/>
Чому ми це робимо

За лаштунками розслідування — мотивація, цілі та методи

Нам за це не платять. Ми ризикуємо зазнати реальних наслідків від загнаних у кут злочинців, які мають гроші. На цій сторінці пояснюється, чому ми вирішили взятися за цю справу, що ми намагаємося довести та як ми організували це розслідування.

Незалежність та спроможність

Ми працюємо незалежно. У нас немає корпоративних спонсорів, грантів чи фінансових важелів, якими можна було б скористатися. Ця автономія дозволяє нам ставити перед собою цілі, яких традиційні охоронні компанії уникають через ризик юридичної відповідальності або конфлікт інтересів. Нейтралізовано понад 130 000 фішингових доменів. Багаторічний досвід активної діяльності. Ми добре розуміємо, як влаштована інфраструктура шахрайства, як поводяться оператори в стресових ситуаціях, як відбувається обробка повідомлень про зловживання на платформах, а також механізми проведення кампаній з придушення активності.

Як розпочалося розслідування

Операторку («Наталі Рой») безпосередньо попередили: не бреши, не загострюй ситуацію. У неї було чимало можливостей тихо виправити ситуацію — видалити дві заявки на GitHub і залишити все як є. Якби жодна з жертв не поскаржилася, справа на цьому б і закінчилася. Натомість вона вирішила погрожувати, брехати та залучити свого реєстратора. Потім NameSilo опублікувало твіт, що містив 4 твердження, які можна було легко спростувати, публічно захищаючи програму для викачування даних, на яку вказав VirusTotal, перед аудиторією з 11 000 осіб. Ця тактична помилка спричинила розгортання повномасштабної слідчої операції.

Наша мета відображена в нашій назві: PhishDestroy. Компанія NameSilo свідомо вирішила стати частиною фішингової операції — захищаючи її, публікуючи неправдиві заяви та приховуючи докази. Відповідь має процедурний характер: задокументувати заходи захисту, нейтралізувати шахрайство, звернутися до правоохоронних органів.

Наукові дослідження — справжня мотивація

Один із наших дослідників пише наукова робота з криміналістики, присвячена онлайн-шахрайству. Це розслідування є основним прикладом для вивчення. У статті розроблено методологію розслідування крадіжок криптовалюта, яку неможливо відстежити (Monero) — там, де традиційний аналіз блокчейну неможливий.

У Monero немає публічного реєстру. Аналіз блокчейну не дозволяє довести факт крадіжки. Ні Etherscan, ні слід транзакцій, ні прив’язка до гаманця. Саме тому xmrwallet.com проіснував ціле десятиліття — ніхто не міг оцінити збитки за допомогою стандартних інструментів. У статті показано, що навіть коли неможливо відстежити рух грошей, злочин все одно можна довести за допомогою:

Це дослідження є підтвердженням того, що метод дійсно працює. Кожен зібраний тут доказ — схеми приховування, однакова поведінка, відповіді на CAPTCHA, 21 мільйон зареєстрованих записів — безпосередньо використовується в статті. Щоб це дослідження могло відбутися, мав існувати сам випадок. Їхня зарозумілість зробила це можливим.

Оперативна методологія та контрзаходи

Ми передбачили кожен їхній крок. Ми навмисно не писали у Twitter, що знаємо, як вони поводяться з такими, як ми, — тому що Вони настільки зарозумілі, що навіть не усвідомлювали: вони нас не пригнічували. Вони робили саме те, чого ми хотіли.

Паралельні напрямки, одночасно:

11–12 офіційних скарг щодо зловживань, поданих до NameSilo — не для того, щоб їх викрити, а щоб перевірити гіпотезу. Усі інші реєстратори вжили заходів. Вони проігнорували їх усіх.
Отруєння бази даних на всіх доменах xmrwallet — 21 млн криптографічних приманок, розміщених з метою захисту жертв та спотворення телеметричних даних операторів.
Відстежувані приманки для придушення розміщені на Medium, dev.to, Azure, GitHub, наших власних доменах та інших, про які поки що не повідомлялося. Понад 20 посилань на кожне ключове слово. Кожне з них призначене для формування зареєстрованого запиту на видалення — криміналістичний відбиток пальця.
Сайт phishdestroy.io повністю виключено з індексу Bing. Коли вони зрозуміли, що на сайті з’явиться більше ніж одна стаття про них, вони не обмежилися лише вилученням цих статей з індексу. Вони вилучили з індексу весь домен. Це теж було частиною плану.
Twitter як приманка. 200 тис. твітів було видалено. Акаунт заблокували за допомогою «золотої галочки». Власна система X не виявила жодних порушень. Акаунт досі заблоковано.

Чи ми їх спровокували? Ні. Ми зробили те, що робимо завжди — повідомили про зловживання, опублікували результати розслідування, задокументували відповіді. Вони вирішили приховати це. Ми просто знали, що так і буде, і ми це знімали.

Стратегія придушення відбитків пальців

Ми подали 11–12 офіційних скарг щодо зловживань до NameSilo — не для того, щоб обдурити їх, а щоб перевірити нашу гіпотезу. Якби вони дійсно були незалежними від оператора, то провели б розслідування щодо сайту, на який вказав VirusTotal, з документально підтвердженими жертвами та електронними листами самого оператора, в яких він визнає свій контроль над сайтом. Вони проігнорували їх усіх до одного. Усі інші реєстратори, яких ми перевірили, вжили відповідних заходів.

Багатоплатформовий розподіл та відстеження придушення

Ми опублікували статтю на кількох платформах навмисно. Medium, dev.to, наш власний сайт. Не тому, що ми не могли розмістити це в одному місці, — а тому, що нам потрібно було, щоб вони придушували це окремо на кожній платформі. Кожна дія з придушення реєструється платформою-одержувачем — ідентифікаційні дані запитувача, IP-адреса, мітка часу, метод. Усі записи платформи надаються правоохоронним органам у рамках стандартної правової процедури.

Стаття на Medium: «NameSilo» збрехала, щоб захистити криптовалютну аферу на суму 20 млн доларів

Стаття на Medium — 304 «клапси», 15 коментарів, час читання — 19 хвилин. Одна з багатьох платформ, на яких ми свідомо публікували свої матеріали.

01
Опубліковано на Medium. Очікували на виключення з індексу. Зафіксовано.
02
Опубліковано на dev.to. Наші посилання та сайт потрапили під звіт. Вилучені з індексу Bing. Зафіксовано.
03
Опубліковано 2 статті, присвячені саме NameSilo — не один, а два. Тож вони подавали два окремі запити на вилучення з індексу. Це криміналістичний відбиток.
04
Опублікували наш Twitter як «ціль». Вони заблокували його за допомогою функції «Золота галочка». Власна система автоматизації X не виявила жодних порушень. Блокування залишається в силі. Зафіксовано.
05
Подано скаргу до ICANN. Повний пакет доказів. Надіслано до федеральних правоохоронних органів. Відповідь реєстратора на скаргу, акредитовану ICANN, щодо шахрайства, виявленого сервісом VirusTotal: мовчання.

«Медові приманки» та «відволікаючі приманки»

Ми не «заманювали» їх. Ми робили саме те, що робить будь-який дослідник у сфері боротьби з фішингом: оприлюднювали результати досліджень, повідомляли про зловживання та фіксували реакції. Вони вирішили придушити ситуацію, а не реагувати на неї. Ми передбачали, що вони так і зроблять — адже саме така закономірність спостерігається у всіх операторів, яких ми досліджували. Різниця полягає в тому, що цього разу хтось спостерігав за цим і знімав на камеру.

У нас є не маю бажання оббріхувати NameSilo. Нам байдуже, скільки коштують їхні акції. Ми опублікували один твіт — щоб побачити реакцію. І вона не забарилася: один із їхніх інвесторів спробував оприлюднити особисті дані дослідника, а потім видалив ці твіти. NameSilo відповіло тим самим шаблонним текстом, що підтвердило їхню примітивну та передбачувану поведінку — ідентичну поведінці оператора. Наша мета відображена в нашій назві: PhishDestroy. Ми знищуємо фішинг. Ось і все.

Ми пожертвували своїм акаунтом у Twitter — понад 200 тис. твітів, багаторічні докази — оскільки цього вимагало розслідування. Ми сподіваємося, що в ході цього процесу буде відновлено все, що було приховано, адже кожен видалений твіт, кожне видалене посилання, кожна стаття, вилучена з індексу, — це самі по собі докази, які підлягають перевірці. Кожна платформа, на якій нас блокували, веде облік. Протягом десятиліття їм вдавалося видаляти з результатів пошуку все негативне — це підтверджує наш SEO-аналіз. Вони залишали лише те, що було їм вигідно.

Тест із двох статей

Ми опублікували дві статті на Medium. У статті № 1 згадувався лише xmrwallet — про NameSilo не йшлося. Стаття № 2 була спеціально орієнтована на NameSilo з точки зору SEO. Обидва були виключені з індексу. На нашому власному сайті — та сама ситуація: матеріали виключно про xmrwallet та матеріали конкретно про NameSilo. Понад 20 посилань на кожне ключове слово, і всі вони приховані. Якщо NameSilo та оператор не пов’язані між собою — хто ж очищає результати пошуку NameSilo? Чи, може, оператор дбає про репутацію свого реєстратора? Не так працюють взаємонезалежні об’єкти.

Ми написали про це одразу в нашому першому електронному листі, а потім ще раз — у публічній статті: «Своїми брехнями ви змушуєте нас проводити розслідування». Ми цього не приховували. Вони нам не повірили. Це була їхня помилка.
Чому ми писали про NameSilo на всіх платформах

У кожному опублікованому нами аналізі містилося попередження щодо реєстратора та правдиві відомості про його дії. Їм це не сподобалося. Але те, що вони вважають «битвою» — наші публікації проти їхніх спроб видалення — Це ніколи не було битвою. Це була спланована операція. Кожен такий крок був розроблений з однією метою: змусити їх надати докази проти самих себе. Вони вважають, що реагували на атаки. Насправді вони реагували на приманку. Кожен запит на видалення, кожне виключення з індексу, кожна скарга за законом DMCA — докази, які вони самі сфабрикували проти себе.

Monero неможливо відстежити. У блокчейні не залишається слідів. Традиційні методи розслідування тут не працюють. Тому ми пристосувалися: якщо не вдається простежити за грошима, то слідкуємо за поведінкою. Ми стали їхньою мішенню, щоб вони продемонстрували цю схему. Мисливець не ганяється лісом за здобиччю, яку неможливо вистежити, — він розставляє пастки й чекає. Вони потрапили в кожну з них.

Децентралізована інфраструктура та мінімізація ризиків

Адже ми — це не одна людина. 4 і більше науковців брали участь у цьому розслідуванні. Свою допомогу надали жертви. Про це було повідомлено правоохоронним органам у багатьох країнах. Докази зберігаються в IPFS — у незмінному, децентралізованому форматі з автоматичним моніторингом. Якщо якесь дзеркало виходить з ладу, нове розгортається автоматично.

Вони вважають, що видалення посилань призводить до зникнення доказів. Це не так. Це лише додає нових доказів. Кожне видалення фіксується в журналі. Кожна спроба приховати інформацію — це ще один доказ у матеріалах справи.

Стаття на dev.to про шахрайство з xmrwallet

Публікація на dev.to — опублікована на кількох платформах для створення декількох записів про приховування.

Оцінка загроз для оператора

Оператор надіслав нам електронного листа: «Я найняв адвоката та приватного детектива». Не з’явився жоден адвокат. Не з’явився жоден приватний детектив. А ось що з’явилося: вимоги про видалення контенту згідно з DMCA, масові скарги, DDoS-атаки з njal.la (реселер NameSilo) та скоординовані маніпуляції на Trustpilot. Кожна загроза, кожна дія, кожен час події — все задокументовано.

Google Search Console, що відображає інфраструктуру phishdestroy

Google Search Console — кожен домен, який ви тут бачите, був створений з єдиною метою: щоб його видалили. І їх видалили. Кожен без винятку.

Інфраструктура «Бейт»

Погляньте на цей скріншот. Кожен піддомен Azure, кожна URL-адреса статті — ми створили їх спеціально для того, щоб про них повідомили та їх видалили. Навіщо комусь створювати десяток дзеркал одного й того самого контенту на різних платформах? Тому що нам потрібно було подати десяток окремих запитів на видалення. Кожен запит реєструється платформою. Кожен запис містить дані про особу заявника, IP-адресу, мітку часу та метод. Записи про видалення контенту відповідно до DMCA та GDPR зберігаються платформами протягом багатьох років.

Вони не замислювалися. Побачивши негативний контент, вони натискали «поскаржитися». І щодо NameSilo, і щодо xmrwallet. Та сама схема, та сама швидкість, ті самі платформи. Вони ніколи не зупинялися, щоб запитати: Чому PhishDestroy постійно створює нові посилання? Чому «божевільний волонтер» продовжує створювати дзеркала, які постійно видаляють? Тому що кожне видалення — це доказ. Кожна скарга за законом DMCA — це криміналістичний відбиток. І коли слідчі викличуть до суду Google, Bing, Twitter, Trustpilot та Medium — шаблон для обох об’єктів буде однаковим. Той самий замовник. Той самий метод. Той самий графік. Це не дві компанії, що не пов’язані між собою. Це одна операція.

Це не звичайна шахрайська схема

Ми провели розслідування сотень шахрайських операцій. Жоден із них не виглядав так. Більшість фішерів, коли їх викривають, тікають, ховаються або замовкають. Ці ж — ні. Вони вчинили навпаки:

Саме це робить цю справу цікавою з точки зору криміналістики. Ця однакова схема приховування як у NameSilo, так і в xmrwallet саме цей «відбиток» ми й прагнули зафіксувати. Нам не потрібно було доводити зв’язок за допомогою електронних листів чи платіжних операцій — ми довели його на основі поведінки. Ми надали їм цілі. Вони знищили їх однаково для обох організацій — на тих самих платформах, з тією самою швидкістю, тими самими методами. Саме ця модель поведінки і є доказом. І це єдине, що вони не можуть видалити, бо це є в журналах обліку платформ усіх компаній, яким вони на нас поскаржилися.

Отруєння бази даних та забруднення телеметричних даних

Оскільки наша мета — захищати людей — і доки сайт xmrwallet.com працював, люди втрачали гроші. Ми створили скрипт Cloudflare Workers, який безперервно вводив дані гаманців у всі домени xmrwallet (.com, .me, .cc, .biz, .net) — у ті самі поля введення, куди справжні жертви вводять свої реальні ключі. Якщо це справді легітимний гаманець на стороні клієнта (як вони стверджують), це ніяк не впливає на його роботу. Введення фрази-посіву в офіційному гаманці обробляється локально. Тут немає чого «атакувати».

Однак сайт xmrwallet.com викрадає кожну введену фразу-насіння. Ми провели систематичну операцію з «отруєння» даних, ввівши 21 мільйон криптографічних приманок, щоб зробити їхні викрадені набори даних непридатними для використання. Ми б не зупинилися. Доти, доки цей сайт не перестав би працювати. Незалежно від того, чи додали б вони hCaptcha, Cloudflare Turnstile чи що-небудь інше — ми б і далі вводили адреси гаманців і захищали людей від них. Саме це, буквально, і означає наша назва.

Не лише вхідні дані — повні сесії поведінкового аналізу

Наші гаманці не просто пройшли авторизацію і пішли. Кожен сеанс моделювання реалістичної поведінки користувачів — перехід за посиланнями, перегляд сторінок, очікування протягом різних проміжків часу, імітація різних типів користувачів (дослідник, відправник, досвідчений користувач, новачок, параноїк). Ми розуміємо, як працюють аналітичні системи — і xmrwallet.com працює Google Analytics, Google Tag Manager та піксель відстеження Google на «анонімному» гаманці. Наші сесії були розроблені з використанням високого рівня випадковості, тому оператор не змогли відрізнити наші записи від справжніх жертв за поведінкою сеансу, часовими параметрами або моделями навігації. Кожен викрадений гаманець у їхніх журналах — це лише крапля в морі наших даних.

Капча підтверджує факт крадіжки

Після того як наш інструмент пропрацював кілька тижнів, оператор додав CAPTCHA — примітивну квадратичну задачу методу грубої сили, яку можна вирішити за ~0,1 секунди за допомогою Python. У легальному гаманці не потрібно вводити CAPTCHA під час введення початкової фрази. У Ledger її немає. У Trezor її немає. У MyMonero її немає. У жодного надійного гаманця її немає — адже надійні гаманці обробляють посівні фрази локально. Єдина причина додати CAPTCHA — це якщо ви збір та реєстрація кожного вхідного запису на стороні сервера. Сама CAPTCHA є доказом існування механізму крадіжки.

Ми очікували, що вони впровадять справжнє рішення — hCaptcha, Cloudflare Turnstile чи щось подібне. Але вони цього не зробили. Натомість вони впровадили тривіальну квадратичну задачу, яку можна вирішити методом грубої сили за 0,1 секунди. Це повністю характеризує їхній технічний рівень. Вони захищали свій канал крадіжок, а не своїх користувачів.

Експлуатаційна статистика — 1 763 постріли (149 годин)
Сесії: 118,585Успішне авторизування: 67%Загальна кількість дій: 2,595,623Середнє значення RPS: 5.4Капча розгадана: 167,558 (95%)Середній час розв’язання: 6,2 сПрацівники, які перебувають у працездатному віці: 306Пропускна здатність: 107 ГБПомилки працівників: 0Середня глибина сеансу: 10,5 сторінокГенерація ентропії: ВисокийКриптографічно реалістичний синтез початкових значень для запобігання алгоритмічній фільтрації

xmrwallet.com: 4 743 сеансів · xmrwallet.me: 114 031 сеансів. Приклад журналу даних одного запуску. Цей інструмент неодноразово перезапускали та оновлювали — під час видалення або зміни доменів, а також після впровадження CAPTCHA. Загальний обсяг повних журналів за всі цикли становить приблизно 21 мільйон успішних записів на всіх доменах xmrwallet, лютий — квітень 2026 року. Повний набір даних надається правоохоронним органам за запитом.

5,4 RPS загалом за всіма заходами — але не більше 1 авторизації на кожні 7–10 секунд. Для гаманця, що працює на стороні клієнта, це ж не проблема, правда? Хіба що він працює на стороні сервера. Хіба що вони реєструють кожен вхідний транзакційний запис. Хіба що вони крадуть усе і ведуть повний журнал. А саме це вони й роблять.

Це напад? Ні. Ми ввели дані у загальнодоступну веб-форму. Ось і все. Ми не обходили аутентифікацію, не використовували вразливості, не отримували доступу до жодної системи, до якої не мали права. Ми використовували сайт саме так, як передбачено — як «гаманець». Якщо сайт працює так, як заявлено (лише на стороні клієнта), наші введені дані не мають значення. Якщо ж наші введені дані мають для них значення — що доводить існування механізму крадіжки.

Ми офіційно повідомили DDoS-Guard (їхнього хостинг-провайдера) про характер нашої діяльності, описали механізм збору початкових фраз та надали IP-адреси серверів. Вони ніколи не зв’язувалися з нами, ніколи не висловлювали заперечень і ніколи не просили нас припинити діяльність. Мовчання — значить, немає проблем. Наш скрипт споживав менше 50 МБ оперативної пам’яті та працював зі швидкістю 5,4 запитів на секунду — менше 1 % пропускної здатності сервера. Ми приблизно знаємо, який сервер вони використовували. Наш трафік був непомітним.

А ось що найцікавіше. Як «приватний гаманець на стороні клієнта», xmrwallet.com заявляє, що не веде журналів. Але якщо вони зробити ведуть журнали (бо вони крадуть), і тепер у них приблизно стільки ж записів, скільки й у нас — 21 мільйон. А якщо вони намагаються обробити, оцінити та вивести кошти з кожного гаманця? Це 21 мільйон гаманців Monero, які потрібно просканувати, завантажити та перевірити залишки на них. Обчислювальні витрати на перевірку 21 мільйона гаманців є колосальними. Кожен порожній гаманець — це марна трата часу та ресурсів. Гаманець кожної справжньої жертви губиться у «стозі сіна» наших записів. У цьому й була вся суть.

Хочете звинуватити нас у нападі? Запитайте наші журнали. Ми надамо гігабайти даних, які містять 21 мільйон записів про введення початкових фраз у ваш «легітимний клієнтський гаманець». Поясніть суду, чому клієнтський гаманець реєстрував, обробляв і намагався використати всі ці записи.

21 мільйон успішних «крадіжок» — наших гаманців

На всіх доменах xmrwallet (.com, .me, .cc, .biz, .net) наш інструмент зафіксував приблизно 21 мільйон успішних записів у гаманці. «Успішно» означає, що xmrwallet.com прийняв фразу-насіння, обробив її на стороні сервера та спробував отримати доступ до гаманця — точно так само, як це відбувається у випадку зі справжніми жертвами. У нас є журнали кожної окремої операції. Кожен запис є підтвердженням того, що сайт збирає та обробляє фрази-насіння на стороні сервера. Якби це дійсно було «виключно на стороні клієнта», то не було б чого реєструвати, чого обробляти, і не було б жодних підстав додавати CAPTCHA, щоб нас зупинити.

Іронія полягає в тому, що: вони намагалися захистити свій механізм крадіжки, замість того щоб захищати себе. Вони додали CAPTCHA, щоб продовжувати красти. Натомість їм слід було готувати юридичну захисну стратегію. Кожне розв’язання CAPTCHA, кожна перевірка DDoS-Guard, кожна сесія на стороні сервера — все це реєструвалося з позначкою часу. Вони були настільки зайняті тим, щоб захистити своє право грабувати людей, що забули: хтось усе це фіксував.

Пастка жадібності: криптографічна асиметрія

У початкових фразах Monero не зберігається дата створення гаманця (висота відновлення). Це ставить зловмисника перед серйозною дилемою: якщо він скануватиме лише останні блоки, то пропустить старіші гаманці, які можуть містити величезні суми. Шахраї — жадібні. Щоб гарантувати, що вони не пропустять довгострокових власників, вони змушені перевіряти весь блокчейн Monero — від блоку «Генезис» 2014 року до сьогодні — на наявність кожної окремої фрази-насіння.

Навіть за умови оптимізованої інфраструктури та наявності локальних вузлів повне криптографічне сканування ланцюга займає приблизно Від 2 до 5 хвилин високого навантаження на процесор на кожен гаманець.

21 000 000 манекенів × 2 хв = 700 000 годин роботи процесора
Обробити за 1 місяць = ~1 000 ядер процесора, завантажені на 100 % безперервно

Ми створили абсолютна обчислювальна асиметрія: нам потрібно лише кілька мілісекунд, щоб створити та підкинути правдоподібну приманку, але для їхньої оцінки їм доводиться витрачати значні ресурси інфраструктури, тисячі доларів на оренду серверів та наражатися на величезний операційний ризик. Ми не просто захарастили їхню базу даних — вони використали їхню власну жадібність як зброю, щоб довести їхні обчислювальні ресурси до банкрутства.

Саме тому деякі вважають наші методи агресивними. Ми ж вважаємо їх пропорційним і цілком етичним. Жодних проксі-серверів. Жодних ботнетів. Жодних платних послуг з організації атак. Жодної незаконної інфраструктури. Жодної співпраці з постачальниками з «сірого ринку». Усе працює на базі стандартних Cloudflare Workers — це легке, законне та прозоре рішення. Нам не потрібні дорогі чи незаконні інструменти для захисту людей. Прості, законні рішення є ефективнішими — і вони витримують перевірку в суді.

У Google Search Console відображається індексація сайту phishdestroy.github.io

Google Search Console — дані про індексацію та продуктивність сайту phishdestroy.github.io/DO-NOT-USE-xmrwallet-com.

Тут немає компромісу.

Сайт або є шахрайським, або ні. Ніяких півзаходів. Нам байдуже, хто на цьому заробляє, скільки вони платять і хто їх захищає. Оператор — злочинець. Реєстратор або не знав (недбалість), або знав (співучасть). Докази вказують на останнє.

Ви навмисно припустилися помилок?

Так. Ми навмисно залишені видимі маркери ШІ та запозичили моделі поведінки з інших досліджень — дрібні помилки, які вселяли оператору та реєстратору впевненість у успіху їхньої кампанії з придушення. Ми хотіли, щоб вони нас недооцінили. Ми хотіли, щоб вони натиснули кнопку «поскаржитися», будучи повністю впевненими, що це спрацює, що ми — аматори, які зрештою здадуться. Кожен рішучий захід з придушення, який вони вжили, тепер є доказом із зазначенням часу. Детальна інформація буде опублікована в майбутній науковій статті, присвяченій криміналістичному дослідженню онлайн-шахрайства, а саме — поведінковій ідентифікації шахраїв.

Яка кінцева мета?

Докази було подано до Дотримання умов контракту з ICANN та федеральні правоохоронні органи. Розслідування триває в офіційному порядку. Цей архів створено для того, щоб ніщо не могло бути видалено, змінено чи приховано. Кожна заява підтверджується. Кожен скріншот має хеш-код. Кожна дія документується.

Якщо вони заперечують, що видаляли відгуки, — ми надаємо знімки з «Wayback Machine». Якщо вони заперечують, що ігнорували скарги, — ми надаємо підтвердження про доставку. Якщо вони заперечують наявність зв’язку, — ми надаємо часові мітки PR Newswire, збіг за схемою приховування інформації та записи про придбання домену.

Вони прибрали 30–50+ посилань із результатів пошуку у Google, Bing та на багатьох інших платформах — для обох організацій. Це свідчить про одне з двох: або вони надзвичайно дурні й не усвідомлюють, що кожен запит на видалення записується та залишає слід для криміналістичного аналізу, або у них є постійна домовленість з кимось щодо видалення негативного контенту. У будь-якому разі, ці записи існують, схема однакова для обох компаній, і все це можна отримати на підставі судової повістки. Усе це розслідування було організовано саме для того, щоб отримати саме цей набір даних — як для наукової статті, так і для правоохоронних органів.

Це ніколи не було суперечкою з криками. Це матеріали справи.

PhishDestroy, середній профіль

PhishDestroy Medium profile — одна з численних платформ для публікації, що використовуються для документування та поширення доказів.

Вони думали, що змушують нас замовкнути. Натомість вони лише підкріплювали наші аргументи.

Ознайомтеся з підтверджуючими доказами

Кожне з наведених вище тверджень супроводжується публічно доступним доказом. Почнімо з найгучніших справ:

Дослідницька група PhishDestroy

Незалежна ініціатива з боротьби з фішингом — заснована у 2019 році

← Повернутися до PhishDestroy · Архів новин · abuse@phishdestroy.io