Chuyển thẳng đến nội dung chính
Quay lại trang Tin tức
Cuộc điều tra tiếp theo

Kết luận của NiceNIC: Đã rà soát tất cả các tên miền, không phát hiện bất kỳ mục đích sử dụng hợp pháp nào

IANA 3765 · Công ty TNHH NiceNIC INTERNATIONAL GROUP · Hồng Kông

Kết luận của NiceNIC
5,000+
Các vé duy nhất bị bỏ qua
24,7 MB
Bộ dữ liệu tên miền đã được công bố
0
Đã tìm thấy các tên miền hợp pháp
100%
Các tên miền hiện đã được gắn cờ

Chúng tôi quyết định kiểm tra

Sau khi cuộc điều tra đầu tiên của chúng tôi vạch trần NiceNIC – nhà đăng ký tên miền được ICANN công nhận – là đơn vị đứng sau các hoạt động tội phạm mạng toàn cầu, một câu hỏi vẫn còn đó: liệu mọi thứ có thực sự TỔNG THỂ đều xấu không? Liệu có thể tồn tại những doanh nghiệp hợp pháp nào bị chôn vùi dưới núi các vụ lừa đảo qua email, lừa đảo tiền điện tử và những hành vi tồi tệ hơn nữa không?

Chúng tôi quyết định tìm hiểu kỹ hơn. Chúng tôi đã rà soát toàn bộ danh mục tên miền của NiceNIC — từng đăng ký, từng địa chỉ IP, từng nội dung mà chúng tôi có thể truy cập. Kết quả là một bộ dữ liệu có dung lượng 24,7 MB đã được công bố trên GitHub để bất kỳ ai cũng có thể tự kiểm chứng.

Kết luận đó là nhất trí và rõ ràng.

Kết quả

Chúng tôi đã tìm kiếm BẤT KỲ trường hợp sử dụng hợp pháp nào. Một doanh nghiệp hoạt động minh bạch. Một blog cá nhân. Một trang web giới thiệu tác phẩm. Chúng tôi không tìm thấy cái nào cả.

Cuộc điều tra này dựa trên những phát hiện ban đầu của chúng tôi. Đọc toàn bộ bối cảnh:

Những gì chúng tôi đã phát hiện

Các tên miền được đăng ký qua NiceNIC thuộc các loại lạm dụng rõ ràng sau đây:

Thể loạiTỷ lệ lưu hànhGhi chú
Lừa đảo tiền điện tử và các phần mềm rút tiềnChiếm ưu thếNhững kẻ lừa đảo rút tiền khỏi ví, sàn giao dịch giả mạo, các chiêu lừa đảo airdrop
Cờ bạc và sòng bạc giả mạoCao Có liên quan đến các hoạt động mà chúng tôi đã điều tra trước đó (OFEDREX, LuxardGambling)
Lừa đảo qua email (Tổng quan)CaoThu thập thông tin đăng nhập, mạo danh thương hiệu
Phân phối phần mềm độc hạiTrung bìnhTải xuống tự động khi truy cập trang web, phần mềm giả mạo
Nội dung liên quan đến tội phạm chưa được tiết lộHiện tại Nội dung vi phạm luật hình sự tại mọi khu vực pháp lý — không được mô tả một cách có chủ ý

Cảnh báo về nội dung

Một số nội dung được lưu trữ trên các tên miền của NiceNIC có tính chất cực đoan đến mức việc mô tả chi tiết về chúng cũng đã là một hành động thiếu trách nhiệm. Trong số đó có những thể loại vi phạm các bộ luật hình sự trên toàn thế giới. Chúng tôi đã ghi chép lại mọi thứ. Chúng tôi sẽ không công bố các chi tiết cụ thể.

Danh mục duy nhất được coi là “trường hợp ranh giới” là cờ bạc — nhưng ngay cả danh mục này cũng sụp đổ khi bị xem xét kỹ lưỡng. Các tên miền liên quan đến cờ bạc đều dẫn trực tiếp đến các hoạt động sòng bạc giả mạo mà chúng tôi đã điều tra trước đó: OFEDREX với 383 nạn nhân đã được xác minh, LuxardCờ bạc với những quảng cáo sử dụng công nghệ deepfake của các ngôi sao. Đây không phải là các trang web cá cược hợp pháp. Chúng chỉ là những trang lừa đảo cũ rích được khoác lên mình những lớp vỏ bọc mới mà thôi.

Mối liên hệ với Diễn đàn Hacker

Mối quan hệ của NiceNIC với các tội phạm mạng không chỉ dừng lại ở mức sơ suất thụ động. Nhà đăng ký này tham gia tích cực vào hệ sinh thái này:

"NiceNIC vẫn duy trì sự hiện diện tích cực trên BlackHatWorld, một diễn đàn nổi tiếng với các nội dung spam liên quan đến SEO, bộ công cụ lừa đảo và các dịch vụ gian lận."
"Các email quảng cáo từ NiceNIC đã được ghi nhận là khoe khoang về việc 'có ít báo cáo lạm dụng hơn' — đây là nội dung tiếp thị được thiết kế đặc biệt nhằm thu hút những khách hàng có hành vi phạm pháp."
"Khi có báo cáo về hành vi lạm dụng, NiceNIC sẽ chuyển thông tin liên lạc cá nhân của người báo cáo — bao gồm cả địa chỉ email — trực tiếp cho chủ sở hữu tên miền. Đây không phải là một sơ suất. Đây là một tính năng được thiết kế nhằm đe dọa những người tố cáo."

Các sự cố chính

Infographic: 5.000 báo cáo lạm dụng được gửi đến NiceNIC, 0 hành động được thực hiện - một núi báo cáo bị bỏ qua nằm trong thùng rác
Infographic: 5.000 báo cáo lạm dụng được gửi đến NiceNIC, 0 hành động được thực hiện — một núi báo cáo bị bỏ qua nằm trong thùng rác

Sự cố trên BreachForums

NiceNIC đã gỡ bỏ lệnh tạm ngưng đối với một tên miền SAU khi FBI yêu cầu gỡ bỏ, sau đó, theo báo cáo, đã tạm ngưng tài khoản của chính FBI để ngăn chặn các trao đổi tiếp theo.

Telegram @NiceNIC_NET

Các cuộc trò chuyện đã được ghi lại, trong đó thảo luận về Vô hiệu hóa WHOIS và cung cấp các dịch vụ “bất khả xâm phạm” cho những đối tượng bị nghi ngờ là tội phạm.

GDPR / Vi phạm quyền riêng tư

Chia sẻ dữ liệu người báo cáo với những kẻ tấn công — biến quy trình báo cáo lạm dụng thành một vũ khí chống lại những người tố cáo.

5.000 vé bị bỏ qua

Con số này không phải là con số ước tính. Nó cũng không bị thổi phồng do các trường hợp trùng lặp. Hơn 5.000 phiếu báo cáo lạm dụng riêng lẻ đã được đệ trình nhằm vào các tên miền của NiceNIC — mỗi trường hợp đều kèm theo bằng chứng mới và liên quan đến một tên miền độc hại khác nhau. Con số này không bao gồm các trường hợp khiếu nại lặp lại, các đơn khiếu nại tiếp theo và các báo cáo có liên quan chéo.

Mô hình phản ứng luôn giống nhau:

"Không đủ bằng chứng" — Câu trả lời tự động tiêu chuẩn của NiceNIC dành cho các tệp PDF pháp y chứa báo cáo từ VirusTotal với hơn 15 kết quả phát hiện từ các nhà cung cấp, ảnh chụp màn hình toàn trang của các cổng lừa đảo đang hoạt động, bản đồ DNS và siêu dữ liệu kỹ thuật.

Các cơ chế lạm dụng

  • Sự chậm trễ trong việc đình chỉ 48 giờ: Chính sách nội bộ của NiceNIC cho phép các tên miền bị báo cáo vẫn hoạt động trong 48 giờ, tạo điều kiện cho những kẻ lừa đảo có đủ thời gian để chiếm đoạt tiền của nạn nhân
  • Thao túng WHOIS/RDAP: được cố ý làm hỏng hoặc vô hiệu hóa cho khách hàng theo yêu cầu, vi phạm các yêu cầu về tính minh bạch trong Thỏa thuận Phân bổ Tên miền (RAA) của ICANN
  • Các khiếu nại bị tự động đóng: Các phiếu yêu cầu được gửi đến địa chỉ abuse@nicenic.net sẽ tự động được chuyển tiếp đến chủ sở hữu tên miền và được đóng lại

Quyết định kinh doanh

5.000 vé không phải là vi phạm quy định. Đó là một quyết định kinh doanh. Mỗi phiếu yêu cầu bị bỏ qua đều được bảo đảm doanh thu.

Kết luận của chúng tôi

Dựa trên các bằng chứng — kết quả rà soát toàn diện tên miền, hơn 5.000 phiếu yêu cầu hỗ trợ bị bỏ qua, sự hiện diện trên diễn đàn hacker, vụ việc liên quan đến FBI, hành vi đe dọa người tố giác, và tỷ lệ sử dụng hợp pháp được xác nhận là bằng không — PhishDestroy đã đưa ra quyết định dứt khoát:

Tên gọi chính thức

Mọi tên miền được đăng ký qua NiceNIC (IANA 3765) hiện đều bị đánh dấu là có khả năng không an toàn trong hệ thống thông tin tình báo về mối đe dọa của PhishDestroy. Điều này áp dụng cho API, danh sách chặn, cảnh báo trên trình duyệt và tất cả các tích hợp với đối tác của chúng tôi.

Đây không phải là một hình thức trừng phạt áp dụng chung cho tất cả. Đây là một kết luận dựa trên số liệu thống kê. Khi 100% nội dung được kiểm tra là độc hại và nhà đăng ký tên miền chủ động tạo điều kiện cho điều đó, thì chính nhà đăng ký tên miền đó chính là cơ sở hạ tầng tội phạm.

Tuyên bố cuối cùng

Đây không phải là sự cẩu thả. Đây không phải là sự thiếu năng lực. Đây là một mô hình kinh doanh được xây dựng dựa trên khả năng chống chọi với sự lạm dụng. Các chủ sở hữu của Công ty TNHH NiceNIC INTERNATIONAL GROUP CO., LIMITED cần phải chịu trách nhiệm hình sự — không phải vì đã không hành động, mà vì đã cố ý chọn không hành động. Chúng tôi đang chờ đợi sự chịu trách nhiệm.

Mô hình kinh doanh rất rõ ràng: thu phí tên miền từ bọn tội phạm, phớt lờ mọi báo cáo lạm dụng, chia sẻ dữ liệu của người tố giác với những kẻ tấn công, quảng cáo trên các diễn đàn hacker. Đây không phải là vùng xám. Đây là một hệ thống cơ sở hạ tầng được tổ chức bài bản phục vụ cho tội phạm có tổ chức. Một tiền lệ pháp lý trong trường hợp này sẽ gửi đi một thông điệp đến mọi nhà đăng ký tên miền “bất khả xâm phạm” đang hoạt động dưới sự bảo trợ của ICANN.

Tham gia trò chơi: Tìm một tên miền hợp pháp

Chúng tôi đang công khai thử thách này. Bộ dữ liệu đầy đủ đã được công bố. Mọi tên miền NiceNIC mà chúng tôi đã rà soát đều có sẵn để tải xuống và kiểm chứng độc lập.

Quy tắc rất đơn giản: hãy tìm một tên miền hợp pháp duy nhất được đăng ký qua NiceNIC. Có thể là một doanh nghiệp thực sự. Một trang web cá nhân. Bất cứ thứ gì miễn là không phải là lừa đảo qua email, lừa đảo trực tuyến hay những hành vi tồi tệ hơn.

Nếu bạn tìm thấy một cái, hãy cho chúng tôi biết. Chúng tôi thì chưa tìm thấy.

Báo cáo. Chặn. Phơi bày.

Lưới tên miền NiceNIC — bằng chứng trực quan về sự tập trung của các hoạt động lừa đảo
Lưới tên miền NiceNIC — bằng chứng trực quan về sự tập trung của các hoạt động lừa đảo

Mô hình kinh doanh của NiceNIC tồn tại nhờ sự im lặng. Mỗi báo cáo, mỗi vụ chặn, mỗi lần bị phơi bày trước công chúng đều khiến cái giá phải trả cho việc đồng lõa ngày càng cao hơn. Dữ liệu đã được công khai. Bằng chứng là không thể chối cãi. Hãy hành động ngay.

#NiceNIC#ICANN#RegistrarVerdict#Investigation#CyberCrime
Thông báo về tính minh bạch. PhishDestroy là một dự án độc lập, phi thương mại. Các nghiên cứu của chúng tôi có thể phản ánh sự thiên vị vốn có đối với cơ sở hạ tầng lừa đảo và các dịch vụ hỗ trợ cho hoạt động này. Chúng tôi khuyến khích độc giả đánh giá tất cả các tài liệu một cách khách quan và độc lập. Xem toàn văn tuyên bố về tính minh bạch của chúng tôi →