Перейти до основного вмісту
Назад до новин
Подальше розслідування

Висновок NiceNIC: перевірено всі домени, законних випадків використання не виявлено

IANA 3765 · NiceNIC INTERNATIONAL GROUP CO., LIMITED · Гонконг

Висновок NiceNIC
5,000+
Унікальні квитки, які не враховуються
24,7 МБ
Опубліковано набір даних про домени
0
Виявлено легітимні домени
100%
Домени, які наразі позначені

Ми вирішили перевірити

Після того як наше перше розслідування викрило компанію NiceNIC як акредитованого ICANN реєстратора, що сприяє глобальній кіберзлочинності, залишилося одне питання: чи справді там ВСЕ так погано? Чи можуть під горами фішингу, криптовалютних шахрайств та ще гірших речей ховатися законні підприємства?

Ми вирішили це з’ясувати. Ми проаналізували весь портфель доменів NiceNIC — кожну реєстрацію, кожну IP-адресу, кожен фрагмент контенту, до якого нам вдалося отримати доступ. Результатом стала база даних розміром 24,7 МБ, опублікована на GitHub, щоб кожен міг самостійно перевірити її.

Висновок був одностайним і однозначним.

Результат

Ми шукали БУДЬ-ЯКИЙ законний варіант використання. Хоча б один «чистий» бізнес. Особистий блог. Сайт-портфоліо. Ми нічого не знайшли.

Це дослідження ґрунтується на наших попередніх висновках. Ознайомтеся з повним контекстом:

Що ми виявили

Домени, зареєстровані через NiceNIC, відносяться до таких очевидних категорій зловживань:

КатегоріяПоширеністьПримітки
Криптофішинг та програми-викачувальникиДомінантнийШахраї, які викачують гроші з гаманців, фейкові біржі, аферні айрдропи
Підроблені азартні ігри та казиноВисокий Пов’язано з операціями, які ми вже розслідували (OFEDREX, LuxardGambling)
Фішинг (загальні відомості)ВисокийВикрадення облікових даних, видавання себе за іншу компанію
Поширення шкідливого програмного забезпеченняПомірнийЗавантаження під час проїзду, підроблене програмне забезпечення
Нерозкрита інформація кримінального характеруНаразі Вміст, що порушує кримінальне законодавство в будь-якій юрисдикції — навмисно не описано

Попередження щодо вмісту

Деякі матеріали, розміщені на доменах NiceNIC, мають настільки екстремальний характер, що навіть їх детальний опис сам по собі був би безвідповідальним. Серед них є категорії, які порушують кримінальне законодавство у всьому світі. Ми все задокументували. Деталі ми оприлюднювати не будемо.

Єдиною «сумнівною» категорією були азартні ігри — але навіть вона не витримала ретельного аналізу. Домени, пов’язані з азартними іграми, безпосередньо ведуть до фейкових казино, які ми вже розслідували: OFEDREX з 383 підтвердженими жертвами, LuxardGambling з їхніми рекламними роликами із використанням технології «діпфейк» за участю знаменитостей. Це не легальні сайти азартних ігор. Це ті самі шахрайські платформи, просто під різними масками.

Зв’язок із «Hacker Forum»

Зв’язки компанії NiceNIC із кіберзлочинцями виходять далеко за межі пасивної недбалості. Цей реєстратор бере активну участь у цій екосистемі:

«NiceNIC активно присутня на BlackHatWorld — форумі, який має сумну славу через SEO-спам, набори інструментів для фішингу та шахрайські послуги».
«У рекламних листах від NiceNIC зафіксовані твердження про «меншу кількість повідомлень про зловживання» — це маркетингові фрази, розроблені спеціально для залучення клієнтів-злочинців».
«Коли надходить повідомлення про зловживання, NiceNIC надсилає особисті контактні дані особи, яка подала повідомлення — зокрема адреси електронної пошти — безпосередньо власнику домену. Це не помилка. Це функція, призначена для залякування інформаторів».

Основні події

Інфографіка: 5 000 повідомлень про зловживання надіслано до NiceNIC, жодних заходів не вжито — гора проігнорованих повідомлень у кошику
Інфографіка: 5 000 повідомлень про зловживання, надісланих до NiceNIC, 0 вжитих заходів — гора проігнорованих повідомлень у кошику

Інцидент на BreachForums

NiceNIC відновила дію домену ПІСЛЯ отримання запиту від ФБР про ліквідацію, після чого, як повідомляється, заблокував власний акаунт ФБР, щоб запобігти подальшому листуванню.

Telegram @NiceNIC_NET

Зафіксовані розмови, в яких обговорюються відключення WHOIS та надання надійних послуг особам, підозрюваним у скоєнні злочинів.

GDPR / Порушення конфіденційності

Передача даних про репортерів зловмисникам — перетворення процесу повідомлення про зловживання на зброю проти інформаторів.

5 000 квитків залишилися без уваги

Ця цифра не є приблизною. Вона не завищена за рахунок дублікатів. Понад 5 000 унікальних звернень щодо зловживань були подані щодо доменів NiceNIC — кожна з новими доказами, кожна стосовно окремого шкідливого домену. Ця кількість не враховує повторні звернення, подальші подання та звіти з перехресними посиланнями.

Схема відповіді завжди була однаковою:

«Недостатньо доказів» — стандартна автовідповідь від NiceNIC на криміналістичні PDF-файли, що містять звіти VirusTotal із понад 15 виявленнями від різних постачальників, скріншоти повних сторінок активних фішингових порталів, карту DNS та технічні метадані.

Механізми зловживання

  • 48-годинна затримка призупинення: Згідно з внутрішньою політикою NiceNIC, домени, щодо яких надійшли скарги, залишаються активними протягом 48 годин, що дає шахраям достатньо часу, щоб обібрати жертв
  • Маніпуляції з даними WHOIS/RDAP: навмисно вимкнено або відключено для клієнтів на їхнє прохання, що порушує вимоги щодо прозорості, передбачені Угодою про присвоєння прав (RAA) ICANN
  • Скарги, закриті автоматично: Квитки, надіслані на адресу abuse@nicenic.net, автоматично пересилаються власникам доменів і закриваються

Бізнес-рішення

5 000 квитків — це не порушення вимог. Це бізнес-рішення. Кожен проігнорований квиток має гарантію доходу.

Наш висновок

На підставі наявних доказів — повного аналізу домену, понад 5 000 проігнорованих звернень, присутності на хакерських форумах, інциденту з ФБР, залякування інформатора та підтвердженого нульового показника законного використання — компанія PhishDestroy ухвалила остаточне рішення:

Офіційна назва

Кожен домен, зареєстрований через NiceNIC (IANA 3765), тепер позначається в системі аналізу загроз PhishDestroy як потенційно небезпечний. Це стосується нашого API, списків блокування, попереджень у браузерах та всіх інтеграцій з партнерами.

Це не загальне покарання. Це статистичний висновок. Коли 100 % перевіреного контенту є шкідливим, а реєстратор активно сприяє його поширенню, то саме реєстратор і є злочинною інфраструктурою.

Заключна заява

Це не недбалість. Це не некомпетентність. Це бізнес-модель, побудована на стійкості до зловживань. Власники компанії NiceNIC INTERNATIONAL GROUP CO., LIMITED повинні понести кримінальну відповідальність — не за те, що вони не вжили заходів, а за те, що свідомо вирішили цього не робити. Ми чекаємо на притягнення їх до відповідальності.

Бізнес-модель очевидна: стягувати з злочинців плату за домени, ігнорувати всі повідомлення про зловживання, передавати дані інформаторів зловмисникам, розміщувати рекламу на хакерських форумах. Це не «сіра зона». Це організована інфраструктура для організованої злочинності. Створення юридичного прецеденту в цьому випадку стало б сигналом для кожного «непроникного» реєстратора, що діє під егідою ICANN.

Пограйте в гру: знайдіть справжній домен

Ми оприлюднюємо результати цього виклику. Опубліковано повний набір даних. Кожен домен NiceNIC, який ми перевірили, доступний для завантаження та незалежної перевірки.

Правила прості: знайдіть хоча б один легітимний домен, зареєстрований через NiceNIC. Справжню компанію. Особистий веб-сайт. Будь-що, що не є фішингом, шахрайством чи чимось гіршим.

Якщо ви знайдете такий, повідомте нам. Ми його ще не знайшли.

Повідомити. Заблокувати. Викрити.

Доменна сітка NiceNIC — наочне підтвердження концентрації фішингових атак
Доменна сітка NiceNIC — наочне підтвердження концентрації фішингових атак

Бізнес-модель NiceNIC існує завдяки мовчанню. Кожен звіт, кожна блокада, кожне публічне викриття підвищують ціну співучасті. Дані є загальнодоступними. Докази беззаперечні. Вживайте заходів.

#NiceNIC#ICANN#RegistrarVerdict#Investigation#CyberCrime
Повідомлення про прозорість. PhishDestroy — це некомерційний, незалежний проєкт. Наші дослідження можуть містити певну упередженість щодо інфраструктури шахрайства та сервісів, що її підтримують. Ми закликаємо читачів критично та самостійно оцінювати всі матеріали. Ознайомтеся з повною версією нашої заяви про прозорість →