Коли повідомлення про зловживання залишаються без наслідків: як реєстратори стають мовчазними спільниками у кіберзлочинності
Ми надсилаємо звіти про зловживання, підкріплені доказами — результати аналізу VirusTotal, скріншоти, дані з чорних списків, результати антивірусних перевірок. Реєстратори отримують їх, але нічого не роблять. Деякі фішингові домени залишаються в мережі 1 788 годин та 13 окремих звітів. Це не системна помилка — це проектне рішення. Ось дані.
Зламана система
Кожне повідомлення про зловживання, яке ми надсилаємо, відповідає чіткому протоколу: URL-адреса домену, категорія (фішинг, програми для викачування криптовалюти, фейкові казино), кількість виявлень на VirusTotal, докази у вигляді скріншотів та статус у чорному списку. Це не просто розпливчасті скарги — це повні пакети доказів. І все ж домен за доменом залишається в мережі протягом тижні та місяці після першого звіту.
Не існує універсального стандарту, який би визначав, як реєстратори повинні реагувати на повідомлення про зловживання. Немає угоди про рівень обслуговування (SLA). Немає обов’язкового терміну реагування. Немає показників відповідальності. Кожен реєстратор самостійно вирішує, як діяти щодо домену, на який було подано скаргу 16 антивірусних двигунів заслуговує на увагу — або на шаблонну відповідь і закриття запиту.
Хто перевершує 16 антивірусних двигунів?
Це питання, на яке жоден реєстратор не хоче відповідати. Коли «Касперський», ESET, Fortinet, BitDefender, Sophos, G-Data і ще десять постачальників засобів безпеки позначають домен як шкідливий на VirusTotal — і команда реєстратора, що займається боротьбою зі зловживаннями, приймає рішення «Дії не потрібні» — хто саме подзвонив?
Уявіть собі цю абсурдну ситуацію: один-єдиний аналітик з питань зловживань у реєстратора відкидає сукупні дані про загрози, зібрані 16 незалежних антивірусних двигунів, кожна з яких має мільярди даних, спеціалізовані дослідницькі лабораторії та десятиліття досвіду. На якій підставі? Якою інфраструктурою для сканування користується команда з боротьби зі зловживаннями в NiceNIC або GlobalDomainGroup, яка перевершує інфраструктуру «Касперського»?
Відповідь проста: жодного. Вони не перевіряють. Вони не аналізують. Вони або взагалі не дивляться на звіт, або керуються фінансовими міркуваннями: діючий домен приносить дохід, а заблокований — ні.
Давайте чітко розберемося, що це означає: хтось із співробітників реєстратора ознайомився з доказами, наданими 13 незалежними постачальниками послуг безпеки, та 13 окремими повідомленнями про зловживання — і вирішив, що власне судження є кращим. Це не помилка. Це політика.
Немає влади, яку вони поважають
Назвіть хоча б одного виробника антивірусного програмного забезпечення, якого реєстратори вважають авторитетним. Ви не зможете — бо такого просто немає.
- «Касперський» — визначає домен? Ігнорується.
- ESET — визнає це фішингом? Ігнорується.
- Fortinet — блокує його на рівні мережі? Ігнорується.
- BitDefender — попереджає мільйони користувачів? Ніхто не звертає на це уваги.
- Google Safe Browsing — найбільша система веб-безпеки на Землі? Її й досі ігнорують.
Є відсутність порогу виявлення у яких реєстратор зобов’язаний вжити заходів. Не 5 пошукових систем. Не 10. Не 16. Домен може бути позначений усіма антивірусними компаніями на VirusTotal, потрапити до численних чорних списків і мати десяток поданих скарг про зловживання — але реєстратор не має жодного юридично обов’язкового зобов’язання вживати будь-яких заходів.
Це не прогалина в системі. Ось ця система. Галузь реєстрації доменів успішно уникла будь-яких обов’язкових стандартів, які б зобов’язували її враховувати висновки дослідників у сфері безпеки, розробників антивірусного програмного забезпечення або платформ аналізу загроз. Коли 16 із 70 сканерів виявляють домен — це не «можливо». Це — консенсус. А команда реєстратора з боротьби зі зловживаннями, яка не має жодної інфраструктури для сканування та фінансово зацікавлена в тому, щоб домен продовжував існувати, ігнорує цей консенсус.

Фінансове заохочення
Реєстратори доменів стягують щорічну плату за кожен домен. Кожне призупинення дії домену — це втрачений дохід. Кожна ліквідація домену — це ризик повернення коштів. Існує прямий, вимірюваний фінансовий стимул для підтримання доменів в активному стані — і жодних фінансових санкцій за ігнорування повідомлень про зловживання.
Це стосується не всіх постачальників інфраструктури. Cloudflare, наприклад, ефективно обробляє повідомлення про зловживання і не отримує доходу від реєстрації доменів таким самим чином. Ця відмінність має значення: коли компанія, яка обробляє ваше повідомлення, отримує прибуток від того, що домен залишається в мережі, конфлікт інтересів є структурним.
Докази: оперативні дані з наших звітів
Нижче наведено витяг із нашого журналу ескалації випадків зловживань за березень 2026 року. Кожен запис відповідає реальному фішинговому домену, який був досі діє на момент складання звіту, незважаючи на попередні повідомлення та підтверджені випадки виявлення.
| Домен | Звіти | Активний (години) | VT | BL | Зловживання повноваженнями реєстратора |
|---|---|---|---|---|---|
| payscrow[.]bet | 6 | 1 788 годин | 16 | — | Tucows |
| 6chicken9[.]top | 4 | 1 783 год | 4 | 1 | Витривалість |
| apphyena[.]trade | 2 | 1 781 год | 3 | — | NiceNIC |
| airdrop[.]autos | 3 | 1 364 год | 4 | 1 | Ім'я |
| amlstats[.]com | 7 | 1 363 год | 14 | 1 | Tucows |
| amlscore[.]info | 7 | 1 363 год | 9 | 1 | Tucows |
| amlwallets[.]io | 4 | 1 363 год | 10 | 1 | nic.io |
| aavleaderboard[.]assetavenue[.]capital | 2 | 1 359 год | 1 | — | IdentityDigital |
| airdropchime[.]com | 2 | 1 359 год | 1 | — | Namecheap |
| farewex[.]com | 13 | 1 352 год | 13 | — | apiname.com |
| app[.]whitewhalesmeme[.]com | 4 | 1 330 год | 14 | — | Verisign |
| zordex[.]us | 3 | 1 314 год | 14 | — | apiname.com |
| alhpatrademarket[.]com | 2 | 1 278 годин | 15 | — | GlobalDomainGroup |
| angelferno[.]com | 2 | 1 278 годин | 7 | 1 | NiceNIC |
| ansol[.]cc | 4 | 1 278 годин | 4 | 1 | NiceNIC |
| amltrackerbot[.]com | 2 | 1 278 годин | 6 | 1 | Tucows |
| amlstatement[.]info | 4 | 1 228 годин | 16 | — | Porkbun |
| a8vx[.]top | 2 | 1 049 годин | 16 | — | Dynadot |
| amlinfo[.]now | 2 | 1 033 год | 2 | — | Porkbun |
| xwinner[.]cc | 4 | 1 026 год | 14 | — | GlobalDomainGroup |
| xerowex[.]com | 6 | 1 021 год | 14 | — | apiname.com |
| menty[.]sbs | 4 | 985 год | 16 | — | gen.xyz |
| perowex[.]com | 5 | 971 год | 14 | — | apiname.com |
| amlbot[.]im | 4 | 965 год | 6 | — | nic.im |
| 3capitalstrading[.]com | 2 | 879h | 2 | — | GlobalDomainGroup |
| naebex[.]com | 5 | 826h | 11 | — | PDR |
| casbatle[.]com | 2 | 803h | 2 | — | NiceNIC |
| amlchecknow[.]digital | 2 | 751h | 6 | — | PDR |
| sollfalare[.]top | 2 | 730 год | 3 | — | Витривалість |
| marketcsgo[.]net | 2 | 717h | 15 | — | GlobalDomainGroup |
| dinadrop[.]com | 2 | 717h | 6 | — | GlobalDomainGroup |
| dotabuff[.]org | 2 | 674 год | 2 | — | PIR |
| casesbattle[.]org | 2 | 652 год | 2 | — | PIR |
| 763182819[.]top | 2 | 618 год | 15 | — | Ім'я |
| kahcas[.]com | 5 | 539h | 14 | — | INWX |
| qizaro[.]cc | 5 | 535 год | 12 | — | GlobalDomainGroup |
| apexresolvefix[.]com | 2 | 496 год | 3 | — | Космотаун |
| amlriskscore[.]ru | 2 | 448 год | 1 | — | cctld.ru |
| patricksstash[.]to | 2 | 427 год | 2 | — | tonic.to |
| stashhpatrick[.]cc | 2 | 427 год | 5 | — | NiceNIC |
| stake2win[.]me | 2 | 402h | 14 | — | domain.me |
| wazbee[.]me | 2 | 388 год | 16 | — | domain.me |
| dexscreener[.]at | 2 | 328 год | 16 | — | nic.at |
| 2fa[.]walletpinet[.]com | 1 | — | 16 | — | Verisign |
| appether[.]fi | 1 | — | 13 | 1 | — |
VT = кількість виявлених загроз за даними VirusTotal із ~70 сканерів. «Активний» = кількість годин, що минула з моменту першого виявлення на час ескалації. Дані: журнал ескалації зловживань PhishDestroy, 19–21 березня 2026 року.
Цифри не брешуть
Середній час активності
~39 днів у середньому по всіх доменах із відомими годинами активності
Максимальний час активності
payscrow[.]bet — 75 днів, 6 повідомлень, VT:16
Загальна кількість надісланих звітів
Зведені звіти за всіма сферами діяльності лише в цій вибірці
Домени з VT ≥ 10
Майже половина всіх доменів, які понад 10 антивірусних двигунів визнали шкідливими, досі активні
Рецидивісти: аналіз за реєстраційними органами
Не всі реєстратори однакові. Наші дані свідчать про чіткі закономірності — деякі реєстратори неодноразово фігурують у списках з найгіршими показниками.
apiname.com
- farewex[.]com — 1 352 год., 13 повідомлень, VT:13
- zordex[.]us — 1 314 годин, 3 повідомлення, VT:14
- xerowex[.]com — 1 021 год., 6 повідомлень, VT:14
- perowex[.]com — 971h, 5 повідомлень, VT:14
4 домени. Разом: 4 658 годин діяльності злочинної інфраструктури. 27 повідомлень, на які не було зреаговано.
GlobalDomainGroup
- xwinner[.]cc — 1 026 годин, VT:14
- marketcsgo[.]net — 717 годин, VT:15
- dinadrop[.]com — 717 годин, VT:6
- qizaro[.]cc — 535h, VT:12
- csgomy[.]com — 356 годин, VT:9
- tastdrop[.]com — 357 годин, VT:2
- casebatle[.]com — 327 годин, VT:6
- casebatltle[.]com — 327 годин, VT:2
- chestix[.]net — 293h, VT:1
- ggddrop[.]com — 365 годин, VT:1
10 доменів. Найбільший окремий кластер у нашому наборі даних. Це закономірність, а не випадковість.
Tucows / IdentityDigital
- payscrow[.]bet — 1 788 годин, 6 повідомлень, VT:16
- amlstats[.]com — 1 363 год., 7 повідомлень, VT:14, BL:1
- amlscore[.]info — 1 363 годин, 7 повідомлень, VT:9, BL:1
- amltrackerbot[.]com — 1 278 годин, 2 повідомлення, VT:6, BL:1
Tucows: загалом 22 повідомлення, 5 792 години, пов’язані з шахрайством. amlstats отримав 7 повідомлень — по одному на тиждень — і впорався з усіма ними.
NiceNIC (nicenic.net)
- apphyena[.]trade — 1 781 год, VT:3
- angelferno[.]com — 1 278 годин, відвідуваність: 7, блокування: 1
- ansol[.]cc — 1 278 годин, 4 повідомлення, VT:4, BL:1
- casbatle[.]com — 803h, VT:2
- stashhpatrick[.]cc — 427h, VT:5
- casebaetle[.]com — 310 годин, VT:2
- casebattle[.]info — перша згадка, VT:1
- appalmanak[.]live — перший звіт, VT:2
8 доменів. Понад 5 877 годин загалом. Раніше досліджувалися: Висновок NiceNIC — не виявлено жодного законного способу використання.
Porkbun
- amlstatement[.]info — 1 228 годин, 4 повідомлення, VT:16
- amlinfo[.]now — 1 033 год., 2 повідомлення, VT:2
- amlspace[.]com — 712 годин, 2 повідомлення, VT:1
amlstatement[.]info: 16 виявлень антивірусами, 4 повідомлення та 51 день у мережі. Що команда Porkbun з боротьби зі зловживаннями визнала прийнятним?
Dynadot
- a8vx[.]top — 1 049 годин, 2 повідомлення, VT:16
- aave[.]events — перший звіт, VT:2, BL:1
- aavetrading[.]net — перша згадка, VT:9
a8vx[.]top: 16 випадків виявлення VT та 44 дні злочинної діяльності. Dynadot — це реєстратор, акредитований ICANN.
domain.me
- wazbee[.]me — 388 годин, VT:16
- stake2win[.]me — 402h, VT:14
Обидва домени мають 14–16 випадків виявлення антивірусними програмами. Обидва досі активні після публікації другого звіту.

Загальна кількість годин бездіяльності реєстратора
Сумарна кількість активних годин усіх зареєстрованих доменів за кожним реєстратором у нашому наборі даних за березень 2026 року. Це не загальний обсяг зловживань з боку реєстраторів — а лише те, що ми зафіксували в одній вибірці.
Що ми надсилаємо — і що вони роблять
Кожне повідомлення про зловживання в PhishDestroy містить:
Наш звіт містить
- URL-адреса домену та реєстраційні дані
- Оцінка VirusTotal із зазначенням назв виробників
- Повносторінковий знімок екрана фішингового сайту
- Класифікація за категоріями (фішинг, програми для виведення коштів, шахрайські казино)
- Статус «Чорний список» з декількох джерел
- URLscan.io або аналогічні результати сканування
- Історія попередніх звітів та хронологія подій
Відповідь реєстратора
- Відсутність будь-якої реакції (найпоширеніший варіант)
- Підтвердження отримання шаблону, дій не потрібно
- «Ми розглянемо це» — минають тижні, а домен залишається
- «Ми не можемо підтвердити це твердження» — незважаючи на 16 випадків виявлення VT
- Заявка закрита без вирішення
- Запит щодо вже наданих доказів
У зв’язку з бездіяльністю реєстратора ми звертаємося до Дотримання вимог ICANN (compliance@icann.org). У кожному з наведених вище випадків ICANN була вказана в копії другого або наступних звітів. Результати? Так само відсутні.
Стандарт ICANN, якого не існує
ICANN Угода про акредитацію реєстраторів (RAA), розділ 3.18 вимагає від реєстраторів мати контактну особу, відповідальну за питання зловживань, та «вживати розумних і оперативних заходів для розслідування та надання відповідної реакції» на повідомлення про зловживання.
На практиці поняття «розумний та оперативний» означає те, що вирішить реєстратор. Існують:
- Максимальний час відгуку не встановлено — реєстратор може чекати тижнями і стверджувати, що це було «розумно»
- Відсутність обов’язкового порогу для відсторонення від роботи — 16 випадків виявлення VT не призводять до автоматичного запуску будь-яких дій
- Відсутність вимоги щодо публічного звітування — реєстратори не зобов’язані оприлюднювати інформацію про те, скільки повідомлень вони отримують або щодо яких вживають заходів
- Жодних суттєвих санкцій — ICANN рідко позбавляє акредитації за бездіяльність у випадках зловживань
Результат: реєстратори розглядають боротьбу зі зловживаннями як статтю витрат, яку слід мінімізувати, а не як обов’язок щодо забезпечення безпеки, який необхідно виконувати.
Вони вживають заходів проти типосквоттингу — але не проти фішингу
Ось що робить цю ситуацію ще більш абсурдною. Деякі з тих самих реєстраторів, які місяцями ігнорують повідомлення про фішинг, надзвичайно ефективно реагують на один конкретний вид зловживань: типосквотинг — домени, які за своєю назвою схожі до ступеня змішування з відомими торговими марками.
Чому? Тому що об’єктом типосквоттингу є корпорації з затвердженими бюджетами. Коли Google, Apple або Microsoft подають скаргу за процедурою UDRP щодо домену, схожого на їхній, реєстратори вживають заходів уже протягом кількох днів. Загроза судового розгляду та санкцій ICANN за зловживання торговельною маркою є реальною та безпосередньою.
Але що, коли фішинговий домен викрадає гроші у окремих жертв? Коли крипто-драйнер спустошує чиїсь заощадження всього життя? Коли фейкове казино викрадає дані кредитних карток у гравців? Немає юридичного відділу компанії. Немає подання за процедурою UDRP. Немає терміновості. Відділ з питань зловживань реєстратора застосовує інший критерій — такий, за яким фінансові збитки потерпілого не викликають такої ж реакції, як проблеми, пов’язані з торговельною маркою.
Звіт про типосквотинг
- Власник торгової марки подає позов за процедурою UDRP
- Реєстратор відповідає протягом декількох днів
- Домен швидко заблоковано/призупинено
- Правові наслідки бездіяльності
Повідомлення про фішинг/шахрайство
- Потерпілі/дослідники подають заяви про зловживання
- Реєстратор ігнорує це протягом тижнів/місяців
- Домен залишається активним до закінчення терміну дії
- Відсутність наслідків за бездіяльність
Повідомлення зрозуміле: реєстратори захищають бренди, а не людей. Вони реагують на юридичні повноваження, а не на докази заподіяної шкоди. Наші звіти містять більше об’єктивних доказів, ніж будь-яка заява за процедурою UDRP — результати сканування VirusTotal, виявлення антивірусними програмами, підтвердження наявності в чорних списках, скріншоти — і все ж вони залишаються без відповіді.
Ми виконуємо їхню роботу — безкоштовно
PhishDestroy — це незалежний, некомерційний проект. Ми скануємо домени. Ми класифікуємо загрози. Ми створюємо звіти VirusTotal. Ми робимо знімки екрана. Ми складаємо детальні звіти про зловживання та надсилаємо їх реєстраторам, реєстрам та ICANN. Ми виконуємо роботу з забезпечення безпеки, яку повинні виконувати самі реєстратори.
А ось і неприємна правда: деякі реєстратори дійсно займаються цією роботою. Деякі реєстратори мають власну інфраструктуру для сканування доменів, використовують приватні канали інформації про загрози та проактивно блокують шкідливі домени ще до того, як про них хтось повідомить. Такі реєстратори існують. Вони доводять, що це можливо.
Реєстратори, які діють
- Запустити внутрішні засоби сканування (приватні, непублічні)
- Проактивно блокувати домени, що явно пов’язані з шахрайством
- Реагувати на повідомлення про зловживання протягом кількох годин
- Співпрацювати з науковцями та правоохоронними органами
- Визнати дані VirusTotal та чорного списку як докази
Ці реєстратори доводять, що швидке реагування на зловживання є технічно та економічно доцільним.
Реєстратори, які захищають шахраїв
- Відсутність будь-якої інфраструктури для сканування
- Дочекайтеся звітів, а потім не звертайте на них уваги
- Шаблонні відповіді, заявка закрита, домен активний
- Відхилення отримання звітів (шаблон NameSilo)
- Скасувати рішення 16 антивірусних двигунів без жодних доказів
Ці реєстратори віддали перевагу прибутку, а не безпеці. Їхня бездіяльність субсидується спільнотою фахівців з безпеки, які виконують їхню роботу безкоштовно.
Питання полягає не в тому, чи можливе швидке реагування на випадки зловживання. Так. Питання полягає в тому, чому деякі реєстратори вирішують цього не робити. І відповідь щоразу зводиться до того самого структурного стимулу: Активні домени приносять дохід. Призупинені домени — ні.
Авторитетні стандарти, які слід застосовувати
Механізм притягнення реєстраторів до відповідальності вже існує — просто його не застосовують:
Угода про управління доменними іменами (RAA) ICANN, §3.18
Цей Угода про акредитацію реєстратора вимагає від реєстраторів вести списки контактних осіб для випадків зловживань та оперативно розслідувати відповідні повідомлення. Фактично контроль за дотриманням цих вимог відсутній.
APWG
Цей Робоча група з боротьби з фішингом публікує щоквартальні звіти про тенденції у сфері фішингу, які демонструють масштаби цієї проблеми. Реєстратори беруть участь у роботі APWG — і все одно ігнорують ці звіти.
Дії Федеральної торгової комісії (FTC)
Цей Попереджувальний лист Федеральної торгової комісії (FTC) на адресу NameSilo (грудень 2024 року) прямо вказала на те, що не було вжито заходів щодо боротьби з шахрайством. Сама ICANN Відділ з питань дотримання нормативних вимог отримує наші звернення щодо ескалації, але не надає жодної відповіді.
DNSAI
Цей Інститут боротьби зі зловживаннями в системі DNS (організація PIR) розробляє такі інструменти, як DAAR, та популяризує найкращі практики. Водночас у власному реєстрі PIR розміщені домени dotabuff[.]org (674 години активності, VT:2) та casesbattle[.]org (652 години).
50 000 доменів, і їхня кількість продовжує зростати
Наведені вище приклади є вибірка за один тиждень. Реальні масштаби просто вражають.
Наш канал інформації про загрози, який постійно оновлюється, за адресою content_active.txt містить понад 50 000 доменів, які були визнані шкідливими. Щодо кожного з них надійшло принаймні одне повідомлення про зловживання. Щодо багатьох — кілька повідомлень. Реєстратори отримали докази — результати сканування VirusTotal, скріншоти, підтвердження включення до чорного списку — і віддали перевагу інтересам своїх клієнтів, а не безпеці громадськості.
Адже саме це і є: вибір. Клієнтом реєстратора є особа, яка зареєструвала домен, — шахрай. Клієнтом реєстратора не є бабуся, яка втратила свої заощадження через підроблену банківську сторінку, чи користувач криптовалюти, з гаманця якого викрали кошти, чи геймер, у якого вкрали обліковий запис у Steam. Реєстратор обирає шахрая. Кожного разу.

Зі звіту для потерпілих: кожна година має значення
Як тільки ми надсилаємо повідомлення про зловживання, починається відлік часу. З цього моменту реєстратор офіційно поінформований що домен, який перебуває під їхнім управлінням, використовується для здійснення шахрайства. Кожна година бездіяльності після отримання такого повідомлення — це година свідома співучасть.
Багато доменів у нашому наборі даних не просто витримують кілька повідомлень — вони витримують аж до того моменту, коли їх закінчується термін реєстрації. Вони проходять повний цикл: реєструють домен, здійснюють шахрайство, на них подають скаргу, на них подають скаргу знову, справу передають до ICANN, продовжують шахрайство, термін дії домену закінчується природним чином. Реєстратор отримав плату за реєстрацію. Шахрай отримав вкрадені кошти. Жертви не отримали нічого.
Своєчасне призупинення дії домену — це не просто адміністративна міра. Це не просто «незручність для реєстранта». Це рятувальна операція. Кожен домен, ліквідований вчасно, — це гаманець, який не було спустошено, облікові дані, які не було викрадено, та ощадний рахунок, який не було спустошено. Реєстратори, які називають такі ліквідації «цензурою» або «перешкоджанням бізнесу», тим самим показують, чиїм саме інтересам вони служать.
Чи повинні реєстратори виплачувати компенсацію потерпілим?
Ось питання, на яке вся галузь реєстрації доменів відмовляється відповідати:
Подумайте про це. Як тільки реєстратор отримає звіт, він більше не необізнаний. Їм було повідомлено, з наведенням доказів, що домен, який перебуває під їхнім контролем, використовується для крадіжки грошей, облікових даних та особистих даних. З цього моменту подальша бездіяльність не є недбалістю — це свідоме рішення щоб допустити заподіяння шкоди.
- Чи готовий реєстратор взяти на себе відповідальність за кожен долар, вкрадений через домен, про який їх попереджали?
- Чи готовий реєстратор виплатити компенсацію потерпілим? хто зазнав фінансових втрат після того, як було подано повідомлення про зловживання, яке залишилося без уваги?
- Чи юридичний відділ реєстратора Чи розумієте ви, що твердження «ми перевірили і не виявили жодних проблем» — коли 16 антивірусних двигунів дають суперечливі результати — не є обґрунтованою позицією?
Якщо відповідь на всі три питання — «ні», то немає жодних обґрунтованих підстав залишати домен активним. Спочатку відсторонити, а потім провести розслідування. Саме так працюють відповідальні постачальники інфраструктури. Саме так працює Cloudflare. Саме так дедалі частіше працюють такі хостинг-провайдери, як Hetzner та OVH. Лише реєстратори доменів досі дотримуються моделі, за якої зручність шахрая переважає безпеку жертви.
Хто платить за це
Кожна година, протягом якої фішинговий домен залишається в мережі, безпосередньо призводить до появи нових жертв:
- Домени, що викачують криптовалюту (farewex, perowex, xerowex, naebex) — гаманці, спустошені за лічені секунди. 4 658 годин, на які зареєстровані домени apiname.com, означають тисячі потенційних випадків спустошення гаманців.
- Підроблені казино / Шахрайство у CS:GO (casebattle variants, csgomy, ggddrop, tastdrop) — шахрайство з кредитними картками, крадіжка особистих даних та фальсифікація результатів, спрямовані проти геймерів.
- Підробка ідентифікації сервісу (dexscreener[.]at, trustwallet[.]receipts[.]sh, amlbot[.]im, dotabuff[.]org) — підробка бренду, що призводить до викрадення облікових даних та фінансових збитків.
- Інфраструктура кардування (patricksstash, stashhpatrick) — продаж викрадених платіжних даних іншим злочинцям.
Що має змінитися
Нинішня модель є недосконалою за своєю суттю. Реєстратори отримують прибуток від того, що домени залишаються активними. ICANN не має реальних повноважень для забезпечення дотримання правил. Потерпілі не мають жодних засобів правового захисту. Ось що допомогло б виправити ситуацію:
- Обов’язкова угода про рівень обслуговування (SLA) щодо реагування на зловживання: Підтвердження протягом 24 годин, вжиття перших заходів протягом 72 годин, 7-денний порядок ескалації. Можливість вимірювання. Можливість аудиту.
- Поріг автоматичного призупинення: Будь-який домен, у якого кількість виявлень на VirusTotal становить ≥10 і є 2 або більше незалежних повідомлень, повинен бути заблокований до завершення перевірки — а не навпаки.
- Публічні звіти про випадки зловживань: Кожен реєстратор, акредитований ICANN, зобов’язаний щокварталу оприлюднювати: інформацію про отримані звіти, середній час реагування, вжиті заходи та домени, доступ до яких було призупинено.
- Фінансові санкції за недотримання вимог: Прогресивні штрафи для реєстраторів, які систематично не виконують своїх обов’язків. Позбавлення акредитації для тих, хто неодноразово порушував правила.
- Незалежний омбудсмен з питань протидії зловживанням: Незалежний орган, який може переглядати рішення реєстратора, вживати заходів у разі бездіяльності та прискорювати процедуру призупинення дії облікового запису у разі серйозних загроз.
- Список заборонених користувачів у різних реєстраторах: У разі підтвердження того, що зареєстрант є серійним порушником, про це слід повідомити всіх акредитованих реєстраторів. Більше ніякого «полювання за доменами».
Що зробила компанія PhishDestroy у зв’язку з цим
Ми не обмежуємося складанням звітів і очікуванням, поки галузь сама налагодить ситуацію. Ми створюємо системи, які забезпечують прозорість і передбачають наслідки за бездіяльність.
Публічна база даних про загрози
Ми створили та підтримуємо список для знищення — загальнодоступна база даних, яка постійно оновлюється та містить понад 50 000 шкідливих доменів. Кожне повідомлення про зловживання, яке ми надсилаємо, тепер доводиться до відома реєстратора: цей домен буде внесено до загальнодоступної бази даних. Потенційні жертви доменів їхніх клієнтів зможуть побачити, коли було подано скаргу та як довго реєстратор її ігнорував. Це створює незручності для реєстраторів — і саме в цьому суть.
Сторінки про загрози для доменів
Кожен домен, на який ми звернули увагу, тепер має окрему сторінку за адресою phishdestroy.io/domain — з повним аналізом, описом загрози, згенерованим штучним інтелектом, та Процес реагування на загрози Pipeline з відображенням точних етапів обробки: виявлення, надсилання звіту, ескалація, повідомлення ICANN. Статуси оновлюються в режимі реального часу. Зараз ми додаємо точні часові мітки до кожного наступного звіту для забезпечення повної прозорості. Будь-хто може точно побачити, коли реєстратор отримав повідомлення і скільки часу він вирішив не вживати жодних заходів.
Система ескалації — Не повідомляти про затоплення
Ми робимо не завалювати реєстраторів дублікатами повідомлень. У 98% випадків ми надсилаємо лише одне початкове повідомлення і не повторюємо його — як через щоденні обмеження на кількість електронних листів, так і тому, що вважаємо масове надсилання дублікатів неправильним підходом. Ми надсилаємо повторне повідомлення лише тоді, коли домен знову визнано активним під час нового сканування. Якби ми щодня розсилали спам на кожен активний домен, це становило б 50 000 електронних листів на день. Але ми цього не робимо. Наша система ескалації генерує повторні звіти (№ 2, № 3 тощо) із проаналізованими штучним інтелектом підсумками щодо загроз, оновленими оцінками VirusTotal та кількістю годин, протягом яких реєстратор ігнорував загрозу.
Інструмент повторного повідомлення спільноти
У нашому боті в Telegram @PhishDestroy_bot, тепер користувачі можуть надсилати повторні звіти щодо доменів, які, як вони виявили, залишаються активними після нашого першого повідомлення. Оскільки занадто багато реєстраторів дозволяють шахраям вільно діяти та ігнорують катастрофічні наслідки, ми надаємо можливість висловитися спільноті. Якщо реєстратор не хоче нас слухати, можливо, він прислухається до численних незалежних повідомлень від реальних користувачів.
PhishDestroy — ми не захищаємо бренди. Ми не захищаємо жертв. Ми знищуємо інфраструктуру фішингу та шахрайства.
Висновок
Коли 16 антивірусних двигунів вказують, що домен є шкідливим, а реєстратор відповідає «не вживати заходів», реєстратор не проявляє розсудливість — він захищає свої доходи. Коли 13 окремих повідомлень про зловживання залишаються без відповіді, а домен продовжує працювати протягом 1 352 годин, реєстратор не просто розбирається з накопиченими справами — він сприяє злочинній діяльності.
Дані, наведені в цій статті, не є теоретичними. Це наш реальний журнал ескалації випадків зловживань за один тиждень березня 2026 року — і за ним стоять Понад 50 000 зареєстрованих доменів у нашому постійно оновлюваному каналі інформації про загрози. Це не поодинока проблема, пов’язана лише з одним реєстратором. Це — загальногалузева невдача що екосистема реєстрації доменів не зацікавлена у виправленні цієї ситуації, оскільки нинішня модель є прибутковою.
Не існує жодного виробника антивірусного програмного забезпечення, висновки якого реєстратори зобов’язані враховувати. Не існує порогу виявлення, який би зумовлював обов’язкові дії. Немає ні угоди про рівень обслуговування (SLA), ні відповідальності, ні наслідків. Реєстратор стягує плату, ігнорує звіти, а жертви платять за це ціну.
Реєстратори не є нейтральними постачальниками інфраструктури. Вони — «воротарі», які щодня, ігноруючи кожну скаргу, свідомо вирішують підтримувати роботу злочинної інфраструктури в мережі. Вони знають про шкоду, яку вона завдає. У них є можливість це зупинити. Але вони вирішують цього не робити. І доки хтось не задасть їм єдине питання, яке має значення, — «Чи готові ви виплатити компенсацію жертвам доменів, які ви відмовилися заблокувати?» — нічого не зміниться.
Мовчання представників галузі з цього питання є найгучнішою відповіддю.
