Настоящий враг — не мошенник. Это регистратор, который обналичивает его чеки.
Мошенник — это дешевый, заменяемый элемент в экономике отчаяния. А вот регистратор, с улыбкой принимающий его криптовалюту, — и ICANN, которая не заставляет его отвечать за это, — вот в чем заключается проблема.

Давайте будем предельно честными в отношении того, о чём специалисты по борьбе с мошенничеством не любят говорить вслух: большинство мошенников — это не гениальные преступники. Они не отличаются изощрённостью. Большинство из них едва ли обладают необходимыми навыками.
Хватит гоняться за рядовыми
Мы уже много лет отслеживаем злоумышленников. Мы наблюдаем, как они переключаются с одного вида мошенничества на другой: сегодня они управляют программами для кражи данных, завтра разрабатывают схемы слива средств, а в следующем квартале открывают сайт по продаже украденных данных. Мы наблюдаем, как они перемещают свои поддельные личности и инфраструктуру — в этом месяце в Швейцарию, в следующем — в Турцию. Они плохо маскируются. Они оставляют следы, по которым мог бы пойти даже аналитик-новичок. Большинство из них оказались в этом «бизнесе» по одной простой причине: у них не было другого выхода из жизни, а ума на что-то законное не хватило.
Так почему же проблема продолжает обостряться? Потому что число злоумышленников огромно, и выслеживать их одного за другим с математической точки зрения бессмысленно.
Взгляните на нашу собственную аналитическую платформу Telegram. Только в одном нашем наборе данных насчитывается почти 130 тысяч злоумышленников — и это лишь один набор данных.

Добавьте к этому ещё тысячи мошенников, выявленных в ходе предыдущих расследований другими исследовательскими группами, и картина станет ясной: арестами невозможно справиться с группой такого масштаба. Задержите одного мошенника, одну группу — после месяцев юридической работы, кошмаров с трансграничной юрисдикцией и дел, суммы которых редко интересуют правоохранительные органы, — и на их место в ту же неделю придут десять новых. Отдельный мошенник — это дешевый, заменяемый узел.
Ситуация меняется только тогда, когда меняются экономические условия. Пока мошенничество остаётся дешёвым — дешёвые домены, регистраторы, не задающие лишних вопросов, криптовалютные платежи без какой-либо верификации — его будет много. Единственная стратегия, которая работает в широком масштабе, — это сделать мошенничество дорогостоящим. А это напрямую ведёт к тем, кто сейчас делает его дешёвым:
Цифры говорят о том, что это кризис. А отрасль делает вид, что это просто временное явление.
Это не наше мнение. Это подтвержденные факты о состоянии Интернета:
$16B lost, +33% YoY
IC3 при ФБР получено 859 532 жалобы в 2024 году, когда заявленные убытки превысили $16 billion — что на 33 % больше, чем в 2023 году, — а самым распространённым видом киберпреступлений по количеству жалоб стал фишинг/спуфинг. Почти 150 000 жалоб касались цифровых активов, что составило $9.3 billion в убытках — рост на 66 % по сравнению с предыдущим годом.
Число случаев фишинга выросло на 180 % с 2021 года
Ежегодное исследование компании «Interisle Consulting», проанализировав почти четыре миллиона сообщений о фишинге за период с мая 2024 года по апрель 2025 года, обнаружила, что количество зарегистрированных случаев фишинга достигло почти два миллиона атак — рост более чем на 180 % по сравнению с 2021 годом. В том же отчете отмечается, с какой легкостью преступники используют либеральная отраслевая политика и деловая практика для приобретения доменных имен.
Прочитайте последнюю строку ещё раз. Результаты ведущего независимого исследования в этой области полностью подтверждают наши выводы: причиной этого явления является попустительская практика отрасли. А не гениальность мошенников. Попустительство. И концентрация доменных имен это подтверждает: компания Interisle обнаружила, что в ходе одной кампании выборка из 37 000 доменных имен, связанных с мошенничеством с неоплаченными дорожными сборами, показала, что 65 % были зарегистрированы через одного китайского регистратора.
Экономика мошенничества не распределена в Интернете случайным образом. Она сконцентрирована вокруг определенных регистраторов — ведь мошенники ищут места, где их не раскроют.
Регистраторы не являются нейтральными. Они являются участниками, получающими вознаграждение.
Существует удобный миф о том, что регистраторы представляют собой «нейтральную инфраструктуру» — пассивные сервисные организации, не заинтересованные в том, что происходит с доменами, которые они продают.
Это ложь. Регистратор — это коммерческая организация, которая получает прямой доход от каждого фишингового домена, который она отказывается заблокировать. Каждое проигнорированное сообщение о злоупотреблении — это гарантированный доход. Каждый ответ типа «мы не можем оценивать контент» — это коммерческое решение, замаскированное под юридическую позицию.
Мошенники выбирают регистратора не из-за цены или дизайна сайта. Они выбирают того регистратора, который не будет задавать лишних вопросов, не будет блокировать домены, принимает криптовалюту без верификации и молча игнорирует жалобы о злоупотреблениях. Это и есть рынок. Это и есть продукт. А данные самой отрасли показывают, кто его продает. Согласно Выводы компании Interisle, пять ведущих регистраторов gTLD по общему объему фишинговых атак были следующими: NameSilo, GoDaddy, GMO (Onamae), PublicDomainRegistry и NameCheap; если привести данные к общему знаменателю по управляемым доменам, то наиболее часто злоупотребляемыми были NiceNIC, URL Solutions, Aceville, WebNic и OwnRegistrar — при этом, по данным NiceNIC, 45 % их портфеля gTLD были отмечены как связанные с фишингом.
Кто контролирует регистраторов? Технически — ICANN. На практике — никто.
Над регистраторами стоит ICANN. Над ICANN никого нет.

Соглашение об аккредитации регистраторов ICANN 2013 года, Раздел 3.18, обязывает каждого аккредитованного регистратора в соответствии с договором иметь контактное лицо, ответственное за вопросы злоупотреблений, а также принимать разумные и оперативные меры по расследованию сообщений о злоупотреблениях и надлежащему реагированию на них. На бумаге — это обязательство, подлежащее принудительному исполнению.
На практике? Исходя из того, что мы ежедневно наблюдаем на передовой, мы оцениваем, что один-единственный регистратор, допускающий злоупотребления, нарушает пункт 3.18 как минимум ~1 000 раз в год — игнорируемые заявления, фиктивные «расследования», фишинговые домены, которые остаются активными неделями, пока жертвы терпят убытки. Если распространить эту картину на всю отрасль за пятилетний период, то реальное число сбоев уровня 3.18, по всей вероятности, достигает миллиона игнорированных или ненадлежащим образом обработанных заявлений. Никто не знает реальной цифры, потому что никто не обязан их подсчитывать. В этом-то и суть.
А что касается инструментария ICANN по обеспечению соблюдения правил? Фактически это одна «ядерная кнопка»: лишение аккредитации. Никаких штрафов. Никаких дифференцированных санкций. Никакой компенсации ущерба пострадавшим. И эта кнопка нажимается почти исключительно в отношении регистраторов, которые уже «мертвы» — пустых оболочек, переставших платить сборы. Почему? Потому что ICANN финансируется за счёт сборов от тех самых регистраторов, которых она «регулирует». Лишить аккредитации крупного, прибыльного регистратора, часто допускающего злоупотребления, означает лишить себя собственных доходов. Организация структурно неспособна стремиться к обеспечению соблюдения правил.
ICANN номинально заняла место регулятора — именно для того, чтобы сохранить свою независимость и не допустить вмешательства со стороны правительств. Результат: правило, которого не боится ни один регистратор. Да, есть прецеденты — уведомления о необходимости соблюдения требований и предупреждения (Дело WebNIC (в том числе и среди них). Посмотрите, к чему это приводит. Письмо с суровым тоном против бизнес-модели, приносящей миллионы. Система обеспечения соблюдения норм, в которой соблюдение является добровольным, — это не регулирование. Это просто спектакль.
Пример из практики: NameSilo — «самая быстрорастущая» компания, которая быстрее всех игнорирует клиентов
NameSilo — это компания, акции которой котируются на бирже. Она подаёт отчёты на биржу, в которых указывает миллионные доходы, и позиционирует себя как одного из самых быстрорастущих регистраторов в мире. При этом, согласно приведённому выше независимому исследованию, она занимает первое место в рейтинге по общему объёму фишинговых атак. Совпадение? Вот что мы наблюдали собственными глазами:
Двадцать сообщений, а затем «сообщений ранее не поступало»
Мы сообщили NameSilo о фишинговом сайте. И не один раз — не менее 20 подтвержденных сообщений по этому конкретному домену, сопроводив их доказательствами, скриншотами, сканами и анализом. Ничего не происходило, пока мы не подняли этот вопрос публично в Twitter/X. Публичный ответ NameSilo: они «не получали никаких предыдущих сообщений». Публично котируемый регистратор, столкнувшись с документально подтверждёнными доказательствами двадцати проигнорированных сообщений о злоупотреблениях, публично заявил, что этих сообщений не существовало. Это либо неработающая система обработки сообщений о злоупотреблениях, которую они отказываются исправлять, либо публичная ложь. Ни то, ни другое неприемлемо — и то, и другое приносит прибыль.
Сколько обращений о защите интересов пользователей из США компания NameSilo напрямую проигнорировала, чтобы не потерять доход? Ответим, исходя из собственного опыта: не просто много — мы полагаем, что большинство. И никакой ответственности за это не несет.
Но это ещё не всё. Компания NameSilo публично рассказала о том, как помогла одному из своих клиентов — о котором, по их утверждению, не поступало никаких жалоб — добиться удаления обнаружений на VirusTotal. Последуйте логике:
- Просьба о блокировке фишингового домена: «Мы не имеем права решать, что является вредоносным».
- Помощь платящему клиенту: внезапно получили право отменять решения по обнаружению угроз, вынесенные поставщиками решений безопасности из списка «Fortune 500».
Нельзя одновременно использовать техническую некомпетентность в качестве оправдания и технический авторитет в качестве услуги. Выбирайте что-то одно. Это не случайность и не единичный случай. Это закономерность: любить деньги, ничего не делать, ни перед кем не отчитываться.
Что на самом деле стоит аккредитация ICANN: Trustname, на данный момент
Конфликт интересов носит структурный характер и заключается в следующем: Регулирующий орган ни в коем случае не должен получать доходы непосредственно от субъектов, деятельность которых он регулирует. ICANN этим занимается — и мы понимаем, что её примерно 400 сотрудников, без сомнения, заняты вопросами, гораздо более насущными, чем безопасность пользователей, чьи кошельки эти домены призваны опустошать.
Вот какую ценность эта аккредитация имеет на практике, в реальных условиях сегодня. Рассмотрим Имя доверия (Fewmoretaps OÜ) — регистратор, с которым мы подробно описано. На бумаге это эстонская компания; фактически же она управляется из Беларусь управляется единственным владельцем-оператором — 100-процентным акционером, генеральным директором и единственным сотрудником компании. Заявленная выручка за 2024 год: 120 евро. Компания начала полноценно заниматься продажей доменов только в этом году. А её аккредитация в ICANN (IANA № 4318) — это продолжает действовать, несмотря на то что компания находится в процессе ликвидации. Из примерно 7 641 домена, которыми она управляет, 86 % активных программ подтверждены как вредоносные.
Именно этой компании ICANN вручила знак доверия. И это не наша оценка того, как она реагирует на злоупотребления — это оценка самой Trustname собственная опубликованная политика в отношении злоупотреблений:
«Согласно рекомендациям ICANN, в большинстве случаев для принятия мер в отношении домена регистратору необходимо предоставить действующее судебное постановление или согласие регистранта».
«Сообщения, поступающие исключительно через автоматизированные системы анализа угроз, рассматриваются как оперативные зацепки, а не как неопровержимые доказательства… Компания Trustname также может запросить подтверждение того, что предполагаемое нарушение по-прежнему имеет место на момент рассмотрения».
«Сообщения о нарушениях, отправленные с бесплатных или анонимных почтовых сервисов (например, @gmail.com, @proton.me), подлежат дополнительной проверке».
«Мы не определяем законность контента сайта и будем принимать меры только по указанию правоохранительных органов или в явных случаях нарушения наших условий».
Если рассматривать это как единую систему, то замысел становится очевидным: это действенный постановление суда затронуть эту сферу; реальные случаи выявления мошенничества переквалифицированы в простые «наводки»; требование, чтобы вы вновь подтвердили факт мошенничества, — это по-прежнему живут на этапе рассмотрения — после того, как они достаточно долго затягивают процесс; дополнительная «верификация» для всех, кто отправляет сообщения через Gmail или Proton; а также категорический отказ оценивать содержание сообщений с вежливым перенаправлением к фразе «обратитесь к своему хостинг-провайдеру». Добавьте к этому механизмы защиты конфиденциальности, принадлежащие регистраторам, которые принимают криптовалюту и отклоняют обычную почту, — и вы получите отсутствие какой-либо процедуры рассмотрения жалоб на злоупотребления. У вас есть защита с помощью документов — и это указано на бланке регистратора, аккредитованного ICANN.
Это напрямую свидетельствует о вине ICANN. Одночеловеческая организация из Беларуси с доходом в 120 евро, находящаяся в процессе ликвидации, обладает действующей аккредитацией и открыто публикует политику, разработанную таким образом, чтобы никогда ничего не приостанавливать. Самым сильным инструментом, которым располагает ICANN в ответ на это, является письмо; реакцией на такие письма, как мы видели, является обновление Условий, а не приостановка. Регулирующий орган, чьим самым суровым наказанием является письмо — на которое отвечают исправлением условий, — не является регулирующим органом. Между тем каждый день реальные люди теряют деньги из-за .com и другие домены, которые проходят через таких операторов, пока тянется бумажная волокита. Три судебных постановления об удалении действующей фишинговой страницы — это не надлежащая правовая процедура; это фарс, и этот фарс поддерживает ICANN, аккредитуя операторов, которые этого требуют.
«Trustname» — это не случайное стечение обстоятельств; это то, что происходит, когда система аккредитации дешева и не подлежит контролю. В нескольких странах ЕС, в том числе в Эстонии (где зарегистрировано множество подобных «пустых» компаний, Кейтаро (включая), а также Великобритания с её сверхдешёвой процедурой регистрации компаний — продают доступ к услугам по цене, которая исключает любую реальную проверку. В результате складывается атмосфера врождённого недоверия даже к законным компаниям, поскольку никто ничего не проверяет и никто не несёт ответственности. Мы также сталкивались с различными вариантами этой «стены» в виде судебных постановлений со стороны операторов с кодами определенных стран; об этом мы расскажем отдельно.
// The regulator that isn’t
Чем должен обладать эффективно функционирующий регулятор
- Дифференцированные штрафы, размер которых зависит от причиненного ущерба
- Наказания, не предусматривающие смертной казни
- Возмещение ущерба перечислено пострадавшим
- Независимые аудиты — а не самосертификация
- Финансирование, не зависящее от регулируемых
- Способность предотвратить нанесение вреда за считанные часы
Что есть у ICANN
- Единственное наказание: письмо с резким содержанием
- Только для завершения — используется в основном для уже завершенных оболочек
- Никаких штрафов. Никакой компенсации.
- Соблюдение принципа «системы чести» и самосертификация
- Финансируемая за счет сборов, взимаемых с регистраторов, которых она «регулирует»
- Жертва насилия оставалась в живых в течение нескольких недель из-за требований, выдвинутых «по решению суда»
ICANN не провалилась в регулировании доменной экономики.
Его и не собирались строить.
Решение очевидно: штрафы и ответственность
Мы не просим предоставить нам полномочия по цензуре. Мы просим того, что уже есть в любой другой отрасли: финансовые санкции за неисполнение договорных обязательств.
Дифференцированные штрафы
- Регистратор игнорирует три обоснованных сообщения о злоупотреблениях — с приложенными доказательствами, сканами и анализом — в отношении одного и того же вредоносного домена? Автоматическое наложение штрафа.
Ответственность перед пострадавшими
- Штрафы, подлежащие уплате потерпевшим или государству, на территории которого было совершено преступление.
- Если пользователь из США понес убытки в результате перехода на фишинговый домен, о котором регистратор был предупрежден, но не принял никаких мер, — регистратор несет солидарную ответственность за невыполнение своей прямо установленной обязанности по минимизации ущерба.
Прозрачность для общественности
- Обязательная прозрачность информации о публичных заявлениях о злоупотреблениях — количество поступивших заявлений, сроки реагирования, принятые меры — публикуется ежеквартально и подлежит аудиту.
- NameSilo никогда не сможет утверждать, что «ранее не поступало никаких сообщений» в отношении общедоступного журнала.
Независимые аудиты
- Независимые аудиты процедур реагирования на случаи злоупотреблений в качестве условия продления аккредитации — а не самооценка.
Регистраторы будут заявлять, что «от них нельзя требовать определения того, что является фишингом». Контрвопрос: вы способны брать деньги и подписывать обязательства по аккредитации — но неспособны их выполнять? Если регистратор действительно не в состоянии оценить сообщение о злоупотреблении с приложенными доказательствами, ему не место в системе аккредитации, которая по договору требует именно этого.
Чем это следует заменить: открытый реестр случаев злоупотреблений, обновляемый в режиме реального времени
Мы не предлагаем создать вторую организацию типа ICANN — в этом нет необходимости. Две из несущих систем Интернета уже дают представление о том, каким должен быть ответ: Прозрачность сертификатов TLS/SSL и WHOIS — открытые, доступные для поиска, общедоступные записи. Работа с нарушениями должна организовываться точно так же: открытый и доступный для общественности реестр всех сообщений о злоупотреблениях, поступающих в регистратуру, с подробным описанием принятых ею мер в ответ на них — с отметкой времени, поддающиеся проверке и не подлежащие опровержению задним числом.
С появлением этой системы учета большая часть современного театра рушится:
- Отсутствие постановления офшорного суда о пресечении непосредственной угрозы. Фишинговая страница, опустошающая кошельки, представляет собой непосредственную угрозу; для её блокировки не должно требоваться судебное решение, вынесенное на каком-то острове в офшорной зоне. Доказательства приведены в отчете, а из открытых источников видно, принял ли регистратор какие-либо меры.
- Процесс сортировки пациентов можно автоматизировать. Регистраторы утверждают, что их заваливают «атаками» и ложными сообщениями — а это как раз тот вид фильтрации, который Слой искусственного интеллекта работает эффективно: отсеивает лишнюю информацию, выявляет обоснованные случаи и фиксирует каждое решение. Простой и честный прокси-сервер, установленный на пути потока жалоб о злоупотреблениях, уже превзошёл бы по эффективности нынешнюю несистемную практику, основанную на ручной обработке. Для этого не нужен «второй человек» в ICANN.
- Срок действия оправдания истекает. Регистратор получает вознаграждение за каждый проданный домен; борьба со злоупотреблениями — это вторая часть этой сделки, а не просто любезность. Стандартная отмазка NameSilo о том, что «мы не обладаем соответствующей квалификацией», является коммерческим решением, а не техническим ограничением — и компания, которая действительно не может отличить фишинговый набор от легитимного трафика, должна заниматься своими другими видами деятельности, а не по умолчанию содействовать мошенническим и фишинговым операциям.
- Больше никаких «мы никогда не получали такого отчета». WebNic и NiceNic ответили нам автоматическими письмами с требованием предоставить скриншот, который уже был приложен к заявке; NameSilo заявила публично, что «ни разу не поступало ни одной жалобы». Ни один из этих аргументов не выдерживает проверки публичным реестром с отметками времени.
И в бухгалтерской книге фиксируется единственное последствие, которое имеет значение имеющий юридическую силу. Когда жертва теряет средства в результате мошенничества с доменом через несколько дней если в деле уже имелся обоснованный отчет — и, как следует из открытых данных, регистратор его замял, — то это уже не является какой-то досадной «серой зоной». Это задокументированный провал с точной датой и временем, и регистратор должен нести финансовую ответственность за этот конкретный инцидент.
Вот и весь механизм. Как только игнорирование жалобы обходится дороже, чем принятие мер по ней, отмазка «мы не уполномочены» перестает действовать, службы по борьбе со злоупотреблениями внезапно обретают бюджет и персонал, а мошенники, привыкшие покупать молчание, обнаруживают, что его уже некуда купить — и тихонько бросают домены, на которые они рассчитывали.
Решением проблемы является прозрачность. Нельзя просто так проигнорировать отчет, который, как всем известно, вы получили.
Итог
$16 billion in reported losses in a single year. Phishing up 180% since 2021. 130,000 malicious actors in one monitoring dataset alone. And the entire pipeline still starts the same way: a cheap domain, sold by a registrar that will never answer for its silence.
Мошенник — это лишь симптом: заменяемый, зачастую недалекий звено в экономике отчаяния. А вот регистратор, с улыбкой принимающий его криптовалюту, игнорирующий двадцать жалоб о злоупотреблениях, а затем публично лгущий об этом, — вот и сама болезнь. А декоративное «регулирование» со стороны ICANN — это иммунная система, которая решила не вмешиваться.
Мошенничество будет оставаться широко распространённым ровно до тех пор, пока оно будет обходиться дешево. А оно будет обходиться дешево ровно до тех пор, пока регистраторы будут молчать — и не платить ничего за своё молчание.
Источники и ссылки
- Центр по приему жалоб на интернет-преступления ФБР (IC3) — Отчет о киберпреступности за 2024 год (859 532 жалобы; заявленные убытки в размере 16,6 млрд долларов; фишинг и спуфинг занимают первое место по количеству жалоб).
- Interisle Consulting Group — Обзор ситуации с фишингом в 2025 году (≈2 млн фишинговых атак; рост на 180 % с 2021 года; концентрация регистраторов/доменов верхнего уровня; выборка из 37 000 доменов, связанных с мошенничеством с взиманием платы).
- ICANN — Соглашение об аккредитации регистраторов 2013 года, §3.18 (контактное лицо по вопросам жестокого обращения; обязанность принимать разумные и оперативные меры по расследованию случаев жестокого обращения и реагированию на них).
- Соблюдение договорных обязательств ICANN — Уведомление о нарушении безопасности, направленное компании Web Commerce Communications (WebNic), 29 июля 2025 г..
Цифры взяты из приведенных выше первоисточников; их интерпретация и комментарии принадлежат авторам.
Назовите того, кто это сделал возможным. Оцените цену молчания.
— Команда PhishDestroy — Независимый исследовательский проект по борьбе с фишингом