Часто задаваемые вопросы

Наша система ежедневно обрабатывает тысячи доменов, проходящих четыре этапа:

Этап 1: Превентивное обнаружение и сбор данных

Мы используем распределенную сеть Более 30 собственных парсеров для выявления вредоносных доменов на самой ранней стадии:

• Журналы Certificate Transparency (CT) — мониторинг новых SSL-сертификатов в режиме реального времени для выявления фишинговых доменов в течение нескольких минут после их регистрации
• Мониторинг DNS — отслеживание регистрации новых доменов и подозрительных настроек
• Обнаружение вредоносной рекламы — постоянный мониторинг Google Ads, результатов поиска, оптимизированных с помощью SEO, а также популярных кампаний в социальных сетях Twitter/X, YouTube и Telegram
• Типосквоттинг — использование dnstwist и собственных эвристических алгоритмов для выявления похожих доменов, нацеленных на известные бренды
• Общественная разведка — получение данных в режиме реального времени через наш бот в Telegram, по электронной почте и через каналы наших партнеров
• Агрегация фишинговых новостей — интеграция с более чем 13 общедоступными источниками, включая OpenPhish, PhishTank и URLhaus

Этап 2: Анализ и оценка

• 95 двигателей AV через VirusTotal
• Дополнительные данные WHOIS/DNS (регистратор, серверы имен, геолокация по IP-адресу, страна)
• Анализ SSL-сертификатов (эмитент, SAN, сроки действия)
• Снятие снимков экрана и сопоставление визуального контента
• Идентификация фишинговых наборов
• Расчет оценки риска (0–100) на основе более 12 взвешенных сигналов

Этап 3: Отчетность по поставщикам по всему миру

После подтверждения мы отправляем в Более 50 поставщиков одновременно:

Кроме того, направляются официальные уведомления о злоупотреблениях регистраторам доменов и хостинг-провайдерам с приложением пакетов доказательств.

Этап 4: Прозрачность для общественности

• Фиксации в режиме реального времени в Репозиторий Destroylist
• Панель мониторинга в режиме реального времени по адресу phishdestroy.io/live
• Автоматические уведомления о Twitter, Telegram, и Mastodon
• Условное повторное обнаружение: повторные оповещения, если угроза остается активной более 24 часов

Каждому домену присваивается оценка риска от 0 до 100 на основе взвешенных сигналов:

Уровни серьезности:

70–100 КРИТИЧЕСКОЕ40–69 ВЫСОКИЙ20–39 лет (в среднем)1–19 НИЗКИЙ

Кроме того, наши внутренние отчеты по доменам (на phishdestroy.io/domain) используют отдельную усовершенствованную систему оценки, которая учитывает результаты VirusTotal, возраст WHOIS, SSL-шаблоны, анализ контента, степень подражания бренду, а также исторические показатели злоупотреблений со стороны регистраторов по более чем 12 критериям.

В основном только списки заблокированных список домены. Мы занимаемся комплексным анализом угроз:

• Превентивное обнаружение — мы перехватываем домены через несколько минут после их регистрации, не давая им попасть к злоумышленникам
• Тщательное расследование — мы отслеживаем криптовалютные транзакции в блокчейне, составляем карту инфраструктуры, декомпилируем фишинговые наборы и устанавливаем связь между кампаниями и их организаторами
• Доступ на уровне корневой директории — мы получили доступ к панелям доступа к системам слива данных, исходному коду фишингового набора и журналам чатов операторов, что позволило нам получить беспрецедентное представление о методах, тактиках и процедурах (TTP) злоумышленников
• Активное удаление — мы не просто помечаем домены; мы направляем пакеты доказательств регистраторам, хостинг-провайдерам и более чем 50 поставщикам антивирусных решений и отслеживаем каждый домен до тех пор, пока он не перестанет существовать
• Проверка контента — наши каналы с проверкой контента выходят за рамки DNS: мы отправляем реальные HTTP-запросы, чтобы убедиться, что фишинговая страница действительно работает, и выявляем попытки маскировки
• Отчетность регистратора — мы публично отслеживаем показатели злоупотреблений со стороны регистраторов и время их реагирования, тем самым обеспечивая подотчетность недобросовестных провайдеров

Проверка контента означает, что мы не просто проверяем, разрешается ли домен (DNS), но и фактически посещаем страницу, чтобы убедиться в наличии фишингового контента.

Это важно, потому что мошенники используют маскировку: они показывают поддельные или пустые страницы автоматизированным сканерам, в то время как реальным пользователям отображается настоящая фишинговая страница. Домен, НЕ входящий в наш список проверенных ресурсов, не это не значит, что он безопасен — возможно, он просто замаскирован.

Наши каналы с проверенным контентом:

• Основное содержание — подборка доменов с подтвержденным активным фишинговым контентом (обновляется каждые 12 часов)
• Контент сообщества — агрегированные ленты с проверенным контентом (обновляются каждые 24 часа)

Для максимальной защиты используйте наш Начальная школа or Общие вопросы сообщества каналы, которые включают все домены независимо от статуса проверки контента.

У нас уровень ложноположительных результатов ниже 0,01 %. Каждый результат автоматического обнаружения проходит несколько уровней проверки, прежде чем будет сформирован отчет. Мы обеспечиваем:

• Список разрешенных — составленный вручную список надежных доменов, которые никогда не попадают в черный список
• 48-часовые апелляции — каждый ложноположительный результат оперативно проверяется и устраняется
• Постоянное уточнение классификатора — мы отслеживаем исход каждого апелляционного разбирательства и обновляем алгоритмы обнаружения
• Кросс-валидация с использованием нескольких источников — домены должны вызвать несколько сигналов, прежде чем их статус будет подтвержден

Мы отслеживаем все основные семейства программ, крадущих средства с кошельков, и типы фишинговых наборов:

• Злоупотребление функцией Wallet Connect — Поддельные запросы WalletConnect позволяют похитить разрешения
• Инферно Дрейнер — один из самых активных пользователей, использующих несколько цепочек
• Энджел Дрейнер — усовершенствованный дренаж с поддержкой NFT
• Pink Drainer — комбинация социальной инженерии и дренажа
• Фишинг с использованием поддельных разрешений/согласований — Уязвимости, связанные с утверждением токенов ERC-20 (Permit2)
• Кража семенной фразы — поддельные формы «подтвердить кошелек» или «синхронизировать кошелек»
• Мошенничество, связанное с AML/KYC — поддельные страницы подтверждения соответствия
• Мошенничество с аирдропами — страницы с фальшивыми заявлениями о выдаче токенов
• Мошенничество в сфере инвестиций — поддельные торговые платформы, финансовые пирамиды
• Солана Дрейнер — Наборы для слива средств из кошельков Solana

Просмотрите нашу базу данных по тип мошенничества, метод мошенничества или целевой бренд.

Этот API угроз PhishDestroy является бесплатный, открытый API обеспечение оценки рисков доменов в режиме реального времени по 883 тыс.+ угрозы. API-ключ не требуется.

Конечные точки:

Пример:

curl "https://api.destroy.tools/v1/check?domain=suspicious-site.xyz"

Ответ включает: threat (логическое значение), risk_score (0–100), severity (критический/высокий/средний/низкий), lists (в каких контейнерах находится этот домен), и last_seen временная метка.

Мы предлагаем 7 различных источников данных через Репозиторий Destroylist:

Рекомендуется: Использование list.json or active_domains.json для производства. Использовать blocklist.json для максимального охвата.

Все каналы доступны в JSON и текст формат. Списки корневых доменов (без поддоменов, без учета хостинг-провайдеров) также доступны отдельно.

Каждый канал доступен в 7 форматов для мгновенной интеграции:

Все форматы доступны по адресу: github.com/phishdestroy/destroylist/tree/main/rootlist/formats/

Python:

import requests

r = requests.get(f"https://api.destroy.tools/v1/check?domain={domain}")
data = r.json()
if data["threat"]:
    print(f"BLOCKED: {data['severity']} (score: {data['risk_score']})")

JavaScript:

const r = await fetch(`https://api.destroy.tools/v1/check?domain=${domain}`);
const data = await r.json();
if (data.threat) console.warn("PHISHING:", data.severity, data.risk_score);

Массовая проверка (до 500 доменов):

curl -X POST "https://api.destroy.tools/v1/check/bulk" \
  -H "Content-Type: application/json" \
  -d '{"domains":["site1.com","site2.xyz","site3.top"]}'

Простая проверка списка заблокированных адресов (Bash):

curl -s https://raw.githubusercontent.com/phishdestroy/destroylist/main/list.txt \
  | grep -q "suspicious-domain.com" && echo "BLOCKED"

Списки корней содержат только домены верхнего уровня — без поддоменов, при этом исключаются хостинг-провайдеры (Vercel, Pages.dev, Netlify и т. д.). Это делает их идеальным выбором для:

• Правила брандмауэра — блокировать целые домены, а не только отдельные поддомены
• Блокировка DNS — безопасно для DNS-резолверов, без риска блокировки легитимных хостинговых платформ
• Анализ регистратора — очищенные данные для расчета показателя злоупотреблений

Доступно три варианта:

• Все корни — все подтвержденные корневые домены
• Только в прямом эфире — Активные корневые серверы с подтверждением DNS
• Только услуги — размещение субдоменов платформы отдельно (Vercel, Pages.dev, Netlify и т. д.)

Каждый отчет по домену представляет собой исчерпывающее досье разведывательной информации, содержащее:

• Оценка риска — Комплексный рейтинг угрозы по шкале от 0 до 100 с классификацией по степени серьезности
• Результаты VirusTotal — результаты обнаружения 95 антивирусных движков с разбивкой по производителям
• Снимок экрана — визуальный снимок, сделанный во время сканирования (более 75 тыс. скриншотов, сохраненных локально)
• Данные WHOIS — регистратор, дата создания, данные о владельце домена, серверы имен
• Записи DNS — A, MX, NS, TXT с геолокацией по IP-адресу и флагами стран
• SSL-сертификат — эмитент, срок действия, альтернативные имена субъекта (SAN)
• Статус черного списка — включение в более чем 11 основных списков заблокированных сайтов
• Тип мошенничества — мошенничество с выманиванием денег из кошельков, кража семенной фразы, мошенничество с аирдропами, инвестиционное мошенничество и т. д.
• Ориентированный на бренд — под какой легальный бренд маскируется мошенник (более 350 отслеживаемых брендов)
• Связанные домены — другие домены, использующие общую инфраструктуру, фавикон или фишинговый набор
• Cloudflare Radar — статус классификации домена
• Сканирование URLQuery — дополнительный анализ безопасности

Возможные причины:

• Ваш домен был ранее скомпрометированный и использоваться для фишинга без вашего ведома
• Ваш домен использует ту же инфраструктуру (IP-адрес, серверы имен), что и известные фишинговые домены
• Автоматический классификатор выдал ложноположительный результат — это происходит менее чем в 0,01 % случаев
• Кто-то подал жалобу на ваш домен через каналы сообщества

Важно: PhishDestroy не блокирует домены напрямую. Мы направляем уведомления поставщикам антивирусных решений и регистраторам, которые самостоятельно принимают решения о блокировке. Если ваш домен был помечен ошибочно, подать апелляцию — мы отвечаем в течение 48 часов и добавляем проверенные домены в наш постоянный список разрешенных адресов.

Два способа подачи апелляции:

1. Форма апелляции (самый быстрый способ) — подайте заявку на домен с подтверждением его законности
2. Заявка на GitHub — создать заявку с приложением доказательств

Процесс:

• Мы рассматриваем в рамках 48 часов (в основном в день обращения)
• Если проверка пройдена успешно, домен добавляется в наш постоянный список список разрешенных
• Список разрешенных адресов является общедоступным: список разрешенных.json
• Изменения сразу же отражаются в нашем API и базе данных

Весь процесс абсолютно бесплатный. Мы никогда не взимаем плату за подачу апелляций или исключение из списка — никогда не взимали и не будем взимать.

Ничего. Совершенно бесплатно. Всегда.

Любая сторонняя организация, заявляющая, что за определенную плату может удалить ваш домен из базы данных PhishDestroy, занимается мошенничество. У нас нет платной программы по удалению из списка, и такой программы не будет никогда. Сообщайте нам о подобных услугах.

PhishDestroy — лишь один из многих источников. Даже после того, как мы очистим ваш домен, другие системы могут по-прежнему помечать его:

• Безопасный просмотр от Google — отправить на safebrowsing.google.com
• Производители антивирусных программ — каждый из них ведет собственный список заблокированных адресов; обратитесь в службу поддержки каждого поставщика
• Предупреждения браузера — может хранить старые данные в кэше в течение 24–48 часов

Проверьте свой домен на VirusTotal чтобы выяснить, какие именно поставщики отмечают эту проблему, а затем связаться с каждым из них по отдельности.

При подаче сообщений о злоупотреблениях мы руководствуемся стандартами ICANN:

• Официальные уведомления о злоупотреблениях регистраторам через контакты по вопросам злоупотребления системой WHOIS
• Полные комплекты доказательств — результаты сканирования, скриншоты, отчеты в формате PDF с метаданными
• ICANN требует регистраторам рассматривать жалобы о злоупотреблениях в течение 24 часов
• Условное повторное обнаружение — если домен остается активным по истечении 24 часов, мы переводим дело на более высокий уровень и отправляем дополнительные уведомления

Когда на домен поступает от 10 до 30 и более сообщений о злоупотреблениях, а регистратор по-прежнему игнорирует их в течение нескольких месяцев, мы публично фиксируем этот факт. Регистратор больше не остается пассивным — он фактически предоставляет инфраструктуру для незаконной деятельности. Наш общедоступная база данных обеспечивает подотчетность.

Время имеет решающее значение. Действуйте немедленно:

1. СНЯТЬ разрешения на использование токенов СЕЙЧАС — перейти к revoke.cash незамедлительно отозвать все ожидающие утверждения кошельков. Это остановит текущий отток средств.
2. Связаться с SEAL 911 — оперативное реагирование на криптоинциденты силами специалистов по безопасности. Посетите phishdestroy.io/критические-меры
3. Перевести оставшиеся средства — перевести все средства из взломанного кошелька в новый, «чистый» кошелек
4. Обратиться в полицию — подайте заявление о киберпреступлении в местное отделение полиции. Узнайте номер дела.
5. Сообщить публично — файл Злоупотребление цепочкой чтобы предупредить других и оставить документальное подтверждение
6. Сохраните ВСЕ доказательства — адреса кошельков, идентификаторы транзакций, скриншоты, логи чатов, электронные письма, URL-адрес фишинкового сайта

НЕ обращайтесь к «службам по восстановлению данных», найденным в Интернете. Более 95 % из них — это вторичные мошенники, нацеленные на поиск жертв.

Иногда, но только если вы поспешите:

• Еще не выполненные утверждения токенов: Если вы подписали только вредоносное соглашение, отменить его можно revoke.cash незамедлительно предотвращает дальнейшие потери
• Вывод средств с CEX: Если злоумышленник переводит средства на Binance, Coinbase и т. п., правоохранительные органы могут заблокировать счета — но для этого им понадобится ваш заявление в полицию
• Паузы в мосте: Некоторые межсетевые мосты приостанавливали транзакции, когда о мошенничестве сообщалось оперативно

Взгляд на вещи с реалистичной точки зрения: Большинство случаев кражи криптовалюты в блокчейне необратимы. Лучшая защита — это профилактика: используйте аппаратные кошельки, проверяйте URL-адреса и никогда никому не сообщайте свои семенные фразы.

Предупреждающие признаки:

• Несоответствие URL — «metamask-login.com» вместо «metamask.io»
• Формулировки, выражающие срочность — «Действуйте сейчас или потеряете доступ», «Ваш кошелек будет заблокирован»
• Запросы на генерацию семенной фразы — Ни одна легальная служба НИКОГДА не будет запрашивать вашу семенную фразу
• Неожиданные всплывающие окна с кошельком — Запросы WalletConnect или MetaMask, которые вы не инициировали
• Слишком хорошо, чтобы быть правдой — бесплатные розыгрыши, гарантированная прибыль, «получите свой приз»
• Реклама в социальных сетях — Фишеры активно используют платную рекламу в Twitter, Google и Telegram
• Мошенничество с личными сообщениями и ответами — «служба поддержки клиентов» свяжется с вами первая

Защита: Всегда проверяйте домены на сайте phishdestroy.io/domain или воспользуйтесь нашим Бот в Telegram прежде чем подключать кошелек. Ознакомьтесь с нашим полным руководством: Основы безопасности криптовалют

Практически никогда. Более 95 % «служб по восстановлению данных» — это вторичные мошенничества направленная на людей, которые уже понесли убытки.

Предупреждающие признаки:

• Они гарантируют выздоровление (что невозможно гарантировать)
• Они требуют предоплаты
• Они нашли вас благодаря комментариям в социальных сетях о том, что вас обманули
• Они называют себя «этическими хакерами», способными «отменять транзакции»
• Они запрашивают вашу семенную фразу или доступ к кошельку

Надежная помощь (бесплатно): SEAL 911, местные правоохранительные органы, служба поддержки вашей биржи, Злоупотребление цепочкой для публичной отчетности.

Перейти в раздел «Администрирование Pi-hole» → Настройки → Списки заблокированных → вставьте этот URL-адрес:

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/hosts.txt

Сохраните и обновите настройки Gravity. Список обновляется автоматически в соответствии с расписанием Pi-hole.

uBlock Origin: Настройки → Списки фильтров → Импорт → вставить:

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/adblock.txt

AdGuard Home: «Фильтры» → «Списки заблокированных DNS» → «Добавить список» → вставьте тот же URL-адрес.

Для DNS-резолвера Unbound (pfSense/OPNsense):

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/unbound.conf

Для BIND или Knot DNS (формат RPZ):

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/rpz.zone

Для Dnsmasq:

https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/dnsmasq.conf

Да! Вот как это сделать:

• Сообщить о фишинговых доменах — Бот в Telegram or [email protected]
• Подключите наши списки заблокированных адресов — добавить Список уничтожения в настройках DNS, брандмауэра или средств безопасности
• Воспользуйтесь нашим API — создавайте инструменты, ботов или информационные панели с помощью API угроз
• Отправлять PR — усовершенствования алгоритмов обнаружения, советы по интеграции, свежие новости
• Распространять информацию — поделитесь результатами нашего исследования в социальных сетях

Мы не принимаем пожертвований — лучший способ поддержать нас — это сделать наши данные полезными.

Наши данные (лицензия MIT) используются для:

• Сетевая безопасность — правила брандмауэра, блокировка DNS, фильтрация электронной почты
• Автоматизация — Интеграция SIEM и SOC, автоматизированное реагирование на инциденты
• Исследование угроз — анализ фишинговых кампаний, тенденции в области подделки брендов
• Обучение в области машинного обучения и искусственного интеллекта — наборы данных для обучения моделей обнаружения фишинга
• Анализ тенденций — показатели злоупотреблений со стороны регистраторов, модели рисков в доменах верхнего уровня, динамика развития доменных парзитов
• Доказательства — отчеты по доменам с указанием даты и времени для правоохранительных органов и страховых компаний

Исторический свод: Более 500 000 доменов, заархивированных за более чем 5 лет. Связаться с нами [email protected] для доступа.