autoridade técnica como serviço. Escolha uma das duas. Isso não é um acidente nem um caso isolado. É um padrão: adorar o dinheiro, não fazer nada, não prestar contas a ninguém.

Qual é, na verdade, o valor de um credenciamento da ICANN: Trustname, neste momento

O conflito de interesses é estrutural e simples: Um órgão regulador nunca deve obter sua receita diretamente das partes que regula. A ICANN faz isso — e entendemos que seus cerca de 400 funcionários estão, sem dúvida, ocupados com assuntos mais urgentes do que a segurança dos usuários cujas carteiras esses domínios foram criados para esvaziar.

Veja aqui o que essa certificação realmente vale na prática, na realidade atual. Considere Nome do fundo fiduciário (Fewmoretaps OÜ) — um registrador que nós documentado em detalhes. No papel, é uma empresa estoniana; na prática, é administrada a partir de Bielorrússia por um único proprietário-operador — seu acionista único, diretor executivo e único funcionário. Receita declarada para 2024: 120 €. A empresa só começou a vender domínios de fato neste ano. E sua acreditação na ICANN (IANA nº 4318) é ainda em atividade, mesmo com a empresa em liquidação. Dos cerca de 7.641 domínios que administra, 86% dos que estão ativos são confirmados como maliciosos.

Foi a essa empresa que a ICANN concedeu um selo de confiança. E essa não é a nossa avaliação de como ela lida com abusos — é a da Trustname própria política contra abusos publicada:

“De acordo com as diretrizes da ICANN, na maioria dos casos, para tomar medidas contra um domínio, é necessário apresentar ao registrador uma ordem judicial válida ou o consentimento do registrante.”

“As denúncias recebidas exclusivamente por meio de sistemas automatizados de análise de ameaças são tratadas como pistas para investigação, e não como provas conclusivas… A Trustname também pode solicitar a confirmação de que o suposto abuso ainda esteja em andamento no momento da análise.”

“Denúncias de abuso enviadas por meio de serviços de e-mail gratuitos ou anônimos (por exemplo, @gmail.com, @proton.me) estão sujeitas a verificação adicional.”

“Não avaliamos a legalidade do conteúdo de um site e só tomaremos medidas mediante orientação das autoridades policiais ou em casos evidentes de violação dos nossos termos.”

Se a gente analisar isso como um sistema, o design é inconfundível: um válido decisão judicial abordar um determinado domínio; detecções reais rebaixadas a meras “pistas”; a exigência de que você reconfirme o golpe é ainda moram no momento da análise — depois de terem protelado o suficiente; uma “verificação” extra para quem enviar denúncias pelo Gmail ou Proton; e uma recusa generalizada em avaliar o conteúdo, com um redirecionamento educado para “entre em contato com seu provedor de hospedagem”. Junte isso a proteções de privacidade controladas pelos registradores, que aceitam criptomoedas e descartam correspondência física, e você não terá um processo de denúncia de abuso. Você tem à prova de balas graças à burocracia — e está escrito no papel timbrado de um registrador credenciado pela ICANN.

Isso incrimina diretamente a ICANN. Uma entidade administrada pela Bielorrússia — composta por uma única pessoa, com receita de 120 euros e em processo de liquidação — possui um credenciamento válido e publica abertamente uma política elaborada para nunca suspender nada. A ferramenta mais eficaz que a ICANN possui para responder a isso é uma carta; a resposta que temos visto a tais cartas é uma atualização dos Termos, e não uma suspensão. Um órgão regulador cuja sanção máxima seja uma carta — à qual se responde com uma alteração nos Termos — não é um órgão regulador. Enquanto isso, todos os dias, pessoas reais perdem dinheiro com .com e outros domínios que passam por operadores como esse enquanto a burocracia se arrasta. Três ordens judiciais para retirar do ar uma página de phishing ativa não constituem o devido processo legal; é uma farsa, e é uma farsa que a ICANN endossa ao credenciar os operadores que exigem isso.

A Trustname não é um acidente isolado; é o que acontece quando o processo de acreditação é superficial e não presta contas. Várias jurisdições da UE — entre elas a Estônia (onde existe uma longa lista dessas empresas de fachada, Keitaro (incluído), e o Reino Unido, com sua constituição de empresas a preços extremamente baixos — vendem acesso a empresas e serviços a um preço que elimina qualquer verificação real. O resultado é um ambiente de desconfiança inerente, mesmo para empresas legítimas, porque ninguém está verificando e ninguém presta contas. Também nos deparamos com variantes dessa mesma barreira imposta por ordem judicial em relação a certas operadoras com código de país; esses casos serão documentados separadamente.

// The regulator that isn’t

O que caracteriza um órgão regulador eficaz

  • Multas progressivas, que variam de acordo com o dano causado
  • Penas que não chegam à pena de morte
  • Indenização repassada às vítimas
  • Auditorias independentes — e não autodeclaração
  • Financiamento independente do setor regulamentado
  • Capacidade de impedir um dano em tempo real em questão de horas

O que a ICANN possui

  • Uma sanção: uma carta em tom firme
  • Apenas encerrar — usado principalmente em shells já inativos
  • Zero multas. Zero indenizações.
  • Cumprimento do sistema de confiança e autodeclaração
  • Financiado pelas taxas cobradas dos registradores que “regulamenta”
  • Vítimas de abuso deixadas vivas por semanas, apesar das exigências de uma “ordem judicial”
120 €Receita declarada pela Trustname para 2024
86%de seus domínios ativos, maliciosos
$0multas que a ICANN pode aplicar
1ferramenta de fiscalização — uma carta

A ICANN não deixou de regulamentar o mercado de domínios.
Nunca foi construído para isso.

A solução é óbvia: multas e responsabilização

Não estamos pedindo poderes de censura. Estamos pedindo o que todos os outros setores já têm: consequências financeiras em caso de negligência contratual.

Multas progressivas

  • Um registrador ignora três denúncias comprovadas de abuso — com provas, imagens digitalizadas e análises anexadas — relativas ao mesmo domínio malicioso? Penalidade automática.

Responsabilidade perante as vítimas

  • Multas a serem pagas às vítimas ou ao estado onde o crime ocorreu.
  • Se um usuário dos EUA perder fundos em um domínio de phishing sobre o qual o registrador foi alertado e não tomou nenhuma providência — o registrador compartilha da responsabilidade por não ter cumprido seu dever explícito de mitigar os danos.

Transparência pública

  • Transparência obrigatória na divulgação de denúncias de abuso — denúncias recebidas, prazos de resposta, medidas tomadas — publicada trimestralmente e passível de auditoria.
  • O NameSilo nunca poderia afirmar que “não há registros anteriores” em relação a um registro público.

Auditorias independentes

  • Auditorias independentes sobre o tratamento de casos de abuso como condição para a renovação da acreditação — e não a autoavaliação.

Os registradores vão alegar que “não se pode esperar que eles determinem o que é phishing”. Contra-pergunta: vocês são capazes de receber o dinheiro e assinar as obrigações de acreditação — mas incapazes de cumpri-las? Se um registrador realmente não consegue avaliar uma denúncia de abuso acompanhada de provas, ele não tem o direito de manter uma acreditação que, por contrato, exige exatamente isso.

O que deveria substituí-lo: um registro aberto e em tempo real de casos de abuso

Não estamos propondo uma segunda ICANN — não precisamos disso. Dois dos sistemas essenciais da internet já dão uma ideia da resposta: Transparência de certificados TLS/SSL e WHOIS — registros abertos, pesquisáveis e públicos. O tratamento de abusos deve funcionar da mesma maneira: um registro público e transparente de todas as denúncias de abuso recebidas por um registrador e das medidas exatas que ele tomou em resposta a elas — com registro de data e hora, auditável e impossível de negar posteriormente.

Com esse quadro em mente, grande parte do teatro atual desmorona:

  • Não há nenhuma ordem judicial de um tribunal estrangeiro para impedir uma ameaça iminente. Uma página de phishing que esvazia carteiras é um dano imediato; bloqueá-la não deveria exigir uma decisão judicial de algum tribunal em uma ilha em uma zona offshore. As evidências constam no relatório, e os registros públicos mostram se o registrador tomou alguma medida.
  • A triagem pode ser automatizada. Os registradores insistem que estão sobrecarregados com “ataques” e denúncias infundadas — o que é exatamente o tipo de filtragem que um Camada de IA funciona bem: separar o ruído, destacar os casos comprovados e registrar todas as decisões. Um mecanismo simples e honesto instalado no início do fluxo de denúncias de abuso já teria um desempenho superior ao atual “não-processo” humano. Não é preciso um número 2 da ICANN para isso.
  • A desculpa não vale mais. Um registrador recebe uma comissão por cada domínio que vende; lidar com abusos é a outra metade dessa transação, não uma cortesia. A desculpa de que “não estamos qualificados” da NameSilo é uma decisão comercial, não uma limitação técnica — e uma empresa que realmente não consegue distinguir um kit de phishing de tráfego legítimo deveria se dedicar a seus outros negócios, em vez de, por padrão, facilitar operações fraudulentas e de phishing.
  • Chega de “nunca recebemos uma denúncia”. A WebNic e a NiceNic nos responderam com respostas automáticas exigindo uma captura de tela que já estava anexada ao relatório; a NameSilo afirmou publicamente que “nunca houve uma única reclamação”. Nenhuma dessas alegações resiste à comparação com um registro público com data e hora.

E o livro-razão apresenta a única consequência que importa exequível. Quando uma vítima perde dinheiro para um domínio dias depois Como já havia um relatório comprovado nos autos — e os registros públicos mostram que o registrador o ignorou —, isso não é mais uma infeliz zona cinzenta. Trata-se de uma falha documentada com data e hora registradas, e o registrador deve arcar com a responsabilidade financeira por esse incidente específico.

Basta atribuir um valor à carteira que um registrador deixou esvaziar depois que o alertamos, e todos os registradores do mundo descobrirão sua competência da noite para o dia.

Esse é todo o mecanismo. No momento em que ignorar uma denúncia passa a custar mais do que agir com base nela, a desculpa de que “não temos qualificação” chega ao fim, os setores de combate a abusos de repente encontram orçamento e pessoal, e os golpistas que tentam comprar o silêncio descobrem que não há mais silêncio para comprar — e abandonam discretamente os domínios com os quais contavam.

A transparência é a solução. Não dá para simplesmente ignorar discretamente um relatório que todos podem ver que você recebeu.

Conclusão

$16 billion in reported losses in a single year. Phishing up 180% since 2021. 130,000 malicious actors in one monitoring dataset alone. And the entire pipeline still starts the same way: a cheap domain, sold by a registrar that will never answer for its silence.

O golpista é o sintoma — um elo substituível e, na maioria das vezes, pouco inteligente em uma economia de desespero. O registrador que aceita suas criptomoedas com um sorriso, ignora vinte denúncias de abuso e, em seguida, mente publicamente sobre o assunto — essa é a doença. E a “regulamentação” meramente decorativa da ICANN é o sistema imunológico que decidiu não aparecer.

As fraudes continuarão sendo generalizadas exatamente enquanto continuarem sendo baratas. E continuarão sendo baratas exatamente enquanto os registradores permanecerem em silêncio — e não pagarem nada por esse silêncio.

Continuaremos a citar nomes. Continuaremos a divulgar provas. Os registradores não são neutros. A impunidade é o modelo de negócios. É hora de tornar isso caro.

Fontes e referências

  1. Centro de Denúncias de Crimes na Internet (IC3) do FBI — Relatório sobre Crimes na Internet de 2024 (859.532 reclamações; US$ 16,6 bilhões em perdas relatadas; phishing/spoofing em primeiro lugar em volume de reclamações).
  2. Interisle Consulting Group — Panorama do Phishing em 2025 (≈2 milhões de ataques de phishing; aumento de 180% desde 2021; concentração de registradores/TLDs; amostra de 37.000 domínios envolvidos em golpes de cobrança).
  3. ICANN — Acordo de Credenciamento de Registradores de 2013, §3.18 (ponto de contato para casos de abuso; obrigação de tomar medidas razoáveis e imediatas para investigar e responder a casos de abuso).
  4. Conformidade Contratual da ICANN — Notificação de violação à Web Commerce Communications (WebNic), 29 de julho de 2025.

Os dados foram extraídos das fontes primárias acima; a interpretação e os comentários são de responsabilidade dos autores.

Identifique quem está facilitando isso. Avalie o custo do silêncio.

A equipe do PhishDestroy — Uma iniciativa independente de pesquisa contra o phishing