«Анатомия ликвидации: как PhishDestroy борется с киберпреступностью»

В непрекращающейся борьбе с интернет-мошенничеством проект PhishDestroy стал одной из ключевых сил, превратившись из отдельной инициативы 2019 года в высокоэффективную операцию. Наша миссия ясна: ликвидировать инфраструктуру фишинга и мошенничества, защищая пользователей по всему миру. Речь идет не просто о блокировке вредоносных ссылок, а о том, чтобы понять структуру кибератаки и пресечь её в самом корне.

Наша эволюция: от недель до минут

Когда проект PhishDestroy только начинал свою работу, на удаление вредоносного домена могли уйти недели. За прошедшие годы мы расширили свою деятельность, наладили прочные партнерские отношения и завоевали доверие ключевых игроков в сфере кибербезопасности. Мы всегда уделяли пристальное внимание проблеме фишинга, что позволило нам накопить специальные знания и обеспечить минимальный уровень ложных срабатываний.

Сегодня то, что раньше занимало недели, теперь можно выполнить за считанные минуты. Такое ускорение является свидетельством наших постоянных инноваций и прочной репутации, которую мы заработали.

Процесс удаления

1. Быстрое обнаружение и проверка

Обнаружение происходит благодаря сообщениям пользователей через наш Бот в Telegram, автоматизированный мониторинг и информационные потоки об угрозах. Наши специалисты оперативно проверяют угрозы, чтобы свести к минимуму количество ложных срабатываний.

2. Углубленный анализ и сбор доказательств

Наши аналитики тщательно изучают угрозу, выявляя её особенности, цели и методы. Это включает в себя анализ вредоносного кода, картирование инфраструктуры и оценку последствий для пострадавших. Каждый факт тщательно документируется.

3. Стратегическая координация и действия

Именно здесь на первый план выходит наша репутация. Мы установили прочные отношения с сотнями хостинг-провайдеров, регистраторов доменов и правоохранительных органов. Когда PhishDestroy направляет заявку, более 50 систем мгновенно распознают наш запрос. Если сайт, о котором поступило сообщение, действительно является фишинговым, его можно заблокировать в течение нескольких минут.

4. Ликвидация и мониторинг

Конечной целью является полное удаление. После начала процедуры удаления мы отслеживаем статус, чтобы убедиться, что сайт отключен и остается в таком состоянии. Наши усилия привели к успешному пресечению более 500 000 вредоносных доменов с 2019 года, при этом проводится постоянная проверка после удаления, что позволяет выявлять повторное появление инфраструктуры в течение нескольких часов.

Методология работы: автоматизация, точность, масштабируемость

Наша модель сочетает в себе общественная журналистика с системы автоматического обнаружения и точной аналитики. Данная система рассчитана на масштабирование от одного отчета до тысяч удалений в день без ущерба для качества.

• Специально разработанные парсеры непрерывно сканировать результаты поиска по SEO, рекламные объявления и Google Ads на наличие признаков фишинга — выявляя угрозы в момент появления первого платного объявления.
• Выявленные угрозы автоматически передаются в Более 50 производителей антивирусных программ а также каналы информации об угрозах, обеспечивая максимальный охват блокировок по всему миру в первые минуты после обнаружения.
• Мы поддерживаем доля ложноположительных результатов ниже 0,5 %, насчитывающий более 100 000 подтвержденных отчетов — что доказывает: наши системы не только быстры, но и отличаются высокой точностью.
• Проверенные авторы, которые публикуют Более 100 точных отчетов предоставляются «надежный» статус, позволяющий публиковать материалы напрямую без модерации и значительно сокращающий время удаления контента для пользователей, имеющих репутацию надежных информаторов.
• В прямом эфире счетчик повреждений оценивает финансовый ущерб, нанесенный мошенниками, — исходя из средней стоимости домена и затрат на рекламу (около 15 долларов за домен для типичных криптовалютных мошеннических схем).

Источники обнаружения — где возникают угрозы

Фишинговая инфраструктура редко скрывается — она, напротив, афиширует себя. Мы собираем потенциальных клиентов из:

• Отчеты бота в Telegram от нашего сообщества через @PhishDestroy_bot — первичный прием от населения.
• SEO и парсеры платной рекламы — Google Ads, Bing, Yandex; ключевые слова, связанные с криптовалютными кошельками, биржами и мостами, находятся под постоянным мониторингом.
• Каналы аналитики угроз предоставленные нам партнерами и исследователями.
• Сети-ловушки а также контрольные токены семенной фразы, которые оповещают нас, когда мошенники пытаются использовать похищенные данные.
• WHOIS и прозрачность сертификатов мониторинг вновь зарегистрированных доменов, похожих на названия защищенных торговых марок.

Сохранение доказательств — постоянная цифровая запись

Сбивание с ног — это лишь первый шаг. Сохранение доказательств является нашей главной задачей — ведь удаленный домен бесполезен для следователей, если не осталось никаких записей.

• Каждый обнаруженный домен архивировано с помощью общедоступных сканеров (urlscan.io, Wayback Machine, наши собственные конвейеры создания моментальных снимков) для сбора полных отпечатков сайтов — HTML, скриншотов, сетевых запросов, кода JavaScript.
• Каждая операция оставляет цифровая запись который защищен от удаления злоумышленниками — открыто опубликован на Список удалений GitHub и Архив ScamIntelLogs.
• Архивы содержат панели администратора мошенников, экспорты чатов Telegram, схемы платежей, записи о жертвах и индикаторы угрозы (IOC) — что позволяет проводить расследование и привлекать виновных к ответственности даже спустя длительное время после ликвидации угрозы.
• Пока мошенники стирают следы, мы делаем их неизгладимыми.

Союзники и соперники среди регистраторов

Скорость удаления полностью зависит от оперативности действий регистратора и хостинг-провайдера. Данные наших партнеров показывают резкое различие:

• Отзывчивые партнеры:NameCheapТолько одна группа по борьбе с оскорблениями, работающая круглосуточно, помогла устранить Более 30 000 вредоносных доменов. GoDaddy, Хостинг, Squarespace, и ИОНОС незамедлительно реагировать в течение нескольких часов после получения подтвержденного сообщения.
• Постоянные факторы, способствующие развитию:NiceNic, Космотаун, NameSilo, и Webnic неоднократно игнорируют сообщения о злоупотреблениях, фактически служа убежищем для киберпреступных операций. См. наше расследование: Как NameSilo, Webnic и NiceNic способствуют распространению мошенничества по всему миру.

Уголовное возмездие — подтверждение последствий

Наша эффективность вызвала организованную реакцию сопротивления, которую мы рассматриваем скорее как доказательство нашего влияния, а не как препятствие:

• DDoS-атаки направленные против нашей инфраструктуры (смягченные Cloudflare).
• Скоординированные кампании по дискредитации и уничтожению посредством платных PR-размещений (см. Как платные СМИ искажают представление о кибербезопасности).
• Массовая отчетность наших аккаунтов в социальных сетях, чтобы заглушить критику.
• Наш аккаунт в X (Twitter) с Более 140 000 зарегистрированных сообщений о фишинге был навсегда отстранен от должности под давлением регистратора — см. NameSilo уничтожило наш Twitter. Архив по-прежнему доступен для общественности: Архив GitHub.

Преступники пытаются замести следы, а мы делаем так, чтобы их следы оставались навсегда.

Правовой статус и координация

Мы — некоммерческая волонтерская организация — это не компания, не юридическое лицо и не связанная с каким-либо правительством организация. Всё, чем мы занимаемся, происходит открыто:

• Все отчеты и доказательства открыто публикуются на GitHub, в Telegram и Mastodon — ничего не скрывается и не хранится в закрытом доступе.
• В ходе крупных расследований, связанных с установлением личности участников, отслеживанием финансовых потоков или картированием инфраструктуры, мы официально передавать полные комплекты доказательств правоохранительным органам или группам CERT.
• Все подобные передачи осуществляются в полном соответствии с законодательством и только после подтверждения достоверности оперативной информации.
• We не храните никаких персональных данных участников — защита информаторов от преследований и устранение риска утечки данных.

Наша задача заключается в том, чтобы фиксировать и пресекать злонамеренные действия, а затем оказывать содействие тем, кто уполномочен принимать меры на основании полученных доказательств.

В цифрах

• более 500 000 Домены, используемые для фишинга и мошенничества, заблокированы с 2019 года.
• более 130 000 подборка актуальных угроз список уничтожения.
• 50+ Наши информационные ленты получают производители антивирусных программ и платформы по сбору информации об угрозах.
• более 30 000 домены, удаленные исключительно в рамках партнерства с Namecheap.
• <0,5 % доля ложноположительных результатов по Более 100 000 проверенные отчеты.
• более 140 000 отчеты, заархивированные после приостановки действия нашего аккаунта в X.
• Восемьсот восемьдесят восемь тысяч и более подписчики сообщества по всем каналам.

Как вы можете помочь

• Сообщить о домене:@PhishDestroy_bot — это Telegram.
• Подписаться на уведомления:@PhishDestroyAlerts.
• Воспользуйтесь нашим списком заблокированных в брандмауэре, системе DNS или стеке безопасности: github.com/phishdestroy/destroylist.
• Ознакомьтесь с нашими расследованиями:Регистраторы, способствующие мошенничеству, Вернуто 100 000 долларов, Более 150 поддельных расширений Mozilla.

«Совместные действия — это самая надежная защита. Наш опыт показывает, чего можно достичь, когда технологии, профессиональные знания и сообщество объединяются в борьбе с киберпреступностью».