/>
Нам за це не платять. Ми ризикуємо зазнати реальних наслідків від загнаних у кут злочинців, які мають гроші. На цій сторінці пояснюється, чому ми вирішили взятися за цю справу, що ми намагаємося довести та як ми організували це розслідування.
Незалежність та спроможність
Ми працюємо незалежно. У нас немає корпоративних спонсорів, грантів чи фінансових важелів, якими можна було б скористатися. Ця автономія дозволяє нам ставити перед собою цілі, яких традиційні охоронні компанії уникають через ризик юридичної відповідальності або конфлікт інтересів. Нейтралізовано понад 130 000 фішингових доменів. Багаторічний досвід активної діяльності. Ми добре розуміємо, як влаштована інфраструктура шахрайства, як поводяться оператори в стресових ситуаціях, як відбувається обробка повідомлень про зловживання на платформах, а також механізми проведення кампаній з придушення активності.
Як розпочалося розслідування
Операторку («Наталі Рой») безпосередньо попередили: не бреши, не загострюй ситуацію. У неї було чимало можливостей тихо виправити ситуацію — видалити дві заявки на GitHub і залишити все як є. Якби жодна з жертв не поскаржилася, справа на цьому б і закінчилася. Натомість вона вирішила погрожувати, брехати та залучити свого реєстратора. Потім NameSilo опублікувало твіт, що містив 4 твердження, які можна було легко спростувати, публічно захищаючи програму для викачування даних, на яку вказав VirusTotal, перед аудиторією з 11 000 осіб. Ця тактична помилка спричинила розгортання повномасштабної слідчої операції.
Наша мета відображена в нашій назві: PhishDestroy. Компанія NameSilo свідомо вирішила стати частиною фішингової операції — захищаючи її, публікуючи неправдиві заяви та приховуючи докази. Відповідь має процедурний характер: задокументувати заходи захисту, нейтралізувати шахрайство, звернутися до правоохоронних органів.
Один із наших дослідників пише наукова робота з криміналістики, присвячена онлайн-шахрайству. Це розслідування є основним прикладом для вивчення. У статті розроблено методологію розслідування крадіжок криптовалюта, яку неможливо відстежити (Monero) — там, де традиційний аналіз блокчейну неможливий.
У Monero немає публічного реєстру. Аналіз блокчейну не дозволяє довести факт крадіжки. Ні Etherscan, ні слід транзакцій, ні прив’язка до гаманця. Саме тому xmrwallet.com проіснував ціле десятиліття — ніхто не міг оцінити збитки за допомогою стандартних інструментів. У статті показано, що навіть коли неможливо відстежити рух грошей, злочин все одно можна довести за допомогою:
Це дослідження є підтвердженням того, що метод дійсно працює. Кожен зібраний тут доказ — схеми приховування, однакова поведінка, відповіді на CAPTCHA, 21 мільйон зареєстрованих записів — безпосередньо використовується в статті. Щоб це дослідження могло відбутися, мав існувати сам випадок. Їхня зарозумілість зробила це можливим.
Оперативна методологія та контрзаходи
Ми передбачили кожен їхній крок. Ми навмисно не писали у Twitter, що знаємо, як вони поводяться з такими, як ми, — тому що Вони настільки зарозумілі, що навіть не усвідомлювали: вони нас не пригнічували. Вони робили саме те, чого ми хотіли.
Паралельні напрямки, одночасно:
Чи ми їх спровокували? Ні. Ми зробили те, що робимо завжди — повідомили про зловживання, опублікували результати розслідування, задокументували відповіді. Вони вирішили приховати це. Ми просто знали, що так і буде, і ми це знімали.
Ми подали 11–12 офіційних скарг щодо зловживань до NameSilo — не для того, щоб обдурити їх, а щоб перевірити нашу гіпотезу. Якби вони дійсно були незалежними від оператора, то провели б розслідування щодо сайту, на який вказав VirusTotal, з документально підтвердженими жертвами та електронними листами самого оператора, в яких він визнає свій контроль над сайтом. Вони проігнорували їх усіх до одного. Усі інші реєстратори, яких ми перевірили, вжили відповідних заходів.
Багатоплатформовий розподіл та відстеження придушення
Ми опублікували статтю на кількох платформах навмисно. Medium, dev.to, наш власний сайт. Не тому, що ми не могли розмістити це в одному місці, — а тому, що нам потрібно було, щоб вони придушували це окремо на кожній платформі. Кожна дія з придушення реєструється платформою-одержувачем — ідентифікаційні дані запитувача, IP-адреса, мітка часу, метод. Усі записи платформи надаються правоохоронним органам у рамках стандартної правової процедури.

Стаття на Medium — 304 «клапси», 15 коментарів, час читання — 19 хвилин. Одна з багатьох платформ, на яких ми свідомо публікували свої матеріали.
«Медові приманки» та «відволікаючі приманки»
Ми не «заманювали» їх. Ми робили саме те, що робить будь-який дослідник у сфері боротьби з фішингом: оприлюднювали результати досліджень, повідомляли про зловживання та фіксували реакції. Вони вирішили придушити ситуацію, а не реагувати на неї. Ми передбачали, що вони так і зроблять — адже саме така закономірність спостерігається у всіх операторів, яких ми досліджували. Різниця полягає в тому, що цього разу хтось спостерігав за цим і знімав на камеру.
У нас є не маю бажання оббріхувати NameSilo. Нам байдуже, скільки коштують їхні акції. Ми опублікували один твіт — щоб побачити реакцію. І вона не забарилася: один із їхніх інвесторів спробував оприлюднити особисті дані дослідника, а потім видалив ці твіти. NameSilo відповіло тим самим шаблонним текстом, що підтвердило їхню примітивну та передбачувану поведінку — ідентичну поведінці оператора. Наша мета відображена в нашій назві: PhishDestroy. Ми знищуємо фішинг. Ось і все.
Ми пожертвували своїм акаунтом у Twitter — понад 200 тис. твітів, багаторічні докази — оскільки цього вимагало розслідування. Ми сподіваємося, що в ході цього процесу буде відновлено все, що було приховано, адже кожен видалений твіт, кожне видалене посилання, кожна стаття, вилучена з індексу, — це самі по собі докази, які підлягають перевірці. Кожна платформа, на якій нас блокували, веде облік. Протягом десятиліття їм вдавалося видаляти з результатів пошуку все негативне — це підтверджує наш SEO-аналіз. Вони залишали лише те, що було їм вигідно.
Ми опублікували дві статті на Medium. У статті № 1 згадувався лише xmrwallet — про NameSilo не йшлося. Стаття № 2 була спеціально орієнтована на NameSilo з точки зору SEO. Обидва були виключені з індексу. На нашому власному сайті — та сама ситуація: матеріали виключно про xmrwallet та матеріали конкретно про NameSilo. Понад 20 посилань на кожне ключове слово, і всі вони приховані. Якщо NameSilo та оператор не пов’язані між собою — хто ж очищає результати пошуку NameSilo? Чи, може, оператор дбає про репутацію свого реєстратора? Не так працюють взаємонезалежні об’єкти.
У кожному опублікованому нами аналізі містилося попередження щодо реєстратора та правдиві відомості про його дії. Їм це не сподобалося. Але те, що вони вважають «битвою» — наші публікації проти їхніх спроб видалення — Це ніколи не було битвою. Це була спланована операція. Кожен такий крок був розроблений з однією метою: змусити їх надати докази проти самих себе. Вони вважають, що реагували на атаки. Насправді вони реагували на приманку. Кожен запит на видалення, кожне виключення з індексу, кожна скарга за законом DMCA — докази, які вони самі сфабрикували проти себе.
Monero неможливо відстежити. У блокчейні не залишається слідів. Традиційні методи розслідування тут не працюють. Тому ми пристосувалися: якщо не вдається простежити за грошима, то слідкуємо за поведінкою. Ми стали їхньою мішенню, щоб вони продемонстрували цю схему. Мисливець не ганяється лісом за здобиччю, яку неможливо вистежити, — він розставляє пастки й чекає. Вони потрапили в кожну з них.
Децентралізована інфраструктура та мінімізація ризиків
Адже ми — це не одна людина. 4 і більше науковців брали участь у цьому розслідуванні. Свою допомогу надали жертви. Про це було повідомлено правоохоронним органам у багатьох країнах. Докази зберігаються в IPFS — у незмінному, децентралізованому форматі з автоматичним моніторингом. Якщо якесь дзеркало виходить з ладу, нове розгортається автоматично.
Вони вважають, що видалення посилань призводить до зникнення доказів. Це не так. Це лише додає нових доказів. Кожне видалення фіксується в журналі. Кожна спроба приховати інформацію — це ще один доказ у матеріалах справи.

Публікація на dev.to — опублікована на кількох платформах для створення декількох записів про приховування.
Оцінка загроз для оператора
Оператор надіслав нам електронного листа: «Я найняв адвоката та приватного детектива». Не з’явився жоден адвокат. Не з’явився жоден приватний детектив. А ось що з’явилося: вимоги про видалення контенту згідно з DMCA, масові скарги, DDoS-атаки з njal.la (реселер NameSilo) та скоординовані маніпуляції на Trustpilot. Кожна загроза, кожна дія, кожен час події — все задокументовано.

Google Search Console — кожен домен, який ви тут бачите, був створений з єдиною метою: щоб його видалили. І їх видалили. Кожен без винятку.
Погляньте на цей скріншот. Кожен піддомен Azure, кожна URL-адреса статті — ми створили їх спеціально для того, щоб про них повідомили та їх видалили. Навіщо комусь створювати десяток дзеркал одного й того самого контенту на різних платформах? Тому що нам потрібно було подати десяток окремих запитів на видалення. Кожен запит реєструється платформою. Кожен запис містить дані про особу заявника, IP-адресу, мітку часу та метод. Записи про видалення контенту відповідно до DMCA та GDPR зберігаються платформами протягом багатьох років.
Вони не замислювалися. Побачивши негативний контент, вони натискали «поскаржитися». І щодо NameSilo, і щодо xmrwallet. Та сама схема, та сама швидкість, ті самі платформи. Вони ніколи не зупинялися, щоб запитати: Чому PhishDestroy постійно створює нові посилання? Чому «божевільний волонтер» продовжує створювати дзеркала, які постійно видаляють? Тому що кожне видалення — це доказ. Кожна скарга за законом DMCA — це криміналістичний відбиток. І коли слідчі викличуть до суду Google, Bing, Twitter, Trustpilot та Medium — шаблон для обох об’єктів буде однаковим. Той самий замовник. Той самий метод. Той самий графік. Це не дві компанії, що не пов’язані між собою. Це одна операція.
Ми провели розслідування сотень шахрайських операцій. Жоден із них не виглядав так. Більшість фішерів, коли їх викривають, тікають, ховаються або замовкають. Ці ж — ні. Вони вчинили навпаки:
Саме це робить цю справу цікавою з точки зору криміналістики. Ця однакова схема приховування як у NameSilo, так і в xmrwallet саме цей «відбиток» ми й прагнули зафіксувати. Нам не потрібно було доводити зв’язок за допомогою електронних листів чи платіжних операцій — ми довели його на основі поведінки. Ми надали їм цілі. Вони знищили їх однаково для обох організацій — на тих самих платформах, з тією самою швидкістю, тими самими методами. Саме ця модель поведінки і є доказом. І це єдине, що вони не можуть видалити, бо це є в журналах обліку платформ усіх компаній, яким вони на нас поскаржилися.
Отруєння бази даних та забруднення телеметричних даних
Оскільки наша мета — захищати людей — і доки сайт xmrwallet.com працював, люди втрачали гроші. Ми створили скрипт Cloudflare Workers, який безперервно вводив дані гаманців у всі домени xmrwallet (.com, .me, .cc, .biz, .net) — у ті самі поля введення, куди справжні жертви вводять свої реальні ключі. Якщо це справді легітимний гаманець на стороні клієнта (як вони стверджують), це ніяк не впливає на його роботу. Введення фрази-посіву в офіційному гаманці обробляється локально. Тут немає чого «атакувати».
Однак сайт xmrwallet.com викрадає кожну введену фразу-насіння. Ми провели систематичну операцію з «отруєння» даних, ввівши 21 мільйон криптографічних приманок, щоб зробити їхні викрадені набори даних непридатними для використання. Ми б не зупинилися. Доти, доки цей сайт не перестав би працювати. Незалежно від того, чи додали б вони hCaptcha, Cloudflare Turnstile чи що-небудь інше — ми б і далі вводили адреси гаманців і захищали людей від них. Саме це, буквально, і означає наша назва.
Наші гаманці не просто пройшли авторизацію і пішли. Кожен сеанс моделювання реалістичної поведінки користувачів — перехід за посиланнями, перегляд сторінок, очікування протягом різних проміжків часу, імітація різних типів користувачів (дослідник, відправник, досвідчений користувач, новачок, параноїк). Ми розуміємо, як працюють аналітичні системи — і xmrwallet.com працює Google Analytics, Google Tag Manager та піксель відстеження Google на «анонімному» гаманці. Наші сесії були розроблені з використанням високого рівня випадковості, тому оператор не змогли відрізнити наші записи від справжніх жертв за поведінкою сеансу, часовими параметрами або моделями навігації. Кожен викрадений гаманець у їхніх журналах — це лише крапля в морі наших даних.
Після того як наш інструмент пропрацював кілька тижнів, оператор додав CAPTCHA — примітивну квадратичну задачу методу грубої сили, яку можна вирішити за ~0,1 секунди за допомогою Python. У легальному гаманці не потрібно вводити CAPTCHA під час введення початкової фрази. У Ledger її немає. У Trezor її немає. У MyMonero її немає. У жодного надійного гаманця її немає — адже надійні гаманці обробляють посівні фрази локально. Єдина причина додати CAPTCHA — це якщо ви збір та реєстрація кожного вхідного запису на стороні сервера. Сама CAPTCHA є доказом існування механізму крадіжки.
Ми очікували, що вони впровадять справжнє рішення — hCaptcha, Cloudflare Turnstile чи щось подібне. Але вони цього не зробили. Натомість вони впровадили тривіальну квадратичну задачу, яку можна вирішити методом грубої сили за 0,1 секунди. Це повністю характеризує їхній технічний рівень. Вони захищали свій канал крадіжок, а не своїх користувачів.
xmrwallet.com: 4 743 сеансів · xmrwallet.me: 114 031 сеансів. Приклад журналу даних одного запуску. Цей інструмент неодноразово перезапускали та оновлювали — під час видалення або зміни доменів, а також після впровадження CAPTCHA. Загальний обсяг повних журналів за всі цикли становить приблизно 21 мільйон успішних записів на всіх доменах xmrwallet, лютий — квітень 2026 року. Повний набір даних надається правоохоронним органам за запитом.
5,4 RPS загалом за всіма заходами — але не більше 1 авторизації на кожні 7–10 секунд. Для гаманця, що працює на стороні клієнта, це ж не проблема, правда? Хіба що він працює на стороні сервера. Хіба що вони реєструють кожен вхідний транзакційний запис. Хіба що вони крадуть усе і ведуть повний журнал. А саме це вони й роблять.
Це напад? Ні. Ми ввели дані у загальнодоступну веб-форму. Ось і все. Ми не обходили аутентифікацію, не використовували вразливості, не отримували доступу до жодної системи, до якої не мали права. Ми використовували сайт саме так, як передбачено — як «гаманець». Якщо сайт працює так, як заявлено (лише на стороні клієнта), наші введені дані не мають значення. Якщо ж наші введені дані мають для них значення — що доводить існування механізму крадіжки.
Ми офіційно повідомили DDoS-Guard (їхнього хостинг-провайдера) про характер нашої діяльності, описали механізм збору початкових фраз та надали IP-адреси серверів. Вони ніколи не зв’язувалися з нами, ніколи не висловлювали заперечень і ніколи не просили нас припинити діяльність. Мовчання — значить, немає проблем. Наш скрипт споживав менше 50 МБ оперативної пам’яті та працював зі швидкістю 5,4 запитів на секунду — менше 1 % пропускної здатності сервера. Ми приблизно знаємо, який сервер вони використовували. Наш трафік був непомітним.
А ось що найцікавіше. Як «приватний гаманець на стороні клієнта», xmrwallet.com заявляє, що не веде журналів. Але якщо вони зробити ведуть журнали (бо вони крадуть), і тепер у них приблизно стільки ж записів, скільки й у нас — 21 мільйон. А якщо вони намагаються обробити, оцінити та вивести кошти з кожного гаманця? Це 21 мільйон гаманців Monero, які потрібно просканувати, завантажити та перевірити залишки на них. Обчислювальні витрати на перевірку 21 мільйона гаманців є колосальними. Кожен порожній гаманець — це марна трата часу та ресурсів. Гаманець кожної справжньої жертви губиться у «стозі сіна» наших записів. У цьому й була вся суть.
Хочете звинуватити нас у нападі? Запитайте наші журнали. Ми надамо гігабайти даних, які містять 21 мільйон записів про введення початкових фраз у ваш «легітимний клієнтський гаманець». Поясніть суду, чому клієнтський гаманець реєстрував, обробляв і намагався використати всі ці записи.
На всіх доменах xmrwallet (.com, .me, .cc, .biz, .net) наш інструмент зафіксував приблизно 21 мільйон успішних записів у гаманці. «Успішно» означає, що xmrwallet.com прийняв фразу-насіння, обробив її на стороні сервера та спробував отримати доступ до гаманця — точно так само, як це відбувається у випадку зі справжніми жертвами. У нас є журнали кожної окремої операції. Кожен запис є підтвердженням того, що сайт збирає та обробляє фрази-насіння на стороні сервера. Якби це дійсно було «виключно на стороні клієнта», то не було б чого реєструвати, чого обробляти, і не було б жодних підстав додавати CAPTCHA, щоб нас зупинити.
Іронія полягає в тому, що: вони намагалися захистити свій механізм крадіжки, замість того щоб захищати себе. Вони додали CAPTCHA, щоб продовжувати красти. Натомість їм слід було готувати юридичну захисну стратегію. Кожне розв’язання CAPTCHA, кожна перевірка DDoS-Guard, кожна сесія на стороні сервера — все це реєструвалося з позначкою часу. Вони були настільки зайняті тим, щоб захистити своє право грабувати людей, що забули: хтось усе це фіксував.
У початкових фразах Monero не зберігається дата створення гаманця (висота відновлення). Це ставить зловмисника перед серйозною дилемою: якщо він скануватиме лише останні блоки, то пропустить старіші гаманці, які можуть містити величезні суми. Шахраї — жадібні. Щоб гарантувати, що вони не пропустять довгострокових власників, вони змушені перевіряти весь блокчейн Monero — від блоку «Генезис» 2014 року до сьогодні — на наявність кожної окремої фрази-насіння.
Навіть за умови оптимізованої інфраструктури та наявності локальних вузлів повне криптографічне сканування ланцюга займає приблизно Від 2 до 5 хвилин високого навантаження на процесор на кожен гаманець.
Ми створили абсолютна обчислювальна асиметрія: нам потрібно лише кілька мілісекунд, щоб створити та підкинути правдоподібну приманку, але для їхньої оцінки їм доводиться витрачати значні ресурси інфраструктури, тисячі доларів на оренду серверів та наражатися на величезний операційний ризик. Ми не просто захарастили їхню базу даних — вони використали їхню власну жадібність як зброю, щоб довести їхні обчислювальні ресурси до банкрутства.
Саме тому деякі вважають наші методи агресивними. Ми ж вважаємо їх пропорційним і цілком етичним. Жодних проксі-серверів. Жодних ботнетів. Жодних платних послуг з організації атак. Жодної незаконної інфраструктури. Жодної співпраці з постачальниками з «сірого ринку». Усе працює на базі стандартних Cloudflare Workers — це легке, законне та прозоре рішення. Нам не потрібні дорогі чи незаконні інструменти для захисту людей. Прості, законні рішення є ефективнішими — і вони витримують перевірку в суді.

Google Search Console — дані про індексацію та продуктивність сайту phishdestroy.github.io/DO-NOT-USE-xmrwallet-com.
Тут немає компромісу.
Сайт або є шахрайським, або ні. Ніяких півзаходів. Нам байдуже, хто на цьому заробляє, скільки вони платять і хто їх захищає. Оператор — злочинець. Реєстратор або не знав (недбалість), або знав (співучасть). Докази вказують на останнє.
Ви навмисно припустилися помилок?
Так. Ми навмисно залишені видимі маркери ШІ та запозичили моделі поведінки з інших досліджень — дрібні помилки, які вселяли оператору та реєстратору впевненість у успіху їхньої кампанії з придушення. Ми хотіли, щоб вони нас недооцінили. Ми хотіли, щоб вони натиснули кнопку «поскаржитися», будучи повністю впевненими, що це спрацює, що ми — аматори, які зрештою здадуться. Кожен рішучий захід з придушення, який вони вжили, тепер є доказом із зазначенням часу. Детальна інформація буде опублікована в майбутній науковій статті, присвяченій криміналістичному дослідженню онлайн-шахрайства, а саме — поведінковій ідентифікації шахраїв.
Яка кінцева мета?
Докази було подано до Дотримання умов контракту з ICANN та федеральні правоохоронні органи. Розслідування триває в офіційному порядку. Цей архів створено для того, щоб ніщо не могло бути видалено, змінено чи приховано. Кожна заява підтверджується. Кожен скріншот має хеш-код. Кожна дія документується.
Якщо вони заперечують, що видаляли відгуки, — ми надаємо знімки з «Wayback Machine». Якщо вони заперечують, що ігнорували скарги, — ми надаємо підтвердження про доставку. Якщо вони заперечують наявність зв’язку, — ми надаємо часові мітки PR Newswire, збіг за схемою приховування інформації та записи про придбання домену.
Вони прибрали 30–50+ посилань із результатів пошуку у Google, Bing та на багатьох інших платформах — для обох організацій. Це свідчить про одне з двох: або вони надзвичайно дурні й не усвідомлюють, що кожен запит на видалення записується та залишає слід для криміналістичного аналізу, або у них є постійна домовленість з кимось щодо видалення негативного контенту. У будь-якому разі, ці записи існують, схема однакова для обох компаній, і все це можна отримати на підставі судової повістки. Усе це розслідування було організовано саме для того, щоб отримати саме цей набір даних — як для наукової статті, так і для правоохоронних органів.
Це ніколи не було суперечкою з криками. Це матеріали справи.

PhishDestroy Medium profile — одна з численних платформ для публікації, що використовуються для документування та поширення доказів.
Кожне з наведених вище тверджень супроводжується публічно доступним доказом. Почнімо з найгучніших справ:
Дослідницька група PhishDestroy
Незалежна ініціатива з боротьби з фішингом — заснована у 2019 році
← Повернутися до PhishDestroy · Архів новин · abuse@phishdestroy.io