Перейти к основному содержанию
Вернуться к новостям
Дополнительное расследование

Вердикт NiceNIC: все домены проверены, законных вариантов использования не обнаружено

IANA 3765 · NiceNIC INTERNATIONAL GROUP CO., LIMITED · Гонконг

Заключение NiceNIC
5,000+
Уникальные билеты, которые не были учтены
24,7 МБ
Опубликован набор данных по доменам
0
Обнаружены легитимные домены
100%
Домены, помеченные как подозрительные

Мы решили проверить

После того как наше первое расследование разоблачило компанию NiceNIC — аккредитованного ICANN регистратора, способствующего развитию глобальной киберпреступности, — остался один вопрос: действительно ли там ВСЁ так плохо? Может ли под горой фишинга, криптовалютных мошенничеств и других, ещё более тяжких преступлений скрываться легальный бизнес?

Мы решили это выяснить. Мы проанализировали весь портфель доменов NiceNIC — каждую регистрацию, каждый IP-адрес, каждый фрагмент контента, к которому нам удалось получить доступ. Результатом стала база данных объемом 24,7 МБ, опубликованная на GitHub, чтобы любой желающий мог самостоятельно проверить эти данные.

Вывод был единодушным и однозначным.

Результат

Мы искали ЛЮБОЙ законный вариант использования. Хотя бы один «чистый» бизнес. Личный блог. Сайт-портфолио. Мы ничего не нашли.

Данное расследование основано на наших первоначальных выводах. Ознакомьтесь с полным текстом:

Что мы обнаружили

Домены, зарегистрированные через NiceNIC, подпадают под следующие явные категории злоупотреблений:

КатегорияРаспространенностьПримечания
Криптовалютный фишинг и программы-«опустошители»ДоминирующийМошенники, выманивающие деньги из кошельков, поддельные биржи, мошенничество с аирдропами
Поддельные азартные игры и казиноВысокий Связано с операциями, которые мы уже расследовали (OFEDREX, LuxardGambling)
Фишинг (общие сведения)ВысокийСбор учетных данных, подделка бренда
Распространение вредоносного ПОУмеренныйЗагрузка файлов при посещении сайта, поддельное программное обеспечение
Нераскрытая информация об уголовных преступленияхНастоящее время Содержание, нарушающее уголовные законы во всех юрисдикциях — умышленно не описано

Предупреждение о содержании

Некоторые материалы, размещённые на доменах NiceNIC, носят настолько экстремальный характер, что их подробное описание само по себе было бы безответственным. Среди них есть категории, которые повсеместно нарушают уголовные кодексы. Мы зафиксировали всё. Подробности мы публиковать не будем.

Единственной «пограничной» категорией были азартные игры — но даже она не выдержала тщательной проверки. Домены, связанные с азартными играми, напрямую ведут к поддельным казино, которые мы уже проверяли: OFEDREX с 383 подтвержденными жертвами, LuxardGambling с использованием дипфейков, в которых знаменитости рекламируют их услуги. Это не легальные сайты азартных игр. Это те же самые мошеннические платформы, только под разными обложками.

Связь с форумом хакеров

Связь компании NiceNIC с киберпреступниками выходит далеко за рамки пассивной халатности. Этот регистратор активно участвует в этой экосистеме:

«NiceNIC активно присутствует на BlackHatWorld — форуме, печально известном SEO-спамом, наборами инструментов для фишинга и мошенническими услугами».
«В рекламных письмах от NiceNIC содержатся заявления о «меньшем количестве жалоб на злоупотребления» — это маркетинговые формулировки, специально разработанные для привлечения преступных клиентов».
«Когда поступает сообщение о нарушении, NiceNIC передаёт личные контактные данные заявителя — включая адреса электронной почты — непосредственно владельцу домена. Это не упущение. Это функция, предназначенная для запугивания лиц, сообщающих о нарушениях».

Основные события

Инфографика: 5 000 сообщений о злоупотреблениях, отправленных в NiceNIC, 0 принятых мер — гора проигнорированных сообщений в корзине
Инфографика: 5 000 сообщений о злоупотреблениях, отправленных в NiceNIC, 0 принятых мер — гора проигнорированных сообщений в корзине

Инцидент на BreachForums

NiceNIC сняла блокировку с домена ПОСЛЕ получения запроса от ФБР о ликвидации, после чего, как сообщается, заблокировал аккаунт самого ФБР, чтобы предотвратить дальнейшую переписку.

Telegram @NiceNIC_NET

Зафиксированные в документах беседы, посвящённые отключение WHOIS и предоставление надежных услуг лицам, подозреваемым в совершении преступлений.

GDPR / Нарушения конфиденциальности

Передача данных о заявителях злоупотреблениям злоумышленникам — превращение процесса подачи жалоб о злоупотреблениях в оружие против информаторов.

5 000 штрафов остались без внимания

Это число не является приблизительным. В него не включены повторяющиеся записи. Более 5 000 уникальных заявок о нарушениях были поданы в отношении доменов NiceNIC — каждая из них содержала новые доказательства и касалась отдельного вредоносного домена. В это число не входят повторные обращения, последующие заявки и отчеты с перекрестными ссылками.

Реакция всегда была одной и той же:

«Недостаточно доказательств» — стандартный автоответ от NiceNIC на криминалистические PDF-файлы, содержащие отчеты VirusTotal с более чем 15 обнаружениями от различных поставщиков, скриншоты целых страниц действующих фишинговых порталов, отображение DNS-адресов и технические метаданные.

Механизмы злоупотребления

  • 48-часовая отсрочка приостановки: В соответствии с внутренней политикой NiceNIC домены, по которым поступили жалобы, остаются активными в течение 48 часов, что даёт мошенникам достаточно времени, чтобы ограбить своих жертв
  • Манипуляции с данными WHOIS/RDAP: намеренно отключено или выведено из строя для клиентов по их просьбе, что нарушает требования к прозрачности, предусмотренные Соглашением о предоставлении услуг (RAA) ICANN
  • Жалобы, закрытые автоматически: Заявки, отправленные на адрес abuse@nicenic.net, автоматически пересылаются владельцам доменов и закрываются

Деловое решение

5 000 билетов — это не нарушение требований. Это деловое решение. Каждый проигнорированный билет защищен с точки зрения доходов.

Наш вердикт

На основании имеющихся фактов — полного анализа домена, более 5 000 проигнорированных заявок, присутствия на хакерских форумах, инцидента с ФБР, запугивания информатора и подтвержденного нулевого показателя законного использования — компания PhishDestroy приняла окончательное решение:

Официальное название

Каждый домен, зарегистрированный через NiceNIC (IANA 3765), теперь помечается в системе анализа угроз PhishDestroy как потенциально небезопасный. Это касается нашего API, списков заблокированных сайтов, предупреждений в браузерах и всех интеграций с партнерами.

Это не общее наказание. Это статистический вывод. Когда 100 % проверенного контента является вредоносным, а регистратор активно способствует его распространению, то этот регистратор и ЯВЛЯЕТСЯ преступной инфраструктурой.

Заключительное заявление

Это не халатность. Это не некомпетентность. Это бизнес-модель, построенная на способности противостоять злоупотреблениям. Владельцы компании NiceNIC INTERNATIONAL GROUP CO., LIMITED должны понести уголовную ответственность — не за бездействие, а за сознательный отказ от действий. Мы ждем, когда виновные понесут ответственность.

Бизнес-модель очевидна: взимать с преступников плату за домены, игнорировать все сообщения о злоупотреблениях, передавать данные информаторов злоумышленникам, размещать рекламу на хакерских форумах. Это не «серая зона». Это организованная инфраструктура для организованной преступности. Создание правового прецедента в данном случае послужило бы сигналом для всех «неуязвимых» регистраторов, действующих под эгидой ICANN.

Играйте в игру: найдите легитимный домен

Мы обнародуем результаты этого исследования. Опубликован полный набор данных. Каждый домен NiceNIC, который мы проанализировали, доступен для скачивания и независимой проверки.

Правила просты: найдите хотя бы один легитимный домен, зарегистрированный через NiceNIC. Настоящая компания. Личный сайт. Что угодно, только не фишинг, мошенничество или что-то похуже.

Если найдёте такую, сообщите нам. Мы пока не нашли.

trash.json (24,7 МБ)

Полная коллекция доменов NiceNIC с датами регистрации, IP-адресами и данными о регистраторах. Скачайте и проверьте самостоятельно.

Репозиторий DestroyList

Список заблокированных доменов с открытым исходным кодом, содержащий более 80 000 фишинговых доменов. Обновления в режиме реального времени, вклад сообщества.

Интерактивные инструменты

Бесплатный API, оценка угроз, массовая проверка. API-ключ не требуется.

API аналитики угроз

Мгновенная проверка любого домена. Оценка риска по шкале от 0 до 100, массовый анализ до 500 доменов за один запрос.

Наше первое расследование

Разоблачение NiceNIC: показатель фишинга — 1 141,74, ссылка на кражу 8,5 млн долларов из Trust Wallet, соучастие ICANN.

Расследование киберпреступлений

Независимое подтверждение: NiceNIC — ведущий «неуязвимый» регистратор, способствующий распространению киберпреступности по всему миру.

Сообщить. Заблокировать. Разоблачить.

Сетка доменов NiceNIC — наглядное подтверждение концентрации фишинговых атак
Сетка доменов NiceNIC — наглядное подтверждение концентрации фишинговых сайтов

Бизнес-модель NiceNIC существует только благодаря молчанию. Каждое сообщение, каждый блок, каждое публичное разоблачение повышают цену соучастия. Данные находятся в открытом доступе. Доказательства неопровержимы. Примите меры.

#NiceNIC#ICANN#RegistrarVerdict#Investigation#CyberCrime
Уведомление о прозрачности. PhishDestroy — это некоммерческий независимый проект. Наши исследования могут отражать некоторую предвзятость в отношении мошеннической инфраструктуры и сервисов, способствующих её функционированию. Мы призываем читателей критически и независимо оценивать все материалы. Ознакомьтесь с полным текстом нашего заявления о прозрачности →