Назад до новин
Звіт про розслідування — Реєстратор

Trustname[.]com: За лаштунками «непробивного» реєстратора, акредитованого ICANN, який обслуговує шахрайські казино

Реєстратор, акредитований ICANN (IANA № 4318), який позиціонує себе як «найдинамічніший незалежний реєстратор». Згідно з естонськими податковими документами, його дохід становить 120 євро, у нього працює один співробітник, власний капітал є від’ємним, а також повідомлення про видалення. Обидва власники — білоруси. Домени шахрайських казино продовжують з’являтися.

14 квітня 2026 року Дослідження PhishDestroy 14 хвилин читання
Панель управління розслідуваннями Trustname.com — IANA 4318, дохід 120 євро, статус — ліквідація
Огляд розслідування: реєстратор, акредитований ICANN, який задекларував дохід у розмірі 120 євро, водночас керуючи повнофункціональною платформою реєстрації доменів.
120 євро
Задекларований дохід за 2024 рік
1
Співробітник
-71 тис. євро
Капітал
6
Шахрайські казино / Тиждень
4318
Ідентифікатор IANA
Короткий зміст

Сайт Trustname.com управляється «Fewmoretaps» OÜ — естонська фіктивна компанія з неоплаченим акціонерним капіталом, 120 євро заявленого річного доходу, один співробітник, від’ємний власний капітал у розмірі −71 648 євро та повідомлення про видалення опубліковано в Естонському реєстрі підприємств. Компанія буквально називає себе «надійний реєстратор доменів» у власному записі DNS типу TXT. Обидва власники є громадянами Білорусі. Цей реєстратор активно використовується для реєстрації підробні криптоказино Ілона Маска приховані за власними офшорними проксі-серверами для забезпечення конфіденційності.

Естонська компанія Shell: Fewmoretaps OÜ

Компанія «Fewmoretaps OÜ» зареєстрована в Естонському реєстрі підприємств під реєстраційним кодом 16354846, ПДВ EE102702659, за адресою віртуального офісу — Roseni tn 13, Таллінн. Зареєстровано 01.11.2021 р. зі статутним капіталом у розмірі 2 500 євро, який був ніколи не вносив («Створено без внесення вкладу» — Річний звіт за 2022 рік).

Корпоративна структура Fewmoretaps OU — сайти Trustname.com, harakiri.org та whoispps.com під управлінням одного білоруського оператора
Ланцюжок власності: один білоруський оператор контролює естонську підставну компанію, обидва «незалежні» проксі-сервери для захисту приватності, а також маркетингову компанію-прикриття fewmoretaps.com.

Ланцюжок власників

Засновник (2021–2023)
Віталій Цивінський
Єдиний член правління та акціонер
Ідентифікаційний номер особи 39403090187
Білорусь («Вальгевене»)
Підписано річний звіт за 2022 рік 13.01.2023
Рік без діяльності
Нинішній власник (з травня 2023 року)
Кирило Нестярович
«Кір Н.» — генеральний директор (trustname.com/about)
Дата народження: 09.09.1993
Білорусь
+375 29 2964411 (мобільний, MTS)
fewmoretaps@gmail.com
100% акціонерПризначений 23 травня 2023 року
Юридична особа
«Fewmoretaps» OÜ
Торгова назва: Trustname.com
Реєстр № 16354846 · ПДВ EE102702659
Росені, тн 13, Таллінн 10111
Зареєстровано 01.11.2021
Опубліковано повідомлення про видалення
2 500 євро неоплаченого капіталу

Фінансові показники: 120 євро на рік і зростаючі збитки

Обов’язкові щорічні звіти Естонії є загальнодоступними. Цифри говорять самі за себе:

Претензії Trustname проти податкових декларацій в Естонії — мільйони клієнтів проти 120 євро доходу
Маркетингові гасла проти офіційних даних: «Мільйони довіряють нам» та «Клієнти зі списку Fortune 500» з одного боку — 120 євро виручки, 1 співробітник, ліквідація з іншого боку.

Фінансова таблиця (євро)

Метрична система202220232024
Виручка0 євро0 євро120 євро
Чистий збиток0−20 711−50 937
Витрати на персонал08,32424,084
Довгострокові зобов’язання035,370175,310
Капітал0−20 711−71 648
Співробітники (в перерахунку на повну зайнятість)011
Цифри не сходяться

Сам лише збір за акредитацію в ICANN становить ~4 000 доларів на рік. AWS (3 брокери Kafka + EKS + S3) працює $500–2,000/month. Оптова вартість доменів у OpenSRS становить 8–12 євро за домен .com. Плюс комісії Vercel, Freshdesk, Brevo та Stripe. Мінімальні операційні витрати: 35–50 тис. євро на рік. Задекларований дохід: 120 євро. Ця різниця покривається за рахунок «довгострокових зобов’язань» на суму 175 310 євро з невідомих джерел.

«Непробивний» — це їхні власні слова

Це не маркетинговий хід від PhishDestroy — це буквально зазначено у власному записі TXT DNS Trustname:

«Trustname — це акредитований ICANN та найнадійніший у світі незалежний реєстратор доменів для осіб, які дбають про конфіденційність, та підприємств, що працюють у чутливих галузях. Ви можете розраховувати на нас як на вашого надійний реєстратор доменів. «Ми заслуговуємо на довіру, ми надійні, і наші ціни доступні».

Це може перевірити будь-хто, у кого є DNS-клієнт: dig TXT trustname.com. У галузі хостингу та реєстрації доменів, «куленепробивний» — це фаховий термін, який однозначно позначає сервіси, що відхиляють запити на видалення контенту на підставі зловживань та надають послуги операторам, які поширюють незаконний контент.

Мережа шахрайських казино

Протягом один тиждень (8–13 квітня 2026 року) через Trustname було зареєстровано шість доменів шахрайських криптоказино, які приховувалися за власними проксі-серверами Trustname, що забезпечують конфіденційність:

Шість доменів шахрайських казино, які використовують одну й ту саму російськомовну адміністративну панель на сайті gambler-partners.is
Усі шість казино використовують однакові шаблони Next.js, хеші блоків webpack та спільний адміністративний бекенд російською мовою за адресою gambler-partners.is.

Домени, визнані шахрайськими (усі зареєстровані через IANA № 4318)

noawin.com

2026-04-12
Крипто-казино

Проксі-сервер: Perfect Privacy LLC (KN)

henofex.com

2026-04-09
Казино «Ілон Маск»

Проксі: Захист даних WHOIS (Флорида)

jopexplay.com

2026-04-10
Заблоковано Cloudflare

Проксі: Захист даних WHOIS (Флорида)

bezowin159.pro

2026-04-13
Крипто-казино

Проксі: Захист даних WHOIS (Флорида)

noswin152.pro

2026-04-08
Крипто-казино

Проксі: Захист даних WHOIS (Флорида)

bazowin781.pro

2026-04-08
Крипто-казино

Проксі: Захист даних WHOIS (Флорида)

Спільні дані бекенду

Аналіз JavaScript-коду noawin.com виявлені виклики API до https://gambler-partners.is/api, /api/slots, /payser, а також CDN для зображень https://pictures-cdn.is/. Цей gambler-partners.is На самому веб-сайті відображається російськомовна панель адміністратора під назвою «Gambler | Головна» (Gambler | Головна) з описом «Панель управління трафіком» (Панель управління трафіком). Одна й та сама кодова база, один і той самий бекенд, одна й та сама мережа CDN — це організована мережа шахрайських казино.

Офшорні проксі-сервери для забезпечення конфіденційності — належать реєстратору

Trustname не використовує незалежні сторонні сервіси з захисту персональних даних. Компанія використовує власні:

Карта світу, на якій показано зв’язки з Естонією, проксі-серверами на острові Сент-Кітс, проксі-серверами у Флориді та операторами в Білорусі
Таллінн (оболонка) → Чарлстаун, Невіс (Perfect Privacy LLC) → Орландо, Флорида (WHOIS Privacy LLC) → Мінськ (оператори). Усі вузли перебувають під контролем однієї особи.

harakiri.org

Perfect Privacy ТОВСент-Кітс і НевісBTC / LTC / XMR / ZEC / ETHЗареєстровано через IANA 4318

whoispps.com

WHOIS Privacy Protection ТОВОрландо, Флорида 32837«Звичайна пошта відходить у минуле»Зареєстровано через IANA 4318
Циклічна структура обробки помилок

Коли надходить скарга щодо зловживання стосовно домену, захищеного конфіденційністю, Trustname отримує її та пересилає… собі. Ця whoispps.com на сайті відкрито зазначається, що «паперові листи викидаються». Це не приватність — це відмивання коштів, отриманих злочинним шляхом структура, створена для того, щоб скарги нікуди не потрапляли.

Куди йдуть гроші?

Платежі через Stripe та Monero надходять на рахунок компанії «Fewmoretaps OU», при цьому до податкової служби Естонії задекларовано лише 120 євро
Оплата: Stripe + BTC/ETH/LTC/XMR/ZEC. Платежі, що декларуються до податкової служби Естонії: 120 євро на рік. Дефіцит покрито за рахунок «довгострокових позик» на суму 175 310 євро з невідомих джерел.

Платформа Trustname приймає платежі картками через Stripe (/v2/users/billing/stripe/payment-methods) та криптовалюту через наступні адреси гаманців, вбудовані в кінцеву точку сповіщень API, що пройшла аутентифікацію:

ETH:  0xdee6582dc53fa56180311393018121c6f1e8bd7c
LTC:  MEREvHtzqAUTJ1XvEevmci8UqMnDvfe2ri
ZEC:  t1d19KevpcXpesr9XA9UUyMW9XGYVDxkK9S
XMR:  8B5N29BocrTjkRCeGCARnkhKgBeHBhg4oH7ay4RfXfnL7RqBdyiuL4k6iN4GVUVxt1EQJvZRqLg8n4qgCNWmYHQQDZmfytM

Прийняття Monero (XMR) — криптовалюта, спеціально розроблена для того, щоб її неможливо було відстежити, — поряд із регульованим платіжним сервісом (Stripe), що вимагає проходження процедури KYC, при цьому заявляючи, що 120 євро річного доходу для естонських податкових органів створює парадокс дотримання податкового законодавства. Вже одна реєстрація домену .com за оптовою ціною (~13 доларів) перевищує заявлений дохід за весь рік.

Питання щодо протидії відмиванню грошей в Естонії

Законодавство Естонії (Закон про запобігання відмиванню грошей та фінансуванню тероризму) вимагає, щоб постачальники послуг у сфері віртуальних активів мали ліцензію, видану Підрозділом фінансової розвідки. Чи має компанія «Fewmoretaps OÜ» цю ліцензію? Якщо ні, то сам факт прийняття платежів у криптовалюті за послуги може вважатися порушенням нормативно-правових вимог.

Маркетингові заяви проти податкових декларацій

Що вони кажуть клієнтам

  • «№ 1 серед незалежних реєстраторів доменів за темпами зростання у 2025 році»
  • «Нам довіряють мільйони власників доменів»
  • «Нам довіряють компанії зі списку Fortune 500»
  • «Команда, що налічує понад 35 осіб і працює в різних куточках світу»
  • Офіси, розташовані в Лондоні, Беверлі-Гіллз та Мельбурні
  • Клієнти: McDonald’s, Vodafone, Adidas, Tata, Yahoo, BCG (стіна з логотипами на сайті fewmoretaps.com)
  • «З 1997 року» (fewmoretaps.com)

Які документи вони подають до податкової служби Естонії

  • 0 євро виручки у 2023 році, 120 євро виручки у 2024 році
  • 1 співробітник (FTE) у обох роках
  • Капітал −71 648 євро, неоплачений капітал у розмірі 2 500 євро
  • Віртуальний офіс за адресою: Roseni, 13, Таллінн
  • Зареєстрована 2021, а не 1997 року
  • Компанія у процесі ліквідації

Фейкові відгуки («Стіна любові»)

«Trustname: Стіна кохання» — фейкові відгуки з повторюваними іменами: Джек, Лілі, Меган
30 відгуків. 11 унікальних імен. Ім’я «Джек» зустрічається 5 разів, «Лілі» — 6 разів. Немає фотографій, дат, профілів, які можна перевірити, посилань на Trustpilot чи G2. Немає прізвищ.

Аналіз trustname.com/wall-of-love сторінка: 30 «відгуків клієнтів», лише 11 унікальних імен. Ім’я «Джек» згадується п’ять разів. «Лілі» — шість разів. «Меган» — три рази. Усі відгуки — це загальні однорядкові похвали, написані в однаковому стилі. Немає посилань на незалежні платформи для відгуків. Немає підтверджених даних про особу клієнтів. Для порівняння: Namecheap і Porkbun мають тисячі підтверджених відгуків на Trustpilot і G2.

Ризики, пов’язані з інфраструктурою та безпекою

Схема інфраструктури Trustname, на якій показано відкриті порти Kafka, відкриті панелі адміністрування та FTP на сервері-джерелі
Карта інфраструктури: фронтенд Vercel, Kubernetes на AWS eu-central-1 із загальнодоступними брокерами Kafka на порту 7777, відкритий адміністративний інтерфейс Strapi, незахищена система WHOIS CoreNIC у режимі розробки.
trustname.com (Vercel / Next.js)
  ├── api.trustname.com              Fastify API (Swagger behind Basic Auth only)
  ├── admin.trustname.com            React-Admin panel (publicly accessible)
  ├── blog.trustname.com             Strapi CMS (admin UI exposed)
  ├── support.trustname.com          Freshdesk (EU instance)
  └── whois-fewmoretaps.corenic.net  Knipp DomainSRS (JSF Development mode)

fewmoretaps.com (WordPress) origin: 37.1.219.211
     Open ports: FTP:21 (vsftpd 3.0.5), SSH:22, HTTP:80, HTTPS:443

AWS eu-central-1 (EKS Kubernetes):
  35.156.29.145 / 18.196.68.81 / 52.28.105.156
  Port 7777 — Apache Kafka (Strimzi)
  SSL cert CN: kafka-staging-kafka   SAN: staging.kafka-0.trustname.com
  Namespace: backend-staging

Upstream registrar: OpenSRS (Tucows)
Invoicing: Quaderno · Payments: Stripe + Crypto
Email: Brevo  ·  Analytics: Google, Fuago
S3: domain-registrar-strapi-media (eu-central-1, leaked via CSP header)
Виявлені помилки в налаштуваннях
  1. Панель адміністратора є загальнодоступною (admin.trustname.com) — захист лише за допомогою логіна, без білого списку IP-адрес.
  2. Інтерфейс адміністратора CMS Strapi доступний за адресою blog.trustname.com.
  3. JSF у режимі розробки в системі WHOIS CoreNIC.
  4. Три брокери AWS Kafka відкриті для доступу з публічного Інтернету через порт 7777; у SSL SAN витокується інформація про простір імен Kubernetes.
  5. IP-адреси джерела обходять Cloudflare — можливий прямий доступ.
  6. На сервері origin «fewmoretaps» запущено FTP (vsftpd).
  7. Swagger / OpenAPI доступні лише з авторизацією Basic Auth на api.trustname.com/api-json.

Хронологія подій

2004-06-04
Первинна реєстрація trustname.com (попередній власник).
2021-07-11
fewmoretaps.com зареєстровано. Весь маркетинговий сайт створено за 5 днів одним користувачем WordPress під ніком «riseup».
2021-11-01
Компанія «Fewmoretaps OÜ» зареєстрована в Естонії. Власник: Віталій Цивінський (Білорусь). Статутний капітал — 2 500 євро (неоплачений).
2023-01-13
Подано перший річний звіт (у 2022 році діяльність не велася).
2023-05-23
Право власності передано Кирило Нестярович (Білорусь).
2023-08-20
whoispps.com Зареєстровано домен проксі-сервера для забезпечення конфіденційності.
2023
Отримано акредитацію ICANN (IANA ID 4318).
2024-02-01
Реєстрація як платника ПДВ (EE102702659).
2024-12-31
Подано річний звіт за 2024 рік. Виручка 120 євро, чистий збиток −50 937 євро, власний капітал −71 648 євро.
08.04.2026…13
Масова реєстрація шести доменів шахрайських казино протягом одного тижня.
2026-04
Повідомлення про скасування реєстрації компанії, опубліковане в Естонському реєстрі підприємств.

Хто це допускає?

Значки відповідальності ICANN, AWS, Stripe, Cloudflare, Vercel, Tucows та OpenSRS
Кожна велика платформа, яка має стосунок до цієї операції, має власну Політику прийнятного використання, що забороняє шахрайство. Жодна з них не вжила жодних заходів.

До ICANN

  • Як компанія з 0 євро виручки та 0 співробітників на момент подання заявки отримати акредитацію ICANN? Яку перевірку було проведено?
  • Реєстратор, у записі TXT якого в системі DNS буквально зазначено: «надійний реєстратор доменів» та «чутливі ніші» — як це узгоджується з Угодою про акредитацію реєстратора?
  • Реєстратор наразі перебуває під ліквідація в Естонії. Що станеться зі скаргами щодо зловживань, які наразі розглядаються, стосовно доменів, зареєстрованих через IANA #4318?
  • Обидва власники є громадянами Білорусь — країна, проти якої з 2020 року діють всеосяжні санкції ЄС та США. Чи було це зазначено під час акредитації?

До OpenSRS (Tucows)

  • OpenSRS надає API, яке використовує Trustname для реєстрації доменів (підтверджено opensrsOrderId (у даних про транзакції). Чи проводить компанія Tucows перевірки на відповідність вимогам реселерів, які відкрито позиціонують себе як «непробивні»?
  • Шість доменів шахрайських казино — у тому числі один, на який уже вказала компанія Cloudflare — було зареєстровано через OpenSRS за допомогою Trustname протягом одного тижня. Які засоби автоматичного виявлення шахрайства існують на рівні реселерів?

AWS, Stripe, Vercel, Cloudflare

  • AWS: кластер EKS, контейнер S3 та три загальнодоступні брокери Kafka розміщені в eu-central-1. Правила прийнятного використання AWS забороняють послуги, що сприяють шахрайству.
  • Смуга: оплата карткою здійснюється через /v2/users/billing/stripe/payment-methods. У списку заборонених видів діяльності компанії Stripe заборонені послуги, що сприяють незаконній діяльності. Чи було перевірено клієнтський портфель?
  • Vercel: trustname.com та admin.trustname.com розміщені на Vercel. Правила прийнятного використання (AUP) Vercel забороняють «послуги, що пропагують шахрайські схеми».
  • Cloudflare: jopexplay.com позначено як «Веб-сайт, що, ймовірно, вводить в оману». Інші п’ять казино, які використовують ідентичні шаблони, залишаються активними. Чому така невідповідність?

Про Білорусь та Monero

  • Обидва власники є Білоруські податкові резиденти. Доходи, отримані в будь-якій країні світу, повинні декларуватися в Білорусі відповідно до білоруського податкового законодавства. Білоруські органи влади не мають угод про взаємну правову допомогу (MLAT) з більшістю західних юрисдикцій — тому забезпечення виконання таких рішень фактично неможливе.
  • Trustname приймає Monero (XMR), криптовалюта, розроблена таким чином, щоб її неможливо було відстежити. Як здійснюється звітність щодо платежів у XMR з метою оподаткування ПДВ, протидії відмиванню грошей та фінансової звітності в Естонії? У річному звіті зазначено, що 120 євро. Чи стосується це криптовалют? Якщо ні, то куди їх віднести?

Ознаки компрометації

Ідентифікатори реєстратора

IANA ID:        4318
WHOIS Server:   whois.fewmoretaps.com
Abuse email:    abuse@trustname.com
Abuse phone:    +372.6884747

Інфраструктура

trustname.com
fewmoretaps.com
harakiri.org
whoispps.com
gambler-partners.is
pictures-cdn.is

37.1.219.211      fewmoretaps.com origin (FTP, SSH, HTTP, HTTPS)
195.253.23.47     CoreNIC WHOIS origin
35.156.29.145     AWS Kafka broker
18.196.68.81      AWS Kafka broker
52.28.105.156     AWS Kafka broker

Домени, визнані шахрайськими

noawin.com          henofex.com         jopexplay.com
bezowin159.pro      noswin152.pro       bazowin781.pro

Висновок

Trustname.com не є «реєстратором, орієнтованим на захист приватності». Це спеціально створена інфраструктура, призначена для сприяння шахрайству в Інтернеті:

  • Естонська фіктивна компанія з невнесеним капіталом та двома білоруськими власниками
  • Нульовий законний дохід незважаючи на активну діяльність з реєстрації доменів
  • Приватні «незалежні» офшорні проксі-сервери для захисту конфіденційності на острові Сент-Кітс та у Флориді
  • Прийом криптовалют, які неможливо відстежити (Monero, Zcash)
  • Десятки щойно зареєстрованих доменів шахрайських казино, створених за однаковими шаблонами
  • Запис DNS типу TXT, у якому вони буквально називають себе куленепробивний
  • Компанія наразі перебуває в процесі ліквідації — стратегія виходу, яка вже реалізується

ICANN та OpenSRS (Tucows) повинні переглянути акредитацію IANA № 4318. Домени, зареєстровані через проксі-сервери Trustname для забезпечення конфіденційності, вимагають ретельнішого розгляду повідомлень про зловживання. До того часу PhishDestroy позначає кожен домен, зареєстрований через Trustname, у нашому сканері як попередження реєстратора, як ми це робимо для NiceNIC та NameSilo.

Пов’язані дослідження

Джерела та перевірка

Кожне твердження в цьому звіті підкріплене загальнодоступними документами або даними, отриманими через власний аутентифікований обліковий запис дослідника. Нижче наведено першоджерела з інструкціями щодо незалежної перевірки.

Реєстр юридичних осіб та податкова документація

ПретензіяДжерелоЯк перевірити
Реєстрація компанії, власники, статус, повідомлення про скасування реєстраціїЕстонський реєстр підприємств (Äriregister)ariregister.rik.ee — пошук реєстраційного коду 16354846
Річні звіти за 2022, 2023, 2024 роки — виручка, власний капітал, кількість співробітниківЕстонський реєстр підприємств — обов’язкові документи для товариств з обмеженою відповідальністю (OÜ)У тому ж реєстрі → вкладка «Річні звіти». Звіти є загальнодоступними.
Імена власників, ідентифікаційні номери, громадянство (Цивінський, Нестьярович)Сторінки для акціонерів у річному звіті (Осанікуд)Звіт за 2022 рік, с. 6 (Цивінський); Звіти за 2023–2024 роки (Нестярович)
Реєстрація як платника ПДВ EE102702659Податково-митна служба ЕстоніїПеревірити через ЄС VIES

Ідентифікатори ICANN та реєстраторів

ПретензіяДжерелоЯк перевірити
Ідентифікатор IANA 4318 — Акредитація ICANNСписок реєстраторів, акредитованих ICANNicann.org/en/accredited-registrars — введіть у пошук «Fewmoretaps» або «4318»
Контактна інформація щодо випадків зловживання (abuse@trustname.com, +372.6884747)Записи WHOIS для будь-якого домену, зареєстрованого в Trustnamewhois trustname.com через будь-який RDAP/WHOIS-клієнт
Сервер WHOIS whois.fewmoretaps.comЗаписи WHOISВказано у кожному домені, зареєстрованому через IANA № 4318

Докази з баз даних WHOIS та DNS

ПретензіяМетод
Запис TXT у системі DNS — дослівна цитата «непробивний»dig TXT trustname.com або DNSChecker
Проксі-сервіс для захисту конфіденційності даних WHOIS (Perfect Privacy LLC, WHOIS Privacy LLC)whois noawin.com, whois harakiri.org, whois whoispps.com
Реєстрація шахрайських доменів через TrustnameЗапит WHOIS через порт 43 до 195.253.23.47:43 або будь-який загальнодоступний сервіс WHOIS
Записи MX та NS для відображення інфраструктуриСтандартні DNS-запити (dig NS trustname.com, dig MX)

Маркетингові заяви (в прямому ефірі та в архіві)

Технічна інфраструктура (неінтрузивна)

Показати повну таблицю джерел даних
ДаніМетод
IP-адреси джерела (37.1.219.211, 195.253.23.47)Розпізнавання DNS + аналіз заголовків HTTP
Піддомени (api / admin / blog / support)Стандартне перерахування DNS
Технічна частина адміністративної панелі (React-Admin)Публічні JS-пакети, що надаються admin.trustname.com
Карта кінцевих точок APIАналіз фрагментів інтерфейсу (публічно доступний)
Огляд CMS StrapiHTTP-відповідь від blog.trustname.com
Kafka на порту 7777 + витік даних SAN через SSLnmap -sV; openssl s_client -connect 35.156.29.145:7777
CoreNIC / Knipp DomainSRSHTTP-відповідь від whois-fewmoretaps.corenic.net
FTP-банер на сервері-джереліnmap -sV 37.1.219.211 — Банер vsftpd 3.0.5
Постачальник верхнього рівня (OpenSRS)Поле details.opensrsOrderId у моделі даних адміністративної панелі
Інтеграція платіжної системи StripeКінцева точка /v2/users/billing/stripe/payment-methods
Адреси криптовалютних гаманцівGET /users/notifications на api.trustname.com (за словами самого дослідника)
контейнер S3 domain-registrar-strapi-mediaВитік інформації через заголовок Content-Security-Policy на blog.trustname.com
Бек-енд казино gambler-partners.isВитяг з app/layout-414e3e65ac0c109b.js на сайті noawin.com

Аналіз мережі казино

  • Матеріали про казино («Офіційне казино Ілона Маска») — curl https://henofex.com
  • Блокування фішингу від Cloudflare — curl https://jopexplay.com відображає проміжну сторінку Cloudflare
  • Спільний шаблон (ідентичні хеші фрагментів) — порівняти _next/static/chunks/ у всіх шести сферах
  • Адміністративна панель російською мовою — curl https://gambler-partners.is повертає заголовок «Gambler | Головна»

Використані інструменти

DNS / WHOIS:    dig, nslookup, whois
Port scanning:  nmap (service / version detection only)
HTTP:           curl (header + content retrieval)
SSL:            openssl s_client
JavaScript:     manual deobfuscation of publicly served bundles
PDF:            PyPDF2 (annual report text extraction)

Методологія розрахунку фінансових витрат

Цей Мінімальні операційні витрати — 35–50 тис. євро Ця цифра розрахована на основі загальнодоступних даних про ціни:

  • Акредитаційний внесок ICANN: ~$4,000/year (ICANN опублікувала тарифи)
  • OpenSRS — оптовий продаж доменів .com: $8–12/domain (Ціни для реселерів Tucows)
  • AWS eu-central-1 (3 сервери типу m5.large для Kafka + контрольна площина EKS + S3): $500–2,000/month (Калькулятор цін AWS)
  • Vercel Pro: 20 доларів на місяць, Freshdesk: 15 доларів на агента на місяць, Brevo: 25 доларів на місяць (публічні сторінки з цінами)
  • Задекларовані витрати на персонал за 2024 рік: 24 084 євро (річний звіт самої компанії)

Етика та методологія

Що було зроблено
  • Дослідження відкритих джерел (Естонський реєстр підприємств, ICANN, VIES, WHOIS, DNS).
  • Неінтрузивна технічна розвідка: DNS-запити, зчитування заголовків HTTP, перевірка SSL-сертифікатів, аналіз JavaScript-коду з публічних пакетів, nmap виявлення служб без зловживання.
  • Тестування API з авторизацією за допомогою власного, законно зареєстрованого облікового запису Trustname дослідника.
  • Перехресна перевірка знімків із Wayback Machine для підтвердження маркетингових тверджень.
Що НЕ було зроблено
  • Жодних атак методом грубої сили на будь-який обліковий запис.
  • Не виявлено спроб SQL-ін’єкції, віддаленого виконання коду (RCE) чи інших спроб зловживання.
  • Забороняється будь-який несанкціонований доступ до будь-якої системи, облікового запису або даних.
  • Відсутність витоку даних із захищених кінцевих пристроїв.
  • Жодних змін до будь-яких даних, навіть у тих випадках, коли це було б можливо через неправильні налаштування.
  • Кінцеві точки Admin API були перевірені на наявність BOLA (Broken Object Level Authorization) — Було підтверджено, що система RBAC реалізована належним чином; токени користувачів правильно відхиляються адміністративними кінцевими точками.

Посада, пов’язана з розкриттям інформації та звітуванням

Це дослідження було опубліковано в повному обсязі у вигляді публічне оприлюднення. PhishDestroy — це дослідницька група, що працює з відкритими джерелами інформації (OSINT), а не суб’єкт, діяльність якого регулюється законодавством, тому відповідно до § 306 Кримінального кодексу Естонії (KarS) або аналогічних нормативних актів ЄС на неї не поширюється юридичний обов’язок подавати приватні повідомлення до органів влади — цей обов’язок покладається виключно на банки, постачальників послуг у сфері віртуальних активів (VASP) та подібні регульовані суб’єкти, на яких покладено відповідні зобов’язання.

Якщо повідомлення про зловживання, подані щодо доменів, зареєстрованих через IANA № 4318, і надалі ігноруватимуться, це досьє буде офіційно передано на розгляд:

  1. Дотримання вимог ICANNicann.org/compliance/complaint · RAA § 3.7.8 (точність даних WHOIS) та § 3.18 (розгляд випадків зловживання)
  2. Tucows / OpenSRS — реєстратор верхнього рівня; abuse@tucows.com, compliance@opensrs.com
  3. CERT-EE (РІА) — cert@cert.ee
  4. Естонська податкова служба (MTA) (Maksu- ja Tolliamet, Податково-митна служба) — гаряча лінія для повідомлень про податкові шахрайства vihjeliin@emta.ee
  5. Естонська служба фінансової розвідки (Бюро статистики Рахапесу) — rab@politsei.ee щодо АМЛ та діяльності неліцензованих постачальників послуг у сфері віртуальних активів (VASP)
  6. Служби з питань зловживання платформою — AWS Trust & Safety, Stripe Risk, Vercel Abuse, Cloudflare Trust & Safety
  7. EU FIU.net через естонську ПФР — щодо частини, що стосується санкцій проти Білорусі

Наразі офіційне загострення ситуації було свідомо відкладено: реєстратор вже перебуває в процесі ліквідації в Естонії, оператори базуються в Білорусі (відсутність угоди про правову допомогу в кримінальних справах (MLAT) ⇒ безвихідь у питанні примусового виконання), а публічний звіт має більшу вагу, ніж заявка, що перебуває в черзі. Ми переглянемо ситуацію, якщо обставини зміняться — або якщо хтось із читачів наведе аргумент, який це підтвердить.

Це розслідування було проведено виключно з використанням методів OSINT та неінтрузивного технічного аналізу. Усі джерела даних є загальнодоступними або були отримані через власний авторизований обліковий запис дослідника на платформі. На жодному етапі не здійснювалося жодного несанкціонованого доступу. Поправки, протилежні докази або додаткові дані: @PhishDestroy_bot · @Phish_Destroy · github.com/PhishDestroy.

Поділитися цим розслідуванням

X / Twitter Telegram Reddit LinkedIn

Пов’язані розслідування

xmrwallet.com викрито: 10 років викрадених ключів
ГЛИБОКЕ РОЗСЛІДУВАННЯ
xmrwallet.com викрито: 10 років викрадених ключів
Розслідування NiceNIC: Реєстратор ICANN сприяє кіберзлочинності
ГЛИБОКЕ РОЗСЛІДУВАННЯ
Розслідування NiceNIC: Реєстратор ICANN сприяє кіберзлочинності
NameSilo, Webnic, NiceNic: реєстратори, які сприяють шахрайству
РОЗСЛІДУВАННЯ
NameSilo, Webnic, NiceNic: реєстратори, які сприяють шахрайству