Why did PhishDestroy flag all NiceNIC domains?

After reviewing NiceNIC's entire domain portfolio (24.7 MB dataset published on GitHub), PhishDestroy found zero legitimate use cases. Combined with 5,000+ unique abuse tickets that were systematically ignored, the statistical conclusion was unavoidable: the registrar itself is the infrastructure enabling crime.

What is the trash.json dataset?

A 24.7 MB public collection of NiceNIC-registered domains published on GitHub at github.com/phishdestroy/destroylist. It contains domain registrations, IPs, registration dates, and expiration dates for independent verification by researchers and law enforcement.

Can you verify NiceNIC domains yourself?

Yes. Download the trash.json dataset from GitHub, use the free API at api.destroy.tools (no API key required) for threat scoring, or browse the interactive tools at phishdestroy.github.io/destroylist/scripts/.

Вернуться к новостям

ДОПОЛНИТЕЛЬНОЕ РАССЛЕДОВАНИЕ

Вердикт NiceNIC: все домены проверены, законных вариантов использования не обнаружено

IANA 3765 · NICENIC INTERNATIONAL GROUP CO., LIMITED · Гонконг

Время чтения: 9 минут· Обновлено Март 2026 года· PhishDestroy Intelligence

5 000+

Уникальные билеты, которые не учитываются

24,7 мегабайта

Опубликован набор данных по доменам

Обнаружены легитимные домены

100 %

Домены, помеченные флажком

Мы решили проверить

После того как наше первое расследование показало, что NiceNIC — аккредитованный ICANN регистратор, способствующий развитию глобальной киберпреступности, — остался один вопрос: действительно ли там ВСЁ так плохо? Может ли под горой фишинга, криптовалютных мошенничеств и других преступлений скрываться легальный бизнес?

Мы решили это выяснить. Мы проанализировали весь портфель доменов NiceNIC — каждую регистрацию, каждый IP-адрес, каждый фрагмент контента, к которому нам удалось получить доступ. Результатом стала база данных объемом 24,7 МБ, опубликованная на GitHub, чтобы любой желающий мог самостоятельно проверить эти данные.

Вывод был единодушным и однозначным.

Результат

Мы искали ЛЮБОЙ законный вариант использования. Хотя бы один честный бизнес. Личный блог. Сайт-портфолио. Мы ничего не нашли.

Данное исследование основано на наших первоначальных выводах. Ознакомьтесь с полным текстом:

Что мы обнаружили

Домены, зарегистрированные через NiceNIC, подпадают под следующие явные категории злоупотреблений:

Категория	Распространенность	Примечания
Криптофишинг и программы-дрейнеры	Доминирующий	Мошенники, выманивающие деньги из кошельков, поддельные биржи, мошенничество с аирдропами
Поддельные азартные игры и казино	Высокий	Связано с операциями, которые мы уже расследовали (OFEDREX, LuxardGambling)
Фишинг (общие сведения)	Высокий	Сбор учетных данных, подделка бренда
Распространение вредоносного ПО	Умеренный	Загрузка файлов без ведома пользователя, поддельное программное обеспечение
Нераскрытая информация об уголовных преступлениях	Настоящее	Контент, нарушающий уголовное законодательство в любой юрисдикции — сознательно не описывается

Предупреждение о содержании

Некоторые материалы, размещенные на доменах NiceNIC, носят настолько экстремальный характер, что их подробное описание само по себе было бы безответственным. Среди них есть категории, которые повсеместно нарушают уголовные законы. Мы зафиксировали все. Подробности мы не будем публиковать.

Единственной «пограничной» категорией были азартные игры — но даже она не выдержала тщательной проверки. Домены, связанные с азартными играми, напрямую ведут к поддельным казино, которые мы уже проверяли: OFEDREX с 383 подтвержденными жертвами, LuxardGambling с помощью поддельных рекламных роликов с участием знаменитостей. Это не легальные сайты азартных игр. Это те же самые мошеннические платформы, только в другой оболочке.

Связь с форумом хакеров

Связь NiceNIC с киберпреступниками выходит далеко за рамки пассивной халатности. Этот регистратор активно участвует в этой экосистеме:

«NiceNIC активно присутствует на BlackHatWorld — форуме, печально известном SEO-спамом, наборами инструментов для фишинга и мошенническими услугами».

«В рекламных письмах от NiceNIC содержатся заявления о «меньшем количестве жалоб на злоупотребления» — это маркетинговые формулировки, специально разработанные для привлечения преступных клиентов».

«Когда поступает сообщение о нарушении, NiceNIC передает личные контактные данные заявителя — включая адреса электронной почты — непосредственно владельцу домена. Это не упущение. Это функция, призванная запугать тех, кто сообщает о нарушениях».

Основные события

Infographic: 5,000 abuse reports sent to NiceNIC, 0 actions taken - mountain of ignored reports in trash — Инфографика: 5000 сообщений о нарушениях, отправленных в NiceNIC, 0 принятых мер — гора проигнорированных сообщений в корзине

Инцидент на BreachForums

NiceNIC сняла блокировку с домена ПОСЛЕ получения запроса от ФБР о задержании, после чего, как сообщается, заблокировал аккаунт самого ФБР, чтобы предотвратить дальнейшую переписку.

Телеграм @NiceNIC_NET

Зафиксированные разговоры, в которых обсуждается отключение WHOIS и предоставление надежных услуг лицам, подозреваемым в совершении преступлений.

GDPR / Нарушения конфиденциальности

Передача данных о заявителях злоумышленникам — превращение процедуры подачи жалоб о злоупотреблениях в оружие против информаторов.

5 000 штрафов остались без внимания

Это число не является приблизительным. В него не включены повторяющиеся записи. Более 5 000 уникальных заявок о нарушениях были поданы в отношении доменов NiceNIC — каждый из них сопровождался новыми доказательствами и касался отдельного вредоносного домена. В это число не входят повторные обращения, последующие заявки и отчеты с перекрестными ссылками.

Реакция всегда была одной и той же:

«Недостаточно доказательств» — стандартный автоответ от NiceNIC на судебные PDF-файлы, содержащие отчеты VirusTotal с более чем 15 обнаружениями от различных поставщиков, полностраничные скриншоты действующих фишинговых порталов, отображение DNS-адресов и технические метаданные.

Механизмы злоупотребления

48-часовая отсрочка приостановки: В соответствии с внутренней политикой NiceNIC, домены, на которые поступили жалобы, остаются активными в течение 48 часов, что дает мошенникам достаточно времени для обмана жертв
Работа с WHOIS/RDAP: намеренно отключено или заблокировано для клиентов по их просьбе, что нарушает требования к прозрачности, предусмотренные Соглашением об управлении доменными именами (RAA) ICANN
Жалобы, закрытые автоматически: Заявки, отправленные на адрес abuse@nicenic.net, автоматически пересылаются владельцам доменов и закрываются

Деловое решение

5 000 билетов — это не нарушение требований. Это деловое решение. Каждый нерассмотренный запрос приводит к потере дохода.

Наш вердикт

На основании имеющихся фактов — полного анализа домена, более 5 000 проигнорированных обращений, активности на хакерских форумах, инцидента с ФБР, запугивания информатора и подтвержденного нулевого показателя законного использования — компания PhishDestroy приняла окончательное решение:

Официальное название

Каждый домен, зарегистрированный через NiceNIC (IANA 3765), теперь помечается в системе анализа угроз PhishDestroy как потенциально небезопасный. Это касается нашего API, списков заблокированных сайтов, предупреждений в браузерах и всех интеграций с партнерами.

Это не общее наказание. Это статистический вывод. Когда 100 % проверенного контента является вредоносным, а регистратор активно способствует его распространению, то именно регистратор и ЯВЛЯЕТСЯ преступной инфраструктурой.

Заключительное заявление

Это не халатность. Это не некомпетентность. Это бизнес-модель, построенная на способности противостоять злоупотреблениям. Владельцы компании NICENIC INTERNATIONAL GROUP CO., LIMITED должны понести уголовную ответственность — не за бездействие, а за сознательный отказ от действий. Мы ждем, когда виновные понесут ответственность.

Бизнес-модель очевидна: взимать с преступников плату за домены, игнорировать все сообщения о злоупотреблениях, передавать данные информаторов злоумышленникам, размещать рекламу на хакерских форумах. Это не «серая зона». Это организованная инфраструктура для организованной преступности. Создание здесь правового прецедента послужило бы сигналом для всех «неуязвимых» регистраторов, действующих под эгидой ICANN.

Играйте: найдите легальный домен

Мы обнародуем результаты проверки. Полный набор данных опубликован. Все домены NiceNIC, которые мы проверили, доступны для скачивания и независимой проверки.

Правила просты: найдите хотя бы один легальный домен, зарегистрированный через NiceNIC. Настоящий бизнес. Личный сайт. Все, что не является фишингом, мошенничеством или чем-то еще хуже.

Если найдете, дайте нам знать. Мы пока не нашли.

trash.json (24,7 МБ)

Полная коллекция доменов NiceNIC с датами регистрации, IP-адресами и данными о регистраторах. Скачайте и проверьте самостоятельно.

Репозиторий DestroyList

Список блокировки с открытым исходным кодом, содержащий более 80 000 фишинговых доменов. Обновления в режиме реального времени, вклад сообщества.

Интерактивные инструменты

Бесплатный API, оценка угроз, массовая проверка. API-ключ не требуется.

API аналитики угроз

Мгновенная проверка любого домена. Оценка риска по шкале от 0 до 100, массовый анализ до 500 доменов за один запрос.

Наше первое расследование

Разоблачение NiceNIC: показатель фишинговой активности — 1 141,74, ссылка на кражу 8,5 млн долларов из Trust Wallet, соучастие ICANN.

Расследование киберпреступлений

Независимое подтверждение: NiceNIC — ведущий «неуязвимый» регистратор, способствующий распространению киберпреступности по всему миру.

Дополнительная литература и источники

Сообщить. Заблокировать. Разоблачить.

NiceNIC domain grid — visual evidence of phishing concentration — Сетка доменов NiceNIC — наглядное подтверждение концентрации фишинговых сайтов

Бизнес-модель NiceNIC существует только благодаря молчанию. Каждое заявление, каждый блок, каждое публичное разоблачение повышают цену соучастия. Данные находятся в открытом доступе. Доказательства неопровержимы. Примите меры.

Инструменты DestroyList Сообщить о домене Сначала прочитайте отчет о расследовании

#NiceNIC #ICANN #RegistrarVerdict #Investigation #CyberCrime