Редакційна стаття — Стаття з висловленням власної думки

Справжній ворог — це не шахрай. Це реєстратор, який обмінює його чеки на готівку.

Шахрай — це дешевий, замінний елемент у економіці відчаю. А ось реєстратор, який з посмішкою приймає його криптовалюту, — та ICANN, яка не змушує його відповідати за це, — ось і є сама хвороба.

PhishDestroyНезалежна дослідницька операція з протидії фішингу11 хвилин читання
Справжній ворог — це не шахрай, а реєстратор: стаття від PhishDestroy

Давайте будемо відверто чесними щодо того, про що фахівці з боротьби з шахрайством не люблять говорити вголос: більшість шахраїв — це не геніальні злочинці. Вони не є витонченими. Більшість із них ледь-ледь справляються зі своїм ділом.

Припиніть переслідувати рядових солдатів

Ми вже роками відстежуємо зловмисників. Ми спостерігаємо, як вони переходять від одного виду шахрайства до іншого: сьогодні — оператор програм для викрадення даних, завтра — розробник програм для викачування коштів, а в наступному кварталі — магазин для продажу викрадених даних. Ми спостерігаємо, як вони переміщують свої фальшиві особисті дані та інфраструктуру — цього місяця до Швейцарії, наступного — до Туреччини. Вони погано ховаються. Вони залишають сліди, за якими міг би простежити навіть аналітик-початківець. Більшість із них опинилися в цьому «бізнесі» з однієї простої причини: у них не було іншого виходу, а розуму для чогось законного — замало.

То чому ж проблема продовжує поглиблюватися? Тому що кількість зловмисників просто величезна, і вистежувати їх одного за одним математично безглуздо.

Погляньте на нашу власну аналітичну платформу Telegram. Тільки в нашому наборі даних налічується майже 130 тисяч зловмисників — і це лише один набір даних.

4,678
відстежувані джерела Telegram (4 394 активних)
12,4 млн+
зібрані повідомлення
129,718
проаналізовано унікальних зловмисних суб’єктів
10×
кількість замін, що з’являються за кожне усунення
Відредагований знімок інформаційної панелі PhishDestroy у Telegram — близько 95 000 виявлених акаунтів у 3 485 ботах, що перебувають під моніторингом; індивідуальні ідентифікатори замальовані пікселями
Одноразовий аналіз ботів у Telegram, що перебувають під моніторингом: 94,972 виявлено рахунки по всьому 3,485 боти. Індивідуальні ідентифікатори — це вилучено — поява у списку користувачів бота, що перебуває під наглядом, є результат, а не вирок.

Додайте до цього ще тисячі осіб, виявлених у ході попередніх розслідувань іншими дослідницькими групами, і картина стає чіткою: неможливо заарештувати всіх членів спільноти такого масштабу. Знешкодьте одного учасника, одну групу — після місяців юридичної роботи, кошмарів із транскордонною юрисдикцією та обсягів справ, які рідко цікавлять правоохоронні органи, — і вже того ж тижня з’являться десять нових на заміну. Окремий шахрай — це дешевий, замінний ланцюжок у системі.

Ситуація змінюється лише тоді, коли змінюються економічні умови. Доки шахрайство залишатиметься дешевим — дешеві домени, реєстратори, що не ставлять зайвих питань, криптовалютні платежі без жодної верифікації — його буде багато. Єдина стратегія, яка дає масштабний ефект, — це зробити шахрайство дорогим. А це безпосередньо стосується тих, хто зараз робить його дешевим:

Реєстратори.

Цифри свідчать про кризу. Галузь робить вигляд, що це просто тимчасові коливання.

Це не наша думка. Це задокументований стан справ в Інтернеті:

ФБР IC3 · 2024

$16B lost, +33% YoY

IC3 при ФБР отримано 859 532 скарги у 2024 році, коли, за повідомленнями, збитки перевищили $16 billion — що на 33 % більше, ніж у 2023 році — а найпоширенішим видом кіберзлочинів за кількістю скарг став фішинг/спуфінг. Майже 150 000 скарг стосувалися цифрових активів, що склало $9.3 billion у збитках — це на 66 % більше, ніж у попередньому році.

Інтерайл · 2025

Кількість випадків фішингу зросла на 180% порівняно з 2021 роком

Щорічне дослідження компанії «Interisle Consulting», проаналізувавши майже чотири мільйони повідомлень про фішинг за період з травня 2024 року по квітень 2025 року, виявило, що кількість зареєстрованих випадків фішингу сягнула майже два мільйони атак — це зростання на понад 180 % порівняно з 2021 роком. У тому ж звіті наголошується на тому, з якою легкістю злочинці використовують ліберальна галузева політика та ділові практики для придбання доменних імен.

Прочитайте останній рядок ще раз. Провідне незалежне дослідження в цій галузі підтверджує саме те, про що ми говоримо: причиною цього є поблажлива практика галузі. А не геніальність шахраїв. Поблажливість. І концентрація це підтверджує: компанія Interisle виявила, що в рамках однієї кампанії вибірка з 37 000 доменних імен, пов’язаних із шахрайством з неоплаченими дорожніми зборами, показала, що 65 % були зареєстровані через одного китайського реєстратора.

Економіка шахрайства не розподілена в Інтернеті хаотично. Вона зосереджується навколо конкретних реєстраторів — адже шахраї прагнуть уникнути розголосу.

Реєстратори не є нейтральними. Вони є учасниками, яким платять.

Існує зручний міф про те, що реєстратори є «нейтральною інфраструктурою» — пасивними постачальниками послуг, які не мають жодного інтересу до того, що відбувається на доменах, які вони продають.

Це неправда. Реєстратор — це комерційна організація, яка безпосередньо отримує дохід від кожного фішингового домену, який вона відмовляється заблокувати. Кожне проігнороване повідомлення про зловживання — це гарантований дохід. Кожна відповідь на кшталт «ми не можемо оцінювати вміст» — це бізнес-рішення, замасковане під юридичну позицію.

Шахраї не обирають реєстратора через цінову політику чи дизайн сайту. Вони обирають того реєстратора, який не буде задавати зайвих питань, не блокуватиме домени, прийматиме криптовалюту без верифікації та мовчки ігноруватиме повідомлення про зловживання. Це і є ринок. Це і є продукт. А власні дані галузі показують, хто саме його продає. Згідно з Висновки компанії «Інтерайл», п’ятірка провідних реєстраторів gTLD за обсягом фішингових атак становила NameSilo, GoDaddy, GMO (Onamae), PublicDomainRegistry та NameCheap; якщо врахувати кількість доменів, що перебувають під управлінням, найчастіше зловживали такими NiceNIC, URL Solutions, Aceville, WebNic та OwnRegistrar — при цьому, за даними NiceNIC, 45 % їхнього портфеля gTLD було визнано фішинговими.

45 % портфеля було заявлено як фішинг. У який момент «нейтральна інфраструктура» перетворюється на «злочинний ланцюг постачання»?

Хто здійснює нагляд за реєстраторами? Технічно — ICANN. На практиці — ніхто.

Над реєстраторами стоїть ICANN. Над ICANN ніхто не стоїть.

Фішингове URL-адреса, «завірена» печаткою акредитації, тоді як криптовалюта втрачає свою цінність — прогалина в системі контролю ICANN
Акредитація як формальність: §3.18 RAA зобов’язує реєстраторів вживати заходів у разі зловживань — але система дотримання вимог, за якої дотримання є необов’язковим, не є регулюванням.

Угода ICANN про акредитацію реєстраторів 2013 року, Розділ 3.18, зобов’язує кожного акредитованого реєстратора, згідно з умовами договору, мати контактну особу з питань зловживань та вживати розумних і оперативних заходів для розслідування повідомлень про зловживання та належного реагування на них. На папері — це обов’язок, виконання якого підлягає примусовому забезпеченню.

А як це виглядає на практиці? Виходячи з того, що ми щодня спостерігаємо на передовій, ми оцінюємо, що навіть один реєстратор, який допускає зловживання, порушує пункт 3.18 як мінімум ~1 000 разів на рік — проігноровані повідомлення, фіктивні «розслідування», фішингові домени, які залишаються активними тижнями, поки жертви зазнають збитків. Якщо поширити це на всю галузь за п’ять років, то справжня кількість випадків, подібних до 3.18, цілком імовірно сягає мільйона проігнорованих або неправильно опрацьованих повідомлень. Ніхто не знає реальної цифри, бо ніхто не зобов’язаний її підраховувати. У цьому й полягає суть.

А що щодо інструментарію ICANN для забезпечення дотримання правил? Фактично це одна «ядерна кнопка»: припинення акредитації. Ніяких штрафів. Ніяких ступеневих санкцій. Ніякої компенсації потерпілим. І ця кнопка натискається майже виключно проти реєстраторів, які вже «померли» — фіктивних компаній, що перестали сплачувати збори. Чому? Тому що ICANN фінансується за рахунок зборів саме від тих реєстраторів, яких вона «регулює». Відключення великого, прибуткового реєстратора, що часто допускає зловживання, означає позбавлення власних доходів. Організація структурно не здатна прагнути до забезпечення дотримання правил.

ICANN номінально зайняла місце регулятора — саме для того, щоб зберегти свою незалежність і утримати уряди від втручання. Результат: правило, якого жоден реєстратор не боїться. Так, є прецеденти — повідомлення про необхідність дотримання вимог та попередження (Приклад WebNIC (серед них). Погляньте на наслідки. Лист із суворим тоном проти бізнес-моделі, яка приносить мільйони. Система дотримання вимог, за якої дотримання є добровільним, — це не регулювання. Це театр.

Приклад з практики: NameSilo — «найдинамічніше зростаюча» компанія, яка найшвидше ігнорує

NameSilo — це компанія, акції якої котируються на біржі. Вона подає на біржу звіти, в яких вказує мільйонні доходи, і позиціонує себе як одного з найдинамічніших реєстраторів у світі. Водночас, згідно з незалежним дослідженням, на яке посилалися вище, вона посідає перше місце в рейтингу за загальним обсягом фішингових атак. Збіг? Ось що ми побачили на власні очі:

Задокументовано

Двадцять повідомлень, а потім «попередніх повідомлень не було»

Ми повідомили NameSilo про фішинговий сайт. І не один раз — щонайменше 20 задокументованих повідомлень щодо цього конкретного домену, надавши докази, скріншоти, скани та аналіз. Нічого не відбувалося, доки ми не підняли це питання на публічний розголос у Twitter/X. Публічна відповідь NameSilo: вони «не отримували жодних попередніх повідомлень». Реєстратор, акції якого котируються на біржі, зіткнувшись із задокументованими доказами про двадцять проігнорованих повідомлень про зловживання, публічно заявив, що таких повідомлень не існувало. Це або несправна система обробки повідомлень про зловживання, яку вони відмовляються виправити, або публічна брехня. Жодне з цих пояснень не є прийнятним — і обидва приносять прибуток.

Скільки звернень щодо захисту користувачів із США компанія NameSilo безпосередньо проігнорувала, аби уникнути втрати доходів? Відповімо, спираючись на власний досвід: не просто багато — ми вважаємо, що більшість. І ніякої відповідальності за це немає.

А далі ще цікавіше. Компанія NameSilo публічно розповіла, як допомогла клієнту — про якого, за їхніми словами, не надходило жодних скарг — видалити виявлення з VirusTotal. Простежте логіку:

  • Прохання про блокування фішингового домену: «Ми не маємо повноважень визначати, що є зловмисним».
  • Допомога клієнту, який оплатив послугу: раптом отримали право скасовувати висновки щодо виявлення загроз, зроблені постачальниками засобів безпеки зі списку «Fortune 500».

Не можна водночас використовувати технічну некомпетентність як щит і технічну авторитетність як послугу. Вибирайте щось одне. Це не випадковість і не поодинокий випадок. Це закономірність: любити гроші, нічого не робити, ні перед ким не відповідати.

Чим насправді цінна акредитація ICANN: Trustname, на даний момент

Конфлікт інтересів має структурний характер і є досить простим: регулюючий орган ніколи не повинен отримувати доходи безпосередньо від суб’єктів, діяльність яких він регулює. ICANN це робить — і ми розуміємо, що її приблизно 400 співробітників, без сумніву, зайняті питаннями, нагальнішими за безпеку користувачів, чиї гаманці ці домени покликані спустошувати.

Ось що ця акредитація означає на практиці, саме сьогодні. Подумайте про таке: Ім'я довіреної особи (Fewmoretaps OÜ) — реєстратор, з яким ми докладно викладено. На папері це естонська компанія; фактично її діяльність координується з Білорусь одним власником-керівником — його 100-відсотковим акціонером, генеральним директором та єдиним працівником. Задекларований дохід за 2024 рік: 120 євро. Компанія почала повноцінно продавати домени лише цього року. А її акредитація в ICANN (IANA № 4318) — це продовжує діяти, навіть попри те, що компанія перебуває в стадії ліквідації. З-поміж ~7 641 доменів, якими вона управляє, 86 % активних програм визнано шкідливими.

Саме цій організації ICANN надала знак довіри. І це не наша оцінка того, як вона реагує на зловживання — це оцінка Trustname’s власна опублікована політика щодо зловживань:

«Згідно з рекомендаціями ICANN, у більшості випадків для вжиття заходів щодо домену реєстратору необхідно надати чинне судове рішення або згоду реєстранта».

«Повідомлення, отримані виключно через автоматизовані системи аналізу загроз, розглядаються як напрямки розслідування, а не як переконливі докази… Trustname також може вимагати підтвердження того, що ймовірне зловживання залишається активним на момент розгляду».

«Повідомлення про зловживання, надіслані з безкоштовних або анонімних поштових сервісів (наприклад, @gmail.com, @proton.me), підлягають додатковій перевірці».

«Ми не визначаємо законність вмісту веб-сайту і вживаємо заходів лише за вказівкою правоохоронних органів або у випадках явного порушення наших умов використання».

Якщо розглядати це як систему, то її структура стає цілком очевидною: це дійсний судове рішення щоб торкнутися певної сфери; реальні виявлення перекваліфіковуються на прості «підказки»; вимога, щоб ви ще раз підтвердили факт шахрайства, — це досі живуть під час розгляду — після того, як вони достатньо довго затягували справу; додаткова «верифікація» для всіх, хто надсилає повідомлення з Gmail або Proton; а також категорична відмова оцінювати вміст із ввічливим перенаправленням до «зверніться до свого хостинг-провайдера». Додайте до цього засоби захисту конфіденційності, що належать реєстраторам, які приймають криптовалюту та відхиляють звичайну пошту, — і ви отримаєте відсутність процедури розгляду зловживань. У вас є захист за допомогою документів — і це зазначено на бланку реєстратора, акредитованого ICANN.

Це є прямим звинуваченням на адресу ICANN. Одноосібна організація з Білорусі, що перебуває на стадії ліквідації та має дохід у розмірі 120 євро, володіє чинною акредитацією та відкрито оприлюднює політику, розроблену таким чином, щоб ніколи нічого не призупиняти. Найпотужнішим інструментом, який ICANN має у своєму розпорядженні для реагування, є лист; реакцією на такі листи, яку ми спостерігали, є оновлення Умов використання, а не призупинення. Регулюючий орган, найсуворіше покарання якого — лист, на який відповідають редагуванням Умов використання, — не є регулюючим органом. Тим часом щодня реальні люди втрачають гроші на .com та інші домени, які проходять через таких операторів, поки триває бюрократична тяганина. Три судові постанови про закриття діючої фішингової сторінки — це не належна правова процедура; це фарс, і це фарс, який ICANN підтримує, надаючи акредитацію операторам, які цього вимагають.

«Trustname» — це не випадкова аномалія; це те, що трапляється, коли акредитація є дешевою та непідзвітної. У кількох юрисдикціях ЄС — зокрема в Естонії (де зареєстровано чимало таких фіктивних компаній, Кейтаро (включно з ними), а також Велика Британія з її надзвичайно дешевою процедурою реєстрації компаній — продають доступ до корпоративних послуг за ціною, яка унеможливлює будь-яку реальну перевірку. Результатом є атмосфера вродженої недовіри навіть до законних підприємств, оскільки ніхто не перевіряє і ніхто не несе відповідальності. Ми також стикалися з різними варіантами цієї «стіни судових наказів» у випадку з деякими операторами з національними кодами; про них ми розповімо окремо.

// The regulator that isn’t

Що має функціонуючий регулятор

  • Штрафи, розмір яких залежить від ступеня заподіяної шкоди
  • Покарання, крім смертної кари
  • Відшкодування перераховано потерпілим
  • Незалежні аудити — а не самосертифікація
  • Фінансування, незалежне від регульованого
  • Здатність запобігти серйозній шкоді протягом кількох годин

Що має ICANN

  • Єдина санкція: лист з рішучим закликом
  • Тільки для завершення роботи — використовується переважно для вже закритих оболонок
  • Жодних штрафів. Жодного відшкодування.
  • Дотримання принципів системи честі та самозасвідчення
  • Фінансується за рахунок зборів, що сплачують реєстратори, яких вона «регулює»
  • Жертви насильства тижнями залишаються живими через вимоги «за рішенням суду»
120 євроЗаявлений дохід компанії Trustname на 2024 рік
86%своїх активних доменів, шкідливих
$0штрафи, які може накладати ICANN
1засіб примусу — лист

ICANN не провалила регулювання доменної економіки.
Його ніколи не планували будувати.

Вихід із ситуації очевидний: штрафи та відповідальність

Ми не просимо надати нам повноваження щодо цензури. Ми просимо про те, що вже є в будь-якій іншій галузі: фінансові санкції за порушення договірних зобов’язань.

Прогресивні штрафи

  • Реєстратор ігнорує три обґрунтовані повідомлення про зловживання — з доданими доказами, сканованими копіями та аналізом — щодо одного й того самого шкідливого домену? Автоматичне накладення санкцій.

Відповідальність перед потерпілими

  • Штрафи, що підлягають сплаті на користь потерпілих або держави, на території якої було скоєно злочин.
  • Якщо користувач із США втрачає кошти через фішинговий домен, про який реєстратор був попереджений, але не вжив жодних заходів, — реєстратор несе спільну відповідальність за невиконання свого прямого обов’язку щодо мінімізації шкоди.

Прозорість перед громадськістю

  • Обов’язкова прозорість інформації щодо повідомлень про зловживання — кількість отриманих повідомлень, терміни реагування, вжиті заходи — щоквартальне оприлюднення даних, які підлягають аудиту.
  • NameSilo ніколи не могло стверджувати, що «не було попередніх повідомлень» щодо публічного журналу.

Незалежні аудити

  • Незалежні аудити процедур реагування на випадки зловживань як умова поновлення акредитації — а не самооцінка.

Реєстратори будуть скаржитися, що «від них не можна очікувати, що вони визначатимуть, що таке фішинг». Контрзапитання: ви здатні брати гроші й підписувати зобов’язання щодо акредитації — але не здатні їх виконувати? Якщо реєстратор дійсно не може оцінити повідомлення про зловживання з доданими доказами, йому не має сенсу утримувати акредитацію, яка за умовами договору вимагає саме цього.

Чим це слід замінити: відкритий реєстр випадків зловживань, що оновлюється в режимі реального часу

Ми не пропонуємо створити другу організацію на кшталт ICANN — вона нам не потрібна. Дві основні системи, що забезпечують функціонування Інтернету, вже дають відповідь на це питання: Прозорість сертифікатів TLS/SSL та WHOIS — відкриті, доступні для пошуку, публічні записи. Робота з випадками зловживання повинна відбуватися таким самим чином: прозорий, загальнодоступний реєстр усіх повідомлень про зловживання, які отримує реєстратор, із точним описом вжитих ним заходів у відповідь — з позначкою часу, що піддається аудиту та не підлягає запереченню після факту.

З урахуванням цього підходу більшість сучасних театральних постановок втрачають сенс:

  • Не існує рішення офшорного суду про припинення безпосередньої загрози. Фішингова сторінка, що спустошує гаманці, — це реальна загроза; для її блокування не повинно бути необхідним рішення суду, розташованого на якомусь острові в офшорній зоні. Докази наведені у звіті, а з відкритих джерел можна дізнатися, чи вжив реєстратор відповідних заходів.
  • Процес сортування пацієнтів можна автоматизувати. Реєстратори стверджують, що їх завалюють «атаками» та повідомленнями про спам — і саме такий тип фільтрації є Шар штучного інтелекту працює ефективно: відокремлює нерелевантну інформацію, виокремлює обґрунтовані випадки та фіксує кожне рішення. Простий і чесний проксі-сервер, встановлений на початку ланцюжка зловживань, вже перевершив би нинішню хаотичну систему, що не має чіткого процесу. Для цього не потрібен «№ 2» в ICANN.
  • Термін дії виправдання закінчується. Реєстратор отримує винагороду за кожен проданий домен; боротьба зі зловживаннями — це інша складова цієї угоди, а не просто послуга. Стандартна відповідь NameSilo «ми не маємо відповідної кваліфікації» є бізнес-рішенням, а не технічним обмеженням — і компанія, яка справді не може відрізнити фішинговий набір від легітимного трафіку, повинна займатися іншими видами діяльності, а не за замовчуванням сприяти шахрайським та фішинговим операціям.
  • Більше ніяких «ми ніколи не отримували такого повідомлення». WebNic і NiceNic надіслали нам автоматичні відповіді, вимагаючи надати скріншот, який вже був доданий до звіту; NameSilo заявило громадськості, що «ніколи не надходило жодної скарги». Жоден із цих кроків не витримує перевірки на тлі публічного реєстру з позначками часу.

І в бухгалтерській книзі зазначається єдиний важливий результат що підлягає примусовому виконанню. Коли жертва втрачає кошти на користь домену через кілька днів оскільки в архіві вже був обґрунтований звіт — а з відкритих даних видно, що реєстратор його приховав — це вже не є прикрою «сірою зоною». Це задокументований провал із зазначеною датою, і реєстратор повинен нести фінансову відповідальність за цей конкретний випадок.

Призначте ціну за той гаманець, який реєстратор дозволив спустошити після того, як ми його попередили, — і кожен реєстратор на землі миттєво проявить свою компетентність.

Ось і весь механізм. Як тільки ігнорування повідомлення обходиться дорожче, ніж реагування на нього, виправдання на кшталт «ми не маємо відповідної кваліфікації» перестають діяти, служби з боротьби зі зловживаннями раптом знаходять кошти та персонал, а шахраї, які намагаються купити мовчання, виявляють, що його вже нікому купити — і тихо покидають домени, на які вони розраховували.

Прозорість — це рішення проблеми. Не можна просто так проігнорувати повідомлення, яке, як бачать усі, ви отримали.

Підсумок

$16 billion in reported losses in a single year. Phishing up 180% since 2021. 130,000 malicious actors in one monitoring dataset alone. And the entire pipeline still starts the same way: a cheap domain, sold by a registrar that will never answer for its silence.

Шахрай — це лише симптом: замінний, здебільшого недалекий ланцюговий елемент в економіці відчаю. А ось реєстратор, який з посмішкою приймає його криптовалюту, ігнорує двадцять скарг про зловживання, а потім публічно бреше з цього приводу, — ось це і є сама хвороба. А декоративне «регулювання» ICANN — це імунна система, яка вирішила не втручатися.

Шахрайство залишатиметься поширеним саме доти, доки воно залишатиметься дешевим. А воно залишатиметься дешевим саме доти, доки реєстратори мовчатимуть — і не платитимуть нічого за своє мовчання.

Ми й надалі будемо називати імена. Ми й надалі будемо оприлюднювати докази. Реєстратори не є нейтральними. Безкарність — це їхня бізнес-модель. Настав час зробити це для них дорогоцінним.

Джерела та посилання

  1. Центр прийому скарг щодо інтернет-злочинів ФБР (IC3) — Звіт про інтернет-злочини за 2024 рік (859 532 скарги; заявлений збиток — 16,6 млрд доларів; фішинг та спуфінг посідають перше місце за кількістю скарг).
  2. Interisle Consulting Group — Ситуація з фішингом у 2025 році (≈2 млн фішингових атак; +180 % порівняно з 2021 роком; концентрація реєстраторів/доменів верхнього рівня; вибірка з 37 000 доменів, пов’язаних із шахрайством із стягненням плати).
  3. ICANN — Угода про акредитацію реєстраторів 2013 року, §3.18 (контактна особа з питань зловживань; обов’язок вживати розумних і оперативних заходів для розслідування випадків зловживань та реагування на них).
  4. Дотримання умов контракту з ICANN — Повідомлення про витік даних компанії Web Commerce Communications (WebNic), 29 липня 2025 року.

Цифри взято з наведених вище першоджерел; їхнє тлумачення та коментарі належать авторам.

Назвіть того, хто це уможливив. Оцініть ціну мовчання.

Команда PhishDestroy — Незалежна дослідницька операція з боротьби з фішингом