>
PhishDestroy Наживо
Назад до новин
 Поділитися: Допис Telegram
● ОСТАННІ НОВИНИОновлено 2 липня 2026 року — подано ICANN № 1479
Розслідування

NameSilo Захистив фігуранта справи про виведення коштів з криптовалюти на суму 100 млн доларів
— Тоді Ми заблокували наш акаунт у Twitter

Реєстратор, акредитований ICANN, опублікував 4 задокументовані брехні щоб приховати 10-річну операцію з крадіжки Monero, запропонували очистити свій запис на VirusTotal, поки система викачування коштів ще працювала, а потім скористалися платною позначкою X Gold Checkmark, щоб заблокувати дослідників, які довели їхню неправоту. Їхній інженер з DevOps: колишній керівник ІТ-відділу російської фінансової піраміди протягом десятиліття.

1 квітня 2026 року — Оновлено 2 липня 2026 року Дослідження PhishDestroy 10 хвилин читання 61 файл, перевірений за алгоритмом SHA-256
$0M+ Ймовірно викрадене
0 років Операція «Тривалість життя»
0 Документально підтверджені брехні
0k Сторінки, вилучені з індексу Bing
0+ Відгуки видалено
0 Файли доказів SHA-256
Ознайомтеся з повним звітом про розслідування на сайті phishdestroy.eth.limo

Ця стаття є попереднім оглядом. Повні докази, архіви IPFS та всі вихідні матеріали можна знайти за посиланням вище.

Історія питання: що таке xmrwallet.com насправді

xmrwallet.com — це не фішингова сторінка. Це повністю функціональний гаманець Monero із «задніми дверцятами» на стороні сервера створений у 2018 році та працює до травня 2026 року — майже десятиліття. Репозиторій на GitHub є лише публічною вітриною. Код, що здійснює крадіжку, існує виключно на виробничому сервері, його ніколи не заносили до репозиторію та ніколи не перевіряли.

Кожна взаємодія користувача надсилає приватний ключ перегляду на сервери оператора за допомогою запиту POST, закодований у Base64 у змінній під назвою session_key — приблизно 40 передач за сеанс. Транзакція на стороні клієнта явно скасовується (raw_tx_and_hash.raw = 0); сервер створює власний, використовуючи викрадені ключі.

«Аудит безпеки» 2018 року, який нічого не охопив

Аудит NewAlchemy отримав 67 голосів «за» на Reddit і протягом багатьох років використовувався як показник надійності. Його чітко визначена сфера застосування: «Тільки JavaScript на стороні клієнта». Явно не входить до сфери застосування: «численні кінцеві точки API PHP». Саме ці кінцеві точки і є власне механізмом крадіжки. Аудит був структурно не в змозі виявити цей «задній хід».

Ця крадіжка за своєю суттю є вибірковою. Невеликі суми залишаються недоторканими роками, що дозволяє завоювати довіру та отримати позитивні відгуки. Великі суми викрадаються за лічені хвилини. Одна з задокументованих жертв внесла 590 XMR — ці кошти зникли за 2 дні. За найскромнішими підрахунками, загальна сума по понад 15 задокументованих жертв становить: Викрадено 5 000–50 000+ XMR (від 1,5 млн до понад 15 млн доларів за історичними цінами). 60 % дописів жертв були масово заблоковані та видалені до того, як вдалося зберегти докази.

# The smoking gun: client-side transaction explicitly discarded raw_tx_and_hash.raw = 0 # thrown away; server builds its own with stolen keys # ~40 POST transmissions per session, every session, since 2016: session_key = base64_encode(адреса_гаманця + ":" + private_view_key) # GitHub: 0 occurrences of "session_key" in any commit # Production server: core theft variable, all versions, since 2016
Бекдор xmrwallet — публічний фасад на GitHub працює без збоїв, а прихований виробничий сервер викрадає session_key
Крадіжка на одній схемі: зелений колір = публічний репозиторій GitHub (чистий, перевірений, надійний). Червоний колір = виробничий сервер — ніколи не згадувався в жодному коміті, ніколи не перевірявся, з нього відбувається витік даних session_key оператору під час кожного сеансу.
 Демонстрація в реальному часі — ми відтворили експлойт
Подивіться, як відбувається витік session_key у вашому браузері

Ми відтворили витік ключів на основі gtag у демонстраційній версії в пісочниці. Відкрийте DevTools → вкладка «Мережа» → взаємодійте з гаманцем. Дивіться session_key POST-запити надсилаються в режимі реального часу. Саме це працювало протягом 10 років. Саме це ніколи не перевірялося під час «аудиту безпеки». Саме це публічно захищала компанія NameSilo.

Відкрити інтерактивну демонстрацію

Речення, яке пояснило NameSilo

Незаперечний доказ — тріснутий молоток і сяючі лапки
17 лютого 2026 року. Одне речення. Десятиліття довіри до свого реєстратора.

16 лютого 2026 року оператор сайту xmrwallet.com надіслав електронного листа на адресу PhishDestroy із вимогою видалити звіт. Він підписався як «Наталі Рой» — обліковий запис на GitHub nathroy, ID 39167759. Ми надіслали відповідь із повним технічним роз’ясненням та письмовим попередженням: «Те, що буде далі, повністю залежить від того, як ви вирішите діяти далі».

Наступного дня він надіслав одне речення, яке повністю пролило світло на його стосунки з NameSilo:

«Не соромтеся висунути вимогу до реєстратора домену надати мої дані».
— Адміністратор сайту xmrwallet.com, 17 лютого 2026 року
За три тижні до того, як компанія NameSilo назвала його потерпілим

Ніхто не використовує десятирічний зливний пристрій на $550/mo bulletproof Belize hosting, який стоїть за проектом «Russian DDoS-Guard», спокійно пропонує вам надіслати повістку його реєстратору — якщо, звичайно, він уже не знає відповіді. Три інші реєстратори (PDR, WebNic, NICENIC) заблокували його домени вже через кілька днів після отримання тих самих доказів. NameSilo підготувало для нього прес-реліз і запропонувало очистити його обліковий запис.

Поки «Backdoor» ще працював: xmrwallet заплатив PR Newswire, щоб той опублікував протилежну інформацію

21 січня 2026 року — компанія xmrwallet заплатила агентству PR Newswire за поширення прес-релізу, в якому зазначалося: «Приватні ключі ніколи не надходять на центральні сервери». Цей session_key Протягом усього цього періоду під час кожного сеансу користувача на виробничий сервер надсилалися POST-запити. PR Newswire — це платна служба розповсюдження новин: компанії самостійно пишуть і фінансують свої матеріали, які не проходять редакційну перевірку. Джерело: PR Newswire, 21 січня 2026 року


«Чотири брехні NameSilo», офіційна заява

13 березня 2026 року офіційний акаунт NameSilo опублікував допис у нашій темі, присвяченій розслідуванню. На момент збереження допису кількість переглядів становила 11 300. Постійно архівується за адресою ghostarchive.org/archive/CXXZ0. Кожне речення спростовується першоджерелами:


Хто такий NameSilo: аутсорсингова компанія з країн СНГ, що має поштову адресу в США

Компанія NameSilo LLC зареєстрована у Феніксі, штат Арізона. Котирується на Канадській фондовій біржі під назвою Brisio Innovations (CSE:BZI), а її виторг у 2025 році склав 65,5 млн канадських доларів. Фактична команда інженерів розташована в різних містах Росія, Білорусь, Україна, Сербія, Аргентина та Латвія. Встановлено щонайменше 13 російськомовних співробітників. Особа, яка мала повний доступ до інфраструктури DevOps, протягом десяти років керувала ІТ-підрозділом російської фінансової піраміди, перш ніж приєднатися до NameSilo.

DevOps — повний доступ до інфраструктури
Михайло Чудінов
Аргентина (перенесено)
Раніше Керівник ІТ-відділу компанії «SuperKopilka» — Російська фінансова піраміда, 2007–2017 рр. Десять років керував ІТ-інфраструктурою схеми обігу грошей аж до її краху. Сам себе називає «ентузіастом криптовалют». У NameSilo: повний доступ до DevOps для всієї інфраструктури.
Колишній керівник ІТ-відділу компанії «Піраміда», 10 років
Розробник бекенду на PHP
Іван Борзенков
Брянськ, Росія (+7 920)
Розробник бекенду, що проживає в Росії. GitHub: ivan1986. Прямий доступ до бекенду NameSilo за допомогою PHP з території Росії.
🇷🇺 Доступ до бекенду, розташованого в Росії
Керівник проекту
Володимир Восков
Москва, Росія
Раніше Компанія «Zyfra» — Російські державні контракти у сфері промислової автоматизації. Управління реєстратором доменів, зареєстрованим у США, з Москви.
🇷🇺 Москва — колишній державний підрядник
Старший менеджер проектів
Тетяна Лабутіна
Белград, Сербія
Раніше ForexClub Libertex — Російський форекс-брокер, на якого накладено низку санкцій з боку регуляторних органів ЄС. Белград: головний центр переїзду для російських фахівців після 2022 року.
Колишній ForexClub — Libertex
Також виявлено

Олексій Подашевський (Фронтенд) — Білорусь, країна, що перебуває під санкціями, робота для реєстратора, зареєстрованого в США та акредитованого ICANN. Загалом виявлено понад 13 російськомовних співробітників у Росії, Білорусі, Сербії, Аргентині та Латвії. У ланцюжку інфраструктури xmrwallet повністю відсутні західні хостинг-провайдери.

Масштаб розслідування

Понад 5,18 млн доменів проаналізовано у всьому портфелі NameSilo — кожне доменне ім’я було перевірено за допомогою VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish та SURBL.

PHP-бекенд xmrwallet відтворено виключно на основі даних про поведінку на стороні клієнта — без доступу до сервера, без вихідного коду, без співпраці. Механізм крадіжки було відтворено виключно на основі спостережуваних мережевих закономірностей.

13 членів команди дані, зіставлені на платформах LinkedIn, GitHub, HeadHunter, Telegram, у корпоративних реєстрах та судових документах у 6 країнах. Закономірності видалення відгуків на Trustpilot відстежувалося протягом кількох місяців з метою визначення систематичної періодичності видалення. CSE:BZI — квартальні звіти зроблено зіставлення з даними портфеля доменів для виявлення аномалії у доходах. 5,18 млн доменів проаналізовано з урахуванням 6 джерел інформації про загрози. Усі необроблені дані оприлюднені за адресою github.com/phishdestroy/namesilo-evidence. Подано до ICANN, правоохоронних органів ЄС та 3 національних підрозділів з боротьби з кіберзлочинністю.


Аномалія доменів: 32,2 % ніколи не активувалися — статистична завіса

Ми зібрали та проаналізували кожен домен у портфоліо NameSilo — усі 5,18 млн доменів. Кожен з них було перевірено за допомогою VirusTotal, URLhaus, PhishTank, abuse.ch, OpenPhish та SURBL. Вихідні дані, методологія та результати перевірки для кожного домену є загальнодоступними: github.com/phishdestroy/namesilo-evidence. Результат: 32,2 % доменів ніколи не активувалися — проти 14,7–22,8 % у аналогічних реєстраторів. 10 000–17 000 масових реєстрацій за один день (пік: 17 180 — 19 липня 2025 року). 12 млн доларів витрачено на домени, які ніколи не активувалися; щорічні витрати становлять 3,2 млн доларів на домени, які не виконують жодної функції. У 2024 році, коли партнер NameSilo, компанія ShortDot, придбала нові домени верхнього рівня (.sbs, .cfd за оптовою ціною ~0,50 долара, продані за роздрібною ціною 14,95 долара = 22–31-кратне збільшення), кількість реєстрацій з неактивними доменами різко зросла 615% за один рік.

Географія та масштаб доменів NameSilo — компанія з Фенікса, штат Арізона, команда з країн СНГ, 5,18 млн доменів
Зареєстровано в США. Управляється в країнах СНГ. 5,18 млн доменів, 32,2 % з яких ніколи не активувалися. Команда, яка з’єднує Фенікс, Москву та Буенос-Айрес.

PrivacyGuardian приховує особу покупця на понад 3 млн доменів (зареєстрованих на ім’я pw-{hex}@privacyguardian.org). Приймаються біткойни. Без KYC. Кожен «фантомний» домен робить співвідношення кількості зловживань до загальної кількості меншим.

0.43% проти 5,18 млн загалом
«майже нічого»
2.34% проти HTTP-alive
кожен 43-й сайт
40.9% проти справжніх підприємств
1 фішинг на 2,5 легітимних
Фінансова аномалія: CSE:BZI

NameSilo повідомляє про виручку в розмірі 65,5 млн канадських доларів (2025 р.). Коефіцієнт P/E: 143,8× проти 21× у галузі. Дохід на один реальний (активний) домен: 68 канадських доларів проти 10–15 доларів у галузі. 95 реєстраторів ICANN продають домени .com дешевше. Якщо масові реєстрації фіктивних доменів слугують для відмивання коштів — з націнкою 22–31× при конвертації BTC у домени — вони фігурують як «законний дохід реєстратора» у квартальних звітах, що подаються на Канадській фондовій біржі. Ця схема задокументована та передана до правоохоронних органів.

Як NameSilo створює «висвітлення в ЗМІ» для інвесторів CSE:BZI — 6 кроків
1
NameSilo готує прес-реліз про себе. Від третьої особи. «NameSilo — реєстратор, що найшвидше розвивається...»
3
PR Newswire автоматично розміщує цю інформацію на Yahoo Finance, Morningstar, StockWatch, newswire.ca — усім, хто заплатив, без редакційної перевірки.
4
Yahoo Finance публікує цю інформацію з одним невеликим приміткою: «Це платний прес-реліз».
5
На сторінці акцій CSE:BZI на сайті NameSilo тепер відображається «висвітлення у ЗМІ». «Про нас написали на Yahoo Finance». «Про нас написали на StockWatch».
!
Ніхто про них не писав. Вони самі писали про себе і платили за те, щоб це виглядало як новини. Ось так виглядає «висвітлення у ЗМІ» на сторінці для інвесторів CSE компанії, реєстратор якої публічно виступив на захист особи, яка активно виводила кошти з мережі Monero.
Прес-реліз за 805 доларів ≠ незалежна журналістика. Інвестори CSE:BZI: уважно читайте інформацію.

Що сталося після публікації

Після оприлюднення нашої публікації проти всіх основних ресурсів, на яких був присутній PhishDestroy, було розпочато скоординовану кампанію з юридичного тиску та блокування на платформах. Три механізми — кожен із яких було зафіксовано, заархівовано і який тепер є частиною скарги ICANN № 1479.

X / Twitter — Акаунт @Phish_Destroy заблоковано. Позначка «X Gold Checkmark» надає передплатникам пріоритетний канал підтримки, недоступний для звичайних користувачів. Цей канал було використано для подання скарги на наш акаунт. Власна автоматизована система перевірки X розглянула цю справу, письмово виправдала нас і підтвердила відсутність порушень. Проте блокування залишилося в силі. Ми опублікували лист про виправдання ще до зняття блокування — прогноз GhostArchive із зазначенням часу включено до ICANN № 1479.
Google — запити на видалення даних згідно з GDPR + скарги за законом DMCA. Відповідно до GDPR було подано європейські запити щодо «права на видалення», щоб змусити Google вилучити з результатів пошуку конкретні сторінки розслідування PhishDestroy. Паралельно було надіслано повідомлення про видалення на підставі DMCA, спрямовані на URL-адреси, пов’язані з розслідуванням. Обидва механізми застосовувалися одночасно — правовий тиск через законодавство ЄС про захист персональних даних та тиск у сфері авторського права через законодавство США. Сам зміст розслідування так і не був успішно оскаржений з фактичних підстав.
Bing — 108 000 сторінок вилучено з індексу за один день. Весь сайт phishdestroy.io — 108 000 проіндексованих сторінок — було видалено з пошукової системи Bing одним масовим дією. Момент був обраний ідеально: виключення з індексу точно збіглося з оприлюдненням нашої доповіді про NameSilo. Це не була проблема поступового сканування, не технічна помилка — це була єдина масове скарга, яку Bing опрацював без попередження.
IPFS — вони подали скарги. Нічого не змінилося. Було подано запити на видалення щодо домену ENS та шлюзових служб. phishdestroy.eth.limo продовжує повноцінно функціонувати. Контент в IPFS ідентифікується за допомогою хешу SHA-256 — немає сервера, який можна вимкнути, немає хостинг-акаунта, який можна заблокувати, немає реєстратора, на якого можна чинити тиск, немає CDN, до якого можна звернутися. Матеріали розслідування одночасно зберігаються на Arweave, GhostArchive та Wayback Machine. Гнів пропорційний відчуттю безпорадності.
Кампанія з цензури платформ — золота галочка в X, GDPR від Google, виключення з індексу Bing
Одна золота галочка. Три правові механізми. 108 000 сторінок у Bing. Усі платформи відреагували на одну й ту саму публікацію. Ось так виглядає придушення думок за рахунок корпоративних коштів.
Ми це передбачили — зафіксували в GhostArchive ще до того, як це сталося

Ще до того, як блокування набуло чинності, ми опублікували твіт, у якому передбачили, що NameSilo скористається шаблонною схемою дій шахраїв, і зафіксували час публікації в GhostArchive. Вони вчинили саме так, як ми і передбачали, і зробили це точно за графіком. Цей прогноз із позначкою часу — який доводить, що ми передбачили цю тактику ще до її застосування — включено до скарги ICANN проти NameSilo (ICANN № 1479).

До архіву не можна торкатися

Все працює IPFS (phishdestroy.eth), Arweave, GhostArchive та Wayback Machine. 61 скріншот із підтвердженням SHA-256. Жодного успішного юридичного оскарження будь-якого твердження. Жодних технічних заперечень з боку оператора чи NameSilo. Жодних фактичних відповідей — лише юридичні погрози, нападки на особистість та видалені твіти. Повне розслідування з необробленими даними, досьє команди, аналізом відмивання коштів та ресурсами для жертв можна знайти за адресою phishdestroy.eth.limo — дублюється в IPFS, Arweave, GhostArchive та Wayback Machine. Жодна з цих платформ не має золотої галочки.


Мережа «Escape Domain»: підготовка тривала кілька місяців до її ліквідації

Початок 4 лютого 2026 року — того самого тижня, коли оператор вперше зв’язався з PhishDestroy, — він почав таємно реєструвати «домени-запасні варіанти» у 4 різних реєстраторах, оплативши кожний на 5–10 років наперед. Інфраструктура була розроблена так, щоб витримати будь-яке окреме вилучення. Однак вона не витримала розслідування.

Попередній технічний аналіз із повним переліком доказів: github.com/phishdestroy/НЕ-ВИКОРИСТОВУЙТЕ-xmrwallet-com

Домени «Escape» — зареєстровані після початку розслідування
Домен Реєстратор Попередня оплата IP Статус
xmrwallet.cc Реєстр об’єктів, що перебувають у публічному домені 8 років 185.129.100.248 ПРИПИНЕНО
xmrwallet.biz WebNic.cc 5 років 190.115.31.40 ПРИПИНЕНО
xmrwallet.net NICENIC International 10 років 190.115.31.40 ← DNS не працює
xmrwallet.me Key-Systems GmbH 10 років 185.129.100.248 ← АКТИВНО — повідомлено про зловживання

Кластеризація IP-адрес: 185.129.100.248 розміщено на доменах .cc та .me — один і той самий хост. 190.115.31.40 спільні для доменів .biz та .net — один і той самий хостинг-провайдер. Чотири реєстратори, два IP-кластери. 33 роки реєстрації з попередньою оплатою. Усі домени були зареєстровані таємно після першого контакту зі слідчими.


Куплена репутація: Вікіпедія, Forbes та понад 15 спонсорованих статей

Репутація NameSilo в суспільстві є штучно створеною. Вікіпедія: позначка «оплачений/рекламний». Forbes: повідомлення про партнерську програму «Ми отримуємо комісію». SmartCustomer: 1,8/5 — при цьому в Google немає жодних негативних результатів.

Вікіпедія — Редактори позначили статтю як рекламну

Про NameSilo є стаття у Вікіпедії — позначена редакторами як платна/рекламна стаття, а не нейтральне висвітлення в редакційних матеріалах. Історія редагувань (архів): en.wikipedia.org/w/index.php?title=NameSilo&action=history

Forbes Advisor — Інформація про партнерські комісії

NameSilo з’являється на сайті Forbes Advisor із чітким повідомленням про партнерські відносини: «Forbes Advisor дотримується суворих стандартів редакційної доброчесності... Ми отримуємо комісійні». Forbes Advisor отримує дохід, коли користувачі реєструються за їхніми посиланнями, що створює прямий фінансовий стимул для позитивного висвітлення. Джерело: forbes.com/advisor/business/software/namesilo-review/

SmartCustomer: 1,8/5 — У Google немає жодних негативних результатів

NameSilo володіє Оцінка 1,8 з 5 на сайті SmartCustomer — джерело: smartcustomer.com/reviews/namesilo.com. Незважаючи на десятки негативних відгуків, пошук у Google не видає жодних негативних згадок — це свідчить про активне приховування інформації за допомогою тих самих інструментів GDPR та DMCA, що й у випадку з нашим розслідуванням.

PR Newswire — Самостійно опубліковано, платна публікація, без редакційної перевірки

Компанія NameSilo Technologies Corp. (CSE:BZI / OTC: URLOF — материнська компанія NameSilo LLC, акції якої котируються на біржі) використовує PR Newswire для оприлюднення корпоративних повідомлень. PR Newswire — це платна служба розповсюдження інформації: компанія готує текст і оплачує його розміщення. Приклади платних прес-релізів NameSilo Technologies:

Той самий механізм: 21 січня 2026 року xmrwallet скористався сервісом PR Newswire для публікації своєї головної статті («приватні ключі ніколи не надходять на центральні сервери») під час роботи бекдору. Платне поширення інформації, в рамках якого текст, написаний оператором, подавався як новинний матеріал.


Три посади. Одна компанія. Жодна з них не витримує взаємодії з іншими.

Компанія NameSilo не дотримувалася єдиної версії подій. Вона по черзі висувала три взаємовиключні позиції — впевненого експерта, жертви, що перебуває під загрозою, та скромного державного службовця — залежно від того, наскільки серйозним був ризик юридичних наслідків у кожен конкретний момент.

1
Березень 2026 року — Позиція впевненого експерта
Команда NameSilo з боротьби зі зловживаннями остаточно визначено домен було зламано. Вони провели розслідування цього злому. Вони знають, що власник домену є жертвою. Вони допомагаючи йому усунути виявлення VirusTotal — що, за їхньою власною логікою, означає, що вони є більш авторитетними, ніж усі виробники антивірусного програмного забезпечення, які позначили цей домен як підозрілий. Рівень впевненості: абсолютний.
2
Етап 2 — Юридична загроза (публічний твіт, 11 травня 2026 року)
@namesilo — Офіційний акаунт із золотою галочкою — 11 травня 2026 р. · 417 переглядів · 107 відповідей

«Ваші твердження є неправдивими, наклепницькими та дискредитуючими. NameSilo вживає заходів і розглядає всі повідомлення про зловживання, що надходять до нас. Якщо у вас є такі випадки, будь ласка, надсилайте їх на адресу abuse@namesilo.com. В іншому разі, будь ласка, зверніться безпосередньо до хостинг-провайдера або реєстранта веб-сайту. І припиніть поширювати неправдиві відомості про нас, інакше ми будемо змушені вжити юридичних заходів».

Експерт, який впевнено розслідував злом, визначив власника домену як жертву та допомагав йому усунути спрацьовування VirusTotal, — тепер став лише звичайною поштовою скринькою для скарг. Розслідування зникло. Експертні знання зникли. Залишилася лише юридична загроза.
3
Відповідь ICANN — «Позиція скромного процесора»
Зараз вони обробляють звіти. Зараз вони не можуть виявити фішинг. Зараз вони покладаються на хостинг-провайдерів. Команда, яка перевершив усіх провідних виробників антивірусного програмного забезпечення, що дозволило зробити висновок про безпечність домену зараз він занадто сором’язливий, щоб зателефонувати. Це не некомпетентність. Некомпетентність — це постійний стан. А це — позиція, яку обирають залежно від конкретної аудиторії.
Основна суперечність — вибери одне, NameSilo

Якби ваша команда з питань протидії насильству мала достатню компетенцію, щоб провести всебічний і ретельний аналіз, встановити, що домен було зламано, визначити, що власник домену є жертвою, та розпочати надання йому допомоги у видаленні виявлених VirusTotal загроз — то ви прямо стверджуєте, що маєте більший авторитет і вищу технічну компетентність, ніж усі виробники антивірусного програмного забезпечення, які позначили цей домен як шкідливий.

Ви не зможете згодом стверджувати, що ви просто обробляти звіти та не мають достатніх знань для виявлення фішингу. У скарзі до ICANN не йдеться про те, що у вас немає необхідних компетенцій. У ній ставиться питання, чому ви використали ті компетенції, які, як видно, у вас є, — щоб допомогти шахраєві, а не жертвам.


Trustpilot: «Ферми ботів» конкурують із «фермами ботів»

Приклад: «Патті Джонсон» — профіль у США, загалом 2 відгуки

Одна 5-зіркова оцінка для NameSilo (січень 2026 року): «Леонід дуже допоміг… 5 зірок!» Ще один відгук: про компанію Otrium — компанію, щодо якої є відгуки про ймовірне шахрайство та розкрадання коштів. Один акаунт-бот, дві компанії, пов’язані з шахрайством. Характерні риси: згадуються імена співробітників служби підтримки, хвалять швидкість реагування, використовуються шаблонні формулювання. Справжні покупці доменів оцінюють ціни та зручність користування панеллю. У відгуках-ботах хвалять «Леоніда».

Аналіз даних — 2 280 відгуків про NameSilo проти 2 480 відгуків про Namecheap

Метрична система NameSilo Namecheap
5-зіркові відгуки88.9%74.0%
Відгуки з 1 зіркою7.2%16.7%
Облікові записи з одним відгуком62.4%59.6%
Аватар відсутній (нові облікові записи)67.3%51.5%
Відгуки про підтримку/обслуговування70.0%60.2%
Відгуки про ціну/вартість9.8%37.5%
Агент під псевдонімом «Леонід»5.7%0.0%
Геолокація у США35.1%26.5%
Аномалія Леонідів

Леонід з'явився 13 квітня 2025 року. До цього про нього ніхто не згадував. Потім за перші два місяці він отримав 65 відгуків. Травень 2025 року: 106 відгуків (у 5 разів більше, ніж зазвичай), 95 % — п’ятизіркові, жодного однозіркового. Серед 106 відгуків про реєстратора, який посідає 96-те місце за цінами на домени .com, не було жодного незадоволеного клієнта.

43 % відгуків про Леоніда містять менше 80 символів. У чотирьох із них заголовок складається лише з «Леонід». Ще три: «Леонід дуже допоміг». Серед рецензентів: «Сатоші Накамото», «Автор», «Віктор -», «Анна Корольова», «Борис Мартін», «Андрій Добреску» у поєднанні з «Бредом», «ЛаТоєю», «Патті Джонсон». Генератор імен, що циклічно перебирає континенти. Ім’я Леонід є російським.

Гонконг: 57 відгуків. 57 із 57 — п’ятизіркові. Статистично неможливо.

Жодних чотиризіркових. Жодних тризіркових. Жодних інших оцінок. 91 % акаунтів з одним відгуком. Протягом 7 років. Китай: 94 % п’ятизіркових, 80 % з одним відгуком. Сінгапур: 95 % п’ятизіркових. Разом 168 відгуків з китайськомовних ринків — майже повністю сфабриковані.

Чому саме Китай? Компанія NameSilo активно веде там маркетингову діяльність: namesilo-china.com, bcbay.com/namesilo, оплачені публікації в китайських блогах, стаття в китайській Вікіпедії. Коли слідчі запитують: «Хто купує 4,22 мільйона неактивних доменів?» — NameSilo вказує на Китай. Дані Trustpilot свідчать, що вони створювали це алібі з 2019 року, додаючи по одному фейковому відгуку за раз.

Незалежний криміналістичний аналіз API Claude — сліпе тестування

2 480 відгуків про NameSilo та 2 480 відгуків про Namecheap на Trustpilot, надісланих до Claude API, були анонімізовані як «Компанія А» (NameSilo) та «Компанія Б» (Namecheap). Штучний інтелект не мав уявлення, яка з них є якою.

Криміналістичний показник NameSilo (A) Namecheap (B)
5-зірковий рейтинг89.1%74.0%
Частка 1-зіркових оцінок7.1%16.7%
Одноразові акаунти, які ставлять 5 зірок92%~65%
Відгуки, в яких згадується ціна11.2%39.2%
У відгуках згадується як єдиний представникЛеонід: 168немає
5-зірковий рівень різноманітності лексики (TTR)0.073~0.15
Гонконг: 100 % п’ятизіркових57/57не вказано
Стрибок у травні–червні 2025 року (у 5 разів вище норми)215 відгуківнемає
Вирок у справі про маніпуляції з використанням штучного інтелекту92%15%
Висновок експертизи з використанням штучного інтелекту — дослівно

«Компанія А демонструє численні та багатоаспектні докази систематичного маніпулювання результатами оглядів шляхом скоординованого штучного генерування. Імовірність того, що такі закономірності виникли б природним чином, наближається до нуля».

Повний аналіз: phishdestroy.eth.limo/namesilo-trustpilot.html · Необроблені дані: trustpilot-forensic-report-final.txt


Яких результатів вдалося досягти в ході розслідування

xmrwallet.com — Сайт закрито

Після розслідування та публікації PhishDestroy сайт xmrwallet.com припинив свою діяльність. Оператор надіслав прощальне повідомлення — і, що примітно, більше не підписував його як «Наталі Рой». Особа, яка роками була публічним обличчям xmrwallet, була непомітно усунена. Жодних пояснень надано не було.

Домен тепер перенаправляє на GitHub — з третьої спроби

xmrwallet.com зрештою перенаправив на свій репозиторій на GitHub — той самий публічний фасад, який протягом десятиліття слугував алібі під виглядом «відкритого коду». На це знадобилося три спроби. Репозиторій був неактивним протягом 5 років до перенаправлення: жодних комітів, жодних оновлень, жодних робіт з обслуговування — що відповідає проекту, фактичний код якого зберігався виключно на неаудитованому виробничому сервері й ніколи не призначався для публічного огляду.


Перенесення домену не поклало цьому край. Воно зробило це постійним.

Домен xmrwallet.com було перенесено до Namecheap у травні 2026 року, термін реєстрації — до 2036 року. Судячи з усього, NameSilo вважає це питання вирішеним. Це не так.

Ви думали, що експерти, які здатні перевершити будь-якого виробника антивірусів, зупиняться, коли домен перенесеться? Розслідування ведеться в мережі IPFS. Воно ведеться в мережі Arweave. Воно ведеться в рамках офіційної системи розгляду скарг ICANN. Воно ведеться правоохоронними органами ЄС. Воно ведеться трьома національними підрозділами з боротьби з кіберзлочинністю. Юридична погроза додала до справи ще один часовий штамп. Передача домену додала ще один доказ. Кожна дія, спрямована на придушення цього розслідування, сама по собі є задокументованим доказом описаної нами закономірності.

У цій ситуації ви не були найрозумнішими. Просто деякий час у вас було більше грошей.

Прочитати повний звіт про розслідування phishdestroy.eth.limo Докази на GitHub Повідомити про випадок, пов’язаний із жертвою
Повідомлення про незалежне розслідування
PhishDestroy · Некомерційні дослідження в галузі безпеки

За це ніхто не заплатив. Це розслідування не отримувало жодного фінансування, жодних редакційних вказівок та жодних наданих текстів від будь-якої сторони. На відміну від публікацій у Forbes Advisor та PR Newswire, які NameSilo фінансує безпосередньо, автор цієї статті не має жодних фінансових зв’язків із NameSilo — і жодних зобов’язань висвітлювати їхню точку зору.

Все задокументовано. Кожне фактичне твердження підкріплене перевіреними доказами: відповідями серверів, криміналістичними знімками, публічними записами, повідомленнями про зловживання та першоджерелами, на які наводяться посилання в тексті. Нічого не вигадано. На джерела наведено посилання. Докази архівуються в IPFS. Заохочується незалежна перевірка.

«Припиніть поширювати неправдиві відомості про нас, інакше ми будемо змушені звернутися до суду». — NameSilo у відповідь на це розслідування

Жахливо. Ми стали свідками того, на що здатна компанія NameSilo: блокування акаунта в Twitter/X, купівля розміщення в Forbes, написання власних відгуків на Trustpilot, видалення виявлень у VirusTotal та опублікування чотирьох явно неправдивих тверджень в одному твіті.

Що стосується «брехні» — тут все відповідає дійсності. Якщо об’єктивне висвітлення вашого продукту вважається наклепом, відкрийте свою власну панель управління — ту саму, яку ви виключаєте з кожної платної статті. Вона сама за себе говорить, навіть без нас.

Ви не заплатили цьому автору. Ви не надали жодного тексту. Ви не маєте права претендувати на результати незалежного дослідження. У вас є зобов’язання — перед ICANN, перед вашими реєстрантами, а також згідно із законодавством, що регулює діяльність реєстраторів доменів. Ці зобов’язання не зникають лише тому, що об’єктивне висвітлення подій є для вас незручним.

Щодо судових позовів: Це розслідування зберігається на 5–7 вузлах IPFS. Оскільки NameSilo вже продемонструвало, що добре знається на видаленні контенту, ми пропонуємо почати саме звідти. Ви знаєте, як це працює. Ми почекаємо.

Для більшої зрозумілості — вашою мовою:

PhishDestroy — це некомерційний дослідницький проєкт. Ми не претендуємо на безпомилковість чи абсолютну впевненість. Тон цього розслідування може бути прямим — ми це усвідомлюємо. Ми не нав’язуємо свою точку зору: рекомендуємо ознайомитися з матеріалами та першоджерелами й зробити власні висновки. Діє презумпція невинуватості. Це наше розслідування, наші спостереження та наше суб’єктивне порівняння — над яким ми витратили чимало часу.

Повне розслідування з усіма доказами та архівами IPFS: phishdestroy.eth.limo