Cuộc điều tra về một nhà đăng ký tên miền được ICANN công nhận với điểm số lừa đảo (phishing) kỷ lục lên tới 1.141,74 — đã tạo điều kiện cho các mạng lưới lừa đảo hoạt động, tiếp tay cho vụ trộm 8,5 triệu USD từ Trust Wallet, và công khai thừa nhận rằng “chúng tôi không phản đối việc lừa đảo.”
Thời gian đọc: 8 phút· Đã cập nhật Tháng 3 năm 2026· PhishDestroy Tình báo
Điểm đánh giá lừa đảo: 1.141,74Vụ cướp ví Trust Wallet: 8,5 triệu USDMã IANA: 3765
0
Điểm đánh giá lừa đảo
320x
Tình trạng gian lận nhiều hơn mức bình thường
0
Các trang web về máy móc vô hồn
$8.5M
Mất ví Trust Wallet
Sự bất khả thi về mặt thống kê
NiceNIC không chỉ đơn thuần là một "đơn vị hoạt động kém hiệu quả" — mà còn là một điều không thể xảy ra về mặt thống kê trong thương mại hợp pháp. Theo dữ liệu năm 2025 của Trung tâm Thông tin Tội phạm Mạng, điểm đánh giá về lừa đảo trực tuyến của họ là 1,141.74 khiến họ trở thành người chủ trì Số vụ gian lận được xác nhận trên mỗi lượt đăng ký cao gấp 320 lần so với tiêu chuẩn của ngành.
So sánh điểm đánh giá lừa đảo (2025)
3.5
GoDaddy
3.2
Google
8.4
Reg.ru
1,141
NiceNIC
Điều này có nghĩa là gì
Trong khi các nhà đăng ký hợp pháp duy trì điểm số dưới 10, NiceNIC lại hoạt động ở mức Gấp 100–300 lần mức trung bình của ngành. Đây không phải là sự cẩu thả — đây là cơ sở hạ tầng được thiết kế để phục vụ cho hành vi gian lận. Các chỉ số xâm nhập (IOC) này cho thấy các thực tiễn lưu trữ có tính chất dung túng cho hành vi lạm dụng một cách có hệ thống, vi phạm các tiêu chuẩn tuân thủ của ICANN.
Chiến thuật “Không đủ bằng chứng”
PhishDestroy gửi các gói dữ liệu pháp y toàn diện đến NiceNIC, bao gồm:
Tệp PDF pháp y với các chữ ký tập lệnh độc hại và mã đánh cắp thông tin
Báo cáo của VirusTotal hiển thị 15-20+ kết quả phát hiện nhà cung cấp
Ảnh chụp màn hình các cổng đăng nhập lừa đảo
Lịch sử DNS và ánh xạ địa chỉ IP
Siêu dữ liệu JSON cùng với các chỉ báo kỹ thuật
Phản hồi tự động của họ cho rằng điều này là chưa đủ:
"Cảm ơn bạn đã gửi báo cáo... Tuy nhiên, ở giai đoạn này, thông tin được cung cấp vẫn chưa đủ để đội ngũ của chúng tôi xác minh vấn đề..."
— Nhóm Tuân thủ của NiceNIC (thư trả lời tự động)
Sự thật
Các bằng chứng đã xác nhận đội ngũ hỗ trợ của NiceNIC cố tình từ chối mở các tệp đính kèm để duy trì khả năng “phủ nhận” về mặt pháp lý. Các tên miền bị báo cáo có từ 16 phát hiện trở lên trên VirusTotal vẫn duy trì hoạt động trong hơn 1.000 giờ. Mô hình này làm suy yếu các nỗ lực thu thập thông tin tình báo về mối đe dọa từ tên miền trong toàn ngành.
Được những kẻ lừa đảo giới thiệu
Bài đăng trên diễn đàn Dark Web khuyến nghị sử dụng NiceNIC vì họ phớt lờ mọi báo cáo về hành vi lạm dụng - BỊ PHÁT HIỆN
Nghiên cứu do Brian Krebs (Cuộc điều tra “Soulless”) đã vạch trần NiceNIC là nơi trú ngụ chính của các đối tượng người Nga Diễn đàn người chơi cờ bạc mạng lưới. Các nhà điều hành Scam-panel tích cực đào tạo các đối tác liên kết của họ cách sử dụng NiceNIC.
"Hãy sử dụng NiceNIC. Họ luôn trung thành với doanh nghiệp của chúng ta. Nếu PhishDestroy gửi báo cáo, hãy bỏ qua. NiceNIC sẽ tự động gửi thư từ chối theo mẫu chuẩn với lý do 'thiếu bằng chứng'."
— Hướng dẫn trên Telegram bị rò rỉ từ các nhà điều hành Gambler Panel
Cỗ máy vô hồn
Brian Krebs đã phát hiện ra một mạng lưới gồm hơn 1.200 trang web lừa đảo giống hệt nhau sử dụng hạ tầng NiceNIC — tất cả đều chạy cùng một tập lệnh drainer.
Thông tin công nghệ về cờ bạc
Các nhóm Telegram công khai giới thiệu NiceNIC để triển khai các hoạt động “drainer” tiền điện tử, với lý do là “sự trung thành với hoạt động kinh doanh” của họ.
Vụ cướp 8,5 triệu USD từ Trust Wallet
Tháng 12 năm 2025 — Sự cố thảm khốc nhất của NiceNIC
$8,500,000
Ngưỡng tổn thất đã được xác nhận
Kiểm soát toàn diện
NiceNIC vừa là Nhà đăng ký VÀ Nhà cung cấp dịch vụ lưu trữ đối với cơ sở hạ tầng trích xuất dữ liệu. Họ có khả năng kỹ thuật tuyệt đối để vô hiệu hóa các nút mạng nhưng lại cố ý giữ chúng hoạt động.
Nhân viên điều hành đang theo dõi trực tiếp
Nhà điều hành NiceNIC là Trực tuyến trên Telegram trong vụ cướp. Họ không có tính năng bảo mật Premium, khiến tình trạng của họ bị lộ. Họ đã phớt lờ các cảnh báo từ bộ phận pháp y trong khi hàng triệu đã bị đánh cắp.
Đảm bảo tính liên tục trong hoạt động 100%
Hạ tầng mạng vẫn hoạt động cho đến khi đồng xu cuối cùng bị rút cạn. NiceNIC đã cung cấp cho bọn trộm sự hỗ trợ vận hành toàn diện.
Hạ tầng rò rỉ dữ liệu
NS3.MY-NDNS.COM
NS4.MY-NDNS.COM
Lời thú tội công khai
Vào ngày 10 tháng 1 năm 2026, tài khoản Twitter của NiceNIC đã đăng tải một bản tuyên ngôn khiến cộng đồng an ninh mạng phải bàng hoàng:
"Chúng tôi không phản đối việc lừa đảo... chúng tôi ở đây để kiếm tiền."
Sau khi bài đăng này lan truyền rộng rãi, họ đã dàn dựng một vụ “tấn công mạng giả mạo từ Nga” bằng cách sử dụng tên "Juliani" để duy trì khả năng chối bỏ trách nhiệm trước ICANN. Nhưng mọi chuyện đã quá muộn — lập trường thực sự của họ đã bị phơi bày.
Mô hình đã rõ ràng
Các trường hợp từ chối tự động + sự ủng hộ của những kẻ lừa đảo + lời thú nhận trên Twitter + vụ cướp 8,5 triệu đô la = Đây không phải là sự thất bại trong việc tuân thủ quy định. Đây là một mô hình kinh doanh.
Bằng chứng và tài liệu
Tải xuống các báo cáo pháp y mà NiceNIC cho là “không đầy đủ”:
NiceNIC (IANA 3765) không phải là một đối tác cùng ngành — mà là một đối tác cơ sở hạ tầng cho hoạt động tội phạm mạng toàn cầu. Bằng chứng đã rất đầy đủ. Vụ trộm này gây hậu quả thảm khốc. Thời gian để đưa ra cảnh báo đã qua rồi.
Biểu đồ thời gian cho thấy các tên miền NiceNIC được đăng ký miễn phí đã dẫn đến việc 24 triệu USD các báo cáo lạm dụng bị phớt lờ và 8,5 triệu USD bị đánh cắp từ các nạn nhân
Thông báo về tính minh bạch. PhishDestroy là một dự án độc lập, phi thương mại. Các nghiên cứu của chúng tôi có thể phản ánh sự thiên vị vốn có đối với cơ sở hạ tầng lừa đảo và các dịch vụ hỗ trợ cho hoạt động này. Chúng tôi khuyến khích độc giả đánh giá tất cả các tài liệu một cách khách quan và độc lập. Xem toàn văn tuyên bố về tính minh bạch của chúng tôi →