«Seed Flooding»: почему PhishDestroy действует открыто
Фишинговые сайты «Attacks»
Мы этого не скрываем. Когда PhishDestroy обнаруживает активный фишинговый сайт, собирающий семенные фразы криптовалютных кошельков, мы заваливаем его записями семенных фраз в правильном формате. Вот что именно мы делаем, почему мы это делаем и почему нам за это не стыдно.

Проблема: фишинговый сайт работает прямо сейчас
Представьте, что вы обнаружили фишинговую страницу криптовалютного кошелька, рекламируемую с помощью платных объявлений Google Ads. Она выглядит вполне достоверно. На неё приходит трафик. Каждые несколько минут на неё попадают реальные пользователи, вводят свои сед-фразы и теряют всё.
Сообщите об этом в Google. Сообщите об этом регистратору. Отправьте заявку о нарушении в хостинг-провайдеру. И потом остаётся только ждать.
Тем временем мошенник набирает 47-ю жертву. Затем 48-ю. Затем 49-ю.
Стандартный процесс обработки сообщений о злоупотреблениях занимает 5–10 рабочих дней. Активные фишинговые сайты наносят необратимый финансовый ущерб за считанные часы. Этот разрыв — не ошибка системы, а структурная уязвимость, которой мошенники целенаправленно пользуются.

Что такое «затопление семян»?
«Затопление семян» — это метод защиты от фишинга, при котором правильный формат, но пустой/бессодержательный Фразы-семена криптовалютных кошельков автоматически вводятся в фишинговую форму с контролируемой частотой.

Почему это работает: анатомия недорогого фишингового набора
Подавляющее большинство действующих сайтов, используемых для криптовалютного фишинга, представляют собой наборы для «копи-паста», созданные на основе сторонние сервисы с бесплатным тарифом. Это их главная уязвимость. Более подробный анализ см. наше всестороннее расследование.

| Модуль | Лимит бесплатного тарифа | Последствия наводнения |
|---|---|---|
| EmailJS | ~200 заявок в месяц | Исчерпание лимита по часам приводит к приостановке доставки электронной почты |
| Formspree | 50 заявок в месяц | Вышел из строя практически сразу |
| Web3Forms | 250 заявок в месяц | Быстро нейтрализовано |
| API бота Telegram | Ограничение скорости в секунду | Застряли в циклах ожидания |
| Бесплатный тариф Firebase | Квоты на чтение и запись | Резкий рост затрат на базы данных или лишение доступа |
Мы непосредственно наблюдали, как фишинговая инфраструктура переставала работать после того, как потоки семенных данных перегружали канал уведомлений. Мошенник не знает, почему система перестала функционировать. Он просто перестает получать данные.
Наш технический подход: Cloudflare Workers, а не ботнеты

Мы используем Cloudflare Workers. Запросы поступают из собственной периферийной сети Cloudflare. Не происходит неправомерного использования частных IP-адресов. Нет ботнетов. Не создается нагрузка на сторонние серверы. Пострадала только система сбора данных мошенника.
Потоки наводнения
Ограничение скорости: Строгий 2 submissions per 10 seconds. Это не DDoS-атака. Речь идет о медленном, целенаправленном заражении, масштабы которого таковы, что даже небольшие показатели заражения на каждом отдельном сайте приобретают значимость при одновременном воздействии на десятки целей.
Мы не стремимся вывести серверы из строя. Мы делаем рабочий день мошенников невыносимым, а их базу данных бесполезной — при этом не нанося никакого побочного ущерба законной инфраструктуре.
Практические примеры: контролируемое загрязнение на практике
Приведенные ниже операции дословно взяты из наших производственных журналов. Домены и идентификаторы провайдеров замазаны только в тех случаях, когда их публикация могла бы способствовать уклонению от мер; записи сетевого трафика HTTP не подвергались изменениям. Обе целевые системы были активны на момент вмешательства, имели подтвержденный входящий трафик из платной рекламы и были независимо классифицированы как фишинг автор: ≥ 2 внешних поставщика на VirusTotal до того, как мы предпримем какие-либо действия.
Оперативная доктрина
Каждая операция по наводнению семян осуществляется в рамках одних и тех же пяти принципов. Исключений нет: операция, которая не соответствует всем пяти принципам, не проводится.
Случай 1 — Formspark Exfil Endpoint, исчерпана месячная квота
checkblochn.pages.dev НейтрализованоХарактеристики угрозы: Приманка для восстановления кошелька («Dapp Node Sync»), осуществляющая перехват 12-словных семенных фраз BIP-39 и передачу их на контролируемый злоумышленником конечный узел Formspark в рамках бесплатного тарифа. На начальном этапе взаимодействия подтверждено наличие платного рекламного трафика с двух рекламных платформ.
messageХронология операций (UTC, данные анонимизированы до момента начала операции T-zero)
submit-form.com/32BrdUqfX извлечено со страницы JS; форма полезной нагрузки восстановлена методом обратной разработки. анализ2 req / 10 s, один Cloudflare Worker, идентифицированная строка UA, подписанный источник.200 OK с formspark-quota: 64. Базовые данные зафиксированы.formspark-quota пересекает нуль → конечная точка незаметно прекращает пересылку. жалюзи с дренажными отверстиямиformspark-quota: −18. Работник, занимавшийся ликвидацией последствий наводнения, уволен.Отправка по сети (семя является фиктивным — 12 случайных слов по стандарту BIP-39, не имеющих отношения к какому-либо реальному кошельку)
Ответ — T+01:02 (базовый уровень, квота не исчерпана)
Ответ — T+06:12 (квота исчерпана, конечная точка продолжает выдавать код 200, но не будет перенаправлять запрос)
Ощутимое воздействие. С момента T+06:08 до окончательного снятия с эфира в момент T+19:30 — а 13 часов и 22 минуты — каждая реальная жертва, которая обратилась checkblochn.pages.dev и завершив процесс восстановления, отправили свою семенную фразу на конечный узел, который вернул 200 OK но больше не пересылала полезные данные в почтовый ящик оператора. Фишинговая страница появился успешно выполниться в браузере жертвы (без ошибок и предупреждающих сигналов), что является желательным: рефлекторная реакция «не сработало» часто заставляет пользователей вводить те же учетные данные на следующем поддельном сайте, который они найдут. Здесь взаимодействие завершился с использованием оператора «blind».
13-часовое «защитное окно» для каждого последующего посетителя сайта, на котором по-прежнему активно размещалась платная реклама. Это окно закрылось, когда Cloudflare Pages отреагировала на наш параллельный отчет о злоупотреблении — в точном соответствии с задуманным. Поток трафика не заменил законное удаление контента; он просто покрыл этот промежуток времени пока законный бросок достиг цели.
Пример 2 — EmailJS Relay, идентификаторы, публикуемые оператором
allsyncapp.pages.dev Активная эксплуатацияХарактеристики угрозы: приманка под названием «sync» для кошелька, которая отправляет введенный жертвой сед-код на почтовый ящик оператора через EmailJS — легальный SaaS-сервис для рассылки транзакционных писем. На фишинговой странице размещены данные оператора service_id, template_id и user_id в клиентском JavaScript, поскольку без этих идентификаторов браузер жертвы не сможет выполнить запрос POST, запускающий отправку электронного письма. Таким образом, эти идентификаторы являются частью открытой поверхности атаки, которую оператор добровольно раскрыл.
Зафиксированные данные — точная копия содержимого запроса POST с самой фишинговой страницы
Извлечение идентификаторов (однострочное регулярное выражение в исходном коде фишинговой страницы)
Ключевой доктринальный момент. Этот случай поучителен именно потому, что нам не удалось обнаружить ни одной конечной точки. Оператор публикует три идентификатора, необходимые для того, чтобы EmailJS отправил начальный набор слов на почтовый ящик жертвы. Любой браузер, отображающий фишинговую страницу, располагает ими. Наш Worker действует так же, как и браузер жертвы — отправляет форму с точно таким же оформлением и идентификаторами, как указано на самой странице. Разница заключается в полезной нагрузке: случайные слова из BIP-39 вместо реальных учетных данных кошелька.
Характер исхода. Как только достигнут месячный лимит, EmailJS возвращает 402 Payment Required или 429 Too Many Requests и шаблон не отправляется. Почтовый ящик мошенника перестает отвечать. Параллельно с этим в отдел EmailJS Trust & Safety поступает официальная жалоба с указанием идентификаторов сервиса, шаблона и пользователя, а также ссылкой на опубликованный нами пакет доказательств — что, судя по предыдущим случаям, приводит к тому, что учетная запись оператора в EmailJS прекращено, без ограничения по скорости. Оператору необходимо зарегистрировать новую учетную запись EmailJS, заново сгенерировать идентификаторы, отредактировать развернутую фишинговую страницу и аннулировать все существующие ссылки для рассылки — этот рабочий процесс занимает несколько часов при каждой ротации.
Сравнение профилей атак: чем не является «затопление семенами»
Нас постоянно обвиняют в том, что мы проводим «атаки» на фишинговые сайты. Такая интерпретация теряет всякую обоснованность, как только сравнить реальный профиль трафика с профилем тех действий, с которыми его путают.
| Размер | Затопление семян (наше) | DDoS / L7-флуд | Злоупотребление отправкой спама | Спецоперация «LE» |
|---|---|---|---|---|
| Цель | Защита жертв — выполнить квоту по выводу средств мошенника до появления следующей жертвы | Отказ в обслуживании инфраструктуры | Коммерческая выгода / распространение информации | Сбор доказательств, контролируемое введение в заблуждение |
| Пропускная способность | 0,1–0,3 запросов/с — ниже Условия предоставления услуг | 103 – 108 req/s — ориентированный на насыщение | Серийная / автоматизированная обработка больших объемов | Однократное взаимодействие, как правило, |
| Цель | Злоумышленник, взломавший один конечный узел, опубликовал | Веб-сервер / сетевой уровень организации-жертвы | Контактные формы на надежных сайтах | Подозрительная инфраструктура или личность |
| Влияние на инфраструктуру | Нет — счетчики провайдера работают в пределах, предусмотренных Условиями предоставления услуг | Перебои в работе сервиса, перегрузка на входящем канале | Переполнение почтового ящика, изменение капчи, нагрузка на модераторов | Зависит от режима работы |
| Пострадавшие законные пользователи | Ноль — у фишинговых форм нет легитимных пользователей | Все они | Сотрудники, ответственные за формы / модераторы | Встроенная защита от обхода |
| Исходная идентичность | Название: PhishDestroy Cloudflare Workers — с возможностью аудита | Бот-сети, поддельные источники, отражение | Одноразовые прокси | Секретная инфраструктура |
| Модель авторизации | Конечная точка — это приглашенный: в форме явно запрашиваются эти данные, идентификаторы открыто размещены на странице | Нет — сам объем запросов и является причиной вреда | Обходит предусмотренное использование, игнорирует сигналы о предотвращении злоупотреблений | Нормативно-правовые полномочия |
| Параллельные законные действия | Поступили сообщения о злоупотреблениях до начало наводнения, с идентификаторами дел | Н/Д | Н/Д | В рамках оперативной деятельности |
Запрос «seed-flood» представляет собой единственный запрос HTTPS POST объемом около 140 байт, исходящий от одного Cloudflare Worker, представляющего наш подписанный исходный сервер, со скоростью, составляющей лишь небольшую долю от той, которую сам провайдер считает допустимой, и направленный на конечную точку, идентификаторы которой оператор решил разместить на общедоступной веб-странице. То есть это весь наблюдаемый артефакт. Отсутствуют все структурные элементы, которые позволяют квалифицировать запрос как «атаку» — несанкционированный доступ, намерение исчерпать ресурсы, объемная перегрузка, затронутые третьи стороны, скрытый источник. Приведенный ниже правовой анализ не является творческой адвокатской аргументацией; это естественный толкование закона после того, как фактическая обстановка будет четко изложена.
Правовой анализ — законно ли это? Этично ли это?

Отправка данных через общедоступную веб-форму — даже вымышленных — сама по себе не является незаконной в большинстве правовых систем. Мы не получаем доступ к закрытым системам, не используем уязвимости без разрешения и не перехватываем сообщения. Мошенник устроил ловушку. Мы наполняем её камнями.
PhishDestroy не предоставляет юридических консультаций. Данный вопрос находится в настоящей «серой зоне», которая варьируется в зависимости от юрисдикции. Мы действуем, полностью осознавая всю сложность этой ситуации.
Что происходит с базой данных мошенника?
Оно теряет смысл — тысячи записей требуют ручной проверки, соотношение сигнал/шум резко ухудшается. Или он ломается — У Firebase Spark и общих экземпляров MongoDB установлены жесткие ограничения. Их превышение влечет за собой определенные последствия.
Оба варианта хороши
Станет ли база данных бесполезный или полностью ломается — Семенные фразы настоящих жертв никогда не попадают к злоумышленнику в пригодном для использования виде. Каждая необработанная семенная фраза — это кошелек, из которого не удается вывести средства.
Когда следует включать систему затопления семян?
| Критерий | Проверить | Почему это важно |
|---|---|---|
| Подтверждено наличие активного трафика | Обязательно | Рекламные платформы или инструменты для анализа трафика подтверждают, что на сайт заходят реальные пользователи |
| Анализ структуры фишинговых атак | Обязательно | Модули exfil в бесплатной версии, обнаруженные до того, как мы начнем массовую рассылку |
| Поступили сообщения о злоупотреблениях | Обязательно | Мы всегда одновременно следуем законному пути |
| В рамках SLA не предусмотрено удаление | Типичный триггер | Отсутствие ответа от регистратора/хостинг-провайдера в приемлемый срок |
| Сайт с большим объемом / платной рекламой | Непосредственный триггер | Платная реклама означает, что мы действуем, не дожидаясь завершения бюрократической процедуры |
Более широкий взгляд
Криптовалютная экосистема теряет миллиарды долларов в год к фишингу. Сторона защиты традиционно действовала в режиме реагирования. Проект PhishDestroy создан для того, чтобы внедрить активное вмешательство в этот цикл.
Мы не работаем в тайне. Мы публикуем нашу методологию. Мы объясняем, как работают наши технологии. Мы документируем анализируемые нами фишинговые наборы. Сообщество специалистов по безопасности заслуживает возможности самостоятельно оценивать методы борьбы с фишингом, а не просто пользоваться услугами по принципу «черного ящика».

Что вы можете сделать
- Отчитаться перед Безопасный просмотр от Google, PhishTank, а также регистратор домена
- Отправьте это нам — мы уделяем первоочередное внимание активным угрозам с высоким уровнем активности
- Проверить наша база данных по анатомии чтобы понять, на что вы смотрите
- Распространять информацию — большинство жертв не знают, как выглядит фишинговая страница с «семенной фразой», пока не станет слишком поздно
Если вы считаете, что пополнять пустые кошельки преступников — это неэтично, — это ваша точка зрения, и вы вправе её придерживаться. Мы чётко изложили свою позицию.


