Khi các báo cáo về lạm dụng không được xử lý: Cách các nhà đăng ký tên miền trở thành đồng phạm thầm lặng trong tội phạm mạng
Chúng tôi gửi các báo cáo lạm dụng kèm theo đầy đủ bằng chứng — kết quả phát hiện từ VirusTotal, ảnh chụp màn hình, dữ liệu danh sách đen, kết quả quét của phần mềm diệt virus. Các nhà đăng ký tên miền nhận được những báo cáo này nhưng không có bất kỳ hành động nào. Một số tên miền lừa đảo vẫn tồn tại 1.788 giờ và 13 báo cáo riêng biệt. Đây không phải là lỗi hệ thống — mà là một lựa chọn thiết kế. Dưới đây là dữ liệu.
Hệ thống bị hỏng
Mỗi báo cáo vi phạm mà chúng tôi gửi đều tuân theo một quy trình rõ ràng: URL tên miền, danh mục (lừa đảo, phần mềm đánh cắp tiền điện tử, sòng bạc giả mạo), số lần phát hiện trên VirusTotal, bằng chứng ảnh chụp màn hình và trạng thái trong danh sách đen. Đây không phải là những khiếu nại mơ hồ — mà là các bộ hồ sơ điều tra chi tiết. Thế nhưng, tên miền này nối tiếp tên miền khác vẫn tiếp tục hoạt động trong tuần và tháng sau báo cáo đầu tiên.
Không có tiêu chuẩn chung nào quy định các nhà đăng ký tên miền phải xử lý các báo cáo lạm dụng như thế nào. Không có Thỏa thuận mức dịch vụ (SLA). Không có thời gian phản hồi bắt buộc. Không có chỉ số đánh giá trách nhiệm. Mỗi nhà đăng ký tên miền tự quyết định xem tên miền bị báo cáo là 16 bộ máy quét virus xứng đáng được quan tâm — hoặc một câu trả lời mẫu và một phiếu yêu cầu được đóng lại.
Ai là người có quyền phủ quyết 16 công cụ quét virus?
Đây là câu hỏi mà không một nhà đăng ký nào muốn trả lời. Khi Kaspersky, ESET, Fortinet, BitDefender, Sophos, G-Data và thêm mười nhà cung cấp dịch vụ bảo mật khác đã đánh dấu một tên miền là độc hại trên VirusTotal — và đội ngũ xử lý vi phạm của nhà đăng ký tên miền đã quyết định "không cần thực hiện hành động nào" — Chính xác thì ai là người đã gọi điện thoại đó?
Hãy thử nghĩ xem điều này thật phi lý đến mức nào: chỉ một chuyên viên phân tích lạm dụng tại một nhà đăng ký tên miền lại có thể bác bỏ toàn bộ thông tin tình báo về mối đe dọa từ 16 bộ máy quét virus độc lập, mỗi đơn vị đều sở hữu hàng tỷ điểm dữ liệu, các phòng thí nghiệm nghiên cứu chuyên dụng và hàng thập kỷ kinh nghiệm. Dựa trên cơ sở nào? Đội ngũ xử lý vi phạm tại NiceNIC hay GlobalDomainGroup đang vận hành cơ sở hạ tầng quét nào mà lại vượt trội hơn so với Kaspersky?
Câu trả lời rất đơn giản: không có. Họ không kiểm tra. Họ không xác minh. Hoặc là họ hoàn toàn không xem báo cáo, hoặc là họ áp dụng một phép tính tài chính: một tên miền đang hoạt động tạo ra doanh thu; còn một tên miền bị tạm ngưng thì không.
Hãy nói rõ điều này có nghĩa là gì: một người nào đó tại cơ quan đăng ký đã xem xét bằng chứng từ 13 nhà cung cấp dịch vụ bảo mật độc lập và 13 báo cáo lạm dụng riêng biệt — rồi quyết định rằng phán đoán của chính họ là chính xác hơn. Đó không phải là một sai lầm. Đó là một chính sách.
Không có quyền lực nào mà họ tôn trọng
Hãy nêu tên một nhà cung cấp phần mềm diệt virus nào đó mà các nhà đăng ký tên miền coi là có uy tín. Bạn không thể — bởi vì không có nhà cung cấp nào như vậy cả.
- Kaspersky — phát hiện tên miền? Bỏ qua.
- ESET — có báo là lừa đảo không? Bỏ qua.
- Fortinet — chặn nó ở cấp độ mạng? Bị bỏ qua.
- BitDefender — cảnh báo hàng triệu người dùng? Bị phớt lờ.
- Google Safe Browsing — hệ thống an toàn mạng lớn nhất trên Trái Đất? Vẫn bị phớt lờ.
Có không có ngưỡng phát hiện trong trường hợp đó, nhà đăng ký tên miền có nghĩa vụ phải hành động. Không phải 5 công cụ quét virus. Không phải 10. Cũng không phải 16. Một tên miền có thể bị mọi nhà cung cấp phần mềm diệt virus trên VirusTotal gắn cờ cảnh báo, xuất hiện trong nhiều danh sách đen và nhận được hàng chục báo cáo lạm dụng — nhưng nhà đăng ký tên miền không có bất kỳ nghĩa vụ pháp lý nào buộc phải thực hiện bất kỳ hành động nào.
Đây không phải là lỗ hổng trong hệ thống. Đây là hệ thống. Ngành đăng ký tên miền đã thành công trong việc tránh khỏi bất kỳ tiêu chuẩn ràng buộc nào buộc họ phải tuân thủ các kết luận của các nhà nghiên cứu bảo mật, các nhà cung cấp phần mềm diệt virus hoặc các nền tảng thông tin tình báo về mối đe dọa. Khi 16 trong số 70 công cụ phát hiện ra một tên miền — đó không phải là “có thể”. Đó là sự đồng thuận. Tuy nhiên, đội ngũ xử lý lạm dụng của nhà đăng ký tên miền — vốn không có cơ sở hạ tầng quét nào và có lợi ích tài chính trong việc duy trì tên miền đó hoạt động — lại bác bỏ sự đồng thuận đó.

Khoản khuyến khích tài chính
Các nhà đăng ký tên miền thu phí hàng năm cho mỗi tên miền. Mỗi trường hợp tạm ngưng dịch vụ đều đồng nghĩa với việc mất doanh thu. Mỗi trường hợp Gỡ bỏ đều tiềm ẩn rủi ro phải hoàn tiền. Việc duy trì các tên miền ở trạng thái hoạt động mang lại động lực tài chính trực tiếp và có thể đo lường được — trong khi việc phớt lờ các báo cáo lạm dụng lại không phải chịu bất kỳ hình thức xử phạt tài chính nào.
Điều này không áp dụng cho tất cả các nhà cung cấp hạ tầng. Cloudflare, ví dụ, xử lý các báo cáo lạm dụng một cách hiệu quả và không thu lợi nhuận từ việc đăng ký tên miền theo cách tương tự. Sự khác biệt này rất quan trọng: khi công ty xử lý báo cáo của bạn thu lợi từ việc tên miền đó vẫn hoạt động trực tuyến, thì xung đột lợi ích là mang tính cấu trúc.
Bằng chứng: Dữ liệu thời gian thực từ các báo cáo của chúng tôi
Dưới đây là một ví dụ trích từ nhật ký báo cáo sự cố lạm dụng của chúng tôi vào tháng 3 năm 2026. Mỗi mục trong nhật ký này đại diện cho một tên miền lừa đảo thực tế đã vẫn còn hoạt động tính đến thời điểm đưa tin, mặc dù trước đó đã có các báo cáo và các trường hợp phát hiện được xác nhận.
| Miền | Báo cáo | Hoạt động (giờ) | VT | BL | Lạm dụng chức năng đăng ký |
|---|---|---|---|---|---|
| payscrow[.]bet | 6 | 1.788 giờ | 16 | — | Tucows |
| 6chicken9[.]top | 4 | 1.783 giờ | 4 | 1 | Sức bền |
| apphyena[.]trade | 2 | 1.781 giờ | 3 | — | NiceNIC |
| airdrop[.]autos | 3 | 1.364 giờ | 4 | 1 | Gname |
| amlstats[.]com | 7 | 1.363 giờ | 14 | 1 | Tucows |
| amlscore[.]info | 7 | 1.363 giờ | 9 | 1 | Tucows |
| amlwallets[.]io | 4 | 1.363 giờ | 10 | 1 | nic.io |
| aavleaderboard[.]assetavenue[.]capital | 2 | 1.359 giờ | 1 | — | IdentityDigital |
| airdropchime[.]com | 2 | 1.359 giờ | 1 | — | Namecheap |
| farewex[.]com | 13 | 1.352 giờ | 13 | — | apiname.com |
| app[.]whitewhalesmeme[.]com | 4 | 1.330 giờ | 14 | — | Verisign |
| zordex[.]us | 3 | 1.314 giờ | 14 | — | apiname.com |
| alhpatrademarket[.]com | 2 | 1.278 giờ | 15 | — | GlobalDomainGroup |
| angelferno[.]com | 2 | 1.278 giờ | 7 | 1 | NiceNIC |
| ansol[.]cc | 4 | 1.278 giờ | 4 | 1 | NiceNIC |
| amltrackerbot[.]com | 2 | 1.278 giờ | 6 | 1 | Tucows |
| amlstatement[.]info | 4 | 1.228 giờ | 16 | — | Porkbun |
| a8vx[.]top | 2 | 1.049 giờ | 16 | — | Dynadot |
| amlinfo[.]now | 2 | 1.033 giờ | 2 | — | Porkbun |
| xwinner[.]cc | 4 | 1.026 giờ | 14 | — | GlobalDomainGroup |
| xerowex[.]com | 6 | 1.021 giờ | 14 | — | apiname.com |
| menty[.]sbs | 4 | 985 giờ | 16 | — | gen.xyz |
| perowex[.]com | 5 | 971h | 14 | — | apiname.com |
| amlbot[.]im | 4 | 965 giờ | 6 | — | nic.im |
| 3capitalstrading[.]com | 2 | 879h | 2 | — | GlobalDomainGroup |
| naebex[.]com | 5 | 826h | 11 | — | PDR |
| casbatle[.]com | 2 | 803h | 2 | — | NiceNIC |
| amlchecknow[.]digital | 2 | 751h | 6 | — | PDR |
| sollfalare[.]top | 2 | 730 giờ | 3 | — | Sức bền |
| marketcsgo[.]net | 2 | 717h | 15 | — | GlobalDomainGroup |
| dinadrop[.]com | 2 | 717h | 6 | — | GlobalDomainGroup |
| dotabuff[.]org | 2 | 674 giờ | 2 | — | PIR |
| casesbattle[.]org | 2 | 652 giờ | 2 | — | PIR |
| 763182819[.]top | 2 | 618 giờ | 15 | — | Gname |
| kahcas[.]com | 5 | 539h | 14 | — | INWX |
| qizaro[.]cc | 5 | 535 giờ | 12 | — | GlobalDomainGroup |
| apexresolvefix[.]com | 2 | 496 giờ | 3 | — | Cosmotown |
| amlriskscore[.]ru | 2 | 448 giờ | 1 | — | cctld.ru |
| patricksstash[.]to | 2 | 427 giờ | 2 | — | tonic.to |
| stashhpatrick[.]cc | 2 | 427 giờ | 5 | — | NiceNIC |
| stake2win[.]me | 2 | 402h | 14 | — | domain.me |
| wazbee[.]me | 2 | 388 giờ | 16 | — | domain.me |
| dexscreener[.]at | 2 | 328 giờ | 16 | — | nic.at |
| 2fa[.]walletpinet[.]com | 1 | — | 16 | — | Verisign |
| appether[.]fi | 1 | — | 13 | 1 | — |
VT = Số lần phát hiện của VirusTotal trên tổng số khoảng 70 công cụ quét. "Hoạt động" = số giờ kể từ lần phát hiện đầu tiên tại thời điểm báo cáo sự cố. Nguồn dữ liệu: Nhật ký báo cáo sự cố lạm dụng của PhishDestroy, ngày 19–21 tháng 3 năm 2026.
Con số không biết nói dối
Thời gian hoạt động trung bình
Trung bình khoảng 39 ngày trên tất cả các tên miền có giờ hoạt động đã biết
Thời gian hoạt động tối đa
payscrow[.]bet — 75 ngày, 6 báo cáo, VT:16
Tổng số báo cáo đã gửi
Tổng hợp các báo cáo trên tất cả các lĩnh vực chỉ riêng trong mẫu này
Các miền có VT≥10
Gần một nửa tổng số tên miền — đã được hơn 10 công cụ chống vi-rút xác nhận là độc hại — vẫn đang hoạt động
Những người tái phạm: Phân tích theo cơ quan đăng ký
Không phải tất cả các nhà đăng ký tên miền đều như nhau. Dữ liệu của chúng tôi cho thấy những xu hướng rõ ràng — một số nhà đăng ký tên miền liên tục xuất hiện trong danh sách các nhà đăng ký có hiệu suất kém nhất.
apiname.com
- farewex[.]com — 1.352 giờ, 13 báo cáo, VT:13
- zordex[.]us — 1.314 giờ, 3 báo cáo, VT:14
- xerowex[.]com — 1.021 giờ, 6 báo cáo, VT:14
- perowex[.]com — 971 giờ, 5 báo cáo, VT:14
4 tên miền. Tổng cộng: 4.658 giờ hoạt động của cơ sở hạ tầng tội phạm. 27 báo cáo bị bỏ qua.
GlobalDomainGroup
- xwinner[.]cc — 1.026 giờ, VT:14
- marketcsgo[.]net — 717h, VT:15
- dinadrop[.]com — 717h, VT:6
- qizaro[.]cc — 535h, VT:12
- csgomy[.]com — 356 giờ, VT:9
- tastdrop[.]com — 357 giờ, VT:2
- casebatle[.]com — 327 giờ, VT:6
- casebatltle[.]com — 327 giờ, VT:2
- chestix[.]net — 293h, VT:1
- ggddrop[.]com — 365h, VT:1
10 lĩnh vực. Đây là cụm lớn nhất trong tập dữ liệu của chúng tôi. Đó là một quy luật, chứ không phải ngẫu nhiên.
Tucows / IdentityDigital
- payscrow[.]bet — 1.788 giờ, 6 báo cáo, VT:16
- amlstats[.]com — 1.363 giờ, 7 báo cáo, VT:14, BL:1
- amlscore[.]info — 1.363 giờ, 7 báo cáo, VT:9, BL:1
- amltrackerbot[.]com — 1.278 giờ, 2 báo cáo, VT:6, BL:1
Tucows: Tổng cộng 22 báo cáo, tương đương 5.792 giờ gian lận. amlstats đã nhận được 7 báo cáo — mỗi tuần một báo cáo — và đã xử lý thành công tất cả.
NiceNIC (nicenic.net)
- apphyena[.]trade — 1.781 giờ, VT:3
- angelferno[.]com — 1.278 giờ, VT:7, BL:1
- ansol[.]cc — 1.278 giờ, 4 báo cáo, VT:4, BL:1
- casbatle[.]com — 803h, VT:2
- stashhpatrick[.]cc — 427h, VT:5
- casebaetle[.]com — 310h, VT:2
- casebattle[.]info — báo cáo đầu tiên, VT:1
- appalmanak[.]live — bản tin đầu tiên, VT:2
8 lĩnh vực. Tổng cộng hơn 5.877 giờ. Đã được nghiên cứu trước đây: Kết luận của NiceNIC — không tìm thấy bất kỳ mục đích sử dụng hợp pháp nào.
Porkbun
- amlstatement[.]info — 1.228 giờ, 4 báo cáo, VT:16
- amlinfo[.]now — 1.033 giờ, 2 báo cáo, VT:2
- amlspace[.]com — 712 giờ, 2 báo cáo, VT:1
amlstatement[.]info: 16 lần bị phần mềm diệt virus phát hiện, 4 báo cáo và 51 ngày hoạt động trực tuyến. Đội ngũ xử lý vi phạm của Porkbun đã quyết định điều gì là có thể chấp nhận được?
Dynadot
- a8vx[.]top — 1.049 giờ, 2 báo cáo, VT:16
- aave[.]events — báo cáo đầu tiên, VT:2, BL:1
- aavetrading[.]net — báo cáo đầu tiên, VT:9
a8vx[.]top: 16 trường hợp phát hiện VT và 44 ngày hoạt động phạm pháp. Dynadot là một nhà đăng ký tên miền được ICANN công nhận.
domain.me
- wazbee[.]me — 388 giờ, VT:16
- stake2win[.]me — 402h, VT:14
Cả hai tên miền đều có 14–16 lần bị phần mềm diệt virus phát hiện. Cả hai vẫn còn hoạt động sau báo cáo lần thứ hai.

Tổng số giờ không thực hiện nhiệm vụ của Thư ký
Tổng số giờ hoạt động của tất cả các tên miền được báo cáo theo từng nhà đăng ký trong bộ dữ liệu tháng 3 năm 2026 của chúng tôi. Đây không phải là tổng số trường hợp lạm dụng của các nhà đăng ký — mà chỉ là những gì chúng tôi quan sát được trong một mẫu dữ liệu.
Những gì chúng tôi gửi so với những gì họ làm
Mỗi báo cáo lạm dụng trên PhishDestroy đều bao gồm:
Báo cáo của chúng tôi bao gồm
- URL tên miền và thông tin đăng ký
- Điểm số trên VirusTotal kèm theo tên nhà cung cấp
- Ảnh chụp màn hình toàn trang của trang web lừa đảo
- Phân loại theo danh mục (lừa đảo qua email, phần mềm đánh cắp thông tin, sòng bạc lừa đảo)
- Tình trạng nằm trong danh sách đen từ nhiều nguồn cấp dữ liệu
- URLscan.io hoặc các kết quả quét tương tự
- Lịch sử các báo cáo trước đây và mốc thời gian
Phản hồi của Văn phòng Đăng ký
- Hoàn toàn không có phản hồi (trường hợp phổ biến nhất)
- Xác nhận mẫu, không cần thực hiện hành động nào
- "Chúng tôi sẽ xem xét" — vài tuần trôi qua, tên miền vẫn còn nguyên
- "Chúng tôi không thể xác minh thông tin này" — mặc dù đã có 16 lần phát hiện VT
- Vé đã được đóng mà chưa có giải pháp
- Yêu cầu xác nhận các bằng chứng đã được cung cấp
Do phía cơ quan đăng ký không có phản hồi, chúng tôi đã chuyển vụ việc lên Tuân thủ các quy định của ICANN (compliance@icann.org). Trong mọi trường hợp được nêu ở trên, ICANN đều được gửi bản sao (CC) trong báo cáo thứ hai hoặc các báo cáo tiếp theo. Kết quả ra sao? Cũng không có gì cả.
Tiêu chuẩn ICANN không tồn tại
Của ICANN Thỏa thuận công nhận nhà đăng ký (RAA), Mục 3.18 yêu cầu các cơ quan đăng ký phải duy trì một địa chỉ liên hệ về các trường hợp lạm dụng và phải “thực hiện các biện pháp hợp lý và kịp thời để điều tra và xử lý một cách thích hợp” đối với các báo cáo về lạm dụng.
Trên thực tế, cụm từ “hợp lý và kịp thời” có nghĩa là bất cứ điều gì mà cơ quan đăng ký quyết định. Có:
- Không có giới hạn thời gian phản hồi tối đa — một cơ quan đăng ký có thể chờ đợi hàng tuần và cho rằng điều đó là “hợp lý”
- Không có ngưỡng đình chỉ bắt buộc — Việc phát hiện 16 trường hợp VT không tự động kích hoạt bất kỳ hành động nào
- Không có yêu cầu công bố thông tin công khai — các cơ quan đăng ký không bắt buộc phải công bố số lượng báo cáo mà họ nhận được hoặc số lượng báo cáo mà họ đã xử lý
- Không có hình phạt đáng kể nào — ICANN hiếm khi thu hồi chứng nhận do không có biện pháp xử lý các hành vi lạm dụng
Kết quả là: các nhà đăng ký coi việc xử lý các hành vi lạm dụng như một khoản chi phí cần cắt giảm, chứ không phải là nghĩa vụ an toàn cần thực hiện.
Họ có biện pháp đối phó với hành vi chiếm dụng tên miền sai chính tả — nhưng không đối phó với hành vi lừa đảo qua email
Điều khiến chuyện này càng trở nên phi lý hơn là: một số nhà đăng ký tên miền – những đơn vị đã phớt lờ các báo cáo về lừa đảo qua email trong nhiều tháng liền – lại cực kỳ hiệu quả trong một hình thức lạm dụng cụ thể: chiếm dụng tên miền do lỗi chính tả — các tên miền có sự tương đồng gây nhầm lẫn với các tên thương hiệu đã được công nhận.
Tại sao? Bởi vì hành vi “typosquatting” nhắm vào các tập đoàn có ngân sách pháp lý. Khi Google, Apple hoặc Microsoft nộp đơn khiếu nại theo quy trình UDRP liên quan đến một tên miền trùng lặp, các nhà đăng ký tên miền sẽ có hành động trong vòng vài ngày. Nguy cơ bị khởi kiện và các biện pháp trừng phạt của ICANN do lạm dụng nhãn hiệu là rất thực tế và cấp bách.
Nhưng khi một tên miền lừa đảo chiếm đoạt tiền của các nạn nhân cá nhân thì sao? Khi một chương trình đánh cắp tiền điện tử vét sạch toàn bộ số tiền tiết kiệm cả đời của ai đó thì sao? Khi một sòng bạc giả mạo đánh cắp dữ liệu thẻ tín dụng của người chơi thì sao? Không có đội ngũ pháp lý của công ty. Không có đơn khiếu nại theo quy trình UDRP. Không có tính cấp bách. Bộ phận xử lý các vụ lạm dụng của cơ quan đăng ký áp dụng một tiêu chuẩn khác — theo đó, tổn thất tài chính của nạn nhân không dẫn đến phản ứng tương tự như trường hợp liên quan đến vấn đề nhãn hiệu của một thương hiệu.
Báo cáo về việc chiếm dụng tên miền do lỗi chính tả
- Chủ sở hữu thương hiệu nộp đơn khiếu nại theo thủ tục UDRP
- Bộ phận đăng ký sẽ trả lời trong vài ngày
- Tên miền bị khóa/tạm ngưng hoạt động ngay lập tức
- Hậu quả pháp lý do không có hành động
Báo cáo về lừa đảo qua email/lừa đảo
- Nạn nhân/nhà nghiên cứu nộp báo cáo về các vụ lạm dụng
- Bộ phận đăng ký phớt lờ trong nhiều tuần/tháng
- Tên miền sẽ vẫn hoạt động cho đến khi hết hạn
- Không có hậu quả nào khi không hành động
Thông điệp rất rõ ràng: Các cơ quan đăng ký tên miền bảo vệ thương hiệu, chứ không phải con người. Họ chỉ phản ứng trước quyền lực pháp lý, chứ không phải trước bằng chứng về thiệt hại. Các báo cáo của chúng tôi chứa nhiều bằng chứng khách quan hơn bất kỳ đơn khiếu nại UDRP nào — kết quả quét từ VirusTotal, phát hiện của phần mềm diệt virus, xác nhận từ danh sách đen, ảnh chụp màn hình — thế nhưng chúng vẫn bị bỏ ngỏ mà không có phản hồi.
Chúng tôi làm công việc của họ — hoàn toàn miễn phí
PhishDestroy là một dự án độc lập, phi thương mại. Chúng tôi quét các tên miền. Chúng tôi phân loại các mối đe dọa. Chúng tôi tạo báo cáo VirusTotal. Chúng tôi chụp ảnh màn hình. Chúng tôi soạn thảo các báo cáo vi phạm chi tiết và gửi chúng đến các nhà đăng ký tên miền, các tổ chức quản lý tên miền và ICANN. Chúng tôi đảm nhận công việc bảo mật mà các cơ quan đăng ký lẽ ra phải tự thực hiện.
Và đây là sự thật khó chấp nhận: Một số nhà đăng ký thực sự đảm nhận công việc này. Một số nhà đăng ký tên miền vận hành hệ thống quét tên miền riêng, sử dụng các nguồn thông tin tình báo về mối đe dọa riêng tư và chủ động tạm ngưng các tên miền độc hại trước khi có bất kỳ ai báo cáo về chúng. Họ thực sự tồn tại. Họ đã chứng minh rằng điều đó là hoàn toàn khả thi.
Các cơ quan đăng ký hoạt động tích cực
- Chạy các công cụ quét nội bộ (riêng tư, không công khai)
- Chủ động tạm ngưng các tên miền có dấu hiệu gian lận rõ ràng
- Xử lý các báo cáo về hành vi lạm dụng trong vòng vài giờ
- Hợp tác với các nhà nghiên cứu và cơ quan thực thi pháp luật
- Chấp nhận dữ liệu từ VirusTotal và danh sách đen làm bằng chứng
Các nhà đăng ký này đã chứng minh rằng việc phản ứng nhanh chóng trước các hành vi lạm dụng là khả thi cả về mặt kỹ thuật lẫn kinh tế.
Các cơ quan đăng ký tên miền bảo vệ những kẻ lừa đảo
- Hoàn toàn không có bất kỳ cơ sở hạ tầng quét nào
- Hãy chờ các báo cáo, rồi bỏ qua chúng
- Mẫu trả lời, phiếu yêu cầu đã được đóng, tên miền đang hoạt động
- Từ chối nhận báo cáo (mô hình NameSilo)
- Bỏ qua 16 công cụ chống vi-rút mà không có bất kỳ bằng chứng nào
Các nhà đăng ký này đã ưu tiên lợi nhuận hơn an toàn. Sự thờ ơ của họ được “bù đắp” bởi cộng đồng an ninh mạng, những người đang làm công việc của họ một cách miễn phí.
Vấn đề không phải là liệu có thể phản ứng nhanh chóng trước các hành vi lạm dụng hay không. Đúng vậy. Câu hỏi đặt ra là tại sao một số nhà đăng ký lại quyết định không làm điều đó. Và câu trả lời, lần nào cũng vậy, lại quay trở lại cùng một động lực mang tính cấu trúc: Các tên miền đang hoạt động mang lại doanh thu. Các tên miền bị tạm ngưng thì không.
Các tiêu chuẩn có tính ràng buộc cần được áp dụng
Khung pháp lý để yêu cầu các cơ quan đăng ký chịu trách nhiệm đã có sẵn — chỉ là chưa được thực thi mà thôi:
Điều 3.18 của Thỏa thuận Phân quyền ICANN (RAA)
Cái Thỏa thuận công nhận cơ quan đăng ký yêu cầu các nhà đăng ký duy trì thông tin liên hệ về các trường hợp lạm dụng và điều tra các báo cáo một cách kịp thời. Trên thực tế, việc thực thi quy định này gần như không tồn tại.
APWG
Cái Nhóm công tác chống lừa đảo qua email công bố các báo cáo định kỳ hàng quý về xu hướng lừa đảo qua email, qua đó cho thấy quy mô của vấn đề. Các nhà đăng ký tên miền tham gia APWG — nhưng vẫn phớt lờ các báo cáo này.
Các biện pháp của FTC
Cái Thư cảnh báo của FTC gửi NameSilo (tháng 12 năm 2024) đã chỉ trích rõ ràng việc không giải quyết vấn đề gian lận. Chính ICANN Phòng Tuân thủ nhận được các trường hợp được chuyển lên từ phía chúng tôi nhưng lại không có phản hồi.
DNSAI
Cái Viện Nghiên cứu Lạm dụng DNS (do PIR thực hiện) phát triển các công cụ như DAAR và thúc đẩy các thực tiễn tốt nhất. Tuy nhiên, chính hệ thống đăng ký tên miền của PIR lại lưu trữ các tên miền dotabuff[.]org (hoạt động 674 giờ, VT:2) và casesbattle[.]org (652 giờ).
50.000 tên miền và con số này vẫn đang tiếp tục tăng
Các ví dụ trên là một mẫu thu thập trong một tuần. Quy mô thực tế thật sự khiến người ta choáng ngợp.
Nguồn thông tin về các mối đe dọa được cập nhật liên tục của chúng tôi tại content_active.txt bao gồm hơn 50.000 tên miền đã bị báo cáo là có hại. Mỗi tên miền đều nhận được ít nhất một báo cáo lạm dụng. Nhiều tên miền nhận được nhiều báo cáo. Các nhà đăng ký tên miền đã nhận được bằng chứng — kết quả quét từ VirusTotal, ảnh chụp màn hình, xác nhận từ danh sách đen — nhưng lại ưu tiên lợi ích của khách hàng hơn là sự an toàn của công chúng.
Bởi vì đây chính là điều đó: một sự lựa chọn. Khách hàng của nhà đăng ký tên miền chính là người đã đăng ký tên miền đó — tức là kẻ lừa đảo. Khách hàng của nhà đăng ký tên miền không phải là bà cụ đã mất hết tiền tiết kiệm vì một trang web ngân hàng giả mạo, cũng không phải là người dùng tiền điện tử bị rút sạch ví, hay game thủ bị đánh cắp tài khoản Steam. Nhà đăng ký tên miền đã chọn kẻ lừa đảo. Mọi lúc đều như vậy.

Từ báo cáo đến các nạn nhân: Mỗi giờ đều quý giá
Ngay khi chúng ta gửi báo cáo vi phạm, đồng hồ sẽ bắt đầu đếm ngược. Kể từ thời điểm đó, nhà đăng ký sẽ được thông báo chính thức rằng một tên miền do họ quản lý đang bị lợi dụng để thực hiện hành vi lừa đảo. Mỗi giờ không có hành động nào sau thông báo đó là một giờ sự đồng lõa có chủ ý.
Nhiều tên miền trong tập dữ liệu của chúng tôi không chỉ tồn tại qua một vài báo cáo — chúng tồn tại cho đến khi thời hạn đăng ký sẽ hết hạn. Chúng thực hiện toàn bộ chu trình: đăng ký, lừa đảo, bị tố cáo, lại bị tố cáo, vụ việc được chuyển lên ICANN, tiếp tục lừa đảo, rồi hết hạn một cách tự nhiên. Nhà đăng ký đã thu được phí đăng ký. Kẻ lừa đảo đã thu được số tiền đánh cắp. Các nạn nhân thì chẳng nhận được gì cả.
Việc đình chỉ tên miền đúng thời điểm không chỉ đơn thuần là một biện pháp hành chính. Đó cũng không chỉ là “một sự bất tiện đối với chủ sở hữu tên miền”. Đây là một chiến dịch cứu hộ. Mỗi tên miền bị cấm kịp thời đồng nghĩa với việc một ví tiền không bị rút cạn, một thông tin đăng nhập không bị đánh cắp, một tài khoản tiết kiệm không bị rút sạch. Các nhà đăng ký tên miền coi việc gỡ bỏ tên miền là “kiểm duyệt” hay “gây cản trở hoạt động kinh doanh” đang bộc lộ rõ ràng họ đang phục vụ lợi ích của ai.
Các cơ quan đăng ký có nên bồi thường cho nạn nhân không?
Đây là câu hỏi mà toàn bộ ngành đăng ký tên miền đều từ chối đối mặt:
Hãy nghĩ xem. Ngay khi cơ quan đăng ký nhận được báo cáo, họ sẽ không còn thiếu hiểu biết nữa. Họ đã được thông báo, kèm theo bằng chứng, rằng một tên miền do họ quản lý đang bị lợi dụng để đánh cắp tiền, thông tin đăng nhập và danh tính. Kể từ thời điểm đó, việc tiếp tục không có hành động nào không còn là sự cẩu thả — đó là một quyết định có chủ ý để gây hại.
- Cơ quan đăng ký có sẵn sàng chịu trách nhiệm hay không cho mỗi đô la bị đánh cắp thông qua một tên miền mà họ đã được cảnh báo trước?
- Cơ quan đăng ký có sẵn sàng bồi thường cho các nạn nhân không? Ai là người đã bị mất tiền sau khi báo cáo về hành vi lạm dụng được nộp lên nhưng lại bị phớt lờ?
- Đội ngũ pháp lý của cơ quan đăng ký có Có hiểu rằng việc khẳng định “chúng tôi đã kiểm tra và không phát hiện vấn đề gì” — trong khi 16 công cụ chống vi-rút lại đưa ra kết quả trái ngược — không phải là lập trường có thể biện minh được không?
Nếu câu trả lời cho cả ba câu hỏi đều là “không” — thì không có lý do chính đáng nào để duy trì tên miền đó. Tạm đình chỉ trước, điều tra sau. Đó chính là cách các nhà cung cấp hạ tầng có trách nhiệm hoạt động. Đó chính là cách Cloudflare hoạt động. Đó cũng chính là cách các nhà cung cấp dịch vụ lưu trữ như Hetzner và OVH ngày càng áp dụng. Chỉ có các nhà đăng ký tên miền là vẫn bám víu vào mô hình mà trong đó sự tiện lợi của kẻ lừa đảo được đặt lên trên sự an toàn của nạn nhân.
Ai phải gánh chịu hậu quả
Mỗi giờ một tên miền lừa đảo vẫn còn hoạt động đều đồng nghĩa với việc có thêm nạn nhân:
- Các tên miền chuyên đánh cắp tiền điện tử (farewex, perowex, xerowex, naebex) — ví tiền bị rút cạn chỉ trong vài giây. Tổng cộng 4.658 giờ hoạt động của các tên miền trên apiname.com tương đương với hàng nghìn vụ rút cạn ví tiềm ẩn.
- Sòng bạc giả mạo / Các chiêu lừa đảo liên quan đến CS:GO (các biến thể của casebattle, csgomy, ggddrop, tastdrop) — gian lận thẻ tín dụng, đánh cắp danh tính và thao túng kết quả nhằm vào người chơi game.
- Mạo danh dịch vụ (dexscreener[.]at, trustwallet[.]receipts[.]sh, amlbot[.]im, dotabuff[.]org) — hành vi mạo danh thương hiệu dẫn đến việc đánh cắp thông tin đăng nhập và thiệt hại tài chính.
- Hạ tầng xử lý sợi (patricksstash, stashhpatrick) — bán dữ liệu thanh toán bị đánh cắp cho các tội phạm khác.
Những điều cần phải thay đổi
Mô hình hiện tại vốn đã có vấn đề ngay từ thiết kế. Các nhà đăng ký tên miền thu lợi từ việc các tên miền vẫn duy trì trạng thái hoạt động. ICANN không có quyền lực thực thi. Các nạn nhân không có con đường nào để khiếu nại. Dưới đây là giải pháp để khắc phục vấn đề này:
- Thỏa thuận cấp độ dịch vụ (SLA) bắt buộc đối với việc xử lý các trường hợp lạm dụng: Xác nhận trong vòng 24 giờ, thực hiện hành động ban đầu trong vòng 72 giờ, quy trình báo cáo lên cấp trên trong vòng 7 ngày. Có thể đo lường được. Có thể kiểm toán được.
- Ngưỡng tạm ngưng tự động: Bất kỳ tên miền nào có số lần phát hiện trên VirusTotal ≥10 và có ít nhất 2 báo cáo độc lập thì phải bị tạm ngưng cho đến khi được xem xét — chứ không phải ngược lại.
- Báo cáo công khai về các vụ lạm dụng: Mỗi nhà đăng ký tên miền được ICANN công nhận phải công bố hàng quý các thông tin sau: số lượng báo cáo nhận được, thời gian phản hồi trung bình, các biện pháp đã thực hiện và các tên miền bị đình chỉ.
- Các hình thức xử phạt hành chính đối với hành vi vi phạm: Áp dụng mức phạt tăng dần đối với các cơ quan đăng ký có hành vi không thực hiện nghĩa vụ một cách có hệ thống. Tước quyền công nhận đối với các cơ quan vi phạm nhiều lần.
- Thanh tra độc lập về các vụ lạm dụng: Một cơ quan độc lập có thể xem xét các quyết định của cơ quan đăng ký, can thiệp khi có sự chậm trễ trong xử lý và đẩy nhanh thủ tục đình chỉ trong trường hợp có các mối đe dọa nghiêm trọng.
- Danh sách cấm đăng ký chéo: Khi một chủ thể đăng ký được xác nhận là người lạm dụng liên tục, tất cả các nhà đăng ký được công nhận đều phải được thông báo. Không còn tình trạng “mua sắm tên miền” nữa.
PhishDestroy đã làm gì để giải quyết vấn đề này
Chúng tôi không chỉ viết báo cáo rồi ngồi chờ ngành này tự khắc phục vấn đề. Chúng tôi xây dựng các hệ thống nhằm thúc đẩy tính minh bạch và tạo ra những hệ quả đối với việc không hành động.
Cơ sở dữ liệu các mối đe dọa công khai
Chúng tôi đã tạo ra và duy trì danh sách tiêu diệt — một cơ sở dữ liệu công khai, được cập nhật liên tục với hơn 50.000 tên miền độc hại. Mỗi báo cáo vi phạm mà chúng tôi gửi đi hiện nay đều được thông báo đến nhà đăng ký tên miền: Tên miền này sẽ được liệt kê trong một cơ sở dữ liệu công khai. Những người có khả năng trở thành nạn nhân của các tên miền thuộc khách hàng của họ sẽ biết được thời điểm báo cáo được gửi và thời gian mà nhà đăng ký đã phớt lờ báo cáo đó. Điều này khiến các nhà đăng ký cảm thấy khó chịu — và đó chính là mục đích.
Các trang về mối đe dọa đối với tên miền
Mỗi tên miền mà chúng tôi đã đánh dấu hiện đều có một trang riêng tại phishdestroy.io/domain — kèm theo phân tích chi tiết, mô tả mối đe dọa do trí tuệ nhân tạo (AI) tạo ra và một Pipeline ứng phó với các mối đe dọa hiển thị các giai đoạn xử lý cụ thể: phát hiện, gửi báo cáo, chuyển lên cấp trên, thông báo cho ICANN. Trạng thái được cập nhật theo thời gian thực. Hiện tại, chúng tôi đang bổ sung dấu thời gian chính xác cho từng báo cáo theo dõi nhằm đảm bảo tính minh bạch hoàn toàn. Bất kỳ ai cũng có thể biết chính xác thời điểm nhà đăng ký nhận được thông báo và họ đã chọn không thực hiện bất kỳ hành động nào trong bao lâu.
Hệ thống báo cáo sự cố — Không báo cáo tình trạng ngập lụt
Chúng tôi làm không gửi quá nhiều báo cáo trùng lặp đến các cơ quan đăng ký tên miền. Trong 98% trường hợp, chúng tôi chỉ gửi một báo cáo ban đầu duy nhất và không gửi lại — vừa do giới hạn số lượng email hàng ngày, vừa vì chúng tôi cho rằng việc gửi trùng lặp hàng loạt là cách tiếp cận sai lầm. Chúng tôi chỉ gửi báo cáo tiếp theo khi một tên miền được phát hiện lại là đang hoạt động trong quá trình quét mới. Nếu chúng tôi gửi thư rác đến mọi tên miền đang hoạt động hàng ngày, con số đó sẽ lên tới 50.000 email mỗi ngày. Chúng tôi không làm như vậy. Hệ thống xử lý sự cố của chúng tôi tạo ra các báo cáo theo dõi (#2, #3, v.v.) kèm theo tóm tắt mối đe dọa được phân tích bằng AI, điểm số VirusTotal được cập nhật và số giờ mà nhà đăng ký đã phớt lờ mối đe dọa đó.
Công cụ báo cáo lại của cộng đồng
Trong bot Telegram của chúng tôi @PhishDestroy_bot, giờ đây người dùng có thể gửi báo cáo lại đối với các tên miền mà họ phát hiện vẫn còn hoạt động sau báo cáo ban đầu của chúng tôi. Vì có quá nhiều nhà đăng ký tên miền cho phép những kẻ lừa đảo hoạt động tự do và phớt lờ những thiệt hại nghiêm trọng, nên chúng tôi tạo cơ hội để cộng đồng lên tiếng. Nếu một nhà đăng ký tên miền không chịu lắng nghe chúng tôi, có lẽ họ sẽ chú ý đến số lượng lớn các báo cáo độc lập từ người dùng thực sự.
PhishDestroy — chúng tôi không bảo vệ các thương hiệu. Chúng tôi không bảo vệ các nạn nhân. Chúng tôi triệt phá các hệ thống lừa đảo và đánh cắp thông tin.
Kết luận
Khi 16 công cụ chống vi-rút xác định một tên miền là độc hại nhưng nhà đăng ký lại tuyên bố “không có hành động nào”, thì nhà đăng ký đó không phải đang thể hiện sự phán đoán — mà là đang bảo vệ nguồn thu nhập của mình. Khi 13 báo cáo lạm dụng riêng biệt không được phản hồi và một tên miền vẫn hoạt động trong 1.352 giờ, nhà đăng ký tên miền không phải đang xử lý công việc tồn đọng — mà là đang tạo điều kiện cho tội phạm.
Dữ liệu trong bài viết này không mang tính lý thuyết. Đây là nhật ký xử lý các trường hợp lạm dụng thực tế của chúng tôi trong một tuần của tháng 3 năm 2026 — và đằng sau đó là Hơn 50.000 tên miền đã được báo cáo trong nguồn thông tin về các mối đe dọa được cập nhật liên tục của chúng tôi. Đây không phải là một vấn đề riêng lẻ chỉ xảy ra với một nhà đăng ký tên miền. Đây là một sự thất bại trên toàn ngành rằng hệ sinh thái đăng ký tên miền không có động lực để khắc phục vấn đề này, bởi vì mô hình hiện tại vẫn mang lại lợi nhuận.
Không có nhà cung cấp phần mềm diệt virus nào mà các nhà đăng ký tên miền bắt buộc phải tuân thủ kết quả kiểm tra của họ. Không có ngưỡng phát hiện nào khiến phải thực hiện hành động bắt buộc. Không có Thỏa thuận mức dịch vụ (SLA), không có trách nhiệm giải trình, cũng không có hậu quả nào. Nhà đăng ký tên miền thu phí, phớt lờ các báo cáo, và nạn nhân là những người phải gánh chịu hậu quả.
Các nhà đăng ký tên miền không phải là các nhà cung cấp hạ tầng trung lập. Họ là những người gác cổng, những người — mỗi ngày, với mỗi báo cáo bị phớt lờ — lại chọn cách duy trì cơ sở hạ tầng tội phạm trên mạng. Họ biết rõ những tác hại đó. Họ có quyền lực để ngăn chặn điều đó. Nhưng họ lại chọn không làm. Và cho đến khi có ai đó đặt ra cho họ câu hỏi duy nhất thực sự quan trọng — "Quý vị có sẵn sàng bồi thường cho các nạn nhân của những tên miền mà quý vị đã từ chối đình chỉ không?" — sẽ chẳng có gì thay đổi cả.
Sự im lặng của ngành công nghiệp trước câu hỏi này chính là câu trả lời rõ ràng nhất.
