Когда сообщения о злоупотреблениях остаются без ответа: как регистраторы становятся молчаливыми соучастниками киберпреступлений
Мы отправляем отчеты о злоупотреблениях, подкрепленные доказательствами — результаты проверки на VirusTotal, скриншоты, данные из черных списков, результаты антивирусных сканирований. Регистраторы получают их, но ничего не предпринимают. Некоторые фишинговые домены остаются в сети 1 788 часов и 13 отдельных отчетов. Это не сбой системы — это конструктивное решение. Вот данные.
Сломанная система
Каждое отправляемое нами сообщение о нарушении соответствует четкому протоколу: URL-адрес домена, категория (фишинг, крипто-драйнер, поддельное казино), количество обнаружений на VirusTotal, скриншоты в качестве доказательств и статус в черном списке. Это не расплывчатые жалобы — это полные пакеты доказательств. И тем не менее, один домен за другим продолжает работать в сети в течение недели и месяцы после первого отчета.
Не существует единого стандарта, определяющего, как регистраторы должны реагировать на сообщения о злоупотреблениях. Нет соглашения об уровне обслуживания (SLA). Нет обязательных сроков ответа. Нет показателей ответственности. Каждый регистратор самостоятельно решает, как поступить с доменом, на который поступило 16 антивирусных движков заслуживает внимания — либо стандартного ответа и закрытия заявки.
Кто превосходит 16 антивирусных движков?
Это вопрос, на который ни один регистратор не хочет отвечать. Когда «Касперский», ESET, Fortinet, BitDefender, Sophos, G-Data и ещё десять поставщиков решений для обеспечения безопасности помечают домен как вредоносный на VirusTotal — и служба по борьбе со злоупотреблениями регистратора принимает решение «Действия не требуются» — Кто именно позвонил?
Подумайте, насколько это абсурдно: один-единственный аналитик по вопросам злоупотреблений в реестре отменяет решения, основанные на совокупных данных аналитики угроз 16 независимых антивирусных движков, каждая из которых располагает миллиардами точек данных, специализированными исследовательскими лабораториями и многолетним опытом. На каком основании? Какой инфраструктурой сканирования располагает команда по борьбе со злоупотреблениями в NiceNIC или GlobalDomainGroup, которая превосходит инфраструктуру «Лаборатории Касперского»?
Ответ прост: ни одного. Они не проверяют. Они не анализируют. Либо они вообще не смотрят на отчет, либо руководствуются финансовыми соображениями: действующий домен приносит доход, а приостановленный — нет.
Давайте разберемся, что это означает: кто-то из сотрудников регистратора ознакомился с материалами 13 независимых поставщиков решений по безопасности и 13 отдельными сообщениями о злоупотреблениях — и решил, что его собственное суждение имеет преимущественную силу. Это не ошибка. Это политика.
Никакой власти, которую они уважают
Назовите хотя бы одного производителя антивирусного ПО, к мнению которого регистраторы относятся как к авторитетному. Вы не сможете — потому что такого просто нет.
- «Касперский» — определяет домен? Игнорируется.
- ESET — система определяет это как фишинг? Игнорируется.
- Fortinet — блокирует его на сетевом уровне? Игнорируется.
- BitDefender — предупреждает миллионы пользователей? Никто не обращает внимания.
- Безопасный просмотр от Google — крупнейшая в мире система обеспечения безопасности в Интернете? И все равно ее игнорируют.
Есть отсутствие порога обнаружения в случае которых регистратор обязан принять меры. Не 5 антивирусных движков. Не 10. Не 16. Домен может быть отмечен всеми антивирусными компаниями на VirusTotal, попасть в несколько черных списков и стать предметом десятка жалоб о злоупотреблении — и при этом у регистратора нет юридически обязательного обязательства что-либо предпринимать.
Это не пробел в системе. Вот такая система. Сектор регистрации доменов сумел избежать введения каких-либо обязательных стандартов, которые обязывали бы его учитывать выводы исследователей в области безопасности, разработчиков антивирусных программ или платформ по сбору информации об угрозах. Если 16 из 70 сканирующих движков обнаруживают угрозу в домене — это не «возможно». Это единодушное мнение. А команда регистратора по борьбе со злоупотреблениями, не имеющая никакой инфраструктуры для сканирования и преследующая финансовую заинтересованность в том, чтобы домен продолжал существовать, игнорирует это единодушное мнение.
Финансовое поощрение
Регистраторы доменов взимают ежегодную плату за каждый домен. Каждое приостановление действия домена — это упущенная выгода. Каждое удаление домена — это риск возмещения средств. Существует прямой и поддающийся количественной оценке финансовый стимул для поддержания доменов в активном состоянии — при этом за игнорирование сообщений о злоупотреблениях не предусмотрено никаких финансовых санкций.
Это касается не всех поставщиков инфраструктуры. Cloudflare, например, оперативно рассматривает жалобы о злоупотреблениях и не получает дохода от регистрации доменов таким же образом. Это различие имеет значение: когда компания, рассматривающая вашу жалобу, извлекает выгоду из того, что домен остается в сети, возникает структурный конфликт интересов.
Доказательства: оперативные данные из наших отчетов
Ниже приведен фрагмент из нашего журнала эскалации инцидентов, связанных со злоупотреблениями, за март 2026 года. Каждая запись представляет собой реальный фишинговый домен, который был по-прежнему действует на момент составления отчета, несмотря на предыдущие сообщения и подтвержденные случаи обнаружения.
| Домен | Отчеты | Время работы (часы) | VT | BL | Злоупотребление полномочиями регистратора |
|---|---|---|---|---|---|
| payscrow[.]bet | 6 | 1788 часов | 16 | — | Туцов |
| 6chicken9[.]top | 4 | 1783 часа | 4 | 1 | Выносливость |
| apphyena[.]trade | 2 | 1781 час | 3 | — | NiceNIC |
| airdrop[.]autos | 3 | одна тысяча триста шестьдесят четыре часа | 4 | 1 | Гнам |
| amlstats[.]com | 7 | одна тысяча триста шестьдесят три часа | 14 | 1 | Туцов |
| amlscore[.]info | 7 | одна тысяча триста шестьдесят три часа | 9 | 1 | Туцов |
| multi-wallets.io | 4 | одна тысяча триста шестьдесят три часа | 10 | 1 | nic.io |
| aavleaderboard[.]assetavenue[.]capital | 2 | одна тысяча триста пятьдесят девять часов | 1 | — | IdentityDigital |
| airdropchime.com | 2 | одна тысяча триста пятьдесят девять часов | 1 | — | NameCheap |
| farewex[.]com | 13 | 1 час 35 минут | 13 | — | apiname.com |
| app[.]whitewhalesmeme[.]com | 4 | одна тысяча триста тридцать | 14 | — | Verisign |
| zordex.us | 3 | 1314 часов | 14 | — | apiname.com |
| alhpatrademarket[.]com | 2 | 1278 часов | 15 | — | GlobalDomainGroup |
| angelferno[.]com | 2 | 1278 часов | 7 | 1 | NiceNIC |
| ansol[.]cc | 4 | 1278 часов | 4 | 1 | NiceNIC |
| amltrackerbot[.]com | 2 | 1278 часов | 6 | 1 | Туцов |
| amlstatement[.]info | 4 | 1228 часов | 16 | — | Поркбан |
| a8vx.top | 2 | 1049 часов | 16 | — | Dynadot |
| amlinfo сейчас | 2 | 1033 часа | 2 | — | Поркбан |
| winner.cc | 4 | 1226 часов | 14 | — | GlobalDomainGroup |
| xerowex[.]com | 6 | 10:21 | 14 | — | apiname.com |
| menty[.]sbs | 4 | девятьсот восемьдесят пять часов | 16 | — | общий |
| perowex[.]com | 5 | девятьсот семьдесят один | 14 | — | apiname.com |
| amlbot[.]im | 4 | девятьсот шестьдесят пять часов | 6 | — | ничего.им |
| 3capitalstrading[.]com | 2 | Восемьсот семьдесят девять часов | 2 | — | GlobalDomainGroup |
| naebex[.]com | 5 | Восемьсот двадцать шесть часов | 11 | — | Ощущаемая сложность вождения |
| casbatle[.]com | 2 | 803h | 2 | — | NiceNIC |
| amlchecknow[.]digital | 2 | Семьсот пятьдесят один час | 6 | — | Ощущаемая сложность вождения |
| sollfalare[.]top | 2 | пол седьмого | 3 | — | Выносливость |
| marketcsgo[.]net | 2 | 717h | 15 | — | GlobalDomainGroup |
| dinadrop[.]com | 2 | 717h | 6 | — | GlobalDomainGroup |
| dotabuff[.]org | 2 | шестьсот семьдесят четыре | 2 | — | Многие |
| casesbattle[.]org | 2 | шестьсот пятьдесят два часа | 2 | — | Многие |
| 763182819[.]top | 2 | шестьсот восемнадцать часов | 15 | — | Гнам |
| kahcas[.]com | 5 | пятьсот тридцать девять часов | 14 | — | Я не собираюсь |
| qizaro[.]cc | 5 | Пятьсот тридцать пять | 12 | — | GlobalDomainGroup |
| apexresolvefix[.]com | 2 | четыреста девяносто шесть часов | 3 | — | Космотаун |
| amlriskscore[.]ru | 2 | 448 часов | 1 | — | домен верхнего уровня с кодом страны |
| patricksstash[.]to | 2 | четыреста двадцать семь часов | 2 | — | tonic.to |
| stashhpatrick[.]cc | 2 | четыреста двадцать семь часов | 5 | — | NiceNIC |
| stake2win[.]me | 2 | четыреста два | 14 | — | domain.me |
| Wazbee.me | 2 | Триста восемьдесят восемь часов | 16 | — | domain.me |
| dexscreener[.]at | 2 | 328 ч | 16 | — | nic.at |
| 2fa[.]walletpinet[.]com | 1 | — | 16 | — | Verisign |
| appether[.]fi | 1 | — | 13 | 1 | — |
VT = количество обнаружений VirusTotal из ~70 сканирующих движков. «Активный» = количество часов, прошедших с момента первого обнаружения на момент эскалации. Данные: журнал эскалации злоупотреблений PhishDestroy, 19–21 марта 2026 г.
Цифры не лгут
Среднее время активности
В среднем ~39 дней по всем доменам с известными часами активности
Максимальное время активности
payscrow[.]bet — 75 дней, 6 сообщений, VT:16
Общее количество отправленных отчетов
Сводные отчеты по всем областям только в этой выборке
Домены с VT ≥ 10
Почти половина всех доменов, признанных вредоносными более чем 10 антивирусными движками, по-прежнему активны
Рецидивисты: статистика по регистраторам
Не все регистраторы одинаковы. Наши данные показывают четкую закономерность: некоторые регистраторы неоднократно попадают в список худших.
apiname.com
- farewex[.]com — 1 352 часа, 13 сообщений, VT:13
- zordex[.]us — 1 314 часов, 3 сообщения, VT:14
- xerowex[.]com — 1 021 час, 6 сообщений, VT:14
- perowex[.]com — 971 час, 5 сообщений, VT:14
4 домена. Итого: 4 658 часов работы преступной инфраструктуры. 27 игнорированных сообщений.
GlobalDomainGroup
- xwinner[.]cc — 1 026 ч, VT:14
- marketcsgo[.]net — 717 часов, VT:15
- dinadrop[.]com — 717 часов, VT:6
- qizaro[.]cc — 535h, VT:12
- csgomy[.]com — 356 ч, VT:9
- tastdrop[.]com — 357 ч, просмотров: 2
- casebatle[.]com — 327 ч, VT:6
- casebatltle[.]com — 327 часов, VT:2
- chestix[.]net — 293h, VT:1
- ggddrop[.]com — 365 часов, VT:1
10 доменов. Самый крупный кластер в нашем наборе данных. Это закономерность, а не случайность.
Tucows / IdentityDigital
- payscrow[.]bet — 1 788 часов, 6 сообщений, VT:16
- amlstats[.]com — 1 363 часа, 7 сообщений, VT:14, BL:1
- amlscore[.]info — 1 363 ч, 7 сообщений, VT:9, BL:1
- amltrackerbot[.]com — 1 278 часов, 2 сообщения, VT:6, BL:1
Tucows: 22 сообщения в совокупности, 5 792 часа, затраченных на борьбу с мошенничеством. amlstats получила 7 сообщений — по одному в неделю — и справилась со всеми ними.
NiceNIC (nicenic.net)
- apphyena[.]trade — 1 781 ч, посещаемость: 3
- angelferno[.]com — 1 278 ч, посещаемость: 7, бэклог: 1
- ansol[.]cc — 1 278 часов, 4 сообщения, VT:4, BL:1
- casbatle[.]com — 803h, VT:2
- stashhpatrick[.]cc — 427 часов, VT:5
- casebaetle[.]com — 310 часов, VT:2
- casebattle[.]info — первое сообщение, VT:1
- appalmanak[.]live — первый отчет, VT:2
8 областей. Более 5 877 часов в совокупности. Ранее изучались: Вердикт NiceNIC — не обнаружено ни одного законного способа использования.
Поркбан
- amlstatement[.]info — 1 228 часов, 4 сообщения, VT:16
- amlinfo[.]now — 1 033 ч, 2 сообщения, VT:2
- amlspace[.]com — 712 часов, 2 сообщения, VT:1
amlstatement[.]info: 16 обнаружений антивирусами, 4 сообщения и 51 день в сети. Что команда Porkbun по борьбе со злоупотреблениями сочла допустимым?
Dynadot
- a8vx[.]top — 1 049 часов, 2 сообщения, VT:16
- aave[.]events — первый отчет, VT:2, BL:1
- aavetrading[.]net — первое сообщение, VT:9
a8vx[.]top: 16 случаев обнаружения VT и 44 дня преступной деятельности. Dynadot — регистратор, аккредитованный ICANN.
domain.me
- wazbee[.]me — 388 ч, VT:16
- stake2win[.]me — 402h, VT:14
Оба домена были обнаружены 14–16 антивирусными программами. Оба по-прежнему активны после второго отчета.
Общее количество часов бездействия со стороны регистратора
Общее количество часов активности всех зарегистрированных доменов по каждому регистратору в нашем наборе данных за март 2026 года. Это не отражает все случаи злоупотребления со стороны регистраторов в целом — а лишь то, что мы зафиксировали в одной выборке.
Что мы отправляем и что они делают
Каждое сообщение о нарушении на PhishDestroy содержит:
Наш отчет содержит
- URL-адрес домена и регистрационные данные
- Оценка VirusTotal с указанием названий поставщиков
- Скриншот фишингового сайта на всю страницу
- Классификация по категориям (фишинг, сайты-«вытяжки», мошеннические казино)
- Статус «В чёрном списке» из нескольких источников
- URLscan.io или аналогичные результаты сканирования
- История предыдущих отчетов и хронология
Ответ регистратора
- Отсутствие какого-либо ответа (наиболее распространённый случай)
- Подтверждение получения шаблона, никаких действий не требуется
- «Мы рассмотрим» — проходят недели, а домен по-прежнему не удаляется
- «Мы не можем подтвердить это утверждение» — несмотря на 16 случаев обнаружения VT
- Заявка закрыта без решения
- Запрос о представленных доказательствах
В связи с бездействием регистратора мы обращаемся к Соответствие требованиям ICANN ([email protected]). Во всех приведенных выше случаях ICANN была указана в копии второго или последующих отчетов. Результаты? Точно так же отсутствуют.
Стандарт ICANN, которого не существует
ICANN Соглашение об аккредитации регистраторов (RAA), раздел 3.18 обязывает регистраторов иметь контактное лицо, ответственное за вопросы злоупотреблений, и «принимать разумные и оперативные меры для расследования и надлежащего реагирования» на сообщения о злоупотреблениях.
На практике термин «разумный и оперативный» означает то, что решит регистратор. Существуют:
- Максимальное время отклика не ограничено — регистратор может ждать неделями и утверждать, что это было «обоснованно»
- Отсутствие обязательного порога для приостановки — 16 обнаружений VT не приводят к автоматическому запуску каких-либо действий
- Отсутствие требования о публичной отчетности — регистраторам не обязательно публиковать информацию о том, сколько сообщений они получают и какие меры принимают в связи с ними
- Никаких существенных санкций — ICANN редко лишала аккредитации за бездействие в случаях злоупотреблений
Результат: регистраторы рассматривают работу по борьбе со злоупотреблениями как источник затрат, который необходимо сократить, а не как обязательство по обеспечению безопасности, которое необходимо выполнять.
Они принимают меры против типосквоттинга, но не против фишинга
А вот что делает эту ситуацию ещё более абсурдной. Некоторые из тех же регистраторов, которые месяцами игнорируют сообщения о фишинге, чрезвычайно оперативно реагируют на один конкретный вид злоупотреблений: типосквоттинг — домены, которые могут быть ошибочно приняты за названия известных брендов.
Почему? Потому что типосквоттинг нацелен на корпорации с установленным бюджетом. Когда Google, Apple или Microsoft подают жалобу в рамках процедуры UDRP в отношении домена, похожего на их торговую марку, регистраторы принимают меры в течение нескольких дней. Угроза судебного разбирательства и санкций со стороны ICANN за злоупотребление торговой маркой является реальной и неминуемой.
Но что, если фишинговый домен обманывает отдельных пользователей? Если крипто-драйнер обчищает чьи-то сбережения? Если поддельное казино похищает данные кредитных карт у игроков? Нет юридического отдела компании. Нет подачи заявления по процедуре UDRP. Нет срочности. Отдел по борьбе со злоупотреблениями регистратора руководствуется иными критериями — при этом финансовые убытки потерпевшего не вызывают такой же реакции, как проблемы, связанные с товарными знаками бренда.
Отчет о типосквоттинге
- Владелец бренда подает иск в рамках процедуры UDRP
- Регистратор отвечает в течение нескольких дней
- Домен быстро заблокирован/приостановлен
- Правовые последствия бездействия
Сообщение о фишинге/мошенничестве
- Потерпевшие/исследователи подают заявления о злоупотреблениях
- Регистратор игнорирует это в течение нескольких недель/месяцев
- Домен остается активным до истечения срока действия
- Отсутствие последствий за бездействие
Послание ясно: Регистраторы защищают бренды, а не людей. Они реагируют на юридические полномочия, а не на доказательства нанесения ущерба. Наши отчеты содержат больше объективных доказательств, чем любое заявление в рамках UDRP — результаты сканирования VirusTotal, данные об обнаружении вирусов антивирусными программами, подтверждения включения в черные списки, скриншоты — и тем не менее остаются без ответа.
Мы делаем их работу — бесплатно
PhishDestroy — это некоммерческий проект, реализуемый силами волонтеров. Мы сканируем домены. Мы классифицируем угрозы. Мы формируем отчеты VirusTotal. Мы делаем скриншоты. Мы составляем подробные отчеты о злоупотреблениях и направляем их регистраторам, реестрам и ICANN. Мы выполняем работу по обеспечению безопасности, которую должны были бы выполнять сами регистраторы.
А вот и неприятная правда: Некоторые регистраторы действительно занимаются этой работой. Некоторые регистраторы используют собственную инфраструктуру для сканирования доменов, подключаются к частным каналам информации об угрозах и упреждающе блокируют вредоносные домены ещё до того, как о них поступят какие-либо сообщения. Такие компании существуют. Они доказывают, что это возможно.
Регистраторы, которые действуют
- Запустить внутренние инструменты сканирования (закрытые, непубличные)
- Проактивно блокировать домены, явно связанные с мошенничеством
- Реагировать на сообщения о нарушениях в течение нескольких часов
- Сотрудничать с учеными и правоохранительными органами
- Принимать данные VirusTotal и списки черных списков в качестве доказательств
Эти регистраторы доказывают, что оперативное реагирование на злоупотребления вполне возможно как с технической, так и с экономической точки зрения.
Регистраторы, защищающие мошенников
- Полное отсутствие инфраструктуры сканирования
- Подождите, пока появятся отчеты, а потом не обращайте на них внимания
- Шаблонные ответы, заявка закрыта, домен активен
- Отклонять получение отчетов (шаблон NameSilo)
- Отклонить 16 антивирусных движков без каких-либо доказательств
Эти регистраторы предпочли прибыль безопасности. Их бездействие субсидируется сообществом специалистов по безопасности, выполняющим их работу бесплатно.
Вопрос не в том, возможно ли оперативное реагирование на случаи злоупотребления. Да, это так. Вопрос в том, почему некоторые регистраторы предпочитают этого не делать. И ответ каждый раз сводится к одному и тому же структурному стимулу: Активные домены приносят доход. Заблокированные домены — нет.
Обязательные к исполнению стандарты
Механизм обеспечения подотчетности регистраторов уже существует — просто он не применяется:
Положение о соглашении с ICANN (RAA), § 3.18
Этот Соглашение об аккредитации регистратора требует от регистраторов вести реестр контактных данных для случаев злоупотреблений и оперативно расследовать поступающие сообщения. На практике контроль за соблюдением этих требований отсутствует.
Рабочая группа по борьбе с фишингом
Этот Рабочая группа по борьбе с фишингом ежеквартально публикует отчеты о тенденциях в сфере фишинга, демонстрирующие масштабы этой проблемы. Регистраторы входят в состав APWG — и по-прежнему игнорируют эти отчеты.
Действия FTC
Этот Предупредительное письмо Федеральной торговой комиссии (FTC) компании NameSilo (декабрь 2024 г.) прямо указала на неспособность бороться с мошенничеством. В собственном отчете ICANN Отдел по обеспечению соблюдения нормативных требований принимает наши эскалации и не отвечает.
DNSAI
Этот Институт по борьбе со злоупотреблениями в системе DNS (организация PIR) разрабатывает такие инструменты, как DAAR, и пропагандирует передовой опыт. При этом в собственном реестре PIR зарегистрированы домены dotabuff[.]org (674 часа активности, VT:2) и casesbattle[.]org (652 часа).
50 000 доменов и их число продолжает расти
Приведенные выше примеры представляют собой выборка за одну неделю. Реальные масштабы просто ошеломляют.
Наш постоянно обновляемый канал новостей об угрозах по адресу content_active.txt содержит более 50 000 доменов, которые были заявлены как вредоносные. На каждый из них поступило как минимум одно сообщение о злоупотреблении. На многие — несколько. Регистраторы получили доказательства — результаты сканирования VirusTotal, скриншоты, подтверждения из черных списков — и предпочли интересы своих клиентов безопасности общественности.
Потому что это именно то, что это: выбор. Клиент регистратора — это тот, кто зарегистрировал домен, то есть мошенник. Клиентом регистратора не является бабушка, лишившаяся сбережений из-за поддельной банковской страницы, или пользователь криптовалюты, у которого опустошили кошелек, или геймер, у которого украли аккаунт в Steam. Регистратор выбрал мошенника. Каждый раз.
Из отчета для пострадавших: каждый час на счету
Как только мы отправляем сообщение о нарушении, начинается отсчет времени. С этого момента регистратор официально осведомлен о том, что домен, находящийся под их управлением, используется для совершения мошенничества. Каждый час бездействия после получения такого уведомления — это час осознанное соучастие.
Многие домены в нашем наборе данных не просто выдерживают несколько жалоб — они сохраняются до тех пор, пока их заканчивается срок регистрации. Они проходят весь цикл: регистрируются, мошенничают, попадают в черный список, попадают в него снова, дело передается в ICANN, продолжают мошенничать, а затем срок регистрации истекает естественным образом. Регистратор получил плату за регистрацию. Мошенник получил похищенные средства. Жертвы же ничего не получили.
Своевременная приостановка действия домена — это не просто административная мера. Это не просто «неудобство для владельца домена». Это спасательная операция. Каждый домен, заблокированный вовремя, — это кошелек, который не опустошили, учетные данные, которые не похитили, и сберегательный счет, который не обнулили. Регистраторы, которые называют такие меры «цензурой» или «помехой для бизнеса», тем самым показывают, чьим интересам они служат.
Должны ли регистраторы выплачивать компенсацию пострадавшим?
Вот вопрос, на который вся отрасль регистрации доменов отказывается отвечать:
Подумайте об этом. Как только регистратор получит отчет, он больше не невежественный. Им было сообщено, с приведением доказательств, что домен, находящийся под их контролем, используется для кражи денег, учетных данных и личных данных. С этого момента дальнейшее бездействие уже не является халатностью — это осознанное решение допустить причинение вреда.
- Готов ли регистратор взять на себя ответственность за каждый доллар, похищенный через домен, о котором их предупреждали?
- Готов ли регистратор выплатить компенсацию пострадавшим? кто понес убытки после того, как заявление о злоупотреблении было подано, но осталось без внимания?
- Юридический отдел регистратора понимаете, что утверждение «мы проверили и не обнаружили никаких проблем» — при том, что 16 антивирусных движков показывают иное — не является обоснованной позицией?
Если ответ на все три вопроса — «нет», то нет веских причин оставлять домен активным. Сначала отстранить, потом проводить расследование. Именно так работают ответственные поставщики инфраструктурных услуг. Именно так работает Cloudflare. Именно так все чаще работают хостинг-провайдеры, такие как Hetzner и OVH. Только регистраторы доменов по-прежнему придерживаются модели, при которой удобство мошенника ставится выше безопасности жертвы.
Кто за это расплачивается
Каждый час, в течение которого фишинговый домен остается в сети, приводит к появлению новых жертв:
- Домены для сбора криптовалюты (farewex, perowex, xerowex, naebex) — кошельки опустошаются за считанные секунды. 4 658 часов, накопленных доменами apiname.com, означают тысячи потенциальных случаев опустошения кошельков.
- Поддельные казино / Мошенничество в CS:GO (casebattle variants, csgomy, ggddrop, tastdrop) — мошенничество с кредитными картами, кража личных данных и подтасовка результатов, направленные против геймеров.
- Подделка идентификационных данных службы (dexscreener[.]at, trustwallet[.]receipts[.]sh, amlbot[.]im, dotabuff[.]org) — подделка брендов, приводящая к краже учетных данных и финансовым убыткам.
- Инфраструктура кардирования (patricksstash, stashhpatrick) — сбыт похищенных платежных данных другим преступникам.
Что должно измениться
Нынешняя модель изначально несовершенна. Регистраторы получают прибыль от того, что домены остаются активными. У ICANN нет реальных рычагов воздействия. У пострадавших нет возможности защитить свои права. Вот что помогло бы исправить ситуацию:
- Обязательное соглашение об уровне обслуживания (SLA) для реагирования на случаи злоупотребления: Подтверждение в течение 24 часов, первые действия в течение 72 часов, порядок эскалации в течение 7 дней. Поддается измерению. Поддается аудиту.
- Порог автоматической приостановки: Любой домен, по которому в VirusTotal зарегистрировано 10 или более обнаружений и имеется 2 или более независимых отчета, должен быть заблокирован до завершения проверки — а не наоборот.
- Отчеты о прозрачности в отношении публичных злоупотреблений: Каждый регистратор, аккредитованный ICANN, обязан ежеквартально публиковать отчеты о полученных обращениях, среднем времени ответа, принятых мерах и приостановленных доменах.
- Штрафные санкции за несоблюдение требований: Дифференцированные штрафы для регистраторов, систематически не выполняющих свои обязанности. Лишение аккредитации для рецидивистов.
- Независимый омбудсмен по вопросам противоправных действий: Независимый орган, который может пересматривать решения регистраторов, устранять случаи бездействия и в ускоренном порядке принимать решения о приостановке действия учетных записей в случае серьезных угроз.
- Список заблокированных доменов у разных регистраторов: В случае подтверждения факта, что регистрант является злоумышленником, о чем свидетельствуют многочисленные нарушения, об этом следует уведомить всех аккредитованных регистраторов. Больше никаких «доменных спекуляций».
Что предприняла компания PhishDestroy в связи с этим
Мы не ограничиваемся составлением отчетов и ожиданием, пока отрасль сама наладит ситуацию. Мы создаем системы, которые обеспечивают прозрачность и предусматривают меры в случае бездействия.
Публичная база данных угроз
Мы создали и поддерживаем список уничтожения — общедоступная, постоянно обновляемая база данных, содержащая более 50 000 вредоносных доменов. Каждое отправленное нами уведомление о нарушении теперь передается регистратору: этот домен будет внесен в общедоступную базу данных. Потенциальные жертвы доменов их клиентов увидят, когда была подана жалоба и как долго регистратор ее игнорировал. Это ставит регистраторов в неловкое положение — и в этом-то и суть.
Страницы об угрозах в домене
Для каждого домена, который мы отмечаем, теперь создана отдельная страница по адресу phishdestroy.io/domain — с полным анализом, описанием угрозы, сгенерированным с помощью ИИ, и Конвейер реагирования на угрозы с указанием точных этапов обработки: обнаружение, отправка отчета, эскалация, уведомление ICANN. Статусы обновляются в режиме реального времени. В настоящее время мы добавляем точные временные метки к каждому последующему отчету для обеспечения полной прозрачности. Любой желающий может увидеть, когда именно регистратор получил уведомление и как долго он не предпринимал никаких действий.
Система эскалации — не заваливайте систему сообщениями
Мы делаем не заваливать регистраторов дубликатами отчетов. В 98 % случаев мы отправляем только один первоначальный отчет и не повторяем его — как из-за дневных ограничений на количество писем, так и потому, что считаем массовую рассылку дубликатов неправильным подходом. Мы отправляем повторный отчет только в том случае, если домен вновь обнаружен как активный во время нового сканирования. Если бы мы ежедневно рассылали спам на каждый активный домен, это составило бы 50 000 писем в день. Но мы этого не делаем. Наша система эскалации генерирует последующие отчеты (№ 2, № 3 и т. д.) с проанализированными ИИ сводками об угрозах, обновленными оценками VirusTotal и указанием количества часов, в течение которых регистратор игнорировал угрозу.
Инструмент повторного отчета сообщества
В нашем боте в Telegram @PhishDestroy_bot, пользователи теперь могут отправлять повторные отчеты для доменов, которые, как выяснилось, остаются активными после нашего первоначального сообщения. Поскольку слишком многие регистраторы позволяют мошенникам действовать безнаказанно и игнорируют причиняемый ими огромный ущерб, мы даем возможность высказаться сообществу. Если регистратор не прислушивается к нам, возможно, он прислушается к множеству независимых сообщений от реальных пользователей.
PhishDestroy — мы не защищаем бренды. Мы не защищаем жертв. Мы ликвидируем инфраструктуру фишинга и мошенничества.
Заключение
Когда 16 антивирусных движков сигнализируют о вредоносности домена, а регистратор отвечает «без действий», он не проявляет здравый смысл — он защищает свои доходы. Когда 13 отдельных сообщений о злоупотреблениях остаются без ответа, а домен продолжает функционировать в течение 1 352 часов, регистратор не просто разрабатывает накопившиеся заявки — он способствует преступной деятельности.
Данные, приведенные в этой статье, не являются теоретическими. Это наш реальный журнал эскалации обращений о злоупотреблениях за одну неделю марта 2026 года — и за ним стоят Более 50 000 зарегистрированных доменов в нашем постоянно обновляемом канале информации об угрозах. Это не единичная проблема, связанная с одним регистратором. Это отраслевой провал что экосистема регистрации доменов не заинтересована в исправлении этой ситуации, поскольку существующая модель приносит прибыль.
Не существует ни одного поставщика антивирусных решений, выводам которого регистраторы были бы обязаны следовать. Не существует порога обнаружения, при достижении которого требуются обязательные меры. Нет ни соглашения об уровне обслуживания (SLA), ни ответственности, ни каких-либо последствий. Регистратор взимает плату, игнорирует отчеты, а расплачиваются за это жертвы.
Регистраторы не являются нейтральными поставщиками инфраструктуры. Они — стражи, которые каждый день, игнорируя каждое сообщение, принимают решение сохранять преступную инфраструктуру в сети. Им известно о наносимом вреде. У них есть возможность это остановить. Но они предпочитают этого не делать. И пока кто-нибудь не задаст им единственный вопрос, который имеет значение — «Готовы ли вы выплатить компенсацию жертвам доменов, которые вы отказались заблокировать?» — ничего не изменится.
Молчание представителей отрасли по этому вопросу — самый красноречивый ответ.