Вернуться к новостям
Отчет о расследовании — Секретарь

Trustname[.]com: Внутри «неуязвимого» регистратора, аккредитованного ICANN, обслуживающего мошеннические казино

Регистратор, аккредитованный ICANN (IANA № 4318), позиционирующий себя как «самый быстрорастущий независимый регистратор». Согласно данным налоговой отчетности Эстонии, его выручка составляет 120 евро, в штате — один сотрудник, собственный капитал отрицательный, а также уведомление об удалении. Оба владельца — белорусы. Домены мошеннических казино по-прежнему появляются один за другим.

14 апреля 2026 года Исследование PhishDestroy Время чтения: 14 минут
Панель управления расследованием Trustname.com — IANA 4318, выручка 120 евро, статус: ликвидация
Обзор расследования: регистратор, аккредитованный ICANN, задекларировавший выручку в размере 120 евро, при этом эксплуатируя полнофункциональную платформу регистрации доменов.
120 евро
Декларированная выручка за 2024 год
1
Сотрудник
-71 тыс. евро
Собственный капитал
6
Мошеннические казино / Неделя
4318
Идентификатор IANA
Резюме

Сайт Trustname.com управляется «Fewmoretaps» OÜ — эстонская подставная компания с неоплаченным акционерным капиталом, 120 евро заявленной годовой выручки, один сотрудник, отрицательный собственный капитал в размере −71 648 евро и уведомление об удалении опубликовано в Эстонском реестре предприятий. Сама компания буквально называет себя «надежный регистратор доменов» в собственной записи DNS типа TXT. Оба владельца являются гражданами Беларуси. Этот регистратор активно используется для регистрации поддельные криптовалютные казино под именем Илона Маска скрываясь за собственными офшорными прокси-серверами, обеспечивающими конфиденциальность.

Эстонское представительство Shell: Fewmoretaps OÜ

Компания «Fewmoretaps OÜ» зарегистрирована в Эстонском реестре предприятий под регистрационным кодом 16354846, НДС EE102702659, по адресу виртуального офиса — ул. Розени, 13, Таллинн. Компания зарегистрирована 01.11.2021 с уставным капиталом в размере 2 500 евро, который был никогда не вносил взносы («Создана без внесения взносов» — Годовой отчет за 2022 год).

Корпоративная структура Fewmoretaps OU — сайты Trustname.com, harakiri.org и whoispps.com находятся под управлением одного белорусского оператора
Цепочка владения: один белорусский оператор контролирует эстонскую подставную компанию, оба «независимых» прокси-сервера для обеспечения конфиденциальности, а также маркетинговую структуру fewmoretaps.com.

Цепочка владельцев

Основатель (2021–2023)
Виталий Цывинский
Единственный член совета директоров и акционер
Личный идентификационный номер 39403090187
Беларусь («Валгевене»)
Подписан годовой отчет за 2022 год 13.01.2023
Год без деятельности
Нынешний владелец (с мая 2023 года)
Кирилл Нестсярович
«Кир Н.» — генеральный директор (trustname.com/about)
Дата рождения: 09.09.1993
Беларусь
+375 29 2964411 (моб. MTS)
fewmoretaps@gmail.com
100-процентный акционерНазначен 23 мая 2023 года
Юридическое лицо
«Fewmoretaps» OÜ
Торговое название: Trustname.com
Рег. № 16354846 · НДС EE102702659
Росени, тн 13, Таллинн 10111
Зарегистрировано 01.11.2021
Опубликовано уведомление об удалении
2 500 евро неоплаченного капитала

Финансовые показатели: 120 евро в год и растущие убытки

Обязательные годовые отчеты в Эстонии являются общедоступными. Цифры говорят сами за себя:

Претензии Trustname против налоговых деклараций в Эстонии — миллионы клиентов против выручки в 120 евро
Рекламные заявления и официальные документы: «Нам доверяют миллионы» и «Клиенты из списка Fortune 500» с одной стороны — Выручка — 120 евро, 1 сотрудник, ликвидация с другой стороны.

Финансовая таблица (евро)

Метрическая система202220232024
Выручка0 евро0 евро120 евро
Чистый убыток0−20 711−50 937
Расходы на персонал08,32424,084
Долгосрочные обязательства035,370175,310
Собственный капитал0−20 711−71 648
Сотрудники (в пересчете на полную занятость)011
Цифры не сходятся

Сам по себе сбор за аккредитацию в ICANN составляет ~4 000 долларов в год. Работает AWS (3 брокера Kafka + EKS + S3) $500–2,000/month. Оптовая стоимость доменов в OpenSRS составляет 8–12 евро за домен .com. Плюс комиссии Vercel, Freshdesk, Brevo и Stripe. Минимальные операционные расходы: 35–50 тыс. евро в год. Задекларированная выручка: 120 евро. Этот дефицит покрывается за счет «долгосрочных обязательств» на сумму 175 310 евро из нераскрытых источников.

«Неуязвимые» — это их собственное определение

Это не маркетинговый ход со стороны PhishDestroy — это буквально указано в собственной записи TXT DNS Trustname:

«Trustname — аккредитованная ICANN компания и самый надежный в мире независимый регистратор доменов для частных лиц и предприятий, заботящихся о конфиденциальности и работающих в чувствительных сферах. Вы можете рассчитывать на нас как на вашего надежный регистратор доменов. «Мы заслуживаем доверия, мы надежны и предлагаем доступные цены».

Это может проверить любой пользователь, у которого есть DNS-клиент: dig TXT trustname.com. В сфере хостинга и регистрации доменов, «непробиваемый» — это специальный термин, который однозначно обозначает сервисы, отклоняющие запросы на удаление контента по причине злоупотребления и обслуживающие операторов, размещающих незаконный контент.

Сеть мошеннических казино

В течение одна неделя (8–13 апреля 2026 г.) через Trustname было зарегистрировано шесть доменов мошеннических криптовалютных казино, все из которых были скрыты за собственными прокси-серверами Trustname, обеспечивающими конфиденциальность:

Шесть доменов мошеннических казино, использующих одну и ту же русскоязычную панель администратора на сайте gambler-partners.is
Все шесть казино используют одинаковые шаблоны Next.js, хеши фрагментов webpack и общий русскоязычный административный бэкенд по адресу gambler-partners.is.

Подтвержденные мошеннические домены (все зарегистрированы через IANA № 4318)

noawin.com

2026-04-12
Крипто-казино

Прокси-сервер: Perfect Privacy LLC (KN)

henofex.com

2026-04-09
Казино «Илон Маск»

Прокси: Конфиденциальность WHOIS (Флорида)

jopexplay.com

2026-04-10
Заблокировано Cloudflare

Прокси: Конфиденциальность WHOIS (Флорида)

bezowin159.pro

2026-04-13
Крипто-казино

Прокси: Конфиденциальность WHOIS (Флорида)

noswin152.pro

2026-04-08
Крипто-казино

Прокси: Конфиденциальность WHOIS (Флорида)

bazowin781.pro

2026-04-08
Крипто-казино

Прокси: Конфиденциальность WHOIS (Флорида)

Общие данные бэкэнда

Анализ JavaScript-кода noawin.com раскрыл вызовы API к https://gambler-partners.is/api, /api/slots, /payser, а также CDN для изображений https://pictures-cdn.is/. The gambler-partners.is На самом сайте отображается панель администратора на русском языке с названием «Gambler | Главная» (Gambler | Главная) с описанием «Панель управления трафиком» (Панель управления трафиком). Один и тот же исходный код, один и тот же бэкенд, одна и та же сеть CDN — это организованная сеть мошеннических казино.

Офшорные прокси-серверы для обеспечения конфиденциальности — принадлежат регистратору

Trustname не использует независимые сторонние сервисы по обеспечению конфиденциальности. Компания использует собственные:

Карта мира, на которой показаны соединения с сервером в Эстонии, прокси-сервером на Сент-Китсе, прокси-сервером во Флориде и оператором в Беларуси
Таллинн (shell) → Чарлстаун, Невис (Perfect Privacy LLC) → Орландо, Флорида (WHOIS Privacy LLC) → Минск (операторы). Все узлы находятся под контролем одного и того же лица.

harakiri.org

«Perfect Privacy» LLCСент-Китс и НевисBTC / LTC / XMR / ZEC / ETHЗарегистрировано через IANA под номером 4318

whoispps.com

WHOIS Privacy Protection LLCОрландо, Флорида 32837«Обычная почта отправляется в мусор»Зарегистрировано через IANA под номером 4318
Циклическая структура обработки ошибок

Когда поступает жалоба о нарушении в отношении домена, защищенного механизмом конфиденциальности, Trustname принимает её и перенаправляет… самой себе. Эта whoispps.com На сайте прямо указано, что «Обычная почта выбрасывается». Это не конфиденциальность — это отмывание доходов от злоупотреблений структура, созданная таким образом, чтобы жалобы никуда не попадали.

Куда уходят деньги?

В компанию «Fewmoretaps OU» поступают платежи через Stripe и Monero, при этом в налоговую службу Эстонии заявлено лишь 120 евро
Способы оплаты: Stripe + BTC/ETH/LTC/XMR/ZEC. Платежи, заявленные в налоговую службу Эстонии: 120 евро в год. Дефицит был покрыт за счет «долгосрочных займов» на сумму 175 310 евро из неизвестных источников.

Платформа Trustname принимает платежи по картам через Stripe (/v2/users/billing/stripe/payment-methods) и криптовалюту через следующие адреса кошельков, указанные в конечной точке уведомлений API, доступ к которой осуществляется после аутентификации:

ETH:  0xdee6582dc53fa56180311393018121c6f1e8bd7c
LTC:  MEREvHtzqAUTJ1XvEevmci8UqMnDvfe2ri
ZEC:  t1d19KevpcXpesr9XA9UUyMW9XGYVDxkK9S
XMR:  8B5N29BocrTjkRCeGCARnkhKgBeHBhg4oH7ay4RfXfnL7RqBdyiuL4k6iN4GVUVxt1EQJvZRqLg8n4qgCNWmYHQQDZmfytM

Принятие Monero (XMR) — криптовалюта, специально разработанная для обеспечения невозможности отслеживания, — наряду с регулируемым платежным провайдером (Stripe), требующим прохождения процедуры KYC, при этом заявляя, что 120 евро годовой выручки для эстонских налоговых органов создает парадокс соблюдения налогового законодательства. Стоимость одной регистрации домена .com по оптовой цене (~13 долларов) уже превышает заявленную выручку за весь год.

Вопрос по противодействию отмыванию денег в Эстонии

В соответствии с законодательством Эстонии («Закон о предотвращении отмывания денег и финансирования терроризма») поставщики услуг в сфере виртуальных активов обязаны иметь лицензию, выданную Управлением финансовой разведки. Имеет ли компания «Fewmoretaps OÜ» эту лицензию? В противном случае прием платежей в криптовалюте за оказание услуг сам по себе может являться нарушением нормативных требований.

Маркетинговые заявления и налоговая отчетность

Что они говорят клиентам

  • «Самый быстрорастущий независимый регистратор доменов № 1 в 2025 году»
  • «Нам доверяют миллионы владельцев доменов»
  • «Нам доверяют компании из списка Fortune 500»
  • «Команда из более чем 35 человек, работающих в разных уголках мира»
  • Офисы, расположенные в Лондоне, Беверли-Хиллз и Мельбурне
  • Клиенты: McDonald’s, Vodafone, Adidas, Tata, Yahoo, BCG (галерея логотипов на сайте fewmoretaps.com)
  • «С 1997 года» (fewmoretaps.com)

Какие документы они подают в налоговую службу Эстонии

  • 0 евро выручки в 2023 году, Выручка в размере 120 евро в 2024 году
  • 1 сотрудник (в эквиваленте полной занятости) в обоих годах
  • Собственный капитал −71 648 евро, неоплаченный капитал в размере 2 500 евро
  • Виртуальный офис по адресу: ул. Розени, 13, Таллинн
  • Зарегистрировано 2021, а не 1997 год
  • Компания в процессе ликвидации

Поддельные отзывы («Стена любви»)

«Trustname: Стена любви» — поддельные отзывы с повторяющимися именами: Джек, Лили, Меган
30 отзывов. 11 уникальных имен. Имя «Джек» встречается 5 раз, «Лили» — 6 раз. Ни фотографий, ни дат, ни поддающихся проверке профилей, ни ссылок на Trustpilot или G2. Никаких фамилий.

Анализ trustname.com/wall-of-love страница: 30 «отзывов клиентов», при этом только 11 уникальных имен. Имя «Джек» встречается пять раз. «Лили» — шесть раз. «Меган» — три раза. Все отзывы представляют собой общие однострочные похвалы, написанные в одинаковом стиле. Ссылок на независимые платформы для отзывов нет. Личности авторов отзывов не подтверждены. Для сравнения: у Namecheap и Porkbun на Trustpilot и G2 есть тысячи подтвержденных отзывов.

Риски, связанные с инфраструктурой и безопасностью

Схема инфраструктуры Trustname с указанием открытых портов Kafka, доступных панелей администрирования и FTP на исходном сервере
Схема инфраструктуры: фронтенд на Vercel, Kubernetes в регионе AWS eu-central-1 с общедоступными брокерами Kafka на порту 7777, открытый админ-интерфейс Strapi, незащищенная система WHOIS CoreNIC в режиме разработки.
trustname.com (Vercel / Next.js)
  ├── api.trustname.com              Fastify API (Swagger behind Basic Auth only)
  ├── admin.trustname.com            React-Admin panel (publicly accessible)
  ├── blog.trustname.com             Strapi CMS (admin UI exposed)
  ├── support.trustname.com          Freshdesk (EU instance)
  └── whois-fewmoretaps.corenic.net  Knipp DomainSRS (JSF Development mode)

fewmoretaps.com (WordPress) origin: 37.1.219.211
     Open ports: FTP:21 (vsftpd 3.0.5), SSH:22, HTTP:80, HTTPS:443

AWS eu-central-1 (EKS Kubernetes):
  35.156.29.145 / 18.196.68.81 / 52.28.105.156
  Port 7777 — Apache Kafka (Strimzi)
  SSL cert CN: kafka-staging-kafka   SAN: staging.kafka-0.trustname.com
  Namespace: backend-staging

Upstream registrar: OpenSRS (Tucows)
Invoicing: Quaderno · Payments: Stripe + Crypto
Email: Brevo  ·  Analytics: Google, Fuago
S3: domain-registrar-strapi-media (eu-central-1, leaked via CSP header)
Выявленные ошибки в настройках
  1. Панель администратора доступна для общего доступа (admin.trustname.com) — защита только с помощью логина, без белого списка IP-адресов.
  2. Доступ к интерфейсу администратора CMS Strapi можно получить по адресу blog.trustname.com.
  3. JSF в режиме разработки в системе WHOIS CoreNIC.
  4. Три брокера AWS Kafka, доступные из открытого Интернета по порту 7777; в SSL SAN раскрывается пространство имён Kubernetes.
  5. IP-адреса источника обходят Cloudflare — возможен прямой доступ.
  6. На сервере «fewmoretaps» запущен FTP-сервер (vsftpd).
  7. Swagger / OpenAPI доступны только при использовании базовой аутентификации на api.trustname.com/api-json.

Хронология событий

2004-06-04
Первичная регистрация trustname.com (предыдущий владелец).
2021-07-11
fewmoretaps.com зарегистрирован. Весь маркетинговый сайт был создан за 5 дней одним пользователем WordPress под ником «riseup».
2021-11-01
Компания «Fewmoretaps OÜ» зарегистрирована в Эстонии. Владелец: Виталий Цывинский (Беларусь). Уставный капитал — 2 500 евро (неоплаченный).
2023-01-13
Подан первый годовой отчет (в 2022 году деятельность не велась).
2023-05-23
Право собственности перешло к Кирилл Нестсярович (Беларусь).
2023-08-20
whoispps.com Зарегистрирован домен прокси-сервера для обеспечения конфиденциальности.
2023
Получена аккредитация ICANN (IANA ID 4318).
2024-02-01
Регистрация в качестве плательщика НДС (EE102702659).
2024-12-31
Подан годовой отчет за 2024 год. Выручка 120 евро, чистый убыток −50 937 евро, собственный капитал −71 648 евро.
08.04.2026…13
Массовая регистрация шести доменов мошеннических казино в течение одной недели.
2026-04
Уведомление об удалении компании, опубликованное в Эстонском реестре предприятий.

Кто это допускает?

Значки подотчетности ICANN, AWS, Stripe, Cloudflare, Vercel, Tucows и OpenSRS
Каждая крупная платформа, имеющая отношение к этой операции, имеет собственную Политику допустимого использования, запрещающую мошенничество. Ни одна из них не приняла никаких мер.

В адрес ICANN

  • Как компания с Выручка — 0 евро, количество сотрудников — 0 на момент подачи заявки была получена аккредитация ICANN? Какая проверка была проведена?
  • Регистратор, у которого в записи TXT системы DNS буквально указано: «надежный регистратор доменов» и «чувствительные ниши» — как это согласуется с Соглашением об аккредитации регистраторов?
  • Регистратор в настоящее время находится под ликвидация в Эстонии. Что происходит с находящимися на рассмотрении жалобами о злоупотреблениях в отношении доменов, зарегистрированных в рамках IANA #4318?
  • Оба владельца являются гражданами Беларусь — страна, в отношении которой с 2020 года действуют всеобъемлющие санкции со стороны ЕС и США. Была ли эта информация раскрыта в ходе аккредитации?

В OpenSRS (Tucows)

  • OpenSRS предоставляет исходный API, который Trustname использует для регистрации доменов (подтверждено opensrsOrderId (в данных о транзакциях). Проводит ли компания Tucows проверки на соответствие требованиям в отношении реселлеров, которые открыто позиционируют себя как «неуязвимые»?
  • За одну неделю через OpenSRS с помощью Trustname было зарегистрировано шесть доменов мошеннических казино, в том числе один, который уже был отмечен Cloudflare. Какие средства автоматического обнаружения мошенничества существуют на уровне реселлеров?

AWS, Stripe, Vercel, Cloudflare

  • AWS: кластер EKS, корзина S3 и три брокеры Kafka с открытым доступом находятся в eu-central-1. Правила допустимого использования AWS (AUP) запрещают предоставление услуг, способствующих мошенничеству.
  • Полоса: оплата картой осуществляется через /v2/users/billing/stripe/payment-methods. В списке запрещенных видов деятельности компании Stripe указаны услуги, способствующие незаконной деятельности. Был ли проверен портфель клиентов?
  • Vercel: trustname.com и admin.trustname.com размещены на Vercel. Правила допустимого использования (AUP) Vercel запрещают «услуги, пропагандирующие мошеннические схемы».
  • Cloudflare: jopexplay.com помечен как «Сайт, вызывающий подозрения в введении в заблуждение». Остальные пять казино, использующие идентичные шаблоны, по-прежнему работают. Почему такая непоследовательность?

О Беларуси и Monero

  • Оба владельца — Налоговые резиденты Беларуси. Доходы, полученные по всему миру, должны декларироваться в Беларуси в соответствии с белорусским налоговым законодательством. У белорусских властей нет соглашений об обмене налоговой информацией (MLAT) с большинством западных юрисдикций — в результате обеспечение исполнения налогового законодательства фактически заходит в тупик.
  • Trustname принимает Monero (XMR), криптовалюта, разработанная таким образом, чтобы её невозможно было отследить. Как отражаются платежи в XMR в целях уплаты НДС, противодействия отмыванию денег и ведения финансовой отчётности в Эстонии? В годовом отчёте указано, что 120 евро. Это включает криптовалюту? Если нет, то куда её отнести?

Признаки взлома

Идентификаторы регистраторов

IANA ID:        4318
WHOIS Server:   whois.fewmoretaps.com
Abuse email:    abuse@trustname.com
Abuse phone:    +372.6884747

Инфраструктура

trustname.com
fewmoretaps.com
harakiri.org
whoispps.com
gambler-partners.is
pictures-cdn.is

37.1.219.211      fewmoretaps.com origin (FTP, SSH, HTTP, HTTPS)
195.253.23.47     CoreNIC WHOIS origin
35.156.29.145     AWS Kafka broker
18.196.68.81      AWS Kafka broker
52.28.105.156     AWS Kafka broker

Подтвержденные мошеннические домены

noawin.com          henofex.com         jopexplay.com
bezowin159.pro      noswin152.pro       bazowin781.pro

Вердикт

Trustname.com — это не «регистратор, ориентированный на защиту конфиденциальности». Это специально созданная инфраструктура, предназначенная для содействия онлайн-мошенничеству:

  • Эстонская подставная компания с невнесенным капиталом и двумя белорусскими владельцами
  • Нулевая законная выручка несмотря на активную работу по регистрации доменов
  • Частные «независимые» офшорные прокси-серверы для обеспечения конфиденциальности на острове Сент-Китс и во Флориде
  • Прием криптовалют, не поддающихся отслеживанию (Monero, Zcash)
  • Десятки недавно зарегистрированных доменов мошеннических казино, созданных по одинаковым шаблонам
  • Запись TXT в системе DNS, в которой они буквально называют себя пуленепробиваемый
  • Компания в настоящее время находится в процессе ликвидации — стратегия выхода, реализация которой уже ведётся

ICANN и OpenSRS (Tucows) должны пересмотреть аккредитацию IANA № 4318. Домены, зарегистрированные через прокси-сервисы Trustname, обеспечивающие конфиденциальность, требуют более тщательной проверки при поступлении сообщений о злоупотреблениях. До тех пор PhishDestroy помечает каждый домен, зарегистрированный через Trustname, в нашем сканере с помощью предупреждение регистратора, как мы это делаем для NiceNIC и NameSilo.

Связанные исследования

Источники и проверка

Каждое утверждение в данном отчете подкреплено общедоступными документами или данными, полученными через собственную авторизованную учетную запись исследователя. Ниже приведены первоисточники с инструкциями по независимой проверке.

Реестр юридических лиц и налоговая отчетность

УтверждениеИсточникКак проверить
Регистрация компании, владельцы, статус, уведомление об удаленииРеестр предприятий Эстонии (Äriregister)ariregister.rik.ee — поиск регистрационного кода 16354846
Годовые отчеты за 2022, 2023 и 2024 годы — выручка, собственный капитал, численность персоналаРеестр предприятий Эстонии — обязательная отчетность для компаний типа OÜВ том же реестре → вкладка «Годовые отчеты». Отчеты доступны для общественности.
Имена владельцев, идентификационные номера, гражданство (Цывинский, Нестьярович)Страницы для акционеров в годовом отчете (Осаникуд)Отчет за 2022 г., стр. 6 (Цывинский); Отчеты за 2023–2024 гг. (Нестсярович)
Регистрация в качестве плательщика НДС EE102702659Налогово-таможенная служба ЭстонииПроверить через ЕС VIES

ICANN и идентификаторы регистраторов

УтверждениеИсточникКак проверить
Идентификатор IANA 4318 — Аккредитация ICANNСписок регистраторов, аккредитованных ICANNicann.org/en/accredited-registrars — введите в поиске «Fewmoretaps» или «4318»
Контактная информация по вопросам злоупотреблений (abuse@trustname.com, +372.6884747)Записи WHOIS для любого домена, зарегистрированного в Trustnamewhois trustname.com через любой RDAP/WHOIS-клиент
Сервер WHOIS whois.fewmoretaps.comЗаписи WHOISУказано в каждом домене, зарегистрированном через IANA № 4318

Данные WHOIS и DNS

УтверждениеМетод
Запись TXT в DNS — буквальная цитата «непробиваемая»dig TXT trustname.com или DNSChecker
Прокси-сервис для защиты конфиденциальности данных WHOIS (Perfect Privacy LLC, WHOIS Privacy LLC)whois noawin.com, whois harakiri.org, whois whoispps.com
Регистрация мошеннических доменов через TrustnameЗапрос WHOIS по порту 43 на 195.253.23.47:43 или любой общедоступный сервис WHOIS
Записи MX и NS для отображения инфраструктурыСтандартные DNS-запросы (dig NS trustname.com, dig MX)

Маркетинговые заявления (в прямом эфире + в архиве)

Техническая инфраструктура (неинтрузивная)

Показать полную таблицу источников данных
Точка данныхМетод
IP-адреса источника (37.1.219.211, 195.253.23.47)Преобразование DNS + анализ HTTP-заголовков
Поддомены (api / admin / blog / support)Стандартное перечисление DNS
Техническая реализация панели администратора (React-Admin)Общедоступные JS-пакеты, предоставляемые admin.trustname.com
Схема конечных точек APIАнализ фрагментов фронтенда (общедоступные ресурсы)
Обзор CMS StrapiHTTP-ответ от blog.trustname.com
Kafka на порту 7777 + утечка данных SAN при использовании SSLnmap -sV; openssl s_client -connect 35.156.29.145:7777
CoreNIC / Knipp DomainSRSHTTP-ответ от whois-fewmoretaps.corenic.net
Баннер FTP на исходном сервереnmap -sV 37.1.219.211 — Баннер vsftpd 3.0.5
Поставщик верхнего уровня (OpenSRS)Поле details.opensrsOrderId в модели данных панели администратора
Интеграция платежной системы StripeКонечная точка /v2/users/billing/stripe/payment-methods
Адреса кошельков криптовалютыGET /users/notifications на api.trustname.com (по словам самого исследователя)
контейнер S3 domain-registrar-strapi-mediaУтечка произошла через заголовок Content-Security-Policy на blog.trustname.com
Бэкэнд казино gambler-partners.isИзвлечено из app/layout-414e3e65ac0c109b.js на сайте noawin.com

Анализ сети казино

  • Материалы о казино («Официальное казино Илона Маска») — curl https://henofex.com
  • Блокировка фишинга Cloudflare — curl https://jopexplay.com отображает промежуточную страницу Cloudflare
  • Общий шаблон (идентичные хеши фрагментов) — сравнить _next/static/chunks/ во всех шести областях
  • Панель администратора на русском языке — curl https://gambler-partners.is возвращает заголовок «Gambler | Главная»

Использованные инструменты

DNS / WHOIS:    dig, nslookup, whois
Port scanning:  nmap (service / version detection only)
HTTP:           curl (header + content retrieval)
SSL:            openssl s_client
JavaScript:     manual deobfuscation of publicly served bundles
PDF:            PyPDF2 (annual report text extraction)

Методика расчета финансовых затрат

Этот Минимальные операционные расходы в размере 35–50 тыс. евро Этот показатель рассчитывается на основе общедоступных данных о ценах:

  • Аккредитационный сбор ICANN: ~$4,000/year (ICANN опубликовала тарифы)
  • OpenSRS — оптовая продажа доменов .com: $8–12/domain (Цены для реселлеров Tucows)
  • AWS eu-central-1 (3 инстанса m5.large для Kafka + управляющая плоскость EKS + S3): $500–2,000/month (Калькулятор цен AWS)
  • Vercel Pro: 20 долларов в месяц, Freshdesk: 15 долларов за оператора в месяц, Brevo: 25 долларов в месяц (страницы с публичными ценами)
  • Заявленные расходы на персонал на 2024 год: 24 084 евро (годовой отчет самой компании)

Этика и методология

Что было сделано
  • Исследование открытых источников (Эстонский реестр предприятий, ICANN, VIES, WHOIS, DNS).
  • Неинтрузивная техническая разведка: DNS-запросы, считывание HTTP-заголовков, проверка SSL-сертификатов, анализ JavaScript-кода из публичного пакета, nmap обнаружение служб без взлома.
  • Тестирование API с авторизацией с использованием собственной, законно зарегистрированной учетной записи Trustname исследователя.
  • Сверка снимков из архива Wayback Machine для проверки маркетинговых заявлений.
Что НЕ было сделано
  • Запрещены атаки методом перебора на любой логин.
  • Не было обнаружено попыток SQL-инъекции, удаленного выполнения кода (RCE) или других попыток злоупотребления.
  • Запрещается любой несанкционированный доступ к любым системам, учетным записям или данным.
  • Отсутствие утечки данных с защищенных конечных устройств.
  • Никаких изменений каких-либо данных, даже в тех случаях, когда это было бы возможно из-за ошибок в настройках.
  • Конечные точки Admin API были проверены на наличие уязвимости BOLA (Broken Object Level Authorization) — Было подтверждено, что система RBAC реализована надлежащим образом; токены пользователей правильно отклоняются административными конечными точками.

Должность в сфере раскрытия информации и отчетности

Результаты данного исследования были опубликованы в полном объеме в виде публичное раскрытие информации. PhishDestroy — это исследовательская группа, занимающаяся сбором информации из открытых источников (OSINT), а не организация, подлежащая регулированию и обязанная подавать отчеты, поэтому в соответствии со статьёй 306 Уголовного кодекса Эстонии (KarS) или аналогичными нормативными актами ЕС у неё нет юридической обязанности подавать частные отчеты в органы власти — такая обязанность возлагается исключительно на банки, поставщиков услуг в сфере виртуальных активов (VASP) и аналогичные регулируемые организации, на которые распространяются соответствующие обязательства.

Если сообщения о злоупотреблениях, поступившие в отношении доменов, зарегистрированных в рамках IANA #4318, будут и дальше игнорироваться, данное досье будет официально передано на рассмотрение:

  1. Соблюдение требований ICANNicann.org/compliance/complaint · RAA § 3.7.8 (точность данных WHOIS) и § 3.18 (реагирование на злоупотребления)
  2. Tucows / OpenSRS — регистратор верхнего уровня; abuse@tucows.com, compliance@opensrs.com
  3. CERT-EE (РИА) — cert@cert.ee
  4. Эстонское налоговое агентство (MTA) (Maksu- ja Tolliamet, Налогово-таможенное управление) — горячая линия по вопросам налогового мошенничества vihjeliin@emta.ee
  5. ПФР Эстонии (Бюро статистики Рахапесу) — rab@politsei.ee в связи с деятельностью, связанной с отмыванием денег и нелицензированной деятельностью поставщиков услуг в сфере виртуальных активов (VASP)
  6. Службы по борьбе со злоупотреблениями на платформе — AWS Trust & Safety, Stripe Risk, Vercel Abuse, Cloudflare Trust & Safety
  7. EU FIU.net через эстонское ПИУ — в части санкций в отношении Беларуси

На данный момент от официального усиления мер сознательно воздержались: регистратор уже находится в процессе ликвидации в Эстонии, операторы базируются в Беларуси (отсутствие соглашения о взаимной правовой помощи (MLAT) ⇒ тупик в обеспечении исполнения), а публичный отчет имеет больший вес, чем заявка, находящаяся в очереди. Мы пересмотрим ситуацию, если обстоятельства изменятся — или если кто-либо из читающих это приведет аргумент, который это обосновывает.

Данное расследование проводилось исключительно с использованием методов OSINT и неинтрузивного технического анализа. Все источники данных являются общедоступными или были получены через собственную учетную запись исследователя на платформе, прошедшую аутентификацию. На каком-либо этапе не осуществлялся никакой несанкционированный доступ. Поправки, опровергающие доказательства или дополнительные данные: @PhishDestroy_bot · @Phish_Destroy · github.com/PhishDestroy.

Поделиться этим расследованием

X / Twitter Telegram Reddit LinkedIn

Связанные расследования

xmrwallet.com разоблачен: 10 лет украденных ключей
ТЩАТЕЛЬНОЕ РАССЛЕДОВАНИЕ
xmrwallet.com разоблачен: 10 лет украденных ключей
Расследование NiceNIC: регистратор ICANN способствует киберпреступности
ТЩАТЕЛЬНОЕ РАССЛЕДОВАНИЕ
Расследование NiceNIC: регистратор ICANN способствует киберпреступности
NameSilo, Webnic, NiceNic: регистраторы, способствующие мошенничеству
РАССЛЕДОВАНИЕ
NameSilo, Webnic, NiceNic: регистраторы, способствующие мошенничеству