Перейти до основного вмісту
Назад до новин
Коли повідомлення про зловживання залишаються без уваги — відсутність реакції з боку реєстратора
РОЗСЛІДУВАННЯ • Час читання: 15–18 хв.

Коли повідомлення про зловживання залишаються без наслідків: як реєстратори стають мовчазними спільниками у кіберзлочинності

Ми надсилаємо звіти про зловживання, підкріплені доказами — результати аналізу VirusTotal, скріншоти, дані з чорних списків, результати антивірусних перевірок. Реєстратори отримують їх, але нічого не роблять. Деякі фішингові домени залишаються в мережі 1 788 годин та 13 окремих звітів. Це не системна помилка — це проектне рішення. Ось дані.

Зламана система

Кожне повідомлення про зловживання, яке ми надсилаємо, відповідає чіткому протоколу: URL-адреса домену, категорія (фішинг, програми для викачування криптовалюти, фейкові казино), кількість виявлень на VirusTotal, докази у вигляді скріншотів та статус у чорному списку. Це не просто розпливчасті скарги — це повні пакети доказів. І все ж домен за доменом залишається в мережі протягом тижні та місяці після першого звіту.

Не існує універсального стандарту, який би визначав, як реєстратори повинні реагувати на повідомлення про зловживання. Немає угоди про рівень обслуговування (SLA). Немає обов’язкового терміну реагування. Немає показників відповідальності. Кожен реєстратор самостійно вирішує, як діяти щодо домену, на який було подано скаргу 16 антивірусних двигунів заслуговує на увагу — або на шаблонну відповідь і закриття запиту.

1 788 годин
payscrow[.]bet — домен залишається активним протягом 75 днів, незважаючи на 6 повідомлень та 16 виявлень на VirusTotal. Реєстратор: Tucows / Identity Digital.

Хто перевершує 16 антивірусних двигунів?

Це питання, на яке жоден реєстратор не хоче відповідати. Коли «Касперський», ESET, Fortinet, BitDefender, Sophos, G-Data і ще десять постачальників засобів безпеки позначають домен як шкідливий на VirusTotal — і команда реєстратора, що займається боротьбою зі зловживаннями, приймає рішення «Дії не потрібні» — хто саме подзвонив?

Уявіть собі цю абсурдну ситуацію: один-єдиний аналітик з питань зловживань у реєстратора відкидає сукупні дані про загрози, зібрані 16 незалежних антивірусних двигунів, кожна з яких має мільярди даних, спеціалізовані дослідницькі лабораторії та десятиліття досвіду. На якій підставі? Якою інфраструктурою для сканування користується команда з боротьби зі зловживаннями в NiceNIC або GlobalDomainGroup, яка перевершує інфраструктуру «Касперського»?

Відповідь проста: жодного. Вони не перевіряють. Вони не аналізують. Вони або взагалі не дивляться на звіт, або керуються фінансовими міркуваннями: діючий домен приносить дохід, а заблокований — ні.

farewex[.]com — Надіслано 13 повідомлень про зловживання. 13 випадків виявлення на VirusTotal. Активний протягом 1 352 годин (56 днів). Реєстратор (apiname.com / Verisign) отримав докази від виробників антивірусного програмного забезпечення, платформ з аналізу загроз та відділу з питань дотримання вимог ICANN. Домен досі працює. Хто вирішив, що це прийнятно?

Давайте чітко розберемося, що це означає: хтось із співробітників реєстратора ознайомився з доказами, наданими 13 незалежними постачальниками послуг безпеки, та 13 окремими повідомленнями про зловживання — і вирішив, що власне судження є кращим. Це не помилка. Це політика.

Немає влади, яку вони поважають

Назвіть хоча б одного виробника антивірусного програмного забезпечення, якого реєстратори вважають авторитетним. Ви не зможете — бо такого просто немає.

  • «Касперський» — визначає домен? Ігнорується.
  • ESET — визнає це фішингом? Ігнорується.
  • Fortinet — блокує його на рівні мережі? Ігнорується.
  • BitDefender — попереджає мільйони користувачів? Ніхто не звертає на це уваги.
  • Google Safe Browsing — найбільша система веб-безпеки на Землі? Її й досі ігнорують.

Є відсутність порогу виявлення у яких реєстратор зобов’язаний вжити заходів. Не 5 пошукових систем. Не 10. Не 16. Домен може бути позначений усіма антивірусними компаніями на VirusTotal, потрапити до численних чорних списків і мати десяток поданих скарг про зловживання — але реєстратор не має жодного юридично обов’язкового зобов’язання вживати будь-яких заходів.

Це не прогалина в системі. Ось ця система. Галузь реєстрації доменів успішно уникла будь-яких обов’язкових стандартів, які б зобов’язували її враховувати висновки дослідників у сфері безпеки, розробників антивірусного програмного забезпечення або платформ аналізу загроз. Коли 16 із 70 сканерів виявляють домен — це не «можливо». Це — консенсус. А команда реєстратора з боротьби зі зловживаннями, яка не має жодної інфраструктури для сканування та фінансово зацікавлена в тому, щоб домен продовжував існувати, ігнорує цей консенсус.

0
Кількість виробників антивірусного програмного забезпечення, висновки яких враховують реєстратори зобов'язаний на які можна покластися. Ні «Касперський». Ні ESET. Ні Google. Жодного.
«Стіна мовчання» галузі — понад 50 000 доменів, про які надійшли повідомлення, досі знаходяться в мережі, хоча їх заблокували NiceNIC, Tucows, GlobalDomainGroup, apiname, Porkbun, Dynadot та Endurance
Подано понад 50 000 повідомлень про зловживання. Реєстратор не піддається тиску. Домени залишаються в мережі.

Фінансове заохочення

Реєстратори доменів стягують щорічну плату за кожен домен. Кожне призупинення дії домену — це втрачений дохід. Кожна ліквідація домену — це ризик повернення коштів. Існує прямий, вимірюваний фінансовий стимул для підтримання доменів в активному стані — і жодних фінансових санкцій за ігнорування повідомлень про зловживання.

Це стосується не всіх постачальників інфраструктури. Cloudflare, наприклад, ефективно обробляє повідомлення про зловживання і не отримує доходу від реєстрації доменів таким самим чином. Ця відмінність має значення: коли компанія, яка обробляє ваше повідомлення, отримує прибуток від того, що домен залишається в мережі, конфлікт інтересів є структурним.

Докази: оперативні дані з наших звітів

Нижче наведено витяг із нашого журналу ескалації випадків зловживань за березень 2026 року. Кожен запис відповідає реальному фішинговому домену, який був досі діє на момент складання звіту, незважаючи на попередні повідомлення та підтверджені випадки виявлення.

ДоменЗвітиАктивний (години)VTBLЗловживання повноваженнями реєстратора
payscrow[.]bet61 788 годин16Tucows
6chicken9[.]top41 783 год41Витривалість
apphyena[.]trade21 781 год3NiceNIC
airdrop[.]autos31 364 год41Ім'я
amlstats[.]com71 363 год141Tucows
amlscore[.]info71 363 год91Tucows
amlwallets[.]io41 363 год101nic.io
aavleaderboard[.]assetavenue[.]capital21 359 год1IdentityDigital
airdropchime[.]com21 359 год1Namecheap
farewex[.]com131 352 год13apiname.com
app[.]whitewhalesmeme[.]com41 330 год14Verisign
zordex[.]us31 314 год14apiname.com
alhpatrademarket[.]com21 278 годин15GlobalDomainGroup
angelferno[.]com21 278 годин71NiceNIC
ansol[.]cc41 278 годин41NiceNIC
amltrackerbot[.]com21 278 годин61Tucows
amlstatement[.]info41 228 годин16Porkbun
a8vx[.]top21 049 годин16Dynadot
amlinfo[.]now21 033 год2Porkbun
xwinner[.]cc41 026 год14GlobalDomainGroup
xerowex[.]com61 021 год14apiname.com
menty[.]sbs4985 год16gen.xyz
perowex[.]com5971 год14apiname.com
amlbot[.]im4965 год6nic.im
3capitalstrading[.]com2879h2GlobalDomainGroup
naebex[.]com5826h11PDR
casbatle[.]com2803h2NiceNIC
amlchecknow[.]digital2751h6PDR
sollfalare[.]top2730 год3Витривалість
marketcsgo[.]net2717h15GlobalDomainGroup
dinadrop[.]com2717h6GlobalDomainGroup
dotabuff[.]org2674 год2PIR
casesbattle[.]org2652 год2PIR
763182819[.]top2618 год15Ім'я
kahcas[.]com5539h14INWX
qizaro[.]cc5535 год12GlobalDomainGroup
apexresolvefix[.]com2496 год3Космотаун
amlriskscore[.]ru2448 год1cctld.ru
patricksstash[.]to2427 год2tonic.to
stashhpatrick[.]cc2427 год5NiceNIC
stake2win[.]me2402h14domain.me
wazbee[.]me2388 год16domain.me
dexscreener[.]at2328 год16nic.at
2fa[.]walletpinet[.]com116Verisign
appether[.]fi1131

VT = кількість виявлених загроз за даними VirusTotal із ~70 сканерів. «Активний» = кількість годин, що минула з моменту першого виявлення на час ескалації. Дані: журнал ескалації зловживань PhishDestroy, 19–21 березня 2026 року.

Цифри не брешуть

Середній час активності

943h

~39 днів у середньому по всіх доменах із відомими годинами активності

Максимальний час активності

1 788 годин

payscrow[.]bet — 75 днів, 6 повідомлень, VT:16

Загальна кількість надісланих звітів

150+

Зведені звіти за всіма сферами діяльності лише в цій вибірці

Домени з VT ≥ 10

22

Майже половина всіх доменів, які понад 10 антивірусних двигунів визнали шкідливими, досі активні

Рецидивісти: аналіз за реєстраційними органами

Не всі реєстратори однакові. Наші дані свідчать про чіткі закономірності — деякі реєстратори неодноразово фігурують у списках з найгіршими показниками.

apiname.com

  • farewex[.]com — 1 352 год., 13 повідомлень, VT:13
  • zordex[.]us — 1 314 годин, 3 повідомлення, VT:14
  • xerowex[.]com — 1 021 год., 6 повідомлень, VT:14
  • perowex[.]com — 971h, 5 повідомлень, VT:14

4 домени. Разом: 4 658 годин діяльності злочинної інфраструктури. 27 повідомлень, на які не було зреаговано.

GlobalDomainGroup

  • xwinner[.]cc — 1 026 годин, VT:14
  • marketcsgo[.]net — 717 годин, VT:15
  • dinadrop[.]com — 717 годин, VT:6
  • qizaro[.]cc — 535h, VT:12
  • csgomy[.]com — 356 годин, VT:9
  • tastdrop[.]com — 357 годин, VT:2
  • casebatle[.]com — 327 годин, VT:6
  • casebatltle[.]com — 327 годин, VT:2
  • chestix[.]net — 293h, VT:1
  • ggddrop[.]com — 365 годин, VT:1

10 доменів. Найбільший окремий кластер у нашому наборі даних. Це закономірність, а не випадковість.

Tucows / IdentityDigital

  • payscrow[.]bet — 1 788 годин, 6 повідомлень, VT:16
  • amlstats[.]com — 1 363 год., 7 повідомлень, VT:14, BL:1
  • amlscore[.]info — 1 363 годин, 7 повідомлень, VT:9, BL:1
  • amltrackerbot[.]com — 1 278 годин, 2 повідомлення, VT:6, BL:1

Tucows: загалом 22 повідомлення, 5 792 години, пов’язані з шахрайством. amlstats отримав 7 повідомлень — по одному на тиждень — і впорався з усіма ними.

NiceNIC (nicenic.net)

  • apphyena[.]trade — 1 781 год, VT:3
  • angelferno[.]com — 1 278 годин, відвідуваність: 7, блокування: 1
  • ansol[.]cc — 1 278 годин, 4 повідомлення, VT:4, BL:1
  • casbatle[.]com — 803h, VT:2
  • stashhpatrick[.]cc — 427h, VT:5
  • casebaetle[.]com — 310 годин, VT:2
  • casebattle[.]info — перша згадка, VT:1
  • appalmanak[.]live — перший звіт, VT:2

8 доменів. Понад 5 877 годин загалом. Раніше досліджувалися: Висновок NiceNIC — не виявлено жодного законного способу використання.

Porkbun

  • amlstatement[.]info — 1 228 годин, 4 повідомлення, VT:16
  • amlinfo[.]now — 1 033 год., 2 повідомлення, VT:2
  • amlspace[.]com — 712 годин, 2 повідомлення, VT:1

amlstatement[.]info: 16 виявлень антивірусами, 4 повідомлення та 51 день у мережі. Що команда Porkbun з боротьби зі зловживаннями визнала прийнятним?

Dynadot

  • a8vx[.]top — 1 049 годин, 2 повідомлення, VT:16
  • aave[.]events — перший звіт, VT:2, BL:1
  • aavetrading[.]net — перша згадка, VT:9

a8vx[.]top: 16 випадків виявлення VT та 44 дні злочинної діяльності. Dynadot — це реєстратор, акредитований ICANN.

domain.me

  • wazbee[.]me — 388 годин, VT:16
  • stake2win[.]me — 402h, VT:14

Обидва домени мають 14–16 випадків виявлення антивірусними програмами. Обидва досі активні після публікації другого звіту.

«Тихі партнери» у кіберзлочинності — схема мережі, на якій показано реєстраторів, підключених до Hub ABUSE IGNORED, що протягом кількох годин не вживали жодних заходів
Кожен вузол є реєстратором, акредитованим ICANN. Кожне число позначає кількість годин, протягом яких підтверджена злочинна інфраструктура залишається в мережі після надходження повідомлень про зловживання.

Загальна кількість годин бездіяльності реєстратора

NiceNIC
5 877 год
Tucows
5 792 год
GlobalDomainGroup
5 520 годин+
apiname.com
4 658 год
Porkbun
2 973 год
Витривалість
2 513 год
Dynadot
1 049 год.+
domain.me
790h

Сумарна кількість активних годин усіх зареєстрованих доменів за кожним реєстратором у нашому наборі даних за березень 2026 року. Це не загальний обсяг зловживань з боку реєстраторів — а лише те, що ми зафіксували в одній вибірці.

Що ми надсилаємо — і що вони роблять

Кожне повідомлення про зловживання в PhishDestroy містить:

Наш звіт містить

  • URL-адреса домену та реєстраційні дані
  • Оцінка VirusTotal із зазначенням назв виробників
  • Повносторінковий знімок екрана фішингового сайту
  • Класифікація за категоріями (фішинг, програми для виведення коштів, шахрайські казино)
  • Статус «Чорний список» з декількох джерел
  • URLscan.io або аналогічні результати сканування
  • Історія попередніх звітів та хронологія подій

Відповідь реєстратора

  • Відсутність будь-якої реакції (найпоширеніший варіант)
  • Підтвердження отримання шаблону, дій не потрібно
  • «Ми розглянемо це» — минають тижні, а домен залишається
  • «Ми не можемо підтвердити це твердження» — незважаючи на 16 випадків виявлення VT
  • Заявка закрита без вирішення
  • Запит щодо вже наданих доказів

У зв’язку з бездіяльністю реєстратора ми звертаємося до Дотримання вимог ICANN (compliance@icann.org). У кожному з наведених вище випадків ICANN була вказана в копії другого або наступних звітів. Результати? Так само відсутні.

Стандарт ICANN, якого не існує

ICANN Угода про акредитацію реєстраторів (RAA), розділ 3.18 вимагає від реєстраторів мати контактну особу, відповідальну за питання зловживань, та «вживати розумних і оперативних заходів для розслідування та надання відповідної реакції» на повідомлення про зловживання.

На практиці поняття «розумний та оперативний» означає те, що вирішить реєстратор. Існують:

  • Максимальний час відгуку не встановлено — реєстратор може чекати тижнями і стверджувати, що це було «розумно»
  • Відсутність обов’язкового порогу для відсторонення від роботи — 16 випадків виявлення VT не призводять до автоматичного запуску будь-яких дій
  • Відсутність вимоги щодо публічного звітування — реєстратори не зобов’язані оприлюднювати інформацію про те, скільки повідомлень вони отримують або щодо яких вживають заходів
  • Жодних суттєвих санкцій — ICANN рідко позбавляє акредитації за бездіяльність у випадках зловживань

Результат: реєстратори розглядають боротьбу зі зловживаннями як статтю витрат, яку слід мінімізувати, а не як обов’язок щодо забезпечення безпеки, який необхідно виконувати.

Яким має бути стандарт: Підтвердження протягом 24 годин. Вжиття заходів протягом 72 годин щодо доменів із показником VT ≥ 10. Автоматичне призупинення дії після отримання 3 і більше незалежних повідомлень. Публічна щоквартальна звітність щодо показників зловживань. Фінансові санкції за систематичне недотримання вимог.

Вони вживають заходів проти типосквоттингу — але не проти фішингу

Ось що робить цю ситуацію ще більш абсурдною. Деякі з тих самих реєстраторів, які місяцями ігнорують повідомлення про фішинг, надзвичайно ефективно реагують на один конкретний вид зловживань: типосквотинг — домени, які за своєю назвою схожі до ступеня змішування з відомими торговими марками.

Чому? Тому що об’єктом типосквоттингу є корпорації з затвердженими бюджетами. Коли Google, Apple або Microsoft подають скаргу за процедурою UDRP щодо домену, схожого на їхній, реєстратори вживають заходів уже протягом кількох днів. Загроза судового розгляду та санкцій ICANN за зловживання торговельною маркою є реальною та безпосередньою.

Але що, коли фішинговий домен викрадає гроші у окремих жертв? Коли крипто-драйнер спустошує чиїсь заощадження всього життя? Коли фейкове казино викрадає дані кредитних карток у гравців? Немає юридичного відділу компанії. Немає подання за процедурою UDRP. Немає терміновості. Відділ з питань зловживань реєстратора застосовує інший критерій — такий, за яким фінансові збитки потерпілого не викликають такої ж реакції, як проблеми, пов’язані з торговельною маркою.

Звіт про типосквотинг

  • Власник торгової марки подає позов за процедурою UDRP
  • Реєстратор відповідає протягом декількох днів
  • Домен швидко заблоковано/призупинено
  • Правові наслідки бездіяльності

Повідомлення про фішинг/шахрайство

  • Потерпілі/дослідники подають заяви про зловживання
  • Реєстратор ігнорує це протягом тижнів/місяців
  • Домен залишається активним до закінчення терміну дії
  • Відсутність наслідків за бездіяльність

Повідомлення зрозуміле: реєстратори захищають бренди, а не людей. Вони реагують на юридичні повноваження, а не на докази заподіяної шкоди. Наші звіти містять більше об’єктивних доказів, ніж будь-яка заява за процедурою UDRP — результати сканування VirusTotal, виявлення антивірусними програмами, підтвердження наявності в чорних списках, скріншоти — і все ж вони залишаються без відповіді.

Ми виконуємо їхню роботу — безкоштовно

PhishDestroy — це незалежний, некомерційний проект. Ми скануємо домени. Ми класифікуємо загрози. Ми створюємо звіти VirusTotal. Ми робимо знімки екрана. Ми складаємо детальні звіти про зловживання та надсилаємо їх реєстраторам, реєстрам та ICANN. Ми виконуємо роботу з забезпечення безпеки, яку повинні виконувати самі реєстратори.

А ось і неприємна правда: деякі реєстратори дійсно займаються цією роботою. Деякі реєстратори мають власну інфраструктуру для сканування доменів, використовують приватні канали інформації про загрози та проактивно блокують шкідливі домени ще до того, як про них хтось повідомить. Такі реєстратори існують. Вони доводять, що це можливо.

Реєстратори, які діють

  • Запустити внутрішні засоби сканування (приватні, непублічні)
  • Проактивно блокувати домени, що явно пов’язані з шахрайством
  • Реагувати на повідомлення про зловживання протягом кількох годин
  • Співпрацювати з науковцями та правоохоронними органами
  • Визнати дані VirusTotal та чорного списку як докази

Ці реєстратори доводять, що швидке реагування на зловживання є технічно та економічно доцільним.

Реєстратори, які захищають шахраїв

  • Відсутність будь-якої інфраструктури для сканування
  • Дочекайтеся звітів, а потім не звертайте на них уваги
  • Шаблонні відповіді, заявка закрита, домен активний
  • Відхилення отримання звітів (шаблон NameSilo)
  • Скасувати рішення 16 антивірусних двигунів без жодних доказів

Ці реєстратори віддали перевагу прибутку, а не безпеці. Їхня бездіяльність субсидується спільнотою фахівців з безпеки, які виконують їхню роботу безкоштовно.

Питання полягає не в тому, чи можливе швидке реагування на випадки зловживання. Так. Питання полягає в тому, чому деякі реєстратори вирішують цього не робити. І відповідь щоразу зводиться до того самого структурного стимулу: Активні домени приносять дохід. Призупинені домени — ні.

Авторитетні стандарти, які слід застосовувати

Механізм притягнення реєстраторів до відповідальності вже існує — просто його не застосовують:

Угода про управління доменними іменами (RAA) ICANN, §3.18

Цей Угода про акредитацію реєстратора вимагає від реєстраторів вести списки контактних осіб для випадків зловживань та оперативно розслідувати відповідні повідомлення. Фактично контроль за дотриманням цих вимог відсутній.

APWG

Цей Робоча група з боротьби з фішингом публікує щоквартальні звіти про тенденції у сфері фішингу, які демонструють масштаби цієї проблеми. Реєстратори беруть участь у роботі APWG — і все одно ігнорують ці звіти.

Дії Федеральної торгової комісії (FTC)

Цей Попереджувальний лист Федеральної торгової комісії (FTC) на адресу NameSilo (грудень 2024 року) прямо вказала на те, що не було вжито заходів щодо боротьби з шахрайством. Сама ICANN Відділ з питань дотримання нормативних вимог отримує наші звернення щодо ескалації, але не надає жодної відповіді.

DNSAI

Цей Інститут боротьби зі зловживаннями в системі DNS (організація PIR) розробляє такі інструменти, як DAAR, та популяризує найкращі практики. Водночас у власному реєстрі PIR розміщені домени dotabuff[.]org (674 години активності, VT:2) та casesbattle[.]org (652 години).

50 000 доменів, і їхня кількість продовжує зростати

Наведені вище приклади є вибірка за один тиждень. Реальні масштаби просто вражають.

50 тис.+
Активні фішингові домени в нашій список для знищення щодо яких надійшли повідомлення про зловживання. Більшість із них — все ще в мережі.

Наш канал інформації про загрози, який постійно оновлюється, за адресою content_active.txt містить понад 50 000 доменів, які були визнані шкідливими. Щодо кожного з них надійшло принаймні одне повідомлення про зловживання. Щодо багатьох — кілька повідомлень. Реєстратори отримали докази — результати сканування VirusTotal, скріншоти, підтвердження включення до чорного списку — і віддали перевагу інтересам своїх клієнтів, а не безпеці громадськості.

Адже саме це і є: вибір. Клієнтом реєстратора є особа, яка зареєструвала домен, — шахрай. Клієнтом реєстратора не є бабуся, яка втратила свої заощадження через підроблену банківську сторінку, чи користувач криптовалюти, з гаманця якого викрали кошти, чи геймер, у якого вкрали обліковий запис у Steam. Реєстратор обирає шахрая. Кожного разу.

50 000 доменів, жодної відповідальності — конвеєрна лінія фішингових доменів із позначками «NO ACTION» від NiceNIC, Tucows, GlobalDomainGroup, apiname, Porkbun
Конвеєрна лінія обробки повідомлень про зловживання: домени надходять із виявленими ознаками VT:16, отримують позначку «БЕЗ ДІЙ» і продовжують рухатися далі. Назви реєстраторів світяться над рядком, який вони створили.

Зі звіту для потерпілих: кожна година має значення

Як тільки ми надсилаємо повідомлення про зловживання, починається відлік часу. З цього моменту реєстратор офіційно поінформований що домен, який перебуває під їхнім управлінням, використовується для здійснення шахрайства. Кожна година бездіяльності після отримання такого повідомлення — це година свідома співучасть.

Багато доменів у нашому наборі даних не просто витримують кілька повідомлень — вони витримують аж до того моменту, коли їх закінчується термін реєстрації. Вони проходять повний цикл: реєструють домен, здійснюють шахрайство, на них подають скаргу, на них подають скаргу знову, справу передають до ICANN, продовжують шахрайство, термін дії домену закінчується природним чином. Реєстратор отримав плату за реєстрацію. Шахрай отримав вкрадені кошти. Жертви не отримали нічого.

NameSilo публічно заперечив отримання повідомлень про зловживання, щодо яких ми маємо документальні докази їх надсилання. Коли реєстратор бреше щодо отримання повідомлень, щоб уникнути відповідальності, які засоби правового захисту є у жертв? Можливо, настав час провести незалежний аудит процедур розгляду випадків зловживань реєстратором — такий, що дозволить порівняти кількість надісланих повідомлень із вжитими заходами, а його результати оприлюднити.

Своєчасне призупинення дії домену — це не просто адміністративна міра. Це не просто «незручність для реєстранта». Це рятувальна операція. Кожен домен, ліквідований вчасно, — це гаманець, який не було спустошено, облікові дані, які не було викрадено, та ощадний рахунок, який не було спустошено. Реєстратори, які називають такі ліквідації «цензурою» або «перешкоджанням бізнесу», тим самим показують, чиїм саме інтересам вони служать.

Чи повинні реєстратори виплачувати компенсацію потерпілим?

Ось питання, на яке вся галузь реєстрації доменів відмовляється відповідати:

Якщо реєстратор отримує обґрунтоване повідомлення про зловживання — з даними про виявлення на VirusTotal, скріншотами та підтвердженнями включення до чорного списку — і вирішує не вживати заходів, чи несе він відповідальність за збитки, заподіяні жертвам після цього?

Подумайте про це. Як тільки реєстратор отримає звіт, він більше не необізнаний. Їм було повідомлено, з наведенням доказів, що домен, який перебуває під їхнім контролем, використовується для крадіжки грошей, облікових даних та особистих даних. З цього моменту подальша бездіяльність не є недбалістю — це свідоме рішення щоб допустити заподіяння шкоди.

  • Чи готовий реєстратор взяти на себе відповідальність за кожен долар, вкрадений через домен, про який їх попереджали?
  • Чи готовий реєстратор виплатити компенсацію потерпілим? хто зазнав фінансових втрат після того, як було подано повідомлення про зловживання, яке залишилося без уваги?
  • Чи юридичний відділ реєстратора Чи розумієте ви, що твердження «ми перевірили і не виявили жодних проблем» — коли 16 антивірусних двигунів дають суперечливі результати — не є обґрунтованою позицією?

Якщо відповідь на всі три питання — «ні», то немає жодних обґрунтованих підстав залишати домен активним. Спочатку відсторонити, а потім провести розслідування. Саме так працюють відповідальні постачальники інфраструктури. Саме так працює Cloudflare. Саме так дедалі частіше працюють такі хостинг-провайдери, як Hetzner та OVH. Лише реєстратори доменів досі дотримуються моделі, за якої зручність шахрая переважає безпеку жертви.

Хто платить за це

Кожна година, протягом якої фішинговий домен залишається в мережі, безпосередньо призводить до появи нових жертв:

  • Домени, що викачують криптовалюту (farewex, perowex, xerowex, naebex) — гаманці, спустошені за лічені секунди. 4 658 годин, на які зареєстровані домени apiname.com, означають тисячі потенційних випадків спустошення гаманців.
  • Підроблені казино / Шахрайство у CS:GO (casebattle variants, csgomy, ggddrop, tastdrop) — шахрайство з кредитними картками, крадіжка особистих даних та фальсифікація результатів, спрямовані проти геймерів.
  • Підробка ідентифікації сервісу (dexscreener[.]at, trustwallet[.]receipts[.]sh, amlbot[.]im, dotabuff[.]org) — підробка бренду, що призводить до викрадення облікових даних та фінансових збитків.
  • Інфраструктура кардування (patricksstash, stashhpatrick) — продаж викрадених платіжних даних іншим злочинцям.
75
днів те, що сайт payscrow[.]bet продовжував працювати, — це те саме, що залишити кишенькового злодія в торговому центрі на 2,5 місяці після того, як охороні повідомили про нього, показали записи з камер спостереження та встановили особу підозрюваного.

Що має змінитися

Нинішня модель є недосконалою за своєю суттю. Реєстратори отримують прибуток від того, що домени залишаються активними. ICANN не має реальних повноважень для забезпечення дотримання правил. Потерпілі не мають жодних засобів правового захисту. Ось що допомогло б виправити ситуацію:

  1. Обов’язкова угода про рівень обслуговування (SLA) щодо реагування на зловживання: Підтвердження протягом 24 годин, вжиття перших заходів протягом 72 годин, 7-денний порядок ескалації. Можливість вимірювання. Можливість аудиту.
  2. Поріг автоматичного призупинення: Будь-який домен, у якого кількість виявлень на VirusTotal становить ≥10 і є 2 або більше незалежних повідомлень, повинен бути заблокований до завершення перевірки — а не навпаки.
  3. Публічні звіти про випадки зловживань: Кожен реєстратор, акредитований ICANN, зобов’язаний щокварталу оприлюднювати: інформацію про отримані звіти, середній час реагування, вжиті заходи та домени, доступ до яких було призупинено.
  4. Фінансові санкції за недотримання вимог: Прогресивні штрафи для реєстраторів, які систематично не виконують своїх обов’язків. Позбавлення акредитації для тих, хто неодноразово порушував правила.
  5. Незалежний омбудсмен з питань протидії зловживанням: Незалежний орган, який може переглядати рішення реєстратора, вживати заходів у разі бездіяльності та прискорювати процедуру призупинення дії облікового запису у разі серйозних загроз.
  6. Список заборонених користувачів у різних реєстраторах: У разі підтвердження того, що зареєстрант є серійним порушником, про це слід повідомити всіх акредитованих реєстраторів. Більше ніякого «полювання за доменами».

Що зробила компанія PhishDestroy у зв’язку з цим

Ми не обмежуємося складанням звітів і очікуванням, поки галузь сама налагодить ситуацію. Ми створюємо системи, які забезпечують прозорість і передбачають наслідки за бездіяльність.

Публічна база даних про загрози

Ми створили та підтримуємо список для знищення — загальнодоступна база даних, яка постійно оновлюється та містить понад 50 000 шкідливих доменів. Кожне повідомлення про зловживання, яке ми надсилаємо, тепер доводиться до відома реєстратора: цей домен буде внесено до загальнодоступної бази даних. Потенційні жертви доменів їхніх клієнтів зможуть побачити, коли було подано скаргу та як довго реєстратор її ігнорував. Це створює незручності для реєстраторів — і саме в цьому суть.

Сторінки про загрози для доменів

Кожен домен, на який ми звернули увагу, тепер має окрему сторінку за адресою phishdestroy.io/domain — з повним аналізом, описом загрози, згенерованим штучним інтелектом, та Процес реагування на загрози Pipeline з відображенням точних етапів обробки: виявлення, надсилання звіту, ескалація, повідомлення ICANN. Статуси оновлюються в режимі реального часу. Зараз ми додаємо точні часові мітки до кожного наступного звіту для забезпечення повної прозорості. Будь-хто може точно побачити, коли реєстратор отримав повідомлення і скільки часу він вирішив не вживати жодних заходів.

Система ескалації — Не повідомляти про затоплення

Ми робимо не завалювати реєстраторів дублікатами повідомлень. У 98% випадків ми надсилаємо лише одне початкове повідомлення і не повторюємо його — як через щоденні обмеження на кількість електронних листів, так і тому, що вважаємо масове надсилання дублікатів неправильним підходом. Ми надсилаємо повторне повідомлення лише тоді, коли домен знову визнано активним під час нового сканування. Якби ми щодня розсилали спам на кожен активний домен, це становило б 50 000 електронних листів на день. Але ми цього не робимо. Наша система ескалації генерує повторні звіти (№ 2, № 3 тощо) із проаналізованими штучним інтелектом підсумками щодо загроз, оновленими оцінками VirusTotal та кількістю годин, протягом яких реєстратор ігнорував загрозу.

Інструмент повторного повідомлення спільноти

У нашому боті в Telegram @PhishDestroy_bot, тепер користувачі можуть надсилати повторні звіти щодо доменів, які, як вони виявили, залишаються активними після нашого першого повідомлення. Оскільки занадто багато реєстраторів дозволяють шахраям вільно діяти та ігнорують катастрофічні наслідки, ми надаємо можливість висловитися спільноті. Якщо реєстратор не хоче нас слухати, можливо, він прислухається до численних незалежних повідомлень від реальних користувачів.

Попередження для власників шахрайських проектів та недбалих реєстраторів: Якщо вам здається, що ми «завалюємо» вас масовими повідомленнями — це не так. Ми надсилаємо одне повідомлення на кожен випадок виявлення. Якщо ви отримуєте багато повідомлень, це тому, що у вас є багато шкідливих доменів. Усі повідомлення різні — вони стосуються різних доменів і містять різні докази. Проблема не в обсязі наших повідомлень — вона в ваш портфель доменів.

PhishDestroy — ми не захищаємо бренди. Ми не захищаємо жертв. Ми знищуємо інфраструктуру фішингу та шахрайства.

Висновок

Коли 16 антивірусних двигунів вказують, що домен є шкідливим, а реєстратор відповідає «не вживати заходів», реєстратор не проявляє розсудливість — він захищає свої доходи. Коли 13 окремих повідомлень про зловживання залишаються без відповіді, а домен продовжує працювати протягом 1 352 годин, реєстратор не просто розбирається з накопиченими справами — він сприяє злочинній діяльності.

Дані, наведені в цій статті, не є теоретичними. Це наш реальний журнал ескалації випадків зловживань за один тиждень березня 2026 року — і за ним стоять Понад 50 000 зареєстрованих доменів у нашому постійно оновлюваному каналі інформації про загрози. Це не поодинока проблема, пов’язана лише з одним реєстратором. Це — загальногалузева невдача що екосистема реєстрації доменів не зацікавлена у виправленні цієї ситуації, оскільки нинішня модель є прибутковою.

Не існує жодного виробника антивірусного програмного забезпечення, висновки якого реєстратори зобов’язані враховувати. Не існує порогу виявлення, який би зумовлював обов’язкові дії. Немає ні угоди про рівень обслуговування (SLA), ні відповідальності, ні наслідків. Реєстратор стягує плату, ігнорує звіти, а жертви платять за це ціну.

Реєстратори не є нейтральними постачальниками інфраструктури. Вони — «воротарі», які щодня, ігноруючи кожну скаргу, свідомо вирішують підтримувати роботу злочинної інфраструктури в мережі. Вони знають про шкоду, яку вона завдає. У них є можливість це зупинити. Але вони вирішують цього не робити. І доки хтось не задасть їм єдине питання, яке має значення, — «Чи готові ви виплатити компенсацію жертвам доменів, які ви відмовилися заблокувати?» — нічого не зміниться.

Мовчання представників галузі з цього питання є найгучнішою відповіддю.

#AbuseReports#ICANN#Registrars#VirusTotal#PhishingTakedown#Investigation#CyberSecurity

Пов’язані дослідження

Реєстратори, які сприяють глобальним шахрайським схемам
Як NameSilo, Webnic та NiceNIC підтримують функціонування шахрайської інфраструктури, ігноруючи повідомлення про зловживання.
Висновок NiceNIC
Було перевірено всі домени NiceNIC — у всьому портфелі не виявлено жодного випадку законного використання.
Розслідування щодо компанії NiceNIC
Розкриття інформації про IANA 3765 — реєстратора ICANN, який сприяє розвитку глобальної кіберзлочинності та має показник фішингу 1 141,74.
Повідомлення про прозорість. PhishDestroy — це некомерційний, незалежний проєкт. Наші дослідження можуть містити певну упередженість щодо інфраструктури шахрайства та сервісів, що її підтримують. Ми закликаємо читачів критично та самостійно оцінювати всі матеріали. Ознайомтеся з повною версією нашої заяви про прозорість →