Назад до новин
Поточний розвідувальний звіт

$0 Takedowns, Безцінні істерики

З 2019 року ми безкоштовно видалили тисячі фішингових доменів. Шахраї у відповідь влаштовували DDoS-атаки, створювали фіктивні компанії, надсилали масові скарги та підробляли юридичні документи. Ніщо з цього не спрацювало. Ось докази.

Опубліковано 20 травня 2025 року Оновлено у квітні 2026 року 9 хвилин читання PhishDestroy Intelligence
Комісія з розслідувань OSINT відстежує заходи відплати з боку шахраїв у відповідь на операції PhishDestroy з 2019 року
$0Вартість одного видалення
10+Типи атак
5 і більше роківДіє з
0Дні простою
100%Рівень відмов

Як ми працюємо

Наша модель навмисно нудна. Ми виявляємо фішингову інфраструктуру, архівуємо докази, складаємо структуровані звіти про зловживання та видаляємо домени. Ніяких піар-війн, ніяких ігор на самолюбство. Лише автоматизація та електронна пошта.

Виявити
Автоматичне сканування + дані, надані спільнотою через бота в Telegram. Понад 839 тис. доменів у нашій базі даних про загрози.
Архів
Знімки веб-сайтів у «Веб-архіві» + локальні копії для криміналістичної експертизи, зроблені до видалення контенту. Збереження доказів має першочергове значення.
Звіт
Один структурований SMTP-адресу електронної пошти на домен, що містить усе необхідне для реєстратора/хостинг-провайдера. Автоматизований робочий процес. Вартість — 0 доларів.
Основний принцип

За замовчуванням особисті дані не розкриваються. Ми зосереджуємося на інфраструктурі, а не на окремих особах. Коли зловмисники порушують закон (погрози, шахрайство, крадіжка особистих даних), ми передаємо справу до правоохоронних органів, надаючи повний пакет доказів. В інших випадках ми просто відключаємо їхні домени.

Що намагалися зробити шахраї (і чому це не вдалося)

Протягом багатьох років зловмисники застосовували проти нас усі можливі засоби, які тільки могли придумати. Ось вичерпний аналіз кожної тактики та пояснення, чому кожна з них виявилася марною тратою їхніх коштів.

АтакаМетодЇхня вартістьНаш впливСтатус
Потоки електронних листів2 000–5 000 повідомлень на день протягом кількох місяців$50-300/moНульНе вдалося
британська фіктивна компаніяПаперова компанія + підроблені документи про «право власності»$500-2,000НульНе вдалося
Соціальні викриттяX (масові повідомлення), Telegram, Medium$100-500Акаунти заблоковано, архіви доступніНеприємність
DDoS-атакиОрендовані ботнети, спрямовані проти нашого ландера$200-2,000НульНе вдалося
БотофермиФейкові підписники/лайки/скарги$50-300НульНе вдалося
Неправдиві повідомлення про зловживанняНеправдиві скарги на нашого хостинг-провайдераЧасНульНе вдалося
Обмін контентомВведіть заборонений контент, щоб спровокувати автоматичне блокуванняЧасНульНе вдалося
Видавання себе за іншу особуФейкові форуми «російських хакерів», які продають наші роботиЧасНульНе вдалося
DDoS → відключення хосту283 млн запитів / 1,21 ТБ — Namecheap відмовився від нас$2,000+Перехід на Cloudflare + HetznerНеприємність
Фальшивий DMCAПодано до Google фальшиву скаргу щодо порушення авторських прав на OnlyFansЧасНуль — OnlyFans заперечує подання позовуНе вдалося
Проникнення довірених користувачівДовірений користувач додав 46 доменів із помилковим позитивним результатомЧасШвидко освоїв усі роліНе вдалося
Форма для скарг на спамПонад 9 000 оскаржень щодо підроблених доменів за допомогою розв’язання hCaptcha$100-500Нуль — з тривіальною фільтрацієюНе вдалося
Масове розсилання електронних листів (триває)Понад 400 000 повідомлень, безперервно, автоматичне видалення$500+/moНульНе вдалося
Заборона на X/Twitter (вже вкотре)Екстрений запит у стилі «Gov» → обліковий запис заблоковано$3,000+Не відновлюю. З X покінчено.Неприємність
Блокування на RedditАкаунт заблоковано. 1 допис, опублікований 5 років тому.ЧасНульНе вдалося
Економіка тут проста

Вони витрачають понад 3 000 доларів на кожне «державне» видалення контенту. Ми витрачаємо 0 доларів на видалення кожного домену. Наш процес видалення — це автоматизація на основі електронної пошти; веб-сайт є необов’язковим. DDoS-атаки на цільову сторінку — це як бомбардування рекламного щита: поштові вантажівки продовжують рухатися.

Хронологія атаки

2019 — Початок
«У вас навіть веб-сайту немає!»
Шахраї висміяли нас у скарзі до реєстратора. Ми створили такий сайт за 15 хвилин. Жарт прижився. Кількість випадків видалення сайтів зростала.
2020–2022 роки — Наплив електронних листів
2 000–5 000 повідомлень на день
Масові спам-атаки на поштову скриньку тривали протягом кількох місяців. Ми не покладаємося на вхідні електронні листи у своїй діяльності. Це жодним чином не вплинуло на нашу роботу.
2023 — британська фіктивна компанія
Паперова компанія + підроблені документи про право власності
Створили компанію, зареєстровану у Великій Британії, та підробили документи про «право власності на домен», щоб претендувати на наш домен. Домен зареєстрований на фізичну особу — претензії юридичної особи заздалегідь приречені на провал.
2024 рік — DDoS-кампанія
Оренда ботнету проти нашого лендера
Вони орендували ботнети, щоб «вивести» нас з ладу. Захист забезпечував Cloudflare. Потік електронних листів не припинився. Це не вплинуло на блокування сайтів. Для них це став дорогий урок.
Вересень 2025 року — закриття Telegram
Наш канал у Telegram набрав велику кількість підписників
Наш канал, де публікувалися домени для автоматичного блокування, був успішно масово заявлений. Ми негайно запустили новий канал.
2025–2026 роки — триває
Розширено масштаби операцій, посилено захист інфраструктури
Розширено систему автоматичного виявлення та повідомлення про інциденти. Впроваджено нові заходи протидії активній фішинговій інфраструктурі. Подробиці не розголошуються.
6 березня 2026 року — «Ядерний варіант» DDoS-атаки
283 млн запитів, 1,21 ТБ — Namecheap відмовився від нас
Масштабна DDoS-атака: 283 мільйони запитів і 1,21 ТБ пропускної здатності за 7 днів. Хостинг Namecheap не впорався з цим і заблокував наш обліковий запис. Ми перейшли на Cloudflare + Hetzner (з 8 $/міс. до 25 $/міс.). Після переходу вони спробували ще раз — і, як і слід було очікувати, зазнали фіаско. Cloudflare поглинув усе. Жодних простоїв.
30 березня 2026 року — Фальшиве повідомлення за законом DMCA
Подано до Google фальшиву скаргу щодо порушення авторських прав на OnlyFans
Було подано шахрайську скаргу до Google на підставі закону DMCA, в якій стверджувалося, що наша сторінка зі звітами про домени порушує авторські права на контент OnlyFans. Скаргу подав користувач «kanave mogel», використовуючи імена виконавців OnlyFans. Ми звернулися безпосередньо до OnlyFans — вони підтвердили: «Це повідомлення не було надіслано командою OnlyFans. Воно не походить від нас». Справа закрита.
Березень 2026 року — Проникнення користувачів, що користуються довірою
Довірений користувач додав 46 доменів із помилковим позитивним результатом
Користувачеві зі статусом «довірений» вдалося додати 46 легітимних доменів до нашого списку заблокованих. Ми швидко це виявили та скасували зміни. Результат: посилена модель прав доступу для всіх ролей користувачів — адміністраторів, довірених користувачів та всіх інших. Дякуємо за безкоштовний аудит безпеки.
Березень–квітень 2026 року — Наплив апеляцій
Понад 9 000 фальшивих звернень через розв’язання hCaptcha
Нашу форму оскарження домену заспамили понад 9 000 фальшивих запитів, заплативши за розв’язання hCaptcha. Їх легко відфільтрували — схеми були очевидними. Це коштувало їм грошей і часу. Нам це нічого не коштувало.
Квітень 2026 року — X/Twitter знову заблоковано
Другий акаунт X видалено. Не відновлюється.
Наш акаунт у X знову заблокували, ймовірно, на підставі екстрених запитів від урядових органів. Цього разу ми вирішили: з X покінчено. Не варто витрачати сили на його відновлення. Ми створили альтернативні канали комунікації, і наша діяльність не залежить від жодної соціальної платформи.
2026 рік — Reddit заблоковано
5-річний акаунт із 1–3 публікаціями. Зник.
Наш акаунт на Reddit заблокували. У нього було 1 очко карми, 0 дописів і 5-річний пост у підфорумі r/TREZOR, у якому ми попереджали про шахрайські додатки в Google Play. Ми у відчаї. (Хоча насправді ні.) 😂
Триває — спам-атака електронною поштою
Понад 400 000 електронних листів, і їхня кількість продовжує зростати
Неприпинний потік електронних листів, які автоматично видаляються. Ми справді не можемо назвати точну кількість, оскільки наші фільтри автоматично їх видаляють. За оцінками — понад 400 тис. Хтось дуже розлючений. Мабуть, ми робимо щось правильно.

Архів доказів

Нижче наведено задокументовані докази конкретних інцидентів. Клацніть на будь-яку картку, щоб переглянути знімок екрана у повному розмірі. Усі докази зберігаються з метою забезпечення прозорості та на випадок можливих судових розглядів.

Графік трафіку DDoS-атак, що відображає спроби атак на інфраструктуру PhishDestroy
Графік DDoS-атак
Стрибки трафіку з орендованих ботнетів. За межами Cloudflare. Відсутність оперативного впливу на блокування, пов’язані з електронною поштою.
На підробленому скріншоті з російського хакерського форуму компанія PhishDestroy рекламує роботу PhishDestroy як власну послугу
Фейковий форум «російських хакерів»
Шахраї створили підроблені російськомовні форуми та видавали нашу роботу за свою «послугу». Знімок екрана збережено для документації.
Ціни на форумах, присвячених шахрайству, за незаконні послуги, зокрема доступ до урядових баз даних
Ціни на форумі — «Gov Access»
Ціни на публічному форумі, присвяченому шахрайству. Вони пропонують послуги «під ключ» та доступ до автоматизованої інформаційної панелі для правоохоронних органів.
Подано неправдиве повідомлення про зловживання до хостинг-провайдера з використанням сфабрикованого маскування домену
Неправдиве повідомлення про зловживання
У звіті вони замаскували справжній домен під назвою «mysite.com». Це був не DDoS-атака — це була їхня кінцева точка автентифікації для збору даних про посів.
Аналітика Cloudflare показує 283 млн запитів та 1,21 ТБ пропускної здатності внаслідок DDoS-атаки
DDoS: 283 млн запитів / 1,21 ТБ
6 березня 2026 року. Атака, в результаті якої вийшов з ладу наш хостинг Namecheap. Канада, США, Індонезія, Болгарія — глобальна бот-мережа. Перейшли на Cloudflare.
Повідомлення Google про шахрайську скаргу щодо порушення авторських прав за законом DMCA проти PhishDestroy
Фальшивий запит за законом DMCA через Google
Було підроблено повідомлення про порушення DMCA на OnlyFans з метою видалення нашого домену. Повідомлення подано від імені «kanave mogel». OnlyFans підтвердило, що ніколи не подавало такого повідомлення.
Офіційна відповідь OnlyFans, в якій компанія заперечує, що подавала повідомлення згідно з DMCA
OnlyFans: «Це не від нас»
Офіційна відповідь від Дани з OnlyFans: «Це повідомлення не надсилала команда OnlyFans. Воно не походить від нас».
Заблокований акаунт на Reddit із 1 очком карми та 5-річним дописом про боротьбу з шахрайством
Акаунт на Reddit заблоковано
1 карма. 0 дописів. Пост 5-річної давнини, в якому попереджають про шахрайські додатки. Це справді загроза для суспільства.

Березень 2026 року: DDoS-атака, яка вивела з ладу наш хостинг

6 березня 2026 року шахраї здійснили найбільшу на сьогоднішній день DDoS-атаку на нашу інфраструктуру: 283,45 мільйона запитів та 1,21 ТБ пропускної здатності всього за 7 днів. Атака була здійснена з глобальної бот-мережі, що охоплювала Канаду (91 млн запитів), США (73 млн), Індонезію (13 млн), Болгарію (13 млн), Гватемалу (12 млн), Японію, Росію та Німеччину.

Аналітичні дані Cloudflare показують 283 млн запитів, пропускну здатність 1,21 ТБ та 313 тис. відвідувань у результаті DDoS-атаки, що охопила кілька країн
Аналітика Cloudflare: 283 млн запитів, пропускна здатність 1,21 ТБ. Атака, яка змусила нас перейти на інший хостинг.

Хостинг від Namecheap за 8 доларів на місяць не впорався з цим і заблокував наш обліковий запис. Ми перейшли на Cloudflare + Hetzner (25 доларів на місяць). Після переходу вони спробували ще раз — і, як і слід було очікувати, зазнали фіаско. Cloudflare впорався з усім без жодних проблем. Нульовий час простою. Нульовий вплив на операції з виведення з експлуатації.

Фальшива атака на підставі закону DMCA

30 березня 2026 року компанія Google повідомила нас про скаргу щодо порушення авторських прав, подану проти нашої сторінки зі звітом про домен phishdestroy.io/domain/hbmhcw.net/. У скарзі стверджувалося, що на нашій сторінці містився захищений авторським правом контент з OnlyFans, що належить виконавцям «Mibadbitch, Bri Naranjo або Brianna Naranjo». Скаргу подала особа на ім’я «канаве могл».

Повідомлення Google щодо DMCA
Повідомлення про авторські права Google
30 березня 2026 року. Google видаляє нашу сторінку зі звітом про домен із результатів пошуку на підставі неправдивої скарги за законом DMCA.
OnlyFans заперечує, що подавала це повідомлення
OnlyFans: Це не від нас
Дана з OnlyFans: «Це повідомлення не було опубліковано командою OnlyFans. Воно не походить від нас».

Ми звернулися безпосередньо до OnlyFans. Їхня відповідь була чіткою: «Згадане повідомлення згідно з Законом про авторські права у цифрову епоху (DMCA) (ідентифікатор у базі даних Lumen: 81731777) не було надіслано командою OnlyFans. У цьому повідомленні наша платформа була лише вказана як ймовірне першоджерело контенту. Однак скарга не була подана від нашого імені».

Запис у базі даних Lumen

lumendatabase.org/notices/81731777 — Повний текст цього шахрайського повідомлення за законом DMCA є загальнодоступним. Його надіслав «kanave mogel». Це шахрай, який намагається скористатися законодавством про авторське право, щоб видалити з наших звітів докази існування своїх фішингових доменів.

Видалення публікацій у соціальних мережах

Наші акаунти в соціальних мережах систематично стають об’єктом нападів. X (Twitter), Telegram, Medium, Reddit — усі вони були заблоковані або видалені внаслідок масових скарг, ймовірно, на підставі підроблених екстрених запитів від уряду. Наш останній акаунт у X було видалено у квітні 2026 року. Ми вирішили не відновлювати його. Ми вже втомилися грати в «бий крота» з призупиненням роботи платформ.

X/Twitter — остаточно закрито

Після другого блокування ми вирішили: досить. Ми не будемо витрачати час на відновлення акаунтів на платформах, де шахраї, маючи гроші, можуть подавати фальшиві офіційні запити на закриття акаунтів. Наша діяльність ніколи не залежала від соціальних мереж. Незважаючи на це, акаунти продовжують блокувати.

Альтернативні канали

Ми говоримо правду і допомагаємо блокувати те, що потрібно блокувати. Декому це не подобається. Вони думають, що блокування чи видалення наших акаунтів зупинить нас або завдасть нам шкоди. Ми не скаржимося — чесно кажучи, на даний момент це навіть смішно. Ми готові до будь-яких блокувань і видалень. Шахраї з грошима, але без мізків = купівля атак і спроби знищити нас. Але PhishDestroy все ще тут. І ми знищуємо.

X Архів
Збережено понад 140 тис. дописів, що були видалені.
Репозиторій GitHub
Архів «Medium»
Усі публікації в блозі збережено та дубльовано.
Переглянути архів
Новий канал
Відновлено одразу після демонтажу.
Підписатися на канал

Протокол щодо збереження доказів

Кожна наша дія здійснюється відповідно до суворого протоколу збереження доказів, розробленого з метою забезпечення максимальної прозорості та на випадок можливих судових розглядів:

Рекомендовані матеріали

Журнал «Infosecurity»: Електронна пошта правоохоронних органів та урядових установ — Якість відповідей реєстраторів значно різниться. Namecheap завжди реагує швидко; інші — не так швидко.

Модель «0 доларів» на практиці

Наша структура витрат є навмисно асиметричною. Кожен долар, який вони витрачають на відповідні заходи, витрачається даремно. Кожен домен, який ми видаляємо, нам нічого не коштує.

Їхні витратиНаші витрати
$3,000+ per "government-style" social takedown$0 per automated abuse report
$200-2,000 for DDoS botnet rental$0 — behind Cloudflare, email flows continue
$500-2,000 for UK paper company + legal forgeries$0 — private registration, claims auto-rejected
$50-300/mo for email flood services$0 — we don't use inbound email for operations
$50-300 for bot farm fake reports$0 — reported and wiped by platforms

Табло

Вони спалюють тисячі людей, намагаючись нас зупинити. Ми витрачаємо $0 щоб ліквідувати їхню інфраструктуру. Наша автоматизація масштабується. А їхня паніка — ні. Ми попереджаємо їх: «Ваша інфраструктура незабаром вимкнеться» — і тоді у них починається хаос. А ми тим часом продовжуємо робити те саме: скануємо, архівуємо, складаємо звіт, видаляємо.

Хочете допомогти?

Якщо ви натрапили на фішинговий сайт або хочете долучитися до боротьби з криптовалютними шахрайствами, ось що потрібно зробити:

Повідомлення про прозорість. PhishDestroy — це некомерційний, незалежний проєкт. Наші дослідження можуть містити певну упередженість щодо інфраструктури шахрайства та сервісів, що її підтримують. Ми закликаємо читачів критично та самостійно оцінювати всі матеріали. Ознайомтеся з повною версією нашої заяви про прозорість →