Cơ chế của một cuộc gỡ bỏ: Cách PhishDestroy ngăn chặn tội phạm mạng
Từ một sáng kiến còn non trẻ vào năm 2019 đến một thế lực mạnh mẽ đã vô hiệu hóa hơn 400.000 tên miền độc hại, hành trình của PhishDestroy đã minh chứng cho sức mạnh của cộng đồng, công nghệ và danh tiếng được gầy dựng bằng sự nỗ lực không ngừng.
Trong cuộc chiến không ngừng nghỉ chống lại gian lận trực tuyến, PhishDestroy đã vươn lên trở thành một lực lượng then chốt, phát triển từ một sáng kiến chuyên biệt vào năm 2019 thành một hoạt động mang lại hiệu quả cao. Sứ mệnh của chúng tôi rất rõ ràng: phá hủy cơ sở hạ tầng của các hoạt động lừa đảo và phishing, nhằm bảo vệ người dùng trên toàn thế giới. Điều này không chỉ đơn thuần là chặn các liên kết độc hại; mà còn là việc hiểu rõ cấu trúc của một cuộc tấn công mạng và vô hiệu hóa nó ngay từ gốc rễ.
Hành trình phát triển của chúng tôi: Từ vài tuần đến vài phút
Khi PhishDestroy mới ra đời, việc gỡ bỏ một tên miền độc hại có thể mất hàng tuần. Trong những năm qua, chúng tôi đã phát triển, xây dựng được những liên minh vững chắc và giành được sự tin tưởng của các nhân vật chủ chốt trong lĩnh vực an ninh mạng. Chúng tôi luôn tập trung một cách chính xác và sắc bén vào vấn đề lừa đảo qua email (phishing), nhờ đó có thể phát triển chuyên môn sâu rộng và duy trì tỷ lệ báo động sai ở mức tối thiểu.
Ngày nay, những công việc từng mất hàng tuần nay đã có thể hoàn thành chỉ trong vài phút. Sự tiến bộ này là minh chứng cho nỗ lực đổi mới không ngừng của chúng tôi và danh tiếng vững chắc mà chúng tôi đã xây dựng được.
Quy trình gỡ bỏ
1. Phát hiện và xác minh nhanh chóng
Việc phát hiện được thực hiện thông qua các báo cáo từ cộng đồng qua nền tảng của chúng tôi Bot Telegram, giám sát tự động và các nguồn thông tin tình báo về mối đe dọa. Các đội ngũ của chúng tôi nhanh chóng xác minh các mối đe dọa để đảm bảo tỷ lệ báo động giả ở mức thấp nhất.
2. Phân tích sâu và thu thập chứng cứ
Các chuyên gia phân tích của chúng tôi nghiên cứu sâu về mối đe dọa, xác định các đặc điểm, mục tiêu và phương thức hoạt động của nó. Quá trình này bao gồm phân tích tải trọng độc hại, lập bản đồ hạ tầng và đánh giá tác động đối với nạn nhân. Mọi bằng chứng đều được ghi chép một cách tỉ mỉ.
3. Phối hợp và hành động chiến lược
Đây chính là lúc uy tín của chúng tôi phát huy tác dụng. Chúng tôi đã xây dựng được những mối quan hệ bền chặt với hàng trăm nhà cung cấp dịch vụ lưu trữ, đơn vị đăng ký tên miền và các cơ quan thực thi pháp luật. Khi PhishDestroy gửi báo cáo, hơn 50 hệ thống nhận diện ngay lập tức yêu cầu của chúng tôi. Nếu một trang web bị báo cáo thực sự là trang lừa đảo, trang đó có thể bị đóng cửa chỉ trong vài phút.
4. Thanh lý và giám sát
Mục tiêu cuối cùng là gỡ bỏ hoàn toàn. Ngay khi quá trình gỡ bỏ được khởi động, chúng tôi sẽ theo dõi tình trạng để đảm bảo trang web đó đã ngừng hoạt động và duy trì trạng thái đó. Những nỗ lực của chúng tôi đã giúp ngăn chặn thành công hơn 500.000 tên miền độc hại từ năm 2019, với việc kiểm tra liên tục sau khi tháo dỡ để phát hiện các công trình cơ sở hạ tầng mọc lại chỉ trong vài giờ.
Phương pháp vận hành: Tự động hóa, Độ chính xác, Quy mô
Mô hình của chúng tôi kết hợp báo cáo từ cộng đồng với hệ thống phát hiện tự động và phân tích chính xác. Pipeline này được thiết kế để có thể mở rộng quy mô từ một báo cáo duy nhất lên đến hàng nghìn trường hợp Gỡ bỏ mỗi ngày mà không làm giảm chất lượng.
- Các trình phân tích cú pháp được thiết kế riêng liên tục quét các kết quả tìm kiếm SEO, các vị trí quảng cáo được tài trợ và Google Ads để phát hiện các dấu hiệu lừa đảo — phát hiện các mối đe dọa ngay tại thời điểm quảng cáo trả phí đầu tiên xuất hiện.
- Các mối đe dọa đã được xác định sẽ tự động được gửi đến Hơn 50 nhà cung cấp phần mềm diệt virus và các nguồn thông tin tình báo về mối đe dọa, nhằm tối đa hóa phạm vi chặn trên toàn cầu ngay trong những phút đầu tiên sau khi phát hiện.
- Chúng tôi duy trì một tỷ lệ dương tính giả dưới 0,5%, với hơn 100.000 báo cáo đã được xác thực — chứng minh rằng các hệ thống của chúng tôi không chỉ nhanh chóng mà còn có độ chính xác rất cao.
- Các cộng tác viên đã được xác minh khi gửi Hơn 100 báo cáo chính xác được cấp "đáng tin cậy" trạng thái, cho phép gửi bài trực tiếp mà không cần kiểm duyệt và giúp rút ngắn đáng kể thời gian gỡ bỏ nội dung đối với những người đã từng báo cáo trước đây.
- Trực tiếp đồng hồ đo thiệt hại ước tính thiệt hại tài chính mà những kẻ lừa đảo phải gánh chịu — dựa trên giá trị trung bình của tên miền và chi phí quảng cáo (~15 USD/tên miền đối với các mô hình lừa đảo tiền điện tử điển hình).
Nguồn phát hiện — Nơi các mối đe dọa xuất hiện
Cơ sở hạ tầng lừa đảo hiếm khi ẩn mình — nó còn tự quảng cáo. Chúng tôi thu thập thông tin khách hàng tiềm năng từ:
- Báo cáo của Telegram Bot từ cộng đồng của chúng tôi qua @PhishDestroy_bot — điểm tiếp nhận công cộng chính.
- Công cụ phân tích SEO và quảng cáo trả phí — Google Ads, Bing, Yandex; các từ khóa liên quan đến ví tiền điện tử, sàn giao dịch và cầu nối được tài trợ đang được theo dõi liên tục.
- Nguồn thông tin tình báo về mối đe dọa được các đối tác và nhà nghiên cứu chia sẻ với chúng tôi.
- Mạng lưới bẫy mật và các token cảnh báo dựa trên cụm từ hạt giống, giúp thông báo cho chúng tôi khi những kẻ lừa đảo cố gắng sử dụng dữ liệu bị đánh cắp.
- WHOIS và tính minh bạch của chứng chỉ theo dõi các tên miền trùng lặp mới được đăng ký nhằm vào các thương hiệu được bảo hộ.
Bảo quản chứng cứ — Hồ sơ số vĩnh viễn
Gỡ bỏ chỉ là bước đầu tiên. Bảo quản chứng cứ là ưu tiên hàng đầu của chúng tôi — bởi vì một tên miền đã bị xóa sẽ trở nên vô dụng đối với các nhà điều tra nếu không còn bất kỳ hồ sơ nào lưu lại.
- Mỗi tên miền được phát hiện là được lưu trữ thông qua các máy quét công cộng (urlscan.io, Wayback Machine, các Pipeline tạo bản chụp nhanh của riêng chúng tôi) để thu thập các dấu vân tay đầy đủ của trang web — HTML, ảnh chụp màn hình, các yêu cầu mạng, nội dung JavaScript.
- Mỗi thao tác đều để lại một bản ghi kỹ thuật số không thể bị kẻ tấn công xóa — được công bố công khai trên Danh sách các lệnh xóa trên GitHub và Kho lưu trữ ScamIntelLogs.
- Các tài liệu lưu trữ bao gồm các bảng điều khiển quản trị của kẻ lừa đảo, bản sao lưu cuộc trò chuyện trên Telegram, quy trình thanh toán, hồ sơ nạn nhân và các IOC — giúp xác định thủ phạm và tiến hành truy tố ngay cả nhiều thời gian sau khi các hoạt động này bị gỡ bỏ.
- Trong khi bọn lừa đảo đang xóa dấu vết, chúng tôi lại khiến những dấu vết đó trở nên vĩnh viễn.
Các đối tác và đối thủ trong giới cơ quan đăng ký tên miền
Tốc độ gỡ bỏ phụ thuộc hoàn toàn vào mức độ phản hồi của nhà đăng ký tên miền và nhà cung cấp dịch vụ lưu trữ. Dữ liệu từ các đối tác của chúng tôi cho thấy một sự chênh lệch rõ rệt:
- Các đối tác tích cực:NamecheapChỉ riêng đội ngũ xử lý các trường hợp lạm dụng hoạt động 24/7 của [tên tổ chức] đã góp phần loại bỏ Hơn 30.000 tên miền độc hại. GoDaddy, Hostinger, Squarespace, và IONOS luôn có hành động trong vòng vài giờ sau khi nhận được báo cáo đã được xác minh.
- Các yếu tố thúc đẩy bền vững:NiceNIC, Cosmotown, NameSilo, và Webnic liên tục phớt lờ các báo cáo về hành vi lạm dụng — thực chất đã trở thành nơi ẩn náu an toàn cho các hoạt động tội phạm mạng. Xem bài điều tra của chúng tôi: Cách NameSilo, Webnic và NiceNIC tạo điều kiện cho các vụ lừa đảo trên toàn cầu.
Trả thù hình sự — Xác nhận tác động
Hiệu quả hoạt động của chúng tôi đã gây ra phản ứng dữ dội có tổ chức, và chúng tôi coi đó là bằng chứng cho thấy tác động của chúng tôi chứ không phải là sự gây rối:
- Các cuộc tấn công DDoS nhắm vào hệ thống cơ sở hạ tầng của chúng tôi (đã được Cloudflare giảm thiểu).
- Các chiến dịch bôi nhọ và gỡ bỏ được phối hợp thực hiện thông qua các bài đăng PR trả phí (xem Cách thức mà quảng cáo trả phí làm sai lệch nhận thức về an ninh mạng).
- Báo cáo hàng loạt các tài khoản mạng xã hội của chúng tôi nhằm ngăn chặn các bài báo.
- Tài khoản X (Twitter) của chúng tôi với Hơn 140.000 báo cáo về lừa đảo qua email đã được ghi nhận đã bị đình chỉ vĩnh viễn sau khi chịu áp lực từ cơ quan đăng ký — xem NameSilo đã làm hỏng tài khoản Twitter của chúng tôi. Kho lưu trữ này vẫn mở cho công chúng: Kho lưu trữ GitHub.
Bọn tội phạm cố gắng xóa dấu vết của mình; còn chúng tôi đảm bảo những dấu vết đó sẽ tồn tại mãi mãi.
Tình trạng pháp lý và sự phối hợp
Chúng tôi là một tổ chức phi lợi nhuận, tập thể điều hành — không phải là một công ty, không phải là một pháp nhân, và không liên kết với bất kỳ chính phủ nào. Mọi hoạt động của chúng tôi đều diễn ra công khai:
- Tất cả các báo cáo và bằng chứng đều được công khai trên GitHub, Telegram và Mastodon — không có thông tin nào bị che giấu hay lưu trữ riêng tư.
- Trong các cuộc điều tra quy mô lớn liên quan đến việc xác định nguồn gốc của các tác nhân, truy vết dòng tiền hoặc lập bản đồ cơ sở hạ tầng, chúng tôi chính thức chuyển giao toàn bộ hồ sơ chứng cứ cho các cơ quan thực thi pháp luật hoặc các đội CERT.
- Tất cả các vụ chuyển giao như vậy đều được thực hiện hoàn toàn tuân thủ pháp luật và chỉ khi thông tin tình báo có cơ sở để hành động đã được xác minh.
- Chúng tôi Không lưu trữ bất kỳ dữ liệu cá nhân nào của những người đóng góp — bảo vệ những người tố cáo khỏi các hành vi trả đũa và loại bỏ rủi ro rò rỉ dữ liệu.
Nhiệm vụ của chúng tôi là ghi chép và vô hiệu hóa các hoạt động độc hại, sau đó hỗ trợ những người có thẩm quyền pháp lý để xử lý các bằng chứng đó.
Qua các con số
- 500,000+ Các tên miền lừa đảo và gian lận đã bị vô hiệu hóa kể từ năm 2019.
- 130,000+ các mối đe dọa đang hoạt động được tổng hợp trong danh sách tiêu diệt.
- 50+ Các nhà cung cấp phần mềm diệt virus và các nền tảng thông tin về mối đe dọa đều nhận được các nguồn dữ liệu của chúng tôi.
- 30,000+ các tên miền đã được xóa chỉ thông qua chương trình hợp tác với Namecheap.
- <0,5% tỷ lệ dương tính giả trên toàn 100,000+ các báo cáo đã được xác thực.
- 140,000+ các báo cáo đã được lưu trữ sau khi tài khoản X của chúng tôi bị tạm ngưng.
- Hơn 888.000 người đăng ký cộng đồng trên các nguồn tin.
Bạn có thể giúp đỡ như thế nào
- Báo cáo tên miền:@PhishDestroy_bot trên Telegram.
- Đăng ký nhận thông báo:@PhishDestroyAlerts.
- Sử dụng danh sách chặn của chúng tôi trong tường lửa, hệ thống DNS hoặc hệ thống bảo mật của bạn: github.com/PhishDestroy/destroylist.
- Hãy đọc các bài điều tra của chúng tôi:Các cơ quan đăng ký tên miền tạo điều kiện cho các vụ lừa đảo, $100K returned, Hơn 150 tiện ích mở rộng Mozilla giả mạo.
"Hành động tập thể là lá chắn vững chắc nhất. Hành trình của chúng tôi minh chứng cho những thành tựu có thể đạt được khi công nghệ, chuyên môn và cộng đồng cùng nhau đoàn kết chống lại tội phạm mạng."





