Giới thiệu về PhishDestroy
Chúng tôi là ai, sứ mệnh của chúng tôi và những thành tựu chúng tôi đã đạt được
PhishDestroy là gì?
PhishDestroy là một nền tảng thông tin tình báo về mối đe dọa độc lập, phi thương mại, đã và đang ngăn chặn các hoạt động lừa đảo qua email (phishing), lừa đảo tiền điện tử và các vụ đánh cắp tài sản trong ví điện tử kể từ năm 2019. Chúng tôi là một nhóm nhỏ gồm các chuyên gia săn lùng mối đe dọa độc lập, hoạt động trên toàn bộ chu trình tấn công — từ phát hiện đến Gỡ bỏ.
Cơ sở hạ tầng của chúng tôi bao gồm:
- Hơn 30 trình phân tích cú pháp độc quyền theo dõi nhật ký CT, DNS, quảng cáo, mạng xã hội và nguồn cấp dữ liệu từ các đối tác theo thời gian thực
- Phân phối dữ liệu theo thời gian thực tới hơn 50 nhà cung cấp danh sách chặn và phần mềm chống vi-rút — Cloudflare, Google Safe Browsing, Microsoft, VirusTotal, ESET, Bitdefender, Netcraft, Norton và nhiều dịch vụ khác
- API phát hiện mối đe dọa miễn phí tại api.destroy.tools bao gồm Hơn 834.000 mối đe dọa với hệ thống đánh giá rủi ro theo thời gian thực
- Danh sách tiêu diệt — danh sách chặn mã nguồn mở trên GitHub với 7 định dạng (JSON, TXT, Hosts, AdBlock, Dnsmasq, Unbound, RPZ)
- Cơ sở dữ liệu thuộc phạm vi công cộng tại phishdestroy.io/domain với hơn 175.000 tên miền đã được phân tích
Kết quả của chúng tôi: Hơn 175.000 tên miền lừa đảo đã được theo dõi, Đã có hơn 50.000 báo cáo về hành vi lạm dụng được gửi, Hơn 152.000 vụ gỡ bỏ nội dung được phối hợp thực hiện, với tỷ lệ dương tính giả dưới 0,01%.
Ai là người điều hành PhishDestroy? Đó có phải là một công ty không?
Không, PhishDestroy là không phải là một công ty. Đây là một dự án độc lập, phi thương mại do một nhóm nhỏ các chuyên gia săn lùng mối đe dọa điều hành, những người có chuyên môn về an ninh mạng, pháp y blockchain và xử lý các hành vi lạm dụng.
Chúng tôi là hoàn toàn độc lập:
- Không có sự hậu thuẫn từ doanh nghiệp hay nhà đầu tư nào
- Không có trường hợp hủy niêm yết có trả tiền — không bao giờ, dù chỉ một lần
- Không nhận bất kỳ khoản đóng góp hay tài trợ nào
- Không liên kết với bất kỳ đơn vị đăng ký tên miền, nhà cung cấp dịch vụ lưu trữ web hay nhà cung cấp phần mềm chống vi-rút nào
Chúng tôi bắt đầu bằng việc truy quét những kẻ lừa đảo trên Steam và các quảng cáo spam. Hiện nay, phạm vi hoạt động của chúng tôi đã mở rộng sang các vụ lừa đảo tiền điện tử trên quy mô toàn cầu, các mạng lưới “drainer” và các hoạt động lừa đảo quy mô lớn. Chúng tôi tiến hành điều tra các vụ việc từ đầu đến cuối: theo dõi dòng tiền trên chuỗi khối, lập bản đồ cơ sở hạ tầng và xác định mối liên hệ giữa các chiến dịch với các đối tượng thực hiện cụ thể. Tìm hiểu thêm tại trang web của chúng tôi Trang Giới thiệu.
Những thành tựu nổi bật của PhishDestroy là gì?
Kể từ năm 2019, chúng tôi đã đạt được những thành tựu sau:
| 175,000+ | Các tên miền lừa đảo được phát hiện và theo dõi trên hơn 350 thương hiệu |
| 50,000+ | Các báo cáo chính thức về hành vi lạm dụng được gửi đến các cơ quan đăng ký tên miền, nhà cung cấp dịch vụ lưu trữ và các nhà cung cấp phần mềm chống vi-rút |
| 152,000+ | Các chiến dịch gỡ bỏ tên miền thành công được phối hợp thực hiện |
| 834,000+ | Các mối đe dọa được lập chỉ mục trong cơ sở dữ liệu API của chúng tôi |
| 500,000+ | Các miền lịch sử đã được lưu trữ (dữ liệu từ 5 năm trở lên) |
| 50+ | Các nhà cung cấp giải pháp bảo mật nhận dữ liệu về các mối đe dọa từ chúng tôi |
| 30+ | Các trình phân tích cú pháp độc quyền hoạt động 24/7 |
| 13+ | Các nguồn thông tin từ cộng đồng được tổng hợp trong danh sách chặn của chúng tôi |
| <0,01% | Tỷ lệ dương tính giả |
Các cuộc điều tra trọng điểm: xmrwallet bị phanh phui (ví Monero giả mạo đã đánh cắp hàng triệu trong vòng 10 năm), Bảng điều khiển TrustWallet bị lộ (Bảng điều khiển rò rỉ trị giá 8,5 triệu USD với 1.900 bản ghi cuộc trò chuyện bị rò rỉ), Đế chế lừa đảo TheProject (hàng trăm tên miền được phối hợp với nhau).
Mọi thứ có thực sự miễn phí không?
Đúng vậy, hoàn toàn miễn phí. Chúng tôi không bán bất cứ thứ gì, không nhận bất kỳ khoản đóng góp nào và không bao giờ thu phí cho bất kỳ dịch vụ nào:
- Miễn phí cơ sở dữ liệu bảo mật tên miền — Hơn 175.000 báo cáo
- Miễn phí API về mối đe dọa — không cần khóa API
- Miễn phí danh sách chặn — Giấy phép MIT, mã nguồn mở
- Miễn phí quy trình kháng cáo — Thời gian phản hồi: 48 giờ
- Miễn phí Bot Telegram — báo cáo tên miền tức thì
Làm thế nào để liên hệ với PhishDestroy?
- Báo cáo về hành vi lạm dụng:abuse@phishdestroy.io
- Tổng quan:contact@phishdestroy.io
- Bot Telegram:@PhishDestroy_bot (kiểm tra tên miền ngay lập tức)
- Kênh Telegram:@destroy_phish (cảnh báo thời gian thực)
- Twitter/X:@phish_destroy
- Mastodon:@PhishDestroy
- GitHub:github.com/PhishDestroy
- Mức độ:PhishDestroy.medium.com
- Kháng cáo:phishdestroy.io/appeals
- Dữ liệu lịch sử (hơn 500.000 tên miền):contact@phishdestroy.io
Pipeline phát hiện và phương pháp phát hiện
Chi tiết về quy trình làm việc 4 giai đoạn về thông tin tình báo mối đe dọa của chúng tôi
Quy trình phát hiện 4 giai đoạn hoạt động như thế nào?
Pipeline của chúng tôi xử lý hàng nghìn tên miền mỗi ngày qua 4 giai đoạn:
Giai đoạn 1: Khám phá và thu thập dữ liệu chủ động
Chúng tôi sử dụng một mạng lưới phân tán gồm Hơn 30 trình phân tích cú pháp độc quyền để phát hiện các tên miền độc hại ngay từ giai đoạn sớm nhất:
- Nhật ký Chứng chỉ Minh bạch (CT) — giám sát theo thời gian thực các chứng chỉ SSL mới để phát hiện các tên miền lừa đảo chỉ trong vài phút sau khi đăng ký
- Giám sát DNS — theo dõi các trường hợp đăng ký tên miền mới và các cấu hình đáng ngờ
- Phát hiện quảng cáo độc hại — theo dõi liên tục các quảng cáo Google Ads, kết quả tìm kiếm được tối ưu hóa SEO và các chiến dịch truyền thông xã hội đang thịnh hành trên Twitter/X, YouTube và Telegram
- Chiếm dụng tên miền do lỗi chính tả — tận dụng dnstwist và các thuật toán heuristic tùy chỉnh để phát hiện các tên miền giả mạo nhắm vào các thương hiệu nổi tiếng
- Thông tin từ cộng đồng — Nhập dữ liệu theo thời gian thực qua Bot Telegram của chúng tôi, email và các nguồn cấp dữ liệu từ đối tác
- Tổng hợp nguồn tin về lừa đảo qua email — tích hợp với hơn 13 nguồn dữ liệu từ cộng đồng, bao gồm OpenPhish, PhishTank, URLhaus
Giai đoạn 2: Phân tích và chấm điểm
- 95 động cơ AV qua VirusTotal
- Bổ sung thông tin WHOIS/DNS (nhà đăng ký, máy chủ tên miền, định vị địa lý theo địa chỉ IP, quốc gia)
- Phân tích chứng chỉ SSL (đơn vị cấp, SAN, thời hạn hiệu lực)
- Chụp ảnh màn hình và so khớp nội dung hình ảnh
- Xác định dấu vân tay của bộ công cụ lừa đảo
- Tính toán điểm rủi ro (0-100) dựa trên hơn 12 tín hiệu được tính trọng số
Giai đoạn 3: Báo cáo của các nhà cung cấp toàn cầu
Sau khi được xác nhận, chúng tôi sẽ gửi đến Hơn 50 nhà cung cấp cùng lúc:
Ngoài ra, còn có các thông báo chính thức về hành vi lạm dụng gửi đến các nhà đăng ký tên miền và nhà cung cấp dịch vụ lưu trữ kèm theo các bộ bằng chứng.
Giai đoạn 4: Minh bạch đối với công chúng
- Ghi thay đổi theo thời gian thực vào Kho lưu trữ Destroylist
- Bảng điều khiển theo dõi trực tiếp tại phishdestroy.io/live
- Cảnh báo tự động về Twitter, Telegram, và Mastodon
- Phát hiện lại có điều kiện: gửi cảnh báo theo dõi nếu mối đe dọa vẫn còn hoạt động sau 24 giờ
Phương pháp đánh giá điểm rủi ro là gì?
Mỗi tên miền sẽ nhận được một điểm đánh giá rủi ro từ 0 đến 100 dựa trên các tín hiệu có trọng số:
| Tín hiệu | Điểm | Mô tả |
|---|---|---|
| Danh sách chặn được chọn lọc | +40 | Có trong danh sách Destroylist chính của chúng tôi |
| DNS đang hoạt động | +30 | Hiện tại, tên miền này được giải quyết thông qua DNS |
| Được cộng đồng báo cáo | +20 | Được cộng đồng đánh dấu |
| Nhiều nguồn | +10 | Đã được xác nhận bởi ít nhất 2 nguồn tin độc lập |
| Các từ khóa đáng ngờ | +5 each | Metamask, ví, airdrop, kết nối, nhận phần thưởng, v.v. |
| TLD rủi ro | +5 | .xyz, .top, .club, .icu, .buzz, .cfd, v.v. |
Các mức độ nghiêm trọng:
Ngoài ra, các báo cáo nội bộ về tên miền của chúng tôi (tại phishdestroy.io/domain) sử dụng một hệ thống chấm điểm nâng cao riêng biệt, kết hợp các yếu tố như kết quả phát hiện từ VirusTotal, thời gian tồn tại của WHOIS, các mẫu SSL, phân tích nội dung, mức độ mạo danh thương hiệu và tỷ lệ lạm dụng nhà đăng ký trong quá khứ, dựa trên hơn 12 tín hiệu khác nhau.
Điều gì khiến PhishDestroy khác biệt so với các danh sách chặn khác?
Chủ yếu là các danh sách chặn danh sách tên miền. Chúng tôi cung cấp dịch vụ phân tích thông tin về mối đe dọa từ đầu đến cuối:
- Phát hiện chủ động — chúng tôi thu giữ các tên miền chỉ vài phút sau khi chúng được đăng ký, trước khi chúng đến tay các nạn nhân
- Điều tra sâu rộng — chúng tôi theo dõi các giao dịch tiền điện tử trên chuỗi khối, lập bản đồ cơ sở hạ tầng, giải mã các bộ công cụ lừa đảo và xác định mối liên hệ giữa các chiến dịch với những kẻ đứng sau
- Quyền truy cập “cấp gốc” — chúng tôi đã tiếp cận được các bảng điều khiển hệ thống xả dữ liệu, mã nguồn bộ công cụ lừa đảo và nhật ký trò chuyện của người vận hành, từ đó giúp chúng tôi có được cái nhìn sâu sắc chưa từng có về các chiến thuật, kỹ thuật và quy trình (TTPs) của kẻ tấn công
- Gỡ bỏ chủ động — chúng tôi không chỉ đánh dấu các tên miền; chúng tôi còn gửi các bộ hồ sơ chứng cứ đến các nhà đăng ký tên miền, nhà cung cấp dịch vụ lưu trữ và hơn 50 nhà cung cấp phần mềm diệt virus, đồng thời theo dõi từng tên miền cho đến khi nó ngừng hoạt động
- Xác minh nội dung — Các nguồn cấp dữ liệu đã được xác minh nội dung của chúng tôi không chỉ dừng lại ở DNS: chúng tôi thực hiện các yêu cầu HTTP thực tế để xác minh trang lừa đảo có đang hoạt động hay không, đồng thời phát hiện các nỗ lực ngụy trang
- Trách nhiệm của cơ quan đăng ký — chúng tôi công khai theo dõi tỷ lệ lạm dụng và thời gian phản hồi của các nhà đăng ký tên miền, từ đó thúc đẩy trách nhiệm giải trình đối với các nhà cung cấp thiếu trách nhiệm
Xác minh nội dung là gì? Tại sao nó lại quan trọng?
Xác minh nội dung có nghĩa là chúng tôi không chỉ kiểm tra xem tên miền có được giải quyết (DNS) hay không, mà còn thực sự truy cập vào trang web đó để xác minh xem có nội dung lừa đảo hay không.
Điều này rất quan trọng bởi vì những kẻ lừa đảo sử dụng kỹ thuật che giấu: chúng hiển thị các trang giả mạo hoặc trống cho các trình quét tự động, trong khi lại hiển thị trang lừa đảo thực sự cho các nạn nhân là con người. Một tên miền KHÔNG xuất hiện trong danh sách đã được xác minh nội dung của chúng tôi thì không không có nghĩa là nó an toàn — có thể nó chỉ đang được che giấu mà thôi.
Các nguồn tin đã được xác minh nội dung của chúng tôi:
- Nội dung chính — các tên miền được chọn lọc có chứa nội dung lừa đảo đang hoạt động và đã được xác minh (cập nhật mỗi 12 giờ)
- Nội dung từ cộng đồng — các nguồn tin tổng hợp với nội dung đã được xác minh (cập nhật mỗi 24 giờ)
Để đạt được mức độ bảo vệ tối đa, hãy sử dụng sản phẩm của chúng tôi Tất cả các lớp tiểu học hoặc Tổng quát về cộng đồng các nguồn cấp dữ liệu, bao gồm tất cả các tên miền bất kể tình trạng xác minh nội dung.
Các báo cáo gỡ bỏ nội dung của quý vị có được tự động hóa không?
Không. Quá trình phát hiện được tự động hóa — các thuật toán phân loại sẽ đánh dấu các tên miền nghi vấn chỉ trong vài phút — nhưng không có thông tin nào được tự động báo cáo cho nhà đăng ký tên miền hay nhà cung cấp dịch vụ lưu trữ. Mỗi yêu cầu gỡ bỏ mà chúng tôi gửi đi đều là kết luận được con người xem xét kỹ lưỡng và có căn cứ bằng chứng, dựa trên báo cáo của nạn nhân và kết quả điều tra của chính chúng tôi.
Thực tế, những gì cơ quan đăng ký nhận được từ PhishDestroy không phải là một thông báo tự động chung chung. Đó là một email cụ thể nêu rõ lý do cụ thể, các sự kiện chứng minh, ảnh chụp màn hình và tài liệu liên quan. Đối với các trường hợp lặp lại hoặc được chuyển lên cấp trên, chúng tôi bổ sung lời giải thích chi tiết về những vấn đề vẫn còn tồn tại, cùng với bằng chứng bổ sung — kết quả phát hiện từ VirusTotal, các kết quả trùng khớp trong cơ sở dữ liệu tình báo mối đe dọa và các chỉ số liên quan.
Các tin nhắn tự động duy nhất trong cuộc trao đổi này là các thông báo xác nhận tự động từ phía các nhà đăng ký tên miền. Phía chúng tôi đưa ra một kết luận có căn cứ và một yêu cầu chính thức về việc xem xét tên miền và thực hiện các biện pháp cần thiết — chứ không phải là thư rác tự động.
PhishDestroy chính xác đến mức nào?
Tỷ lệ dương tính giả của chúng tôi thấp hơn 0.01%. Mỗi lần phát hiện tự động đều phải trải qua nhiều lớp xác minh trước khi báo cáo được lập. Chúng tôi đảm bảo:
- Danh sách cho phép — một danh sách các tên miền đã được xác nhận là an toàn và không bao giờ bị đánh dấu cảnh báo, được chọn lọc thủ công
- Thời hạn kháng cáo 48 giờ — mọi kết quả dương tính giả đều được rà soát và xử lý kịp thời
- Tối ưu hóa liên tục mô hình phân loại — chúng tôi theo dõi kết quả của mọi đơn kháng cáo và cập nhật thuật toán phát hiện
- Xác thực chéo đa nguồn — các miền phải kích hoạt nhiều tín hiệu trước khi được xác nhận
Các bộ công cụ lừa đảo (phishing kits) và công cụ đánh cắp dữ liệu (drainers) nào mà quý vị đang theo dõi?
Chúng tôi theo dõi tất cả các nhóm phần mềm đánh cắp tiền từ ví điện tử và các loại bộ công cụ lừa đảo chính:
- Lạm dụng Wallet Connect — Các lời nhắc giả mạo của WalletConnect nhằm đánh cắp quyền phê duyệt
- Inferno Drainer — một trong những kẻ rút tiền trên nhiều chuỗi có sản lượng lớn nhất
- Angel Drainer — hệ thống thoát nước tiên tiến hỗ trợ công nghệ NFT
- Ống thoát nước màu hồng — kết hợp kỹ thuật xã hội + kỹ thuật làm cạn kiệt
- Lừa đảo giả mạo giấy phép/giấy chấp thuận — Các lỗ hổng liên quan đến việc phê duyệt token ERC-20 (Permit2)
- Việc đánh cắp cụm từ hạt giống — các biểu mẫu giả mạo với nội dung “xác minh ví” hoặc “đồng bộ hóa ví”
- Các vụ lừa đảo liên quan đến AML/KYC — các trang xác minh tuân thủ giả mạo
- Các chiêu lừa đảo qua airdrop — các trang yêu cầu nhận token giả mạo
- Các vụ lừa đảo đầu tư — các nền tảng giao dịch giả mạo, các mô hình lừa đảo kiểu Ponzi
- Solana Drainer — Các bộ công cụ đánh cắp tài sản từ ví dành riêng cho Solana
Duyệt cơ sở dữ liệu của chúng tôi theo loại thiết bị thoát nước, phương thức lừa đảo hay thương hiệu bị nhắm đến.
API về các mối đe dọa và nguồn cấp dữ liệu
Quyền truy cập API miễn phí, nguồn cấp dữ liệu danh sách chặn và các định dạng tải xuống
PhishDestroy Threat API là gì?
Cái API PhishDestroy Threat là một API miễn phí, mở cung cấp hệ thống chấm điểm rủi ro tên miền theo thời gian thực trên toàn Hơn 834.000 mối đe dọa. Không cần khóa API.
Các điểm cuối:
| Phương pháp | Điểm cuối | Mô tả |
|---|---|---|
GET | /v1/check?domain= | Kiểm tra miền đơn với điểm rủi ro và mức độ nghiêm trọng |
POST | /v1/check/bulk | Kiểm tra hàng loạt tối đa 500 tên miền theo yêu cầu |
GET | /v1/search?q= | Tìm kiếm các tên miền trong danh sách chặn theo từ khóa |
GET | /v1/feed/{list} | Tải xuống các nguồn cấp dữ liệu đầy đủ (chính, cộng đồng, đang hoạt động) |
GET | /v1/stats | Thống kê trực tiếp & số lượng tên miền |
Ví dụ:
curl "https://api.destroy.tools/v1/check?domain=suspicious-site.xyz" Phản hồi bao gồm: threat (boolean), risk_score (0-100), severity (quan trọng/cao/trung bình/thấp), lists (các nguồn cấp dữ liệu nào chứa tên miền đó), và last_seen dấu thời gian.
Có những nguồn dữ liệu nào?
Chúng tôi cung cấp 7 nguồn dữ liệu riêng biệt qua Kho lưu trữ Destroylist:
| Nguồn cấp dữ liệu | Mô tả | Cập nhật |
|---|---|---|
| Tiểu học | Các tên miền lừa đảo được chọn lọc từ các công cụ phân tích của chúng tôi | Thời gian thực |
| Trực tiếp vòng loại | Các tên miền chính đã được xác minh là còn hoạt động thông qua DNS | Cứ sau 24 giờ |
| Nội dung chính | Nội dung lừa đảo chính + đã được xác minh qua HTTP | Cứ sau 12 giờ |
| Cộng đồng | Tổng hợp từ hơn 13 nguồn bên ngoài | Cứ sau 2 giờ |
| Trực tiếp cộng đồng | Các tên miền cộng đồng đã được xác minh là còn hoạt động thông qua DNS | Cứ sau 24 giờ |
| Nội dung từ cộng đồng | Cộng đồng + nội dung lừa đảo đã được xác minh | Cứ sau 24 giờ |
| Danh sách cho phép | Danh sách bảo vệ chống kết quả dương tính giả | Hướng dẫn sử dụng |
Đề xuất: Sử dụng list.json hoặc active_domains.json để sản xuất. Sử dụng blocklist.json để đạt được phạm vi bao phủ tối đa.
Tất cả các nguồn tin đều có sẵn tại JSON và TXT định dạng. Danh sách tên miền gốc (không bao gồm tên miền con, loại trừ các nhà cung cấp dịch vụ lưu trữ) cũng có sẵn dưới dạng riêng biệt.
Các định dạng tải xuống nào được hỗ trợ?
Mỗi nguồn tin đều có sẵn ở định dạng 7 định dạng để tích hợp ngay lập tức:
| Định dạng | Trường hợp sử dụng |
|---|---|
| TXT | Danh sách miền cơ bản — phổ quát |
| JSON | Dữ liệu có cấu trúc — Tích hợp API, tập lệnh |
| Người dẫn chương trình | Pi-hole, /etc/hosts, tệp hosts của Windows |
| AdBlock | uBlock Origin, AdGuard, AdGuard Home |
| Dnsmasq | Máy chủ DNS Dnsmasq |
| Không bị ràng buộc | Tường lửa pfSense, OPNsense |
| RPZ | BIND, Knot DNS (Vùng chính sách phản hồi) |
Tất cả các định dạng đều có sẵn tại: github.com/phishdestroy/destroylist/tree/main/rootlist/formats/
Làm thế nào để sử dụng API trong mã nguồn của tôi?
Python:
import requests
r = requests.get(f"https://api.destroy.tools/v1/check?domain={domain}")
data = r.json()
if data["threat"]:
print(f"BLOCKED: {data['severity']} (score: {data['risk_score']})") JavaScript:
const r = await fetch(`https://api.destroy.tools/v1/check?domain=${domain}`);
const data = await r.json();
if (data.threat) console.warn("PHISHING:", data.severity, data.risk_score); Kiểm tra hàng loạt (tối đa 500 tên miền):
curl -X POST "https://api.destroy.tools/v1/check/bulk" \
-H "Content-Type: application/json" \
-d '{"domains":["site1.com","site2.xyz","site3.top"]}' Kiểm tra danh sách chặn đơn giản (Bash):
curl -s https://raw.githubusercontent.com/phishdestroy/destroylist/main/list.txt \
| grep -q "suspicious-domain.com" && echo "BLOCKED" Danh sách gốc là gì và tại sao tôi nên sử dụng chúng?
Danh sách gốc chỉ chứa các tên miền cấp cao nhất — không có tên miền con, và các nhà cung cấp dịch vụ lưu trữ (Vercel, Pages.dev, Netlify, v.v.) bị loại trừ. Điều này khiến chúng trở thành lựa chọn lý tưởng cho:
- Các quy tắc tường lửa — chặn toàn bộ tên miền, không chỉ các tên miền con cụ thể
- Chặn DNS — an toàn cho các trình giải quyết DNS mà không có nguy cơ chặn các nền tảng lưu trữ hợp pháp
- Phân tích cơ quan đăng ký — làm sạch dữ liệu để tính tỷ lệ lạm dụng
Có ba phiên bản để lựa chọn:
- Tất cả các gốc — tất cả các tên miền gốc đã được xác nhận
- Chỉ phát trực tiếp — Các máy chủ gốc đang hoạt động đã được xác minh qua DNS
- Chỉ dịch vụ — lưu trữ các tên miền con trên các nền tảng riêng biệt (Vercel, Pages.dev, Netlify, v.v.)
Báo cáo về an ninh tên miền
Hiểu về cơ sở dữ liệu thông tin chuyên ngành của chúng tôi
Báo cáo bảo mật tên miền bao gồm những thông tin nào?
Mỗi báo cáo tên miền là một hồ sơ tình báo toàn diện bao gồm:
- Điểm đánh giá rủi ro — Chỉ số đánh giá mức độ đe dọa tổng hợp từ 0 đến 100 kèm theo phân loại mức độ nghiêm trọng
- Kết quả từ VirusTotal — số lần phát hiện từ 95 công cụ chống vi-rút, được phân tích chi tiết theo từng nhà cung cấp
- Ảnh chụp màn hình — ảnh chụp màn hình được ghi lại tại thời điểm quét (hơn 75.000 ảnh chụp màn hình được lưu trữ cục bộ)
- Dữ liệu WHOIS — cơ quan đăng ký, ngày tạo, thông tin người đăng ký, máy chủ tên miền
- Bản ghi DNS — A, MX, NS, TXT kèm theo tính năng xác định vị trí địa lý qua địa chỉ IP và biểu tượng quốc gia
- Chứng chỉ SSL — tổ chức cấp, thời hạn hiệu lực, Tên thay thế chủ thể (SANs)
- Trạng thái danh sách chặn — có tên trong hơn 11 danh sách chặn an ninh chính
- Loại lừa đảo — các chiêu trò “vét sạch ví”, đánh cắp cụm từ khôi phục, lừa đảo airdrop, lừa đảo đầu tư, v.v.
- Nhắm mục tiêu theo thương hiệu — thương hiệu hợp pháp nào đang bị mạo danh (hơn 350 thương hiệu được theo dõi)
- Các tên miền liên quan — các tên miền khác cùng sử dụng cơ sở hạ tầng, biểu tượng favicon hoặc bộ công cụ lừa đảo
- Cloudflare Radar — tình trạng phân loại tên miền
- Quét URLQuery — Phân tích an ninh bổ sung
Tại sao tên miền hợp pháp của tôi lại xuất hiện trong cơ sở dữ liệu của quý vị?
Các nguyên nhân có thể:
- Tên miền của bạn là đã bị xâm nhập trước đó và được sử dụng để lừa đảo mà bạn không hay biết
- Tên miền của bạn đang sử dụng chung cơ sở hạ tầng (địa chỉ IP, máy chủ tên miền) với các tên miền lừa đảo đã được xác định
- Một hệ thống phân loại tự động đã báo sai dương tính — điều này xảy ra trong <0,01% số trường hợp
- Có người đã báo cáo tên miền của bạn qua các kênh của cộng đồng
Lưu ý quan trọng: PhishDestroy không chặn các tên miền trực tiếp. Chúng tôi báo cáo cho các nhà cung cấp phần mềm diệt virus và các nhà đăng ký tên miền, những đơn vị này sẽ tự đưa ra quyết định chặn hay không. Nếu tên miền của bạn bị đánh dấu sai, nộp đơn kháng cáo — chúng tôi sẽ phản hồi trong vòng 48 giờ và thêm các tên miền đã được xác minh vào danh sách cho phép vĩnh viễn của chúng tôi.
Dữ liệu được cập nhật bao lâu một lần?
| Kiểu dữ liệu | Tần số |
|---|---|
| Phát hiện tên miền mới | Thời gian thực (nhật ký CT, trình phân tích cú pháp) |
| Quét bằng VirusTotal | Cứ sau 12–24 giờ |
| Tình trạng còn sống/đã chết | Nhiều lần mỗi ngày |
| Bổ sung thông tin DNS/WHOIS | Khi phát hiện + khi có thay đổi |
| Ảnh chụp màn hình | Khi phát hiện lần đầu + làm mới định kỳ |
| Đồng bộ danh sách chặn | Cứ sau 4–6 giờ (bộ nhớ đệm ETag) |
| Đồng bộ hóa nguồn cấp dữ liệu API | Theo giờ |
| Thế hệ thẻ OG | Theo yêu cầu + cứ 2 giờ một lần |
| Danh sách chặn của cộng đồng | Cứ sau 2 giờ (hơn 13 nguồn) |
Kháng cáo và hủy niêm yết
Cách giải quyết các trường hợp báo sai và tranh chấp tên miền
Làm thế nào để khiếu nại về kết quả dương tính giả?
Hai cách để kháng cáo:
- Mẫu đơn kháng cáo (nhanh nhất) — gửi tên miền của bạn kèm theo bằng chứng về tính hợp pháp
- Vấn đề trên GitHub — tạo một vấn đề kèm theo bằng chứng
Quy trình:
- Chúng tôi sẽ xem xét trong vòng 48 giờ (hầu hết trong ngày)
- Nếu được phê duyệt, tên miền sẽ được thêm vào danh sách vĩnh viễn của chúng tôi danh sách cho phép
- Danh sách cho phép là công khai: allowlist.json
- Các thay đổi sẽ được cập nhật ngay lập tức lên API và cơ sở dữ liệu của chúng tôi
Toàn bộ quy trình này hoàn toàn miễn phí. Chúng tôi không bao giờ thu phí đối với các yêu cầu kháng cáo hoặc hủy niêm yết — chưa bao giờ và sẽ không bao giờ.
Quy trình xử lý kết quả dương tính giả của quý vị có độ tin cậy và tính minh bạch đến mức nào?
Chúng tôi đã xây dựng lại toàn bộ Pipeline xử lý khiếu nại và Pipeline xử lý các trường hợp báo động sai. Hiện nay, Pipeline này đã nhanh hơn rất nhiều, đáng tin cậy hơn và được tự động hóa phần lớn: một miền đáng tin cậy (nằm trong danh sách Tranco toàn cầu) với không phát hiện dòng điện đã bị hủy niêm yết tự động, chỉ trong vài phút về việc khiếu nại — không cần chờ đợi nhân viên. Mọi vấn đề khác sẽ được nhóm của chúng tôi xem xét trong thời hạn 48 giờ theo cam kết dịch vụ (SLA).
Tỷ lệ dương tính giả thực sự của chúng tôi là dưới 0,01%. Khi chúng tôi mắc sai lầm, chúng tôi sẽ khắc phục ngay lập tức và một cách công khai — chúng tôi không ngại thừa nhận sai lầm.
Chúng tôi đề cao tính minh bạch và khả năng kiểm chứng. Mọi thay đổi thêm vào hay loại bỏ đều được công khai và có thể kiểm toán trong kho lưu trữ mở của chúng tôi, github.com/PhishDestroy/destroylist — bất kỳ ai cũng có thể xem toàn bộ lịch sử các trường hợp được đưa vào danh sách và bị loại khỏi danh sách. Theo yêu cầu, chúng tôi cũng có thể cung cấp thông tin về thời gian xử lý, danh sách các đơn kháng cáo bị từ chối kèm theo lý do, cũng như bằng chứng làm cơ sở cho việc đưa vào danh sách.
Việc hủy niêm yết luôn miễn phí. Bất kỳ ai đòi tiền để xóa tên bạn khỏi PhishDestroy đều đang thực hiện hành vi lừa đảo.
Chi phí hủy niêm yết là bao nhiêu?
Không gì cả. Không. Miễn phí. Mãi mãi.
Bất kỳ bên thứ ba nào tuyên bố có thể xóa tên miền của bạn khỏi PhishDestroy với điều kiện phải trả tiền đều đang thực hiện một lừa đảo. Chúng tôi không có chương trình gỡ niêm yết có thu phí và sẽ không bao giờ có. Hãy báo cáo các dịch vụ như vậy cho chúng tôi.
Tên miền của tôi đã được gỡ chặn nhưng vẫn bị chặn ở những nơi khác
PhishDestroy chỉ là một trong số nhiều nguồn. Ngay cả sau khi chúng tôi đã xóa tên miền của bạn khỏi danh sách, các hệ thống khác vẫn có thể tiếp tục đánh dấu nó:
- Google Safe Browsing — gửi tại safebrowsing.google.com
- Các nhà cung cấp phần mềm diệt virus — mỗi bên đều duy trì danh sách chặn riêng; hãy liên hệ với kênh báo cáo FP của từng nhà cung cấp
- Cảnh báo của trình duyệt — có thể lưu trữ dữ liệu cũ trong bộ nhớ đệm trong khoảng 24–48 giờ
Kiểm tra tên miền của bạn tại VirusTotal để xem cụ thể những nhà cung cấp nào đang báo lỗi này, sau đó liên hệ riêng với từng nhà cung cấp.
Quy trình tuân thủ của ICANN diễn ra như thế nào?
Khi chúng tôi gửi báo cáo về các hành vi lạm dụng, chúng tôi tuân thủ các tiêu chuẩn của ICANN:
- Thông báo chính thức về các trường hợp lạm dụng đến các cơ quan đăng ký thông qua các địa chỉ liên hệ về lạm dụng WHOIS
- Bộ hồ sơ chứng cứ đầy đủ — kết quả quét, ảnh chụp màn hình, báo cáo PDF kèm theo siêu dữ liệu
- ICANN yêu cầu các cơ quan đăng ký phải xem xét các khiếu nại về hành vi lạm dụng trong vòng 24 giờ
- Phát hiện lại có điều kiện — nếu một tên miền vẫn còn hoạt động sau 24 giờ, chúng tôi sẽ chuyển lên cấp trên và gửi các cảnh báo tiếp theo
Khi một tên miền nhận được từ 10 đến 30+ báo cáo lạm dụng mà nhà đăng ký vẫn phớt lờ chúng trong nhiều tháng, chúng tôi sẽ công khai ghi nhận sự việc này. Nhà đăng ký không còn chỉ đứng ngoài cuộc — họ thực chất đang cung cấp cơ sở hạ tầng cho các hoạt động bất hợp pháp. Chúng tôi cơ sở dữ liệu công khai tạo ra trách nhiệm giải trình.
Các nguồn hỗ trợ dành cho nạn nhân
Các biện pháp khẩn cấp và hướng dẫn bảo vệ
Tôi vừa bị lừa. Tôi nên làm gì NGAY LẬP TỨC?
Thời gian là yếu tố then chốt. Hãy hành động ngay lập tức:
- HÃY HỦY QUYỀN PHÉP SỬ DỤNG TOKEN NGAY LẬP TỨC — truy cập revoke.cash Hãy ngay lập tức thu hồi mọi sự chấp thuận ví đang chờ xử lý. Điều này sẽ ngăn chặn việc rút tiền đang diễn ra.
- Liên hệ với SEAL 911 — ứng phó khẩn cấp với các sự cố liên quan đến tiền điện tử do các chuyên gia an ninh thực hiện. Truy cập phishdestroy.io/hành-động-cấp-bách
- Chuyển số tiền còn lại — Chuyển toàn bộ tài sản từ ví đã bị xâm nhập sang một ví mới, chưa từng bị xâm nhập
- Báo cáo với cảnh sát — Hãy trình báo vụ án tội phạm mạng với cơ quan cảnh sát địa phương. Nhận số vụ án.
- Báo cáo công khai — hồ sơ về Chainabuse để cảnh báo người khác và lưu lại bằng chứng bằng văn bản
- Bảo quản TOÀN BỘ chứng cứ — địa chỉ ví, mã giao dịch, ảnh chụp màn hình, nhật ký trò chuyện, email, liên kết lừa đảo
KHÔNG nên liên hệ với các “dịch vụ khôi phục dữ liệu” tìm thấy trên mạng. Hơn 95% trong số đó là những chiêu lừa đảo thứ cấp nhằm vào nạn nhân.
Tiền điện tử bị đánh cắp có thể được thu hồi lại không?
Thỉnh thoảng, nhưng chỉ khi bạn hành động nhanh chóng:
- Các phê duyệt token chưa được thực hiện: Nếu bạn chỉ ký vào một văn bản chấp thuận có mục đích xấu, hãy thu hồi tại revoke.cash ngay lập tức ngăn chặn những tổn thất tiếp theo
- Rút tiền từ CEX: Nếu kẻ tấn công chuyển tiền sang Binance, Coinbase, v.v., cơ quan chức năng có thể phong tỏa các tài khoản — nhưng họ cần bản báo cáo của cảnh sát do bạn cung cấp
- Cầu tạm dừng: Một số cầu nối chuỗi chéo đã tạm dừng các giao dịch ngay khi nhận được báo cáo về hành vi gian lận
Nhìn nhận thực tế: Hầu hết các vụ trộm tiền điện tử trên chuỗi khối đều không thể khắc phục được. Phòng ngừa là biện pháp bảo vệ tốt nhất — hãy sử dụng ví phần cứng, kiểm tra kỹ các liên kết URL và tuyệt đối không chia sẻ cụm từ khôi phục.
Làm thế nào để nhận biết một trang web lừa đảo?
Các dấu hiệu cảnh báo:
- URL không khớp — "metamask-login.com" thay vì "metamask.io"
- Ngôn ngữ thể hiện tính cấp bách — "Hãy hành động ngay hoặc sẽ mất quyền truy cập", "Ví của bạn sẽ bị khóa"
- Yêu cầu cụm từ hạt giống — KHÔNG có dịch vụ hợp pháp nào SẼ BAO GIỜ yêu cầu bạn cung cấp cụm từ hạt giống
- Các cửa sổ bật lên bất ngờ từ ví — Các thông báo từ WalletConnect hoặc MetaMask mà bạn không phải là người khởi tạo
- Quá tốt để có thể là sự thật — airdrop miễn phí, lợi nhuận đảm bảo, "nhận phần thưởng của bạn"
- Quảng cáo trên mạng xã hội — Các hoạt động lừa đảo thường xuyên sử dụng quảng cáo trả phí trên Twitter, Google và Telegram
- Các chiêu lừa đảo qua tin nhắn trực tiếp (DM) hoặc bình luận — "bộ phận hỗ trợ khách hàng" sẽ chủ động liên hệ với bạn trước
Bảo vệ: Luôn kiểm tra tên miền tại phishdestroy.io/domain hoặc sử dụng dịch vụ của chúng tôi Bot Telegram Trước khi kết nối ví của bạn, hãy đọc hướng dẫn đầy đủ của chúng tôi: Những điều cơ bản về bảo mật tiền điện tử
Các “dịch vụ khôi phục tiền điện tử” có hợp pháp không?
Hầu như không bao giờ. Hơn 95% các “dịch vụ phục hồi” là các hình thức lừa đảo thứ cấp nhắm vào những người đã bị mất tiền.
Các dấu hiệu cảnh báo:
- Họ cam kết sẽ phục hồi (điều này là không thể đảm bảo)
- Họ yêu cầu thanh toán trước
- Họ đã tìm thấy bạn thông qua những bình luận trên mạng xã hội về việc bị lừa đảo
- Họ tự xưng là những “hacker có đạo đức” có khả năng “hủy bỏ các giao dịch”
- Họ yêu cầu bạn cung cấp cụm từ hạt giống hoặc quyền truy cập vào ví của bạn
Các nguồn trợ giúp chính thức (hoàn toàn miễn phí): SEAL 911, lực lượng thực thi pháp luật địa phương, đội hỗ trợ của sàn giao dịch của bạn, Chainabuse để công bố công khai.
Tích hợp và Cài đặt
Cách tích hợp PhishDestroy vào hệ thống bảo mật của bạn
Làm thế nào để thêm Destroylist vào Pi-hole?
Truy cập Pi-hole Admin → Cài đặt → Danh sách chặn → Dán URL này vào:
https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/hosts.txt Lưu và cập nhật trọng lực. Danh sách sẽ tự động cập nhật theo lịch trình Pi-hole của bạn.
Làm thế nào để thêm Destroylist vào uBlock Origin hoặc AdGuard?
uBlock Origin: Cài đặt → Danh sách bộ lọc → Nhập → Dán:
https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/adblock.txt AdGuard Home: Bộ lọc → Danh sách chặn DNS → Thêm danh sách chặn → dán URL đó vào.
Làm thế nào để thêm Destroylist vào pfSense / OPNsense?
Đối với trình giải quyết DNS Unbound (pfSense/OPNsense):
https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/unbound.conf Đối với BIND hoặc Knot DNS (định dạng RPZ):
https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/rpz.zone Đối với Dnsmasq:
https://raw.githubusercontent.com/phishdestroy/destroylist/main/rootlist/formats/primary_active/dnsmasq.conf Tôi có thể đóng góp cho PhishDestroy không?
Đúng rồi! Cách làm như sau:
- Báo cáo các tên miền lừa đảo — Bot Telegram hoặc abuse@phishdestroy.io
- Tích hợp danh sách chặn của chúng tôi — thêm Danh sách tiêu diệt đối với hệ thống DNS, tường lửa hoặc các công cụ bảo mật của bạn
- Sử dụng API của chúng tôi — xây dựng các công cụ, bot hoặc bảng điều khiển bằng cách sử dụng API về mối đe dọa
- Gửi yêu cầu kéo (PR) — những cải tiến về thuật toán phát hiện, các mẹo tích hợp, thông tin mới nhất
- Tăng cường nhận thức — chia sẻ nghiên cứu của chúng tôi trên mạng xã hội
Chúng tôi không nhận đóng góp — cách tốt nhất để ủng hộ chúng tôi là giúp dữ liệu của chúng tôi trở nên hữu ích.
Tôi có thể sử dụng dữ liệu từ PhishDestroy để làm gì?
Dữ liệu của chúng tôi (giấy phép MIT) được sử dụng cho các mục đích sau:
- An ninh mạng — quy tắc tường lửa, chặn DNS, lọc email
- Tự động hóa — Tích hợp SIEM/SOC, phản ứng tự động trước các sự cố
- Nghiên cứu về các mối đe dọa — Phân tích các chiến dịch lừa đảo qua email, xu hướng mạo danh thương hiệu
- Đào tạo về ML/AI — bộ dữ liệu huấn luyện mô hình phát hiện lừa đảo
- Phân tích xu hướng — tỷ lệ lạm dụng tên miền đăng ký, các mô hình rủi ro của TLD, sự phát triển của các tên miền “drainer”
- Bằng chứng pháp lý — các báo cáo về tên miền có ghi thời gian dành cho cơ quan thực thi pháp luật và các yêu cầu bồi thường bảo hiểm
Kho lưu trữ lịch sử: Hơn 500.000 tên miền đã được lưu trữ trong hơn 5 năm. Liên hệ contact@phishdestroy.io để truy cập.
