IANA 3765 · NiceNIC INTERNATIONAL GROUP CO., LIMITED · Гонконг
9 хвилин читання· Оновлено Березень 2026 року· PhishDestroy Intelligence
5,000+
Унікальні квитки, які не враховуються
24,7 МБ
Опубліковано набір даних про домени
0
Виявлено легітимні домени
100%
Домени, які наразі позначені
Ми вирішили перевірити
Після того як наше перше розслідування викрило компанію NiceNIC як акредитованого ICANN реєстратора, що сприяє глобальній кіберзлочинності, залишилося одне питання: чи справді там ВСЕ так погано? Чи можуть під горами фішингу, криптовалютних шахрайств та ще гірших речей ховатися законні підприємства?
Ми вирішили це з’ясувати. Ми проаналізували весь портфель доменів NiceNIC — кожну реєстрацію, кожну IP-адресу, кожен фрагмент контенту, до якого нам вдалося отримати доступ. Результатом стала база даних розміром 24,7 МБ, опублікована на GitHub, щоб кожен міг самостійно перевірити її.
Висновок був одностайним і однозначним.
Результат
Ми шукали БУДЬ-ЯКИЙ законний варіант використання. Хоча б один «чистий» бізнес. Особистий блог. Сайт-портфоліо. Ми нічого не знайшли.
Це дослідження ґрунтується на наших попередніх висновках. Ознайомтеся з повним контекстом:
Домени, зареєстровані через NiceNIC, відносяться до таких очевидних категорій зловживань:
Категорія
Поширеність
Примітки
Криптофішинг та програми-викачувальники
Домінантний
Шахраї, які викачують гроші з гаманців, фейкові біржі, аферні айрдропи
Підроблені азартні ігри та казино
Високий
Пов’язано з операціями, які ми вже розслідували (OFEDREX, LuxardGambling)
Фішинг (загальні відомості)
Високий
Викрадення облікових даних, видавання себе за іншу компанію
Поширення шкідливого програмного забезпечення
Помірний
Завантаження під час проїзду, підроблене програмне забезпечення
Нерозкрита інформація кримінального характеру
Наразі
Вміст, що порушує кримінальне законодавство в будь-якій юрисдикції — навмисно не описано
Попередження щодо вмісту
Деякі матеріали, розміщені на доменах NiceNIC, мають настільки екстремальний характер, що навіть їх детальний опис сам по собі був би безвідповідальним. Серед них є категорії, які порушують кримінальне законодавство у всьому світі. Ми все задокументували. Деталі ми оприлюднювати не будемо.
Єдиною «сумнівною» категорією були азартні ігри — але навіть вона не витримала ретельного аналізу. Домени, пов’язані з азартними іграми, безпосередньо ведуть до фейкових казино, які ми вже розслідували: OFEDREX з 383 підтвердженими жертвами, LuxardGambling з їхніми рекламними роликами із використанням технології «діпфейк» за участю знаменитостей. Це не легальні сайти азартних ігор. Це ті самі шахрайські платформи, просто під різними масками.
Зв’язок із «Hacker Forum»
Зв’язки компанії NiceNIC із кіберзлочинцями виходять далеко за межі пасивної недбалості. Цей реєстратор бере активну участь у цій екосистемі:
«NiceNIC активно присутня на BlackHatWorld — форумі, який має сумну славу через SEO-спам, набори інструментів для фішингу та шахрайські послуги».
«У рекламних листах від NiceNIC зафіксовані твердження про «меншу кількість повідомлень про зловживання» — це маркетингові фрази, розроблені спеціально для залучення клієнтів-злочинців».
«Коли надходить повідомлення про зловживання, NiceNIC надсилає особисті контактні дані особи, яка подала повідомлення — зокрема адреси електронної пошти — безпосередньо власнику домену. Це не помилка. Це функція, призначена для залякування інформаторів».
Основні події
Інфографіка: 5 000 повідомлень про зловживання, надісланих до NiceNIC, 0 вжитих заходів — гора проігнорованих повідомлень у кошику
Інцидент на BreachForums
NiceNIC відновила дію домену ПІСЛЯ отримання запиту від ФБР про ліквідацію, після чого, як повідомляється, заблокував власний акаунт ФБР, щоб запобігти подальшому листуванню.
Telegram @NiceNIC_NET
Зафіксовані розмови, в яких обговорюються відключення WHOIS та надання надійних послуг особам, підозрюваним у скоєнні злочинів.
GDPR / Порушення конфіденційності
Передача даних про репортерів зловмисникам — перетворення процесу повідомлення про зловживання на зброю проти інформаторів.
5 000 квитків залишилися без уваги
Ця цифра не є приблизною. Вона не завищена за рахунок дублікатів. Понад 5 000 унікальних звернень щодо зловживань були подані щодо доменів NiceNIC — кожна з новими доказами, кожна стосовно окремого шкідливого домену. Ця кількість не враховує повторні звернення, подальші подання та звіти з перехресними посиланнями.
Схема відповіді завжди була однаковою:
«Недостатньо доказів» — стандартна автовідповідь від NiceNIC на криміналістичні PDF-файли, що містять звіти VirusTotal із понад 15 виявленнями від різних постачальників, скріншоти повних сторінок активних фішингових порталів, карту DNS та технічні метадані.
Механізми зловживання
48-годинна затримка призупинення: Згідно з внутрішньою політикою NiceNIC, домени, щодо яких надійшли скарги, залишаються активними протягом 48 годин, що дає шахраям достатньо часу, щоб обібрати жертв
Маніпуляції з даними WHOIS/RDAP: навмисно вимкнено або відключено для клієнтів на їхнє прохання, що порушує вимоги щодо прозорості, передбачені Угодою про присвоєння прав (RAA) ICANN
Скарги, закриті автоматично: Квитки, надіслані на адресу abuse@nicenic.net, автоматично пересилаються власникам доменів і закриваються
Бізнес-рішення
5 000 квитків — це не порушення вимог. Це бізнес-рішення. Кожен проігнорований квиток має гарантію доходу.
Наш висновок
На підставі наявних доказів — повного аналізу домену, понад 5 000 проігнорованих звернень, присутності на хакерських форумах, інциденту з ФБР, залякування інформатора та підтвердженого нульового показника законного використання — компанія PhishDestroy ухвалила остаточне рішення:
Офіційна назва
Кожен домен, зареєстрований через NiceNIC (IANA 3765), тепер позначається в системі аналізу загроз PhishDestroy як потенційно небезпечний. Це стосується нашого API, списків блокування, попереджень у браузерах та всіх інтеграцій з партнерами.
Це не загальне покарання. Це статистичний висновок. Коли 100 % перевіреного контенту є шкідливим, а реєстратор активно сприяє його поширенню, то саме реєстратор і є злочинною інфраструктурою.
Заключна заява
Це не недбалість. Це не некомпетентність. Це бізнес-модель, побудована на стійкості до зловживань. Власники компанії NiceNIC INTERNATIONAL GROUP CO., LIMITED повинні понести кримінальну відповідальність — не за те, що вони не вжили заходів, а за те, що свідомо вирішили цього не робити. Ми чекаємо на притягнення їх до відповідальності.
Бізнес-модель очевидна: стягувати з злочинців плату за домени, ігнорувати всі повідомлення про зловживання, передавати дані інформаторів зловмисникам, розміщувати рекламу на хакерських форумах. Це не «сіра зона». Це організована інфраструктура для організованої злочинності. Створення юридичного прецеденту в цьому випадку стало б сигналом для кожного «непроникного» реєстратора, що діє під егідою ICANN.
Пограйте в гру: знайдіть справжній домен
Ми оприлюднюємо результати цього виклику. Опубліковано повний набір даних. Кожен домен NiceNIC, який ми перевірили, доступний для завантаження та незалежної перевірки.
Правила прості: знайдіть хоча б один легітимний домен, зареєстрований через NiceNIC. Справжню компанію. Особистий веб-сайт. Будь-що, що не є фішингом, шахрайством чи чимось гіршим.
Якщо ви знайдете такий, повідомте нам. Ми його ще не знайшли.
Доменна сітка NiceNIC — наочне підтвердження концентрації фішингових атак
Бізнес-модель NiceNIC існує завдяки мовчанню. Кожен звіт, кожна блокада, кожне публічне викриття підвищують ціну співучасті. Дані є загальнодоступними. Докази беззаперечні. Вживайте заходів.
Повідомлення про прозорість. PhishDestroy — це некомерційний, незалежний проєкт. Наші дослідження можуть містити певну упередженість щодо інфраструктури шахрайства та сервісів, що її підтримують. Ми закликаємо читачів критично та самостійно оцінювати всі матеріали. Ознайомтеся з повною версією нашої заяви про прозорість →