html Почему сообщения о злоупотреблениях принимаются… | PhishDestroy
⚖️ Правовые и технические обоснования

Почему мы публикуем отчеты
Только по электронной почте

Мы предоставляем регистраторам полные пакеты доказательств, проводя расследование бесплатно. Наши отчеты составляются с соблюдением всех правовых норм, поскольку правила внутренних платформ не могут иметь преимущественную силу перед международными нормами.

24 часа Требуемое время реагирования в соответствии с §3.18 Соглашения о предоставлении услуг ICANN (RAA)
13 600+ Добавляет в список удаления
$0 Наша прибыль. 100 % некоммерческая организация.

Почему это важно

Фишинг — это не просто неприятность. Это глобальная преступная индустрия, которая каждый день разрушает жизни людей и уничтожает компании.

16,6 млрд долларов
Общий ущерб от киберпреступлений в 2024 году
Отчет ФБР IC3
4,88 млн долларов
Средняя стоимость ущерба от одного фишингового инцидента
Отчет IBM «Стоимость утечки данных» за 2024 год
2,77 млрд долларов
Убытки BEC в 2024 году (только США)
Отчет ФБР IC3
3,4 миллиарда
Ежедневно рассылаемые фишинговые письма
Исследование AAG в области ИТ

ICANN принимает меры

С апреля 2024 года: 400 расследований, 4 официальных уведомления о нарушении, Заблокировано более 20 000 вредоносных доменов, а также прекращение сотрудничества с рядом регистраторов, в том числе Mixun Ltd, Zoo Hosting, Nerd Origins и другими.

Просмотреть уведомления ICANN о принудительном исполнении →

Правовая база

Соглашение о предоставлении прав и обязанностей ICANN

Соглашение об аккредитации регистратора §3.18.1

«Регистратор обязан организовать канал связи для приема сообщений о злоупотреблениях... Регистратор обязан разместить адрес электронной почты для приема таких сообщений на главной странице своего веб-сайта».

Источник: РАА 2013 г., раздел 3.18.1

Соглашение о предоставлении прав и обязанностей ICANN

Требование о круглосуточном мониторинге

«Регистратор должен создать и поддерживать специальный контактный центр по вопросам злоупотреблений, включая специальный адрес электронной почты и номер телефона, которые обслуживаются круглосуточно, без выходных».

Источник: Положение о соглашении с ICANN (RAA), § 3.18.2

Закон ЕС о защите данных

Закон о цифровых услугах — статья 16

«Поставщики услуг хостинга должны создать механизмы, позволяющие любому физическому или юридическому лицу уведомлять их о наличии на их ресурсе конкретных сведений, которые данное физическое или юридическое лицо считает незаконным контентом».

Источник: Закон ЕС о защите данных (DSA), статья 16

Злоупотребление системой DNS со стороны ICANN

Поправки к положениям о злоупотреблении DNS 2024 года

«Для облегчения подачи сообщений от любых лиц, заявляющих о злоупотреблениях и/или незаконной деятельности, регистратор должен опубликовать адрес электронной почты или веб-форму, доступ к которым не представляет трудностей... Для отправки сообщений о злоупотреблениях через веб-формы не должно требоваться вхождение в систему».

Источник: Консультативный документ ICANN, февраль 2024 г.

Почему веб-формы не работают

01

Неработающие CAPTCHA и технические барьеры

Некоторые регистраторы используют неразгадываемые CAPTCHA, ограничения на частоту запросов и технические барьеры, которые делают отправку форм невозможной. Когда отчеты не доходят, они ссылаются на «технические проблемы» или заявляют, что «отчеты не поступили».

02

Отсутствие контрольного журнала

Веб-формы не дают подтверждаемого доказательства отправки. Электронная почта создает запись с отметкой времени, имеющую юридическую силу, которую можно представить в отдел по обеспечению соблюдения требований ICANN, если регистратор не примет необходимых мер.

03

Умышленное препятствование

Некоторые регистраторы намеренно усложняют свои формы, чтобы отбить желание подавать жалобы. Это является прямым нарушением требования RAA о «легкодоступных» контактах для сообщения о злоупотреблениях.

04

Абсурдность автоответчиков

Некоторые регистраторы отправляют автоматические ответы, в которых фишинг классифицируется как «плагиат» или «нарушение авторских прав», демонстрируя тем самым сознательное игнорирование определений злоупотреблений в системе DNS, установленных ICANN.

05

Требования к входу в систему

ICANN прямо заявляет: «Веб-формы не должны требовать входа в систему для отправки сообщений о злоупотреблениях». Требование создания учетной записи нарушает договорные обязательства.

06

Требования к произвольным полям

Обязательные поля для указания нерелевантной информации, ограничения на количество символов в описаниях доказательств и принудительная классификация по неверным типам сообщений — все это вызывает разочарование у добросовестных авторов сообщений.

Что мы на самом деле отправляем

Наши отчеты представляют собой исчерпывающие комплекты доказательств, призванные максимально облегчить работу специалистов по расследованию случаев насилия. Мы проводим расследование — им остается только принять меры.

📄 Пример отчета Пакет доказательств в формате PDF
Номер дела и приоритет

Уникальный идентификатор отслеживания и классификация степени опасности угрозы

Технические доказательства

Домен, IP-адрес, метка времени обнаружения, ссылки на результаты анализа URLScan

Аналитика угроз от различных поставщиков

Обнаружения VirusTotal, анализ с помощью модулей обнаружения угроз, статус в черном списке

Визуальное подтверждение

Автоматический скриншот, подтверждающий наличие фишингового контента

Нарушения политики и законодательства

Конкретные нарушения Правил поведения пользователей (AUP) и Условий предоставления услуг (TOS), а также действующее законодательство

Меры по устранению последствий

Четкие задачи для группы по борьбе с злоупотреблениями

💯

100% некоммерческая организация

Мы получаем пожертвований не поступило, нулевые платежи, нулевая прибыль. Никаких контрактов, никаких руководителей, никаких коммерческих интересов. Наш проект полностью основан на открытом исходном коде и существует исключительно для борьбы с мошенничеством.

🎯

Единая цель: устранить угрозы

Мы не защищаем какую-то конкретную жертву или компанию. Мы устраняем угрозы из Интернета, прежде чем они нанесут еще больший ущерб. Вот и все. Никаких скрытых мотивов.

📋

Полный комплект с самого начала

В нашем первоначальном отчете мы сразу же приводим все имеющиеся доказательства: данные о домене, IP-адресе, результаты анализа с помощью URLScan, скриншоты (несколько штук, приложенных в виде файлов и в формате PDF), результаты проверки на VirusTotal, а также аналитические данные об угрозах. Добавить больше просто нечего.

📎

Почему мы можем не отвечать на запросы о дополнительной информации

В нашем первом письме уже указано всё, что у нас есть: домен, IP-адрес, ссылки на результаты анализа URLScan, данные об обнаружении вирусов на VirusTotal, несколько скриншотов (приложенных в виде файлов И встроенных в отчет в формате PDF), сведения о нарушениях политик и ссылки на законодательные акты. Просьба предоставить «дополнительные скриншоты», когда уже приложено более 3, или просьба о «дополнительных доказательствах», когда в отчет включен полный PDF-файл, свидетельствует о том, что отчет не был полностью изучен.

Кроме того, нам стало известно, что формы для сообщения о злоупотреблениях некоторых регистраторов перенаправляют сообщения третьим лицам — их партнерам, реселлерам или на домены, не имеющие никакого отношения к домену, о котором поступило сообщение. Чтобы обеспечить надлежащее рассмотрение сообщений, мы следуем процедуре, предписанной ICANN: отправляем сообщения на официальный адрес электронной почты по вопросам злоупотреблений, указанный в записях WHOIS.

🛡️

Ложное срабатывание? Мы хотим это знать

Мы серьезно относимся к ложным срабатываниям и активно работаем над их предотвращением. Если вы считаете, что домен был заблокирован по ошибке, сообщите нам об этом одним из следующих способов:

  • Форма апелляции (рекомендуется) — анонимный, простой, с функцией отслеживания заявок для контроля статуса
  • Заявка на GitHub — открытый, прозрачный, доступный для общественности
  • appeal@phishdestroy.io — может задержаться из-за спама от пользователей, которые были заблокированы за мошенничество

Мы рекомендуем использовать форму подачи жалобы, поскольку обиженные мошенники часто заваливают нашу электронную почту спамом, из-за чего законные жалобы легко упустить из виду. При использовании формы вы получаете номер заявки для отслеживания, при этом не требуется указывать никаких личных данных.

Наша методология

Полный пакет доказательств

Каждый отчет содержит полную документацию: данные WHOIS домена, скриншоты, результаты проверки URLScan, анализ исходного кода и вложения в формате PDF. Мы предоставляем все необходимое, чтобы специалисты службы по борьбе со злоупотреблениями регистратора могли принять обоснованное решение без дополнительного расследования.

Прямая переписка по электронной почте

Мы используем адреса электронной почты для сообщений о злоупотреблениях, указанные в записях WHOIS и на веб-сайтах регистраторов, в точном соответствии с требованиями §3.18.1 Соглашения о предоставлении услуг ICANN (RAA). Это создает юридический аудиторский след и гарантирует, что наши сообщения поступают к назначенным контактным лицам, ответственным за рассмотрение жалоб о злоупотреблениях.

Четкая классификация злоупотреблений в системе DNS

В наших отчетах четко указывается тип злоупотребления DNS (фишинг, вредоносное ПО, ботнеты, фарминг) с использованием официальных определений ICANN из документа SAC115. Мы не используем расплывчатые термины, которые позволяют регистраторам уклоняться от ответственности.

Процедура эскалации в ICANN

Если регистраторы не принимают надлежащих мер, мы передаем дело в отдел ICANN по контролю за соблюдением договорных обязательств, предоставив полную документацию, подтверждающую наши заявления и несоблюдение регистратором положений §3.18 Соглашения о регистрации доменных имен (RAA).

✓ Итог

Внутренние правила платформы, фирменные формы и специальные процедуры не имеют преимущественной силы перед договорными обязательствами ICANN или нормами ЕС. Регистратор не может создавать препятствия, чтобы уклониться от своей юридической обязанности расследовать и реагировать на обоснованные сообщения о злоупотреблениях.

Что на самом деле гласит закон

📋

Регистраторы обязаны провести расследование

«Регистратор обязан принять разумные и оперативные меры для расследования и надлежащего реагирования на любые сообщения о злоупотреблениях». В RAA не говорится: «проводить расследование только в том случае, если заявление подано через нашу рекомендуемую форму» или «реагировать только тогда, когда это удобно».

⏱️

Обязательства с установленным сроком исполнения

В соответствии с поправками 2024 года, касающимися злоупотреблений в системе DNS, регистраторы обязаны «незамедлительно принимать надлежащие меры по предотвращению, которые разумно необходимы для того, чтобы прекратить или иным образом помешать использованию зарегистрированного доменного имени в целях злоупотребления в системе DNS». Фишинговые домены требуют немедленных действий, а не бюрократических проволочек.

📧

Электронная почта является юридическим стандартом

ICANN прямо требует от регистраторов публиковать и контролировать адрес электронной почты для сообщений о злоупотреблениях. Хотя веб-формы допускаются в качестве дополнительного варианта, они не могут быть единственным способом и не должны создавать препятствий для подачи сообщений. Электронная почта остается обязательным по закону базовым способом.

⚠️

Несоблюдение правил влечет за собой последствия

Регистраторы, не соблюдающие требования §3.18 RAA, получают уведомления о нарушении от отдела контроля за соблюдением договорных обязательств ICANN. Продолжительное несоблюдение требований может привести к аннулированию аккредитации. Мы фиксируем все случаи и при необходимости передаем их на рассмотрение вышестоящих инстанций.

Рекомендации для регистраторов

Когда вы получите наш отчет, мы рекомендуем не только приостановить работу одного домена, но и:

01
🔍

Провести аудит клиента

Если домен взломан или является вредоносным, проверить все домены, принадлежащие этому клиенту. Существует высокая вероятность того, что их другие домены также содержат вредоносный контент — либо потому, что учетная запись была взломана, либо потому, что «клиент» на самом деле является мошенником, систематически использующим вашу инфраструктуру.

02
⚖️

Запрет ≠ справедливость

Простое блокирование одного домена не остановит преступника. Если клиент является мошенником, он зарегистрирует новые домены и продолжит свою деятельность. Подумайте, оправдывает ли это полное закрытие счета а также возможное передача дела в правоохранительные органы вашей юрисдикции.

03
📁

Сохранить доказательства

В зависимости от законодательства вашей страны после получения нашего отчета от вас может потребоваться хранить журналы и данные клиентов на случай возможных запросов со стороны правоохранительных органов. Вы получили официальное уведомление о том, что данный ресурс, вероятно, является вредоносным — примите соответствующие меры по сохранению данных.

04
🏛️

Учтите юридические обязательства

Во многих юрисдикциях сознательное размещение инфраструктуры, используемой для совершения преступлений, после получения соответствующего уведомления влечет за собой юридическую ответственность. Наш отчет является официальным уведомлением. Проконсультируйтесь со своей юридической службой по поводу обязанности по представлению отчетности в государственные органы а также требования к хранению доказательств.

⚠️

Незаконная регистрация и злонамеренная регистрация

Мы сообщаем о том, что обнаруживаем — мы не определяем намерения. Ваша задача — выяснить, был ли этот домен скомпрометированный (законный клиент, взломанная учетная запись) или зарегистрирован с злым умыслом (мошенник, пользующийся вашим сервисом). В любом случае, угрозу необходимо нейтрализовать, но ваши дальнейшие действия могут отличаться.

Соблюдение закона или соучастие.
Ваш выбор.

Мы предоставляем исчерпывающие доказательства преступной деятельности. Мы действуем в рамках законных процедур . Мы бесплатно выполняем работу вашей группы по борьбе с злоупотреблениями. Дальше решение за вами: защитить пользователей Интернета или поощрять мошенничество.

Соблюдайте законы

  • Оперативно реагировать на поступающие сообщения
  • Заблокировать подтвержденные фишинговые домены
  • Соблюдать положения §3.18 Соглашения о регистрации доменных имен (RAA) ICANN
  • Защитите свою репутацию

Стань соучастником

  • Игнорировать зафиксированные случаи злоупотребления
  • Требовать бесконечных «разъяснений»
  • Уведомления об утечках данных от ICANN
  • Прекращение аккредитации в области рисков
🤝

Мы не ваши враги. Мы оказываем услугу вашему отделу по борьбе с злоупотреблениями, выявляя угрозы для вашей инфраструктуры до того, как они приведут к санкциям со стороны регулирующих органов, ущербу для репутации или юридической ответственности. Работайте с нами, а не против нас.

🔥 Посмотреть наш список Destroylist на GitHub

О ложных срабатываниях

🙏

Мы сожалеем, когда это происходит

Да, ложные срабатывания случаются. И мы искренне сожалеем, когда это происходит. Мы — волонтеры, которые постоянно совершенствуют нашу логику обнаружения и системы проверки. Каждое ложное срабатывание вызывает у нас чувство неловкости, и мы делаем всё возможное, чтобы свести их к минимуму.

📊

Наши достижения

С июля 2025 года показатель ложноположительных результатов составляет менее 1 на 1 000 правильно выявленные угрозы. Наш репозиторий полностью открыт — вы можете проверить каждое сообщение, каждое удаление и каждое исправление, которое мы внесли.

Посмотреть наш открытый репозиторий →
⚠️

Не оправдывайте свои ошибки нашими

Наши редкие ошибки не оправдывают игнорирование обоснованных жалоб или отношение к каждому уведомлению как к ложному срабатыванию. Мы — добровольцы, не получающие за это вознаграждения, не имеющие правовой защиты и не обязанные защищать мошенников. Мы просто надеемся, что вы будете соблюдать правовые нормы и обеспечите эффективную работу отдела по борьбе со злоупотреблениями.

Полная прозрачность и открытые данные

📜 ПО ЛИЦЕНЗИИ MIT

Все, что мы публикуем, доступно для всех. Все, что мы делаем, открыто для общественности. Никаких секретов, никаких скрытых мотивов.

📤

Переслать наши отчеты

Вы можете пересылать наши отчеты владельцу домена, предполагаемому мошеннику, третьим лицам, правоохранительным органам или кому-либо еще. Мы прямо разрешаем это.

📧

Указать наш адрес электронной почты

Наш адрес электронной почты abuse@phishdestroy.io является общедоступной. Не стесняйтесь делиться ею с кем угодно, в том числе с лицом, в отношении которого поступило сообщение.

📋

Поделиться Содержание отчета

Полный текст наших отчетов, включая все приложения и файлы в формате PDF, можно распространять, копировать или публиковать без каких-либо ограничений.

🏛️

Предоставить в органы власти

Вы можете предоставлять наши отчеты и все связанные с ними данные правоохранительным органам, регулирующим органам или в рамках судебных разбирательств. Мы приветствуем такие действия.

Конфиденциальная информация отсутствует

Наши отчеты содержат никакой конфиденциальной или личной информации. Все, что мы предоставляем — домены, IP-адреса, скриншоты, аналитические данные — либо находится в открытом доступе, либо создано нами по лицензии MIT. Мы не требуем соблюдения конфиденциальности, неразглашения информации или какого-либо непрозрачного обращения с нашей перепиской.

PhishDestroy: аналитика угроз abuse@phishdestroy.io
💚

Спасибо

Всем регистраторам, хостинг-провайдерам и службам по борьбе со злоупотреблениями, которые соблюдают правила, беспристрастно расследуют жалобы и принимают меры по защите интернет-пользователей—спасибо. Вы делаете Интернет безопаснее для всех.

Мы все на одной стороне. Давайте так и останемся.

PhishDestroy. Аналитика угроз, основанная на работе волонтеров.