Перейти до основного вмісту
Анатомія ліквідації
КІБЕРОБОРОНА

«Анатомія ліквідації»: як PhishDestroy протидіє кіберзлочинності

Від скромної ініціативи 2019 року до потужної організації, яка нейтралізувала понад 400 000 шкідливих доменів, історія розвитку PhishDestroy демонструє силу спільноти, технологій та репутації, заробленої важкою працею.

Анатомія ліквідації — сканер виявлення, біометрична верифікація, молоток реєстратора, вилучення даних DNS, «надгробна плита» домену

У безперервній боротьбі з онлайн-шахрайством PhishDestroy став ключовою силою, перетворившись із спеціалізованої ініціативи 2019 року на надзвичайно ефективну операцію. Наша місія чітка: ліквідувати інфраструктуру фішингу та шахрайства, захищаючи користувачів у всьому світі. Мова йде не лише про блокування шкідливих посилань, а про розуміння механізмів кібератаки та її знешкодження в самому корені.

Наша еволюція: від тижнів до хвилин

Як одне фішингове посилання запускає цілий ланцюжок ліквідацій
Як одне фішингове посилання запускає цілий ланцюжок ліквідацій

Коли PhishDestroy тільки розпочинав свою діяльність, видалення шкідливого домену могло займати тижні. З роками ми розширилися, налагодили міцні партнерські зв’язки та завоювали довіру ключових гравців у сфері кібербезпеки. Ми завжди зосереджувалися виключно на фішингу, що дозволило нам накопичити спеціалізований досвід і підтримувати мінімальний рівень помилкових спрацьовувань.

Сьогодні те, що раніше займало тижні, тепер можна виконати за лічені хвилини. Таке прискорення є свідченням наших постійних інновацій та міцної репутації, яку ми здобули.

Процес ліквідації

1. Швидке виявлення та перевірка

Виявлення відбувається завдяки повідомленням від користувачів через наш Бот у Telegram, автоматизований моніторинг та канали інформації про загрози. Наші команди оперативно перевіряють загрози, щоб забезпечити мінімальний рівень помилкових спрацьовувань.

2. Глибокий аналіз та збір доказів

Наші аналітики ретельно вивчають загрозу, визначаючи її характеристики, цілі та методи. Це передбачає аналіз шкідливого коду, картування інфраструктури та оцінку наслідків для жертв. Кожен доказ ретельно документується.

3. Стратегічна координація та дії

Саме тут на перший план виходить наша репутація. Ми налагодили міцні відносини з сотнями хостинг-провайдерів, реєстраторів доменів та правоохоронних органів. Коли PhishDestroy надсилає повідомлення, понад 50 систем миттєво розпізнають наш запит. Якщо повідомлений сайт дійсно є фішинговим, його можна закрити за лічені хвилини.

4. Ліквідація та моніторинг

Кінцевою метою є повне видалення. Після початку процедури ліквідації ми відстежуємо її хід, щоб переконатися, що сайт відключений і залишається таким. Наші зусилля призвели до успішного припинення діяльності понад 500 000 шкідливих доменів з 2019 року, з постійною перевіркою після демонтажу, що дозволяє виявляти відновлену інфраструктуру протягом кількох годин.

Методологія роботи: автоматизація, точність, масштабність

Наша модель поєднує громадська журналістика з автоматизовані системи виявлення та точна аналітика. Цей Pipeline розроблено таким чином, щоб його можна було масштабувати — від одного звіту до тисяч ліквідацій на день — без втрати якості.

  • Спеціально розроблені синтаксичні аналізатори постійно сканувати результати пошуку з урахуванням SEO, спонсоровані рекламні оголошення та Google Ads на наявність ознак фішингу — виявляючи загрози в момент появи першого платного оголошення.
  • Виявлені загрози автоматично надсилаються до Понад 50 виробників антивірусного програмного забезпечення та канали інформації про загрози, забезпечуючи максимальний глобальний охоплення блокуванням уже в перші хвилини після виявлення.
  • Ми ведемо рівень хибнопозитивних результатів нижче 0,5 %, з понад 100 000 підтверджених повідомлень — що доводить: наші системи не лише швидкі, а й надзвичайно точні.
  • Перевірені автори, які надсилають Понад 100 достовірних звітів надаються «надійний» статус, що дозволяє публікувати матеріали безпосередньо без попередньої модерації та значно скорочує час на ліквідацію публікацій для відомих авторів.
  • Пряма трансляція лічильник пошкоджень оцінює фінансові збитки, завдані шахраям, — виходячи із середньої вартості домену та витрат на рекламу (приблизно 15 доларів за домен для типових схем криптошахрайства).

Джерела виявлення — де виникають загрози

Фішингова інфраструктура рідко ховається — вона, навпаки, рекламує себе. Ми збираємо потенційних клієнтів з:

  • Звіти бота Telegram від нашої спільноти через @PhishDestroy_bot — первинний прийом від населення.
  • Парсери для SEO та платної реклами — Google Ads, Bing, Yandex; ключові слова, пов’язані зі спонсорованими криптогаманцями, біржами та мостами, перебувають під постійним моніторингом.
  • Канали інформації про загрози які нам надали партнери та дослідники.
  • Мережі-пастки а також токени «канарейки» на основі насіннєвої фрази, які сповіщають нас, коли шахраї намагаються використати викрадені дані.
  • WHOIS та прозорість сертифікатів моніторинг новозареєстрованих доменів-двійників, спрямованих проти захищених торговельних марок.

Збереження доказів — постійний цифровий запис

Ліквідації — це лише перший крок. Збереження доказів є нашим головним пріоритетом — адже видалений домен не має ніякої цінності для слідчих, якщо не залишилося жодних записів.

  • Кожен виявлений домен є архівується за допомогою загальнодоступних сканерів (urlscan.io, Wayback Machine, наші власні Pipeline-системи створення знімків) для збору повних відбитків веб-сайтів — HTML, скріншоти, мережеві запити, дані JavaScript.
  • Кожна операція залишає цифровий запис який захищений від видалення зловмисниками — відкрито опублікований на Список видалення GitHub та Архів ScamIntelLogs.
  • Архіви містять панелі адміністратора шахраїв, експортовані дані чатів Telegram, схеми платежів, записи про жертв та IOC — що сприяє встановленню відповідальності та притягненню до відповідальності навіть через тривалий час після ліквідації ресурсів.
  • Поки шахраї намагаються знищити сліди, ми робимо їх незмивними.

Союзники та супротивники серед реєстраторів

Швидкість ліквідації повністю залежить від оперативності дій реєстратора та хостинг-провайдера. Дані наших партнерів свідчать про різкий розрив:

  • Партнери, що реагують:NamecheapЛише команда з боротьби з зловживаннями, що працює цілодобово, допомогла усунути Понад 30 000 шкідливих доменів. GoDaddy, Hostinger, Squarespace, і IONOS послідовно вживати заходів протягом кількох годин після отримання підтвердженого повідомлення.
  • Постійні фактори, що сприяють розвитку:NiceNIC, Космотаун, NameSilo, і Webnic неодноразово ігнорують повідомлення про зловживання — фактично виступаючи притулком для діяльності кіберзлочинців. Дивіться наше розслідування: Як NameSilo, Webnic та NiceNIC сприяють глобальним шахрайським схемам.

Кримінальне відплата — підтвердження наслідків

Наша ефективність викликала організовану негативну реакцію, яку ми розглядаємо як доказ нашої впливовості, а не як перешкоду:

  • DDoS-атаки на нашу інфраструктуру (захист забезпечено Cloudflare).
  • Скоординовані кампанії з дискредитації та ліквідації за допомогою платних PR-розміщень (див. як платні ЗМІ спотворюють уявлення про кібербезпеку).
  • Масове повідомлення наших акаунтів у соціальних мережах, щоб придушити висвітлення подій.
  • Наш акаунт у X (Twitter) з Понад 140 000 задокументованих повідомлень про фішинг був назавжди відсторонений від роботи під тиском реєстратора — див. NameSilo знищив наш Twitter. Архів залишається загальнодоступним: Архів GitHub.

Злочинці намагаються стерти свої сліди; ми ж дбаємо про те, щоб ці сліди залишилися назавжди.

Правовий статус та координація

Ми — це неприбуткова організація, колектив операторів — це не компанія, не юридична особа, не пов’язана з жодним урядом. Усе, що ми робимо, відбувається відкрито:

  • Усі звіти та докази відкрито публікуються на GitHub, Telegram та Mastodon — нічого не приховується і не зберігається в приватному доступі.
  • У ході масштабних розслідувань, пов’язаних із встановленням осіб, відстеженням фінансових потоків або картографуванням інфраструктури, ми офіційно передавати повні пакети доказів правоохоронним органам або командам CERT.
  • Усі такі передачі здійснюються з повним дотриманням законодавства і лише після підтвердження достовірності оперативної інформації.
  • Ми не зберігайте жодних персональних даних учасників — захист інформаторів від репресій та усунення ризику витоку даних.

Наша роль полягає в тому, щоб фіксувати та припиняти зловмисні дії, а потім надавати підтримку тим, хто має юридичні повноваження вживати заходів на підставі отриманих доказів.

У цифрах

  • 500,000+ домени, пов’язані з фішингом та шахрайством, виведені з ладу з 2019 року.
  • 130,000+ активні загрози, відібрані в список для знищення.
  • 50+ наші канали отримують виробники антивірусного програмного забезпечення та платформи з інформацією про загрози.
  • 30,000+ доменів, видалених виключно в рамках партнерства з Namecheap.
  • <0,5 % частка хибнопозитивних результатів у 100,000+ перевірені звіти.
  • 140,000+ звіти, архівування яких відбулося після блокування нашого акаунта в X.
  • 888 тис.+ підписники спільноти у різних стрічках новин.

Як ви можете допомогти

«Спільні дії — це найміцніший захист. Наш досвід наочно демонструє, чого можна досягти, коли технології, фахові знання та спільнота об’єднуються у боротьбі з кіберзлочинністю».

#CyberDefense#Takedown#Phishing#Community

Поділитися цією статтею

Пов’язані розслідування

$0 Takedowns: How We Disrupt Phishing Infrastructure
РОЗСЛІДУВАННЯ
$0 Takedowns: How We Disrupt Phishing Infrastructure
Показники ефективності: нейтралізовано понад 500 тис. фішингових загроз
ПОКАЗНИКИ
Показники ефективності: нейтралізовано понад 500 тис. фішингових загроз
NameSilo, Webnic, NiceNIC: реєстратори, які сприяють шахрайству
РОЗСЛІДУВАННЯ
NameSilo, Webnic, NiceNIC: реєстратори, які сприяють шахрайству
Повідомлення про прозорість. PhishDestroy — це некомерційний, незалежний проєкт. Наші дослідження можуть містити певну упередженість щодо інфраструктури шахрайства та сервісів, що її підтримують. Ми закликаємо читачів критично та самостійно оцінювати всі матеріали. Ознайомтеся з повною версією нашої заяви про прозорість →