Bài xã luận — Bài bình luận

Kẻ thù thực sự không phải là kẻ lừa đảo. Mà chính là cơ quan đăng ký tên miền đang thu tiền từ những tấm séc đó.

Kẻ lừa đảo chỉ là một mắt xích rẻ tiền, dễ thay thế trong một nền kinh tế đầy tuyệt vọng. Đơn vị đăng ký tên miền nhận tiền điện tử của hắn với nụ cười trên môi — và ICANN, tổ chức không buộc hắn phải chịu trách nhiệm về hành vi đó — mới chính là căn bệnh.

PhishDestroyHoạt động nghiên cứu độc lập về chống lừa đảo qua emailThời gian đọc: 11 phút
Kẻ thù thực sự không phải là kẻ lừa đảo — mà là cơ quan đăng ký tên miền — bài bình luận của PhishDestroy

Hãy thẳng thắn thừa nhận một điều mà ngành chống gian lận không thích nói ra: phần lớn những kẻ lừa đảo không phải là những “bộ óc tội phạm” tài ba. Chúng không hề tinh vi. Phần lớn trong số chúng thậm chí còn không đủ năng lực.

Đừng có đi săn lùng những tên lính quèn nữa

Chúng tôi đã theo dõi các tác nhân đe dọa trong nhiều năm. Chúng tôi chứng kiến họ liên tục thay đổi hình thức lừa đảo: hôm nay là nhóm đánh cắp thông tin, ngày mai là nhóm phát triển phần mềm rút tiền, quý tới lại là cửa hàng buôn bán thông tin thẻ tín dụng. Chúng tôi theo dõi cách chúng di chuyển các danh tính giả mạo và hạ tầng của mình — tháng này là Thụy Sĩ, tháng sau là Thổ Nhĩ Kỳ. Chúng không giấu giếm kỹ lưỡng. Chúng để lại những dấu vết mà ngay cả một chuyên viên phân tích năm nhất cũng có thể theo dõi được. Hầu hết chúng đều dấn thân vào “ngành kinh doanh” này vì một lý do đơn giản: chúng không có lối thoát nào khác và cũng không đủ trí tuệ để làm bất cứ việc gì hợp pháp.

Vậy tại sao vấn đề này lại ngày càng trầm trọng hơn? Bởi vì số lượng những kẻ xấu là vô cùng lớn, và việc truy lùng từng kẻ một là điều vô nghĩa về mặt toán học.

Hãy xem nền tảng tình báo Telegram của chúng tôi. Chỉ riêng trong bộ dữ liệu của chúng tôi đã có gần 130 nghìn đối tượng độc hại — và đó mới chỉ là một bộ dữ liệu.

4,678
các nguồn Telegram được theo dõi (4.394 nguồn còn hoạt động)
Hơn 12,4 triệu
các tin nhắn đã thu thập
129,718
các đối tượng độc hại cụ thể đã được lập hồ sơ
10×
số lượng quái vật thay thế xuất hiện mỗi lần hạ gục
Giao diện đã được che bớt thông tin của bảng điều khiển tình báo Telegram PhishDestroy — khoảng 95.000 tài khoản được phát hiện trên 3.485 bot đang được theo dõi, các mã định danh cá nhân đã được làm mờ
Một lần quét các bot Telegram đang được theo dõi: 94,972 phát hiện các tài khoản trên khắp 3,485 bot. Các mã định danh riêng lẻ là đã được che đi — việc xuất hiện trong danh sách người dùng của một bot đang được theo dõi là một kết luận, không phải phán quyết.

Nếu cộng thêm hàng nghìn đối tượng khác đã được xác định qua các cuộc điều tra trước đây của các nhóm nghiên cứu khác, bức tranh sẽ trở nên rõ ràng: không thể giải quyết vấn đề bằng cách bắt giữ khi quy mô đối tượng lừa đảo lớn đến vậy. Bắt giữ một đối tượng, một nhóm — sau hàng tháng trời làm việc pháp lý, những rắc rối về thẩm quyền xuyên biên giới và số tiền liên quan đến các vụ án thường không đủ để thu hút sự quan tâm của cơ quan thực thi pháp luật — thì ngay trong tuần đó đã có mười người thay thế xuất hiện. Mỗi kẻ lừa đảo chỉ là một mắt xích rẻ tiền và dễ thay thế.

Các con số chỉ thay đổi khi bạn thay đổi bối cảnh kinh tế. Miễn là các vụ lừa đảo vẫn có chi phí thấp — tên miền giá rẻ, các nhà đăng ký tên miền không yêu cầu xác minh, thanh toán bằng tiền điện tử không cần xác thực — thì chúng sẽ vẫn diễn ra tràn lan. Chiến lược duy nhất có thể mở rộng quy mô là làm cho các vụ lừa đảo trở nên tốn kém. Và điều đó dẫn thẳng đến những người hiện đang khiến chúng trở nên rẻ mạt:

Các cơ quan đăng ký.

Các con số cho thấy đây là một cuộc khủng hoảng. Ngành công nghiệp này lại giả vờ rằng đó chỉ là chuyện nhất thời.

Đây không phải là quan điểm của chúng tôi. Đây là thực trạng đã được ghi nhận của Internet:

FBI IC3 · 2024

$16B lost, +33% YoY

Trung tâm Báo cáo Tội phạm Công nghệ Thông tin (IC3) của FBI đã nhận được 859.532 đơn khiếu nại vào năm 2024 với mức lỗ được báo cáo vượt quá $16 billion — tăng 33% so với năm 2023 — và loại tội phạm mạng đứng đầu về số lượng đơn khiếu nại là lừa đảo qua email (phishing/spoofing). Gần 150.000 đơn khiếu nại liên quan đến tài sản kỹ thuật số, với tổng giá trị lên tới $9.3 billion về khoản lỗ — tăng 66% so với năm trước.

Interisle · 2025

Tình trạng lừa đảo qua email đã tăng 180% kể từ năm 2021

Nghiên cứu thường niên của Interisle Consulting, sau khi phân tích gần bốn triệu báo cáo về lừa đảo qua email trong khoảng thời gian từ tháng 5 năm 2024 đến tháng 4 năm 2025, đã phát hiện số vụ lừa đảo qua email được báo cáo đạt mức gần hai triệu vụ tấn công — tăng hơn 180% so với năm 2021. Báo cáo này cũng nhấn mạnh việc bọn tội phạm dễ dàng lợi dụng các chính sách ngành và thực tiễn kinh doanh nới lỏng để đăng ký tên miền.

Hãy đọc lại dòng cuối cùng đó. Nghiên cứu độc lập hàng đầu trong lĩnh vực này khẳng định chính xác điều chúng tôi đã nói: yếu tố tạo điều kiện là những thực tiễn buông lỏng trong ngành. Không phải sự “thiên tài” của kẻ lừa đảo. Mà là sự buông lỏng. Và sự tập trung đã chứng minh điều đó: Interisle phát hiện ra rằng trong một chiến dịch, một mẫu gồm 37.000 tên miền liên quan đến lừa đảo phí cầu đường chưa thanh toán đã cho thấy 65% trong số đó đã được đăng ký thông qua một nhà đăng ký duy nhất của Trung Quốc.

Nền kinh tế lừa đảo không phân bố ngẫu nhiên trên internet. Nó tập trung quanh các nhà đăng ký tên miền cụ thể — bởi vì những kẻ lừa đảo tìm cách mua sự im lặng.

Các cơ quan đăng ký không phải là bên trung lập. Họ là những bên tham gia được trả tiền.

Có một quan niệm phổ biến nhưng sai lầm rằng các nhà đăng ký tên miền là “cơ sở hạ tầng trung lập” — những đơn vị cung cấp dịch vụ thụ động, không có lợi ích gì liên quan đến những gì diễn ra trên các tên miền mà họ bán ra.

Đây là một lời nói dối. Một nhà đăng ký tên miền là một tổ chức vì lợi nhuận, trực tiếp thu được doanh thu từ mỗi tên miền lừa đảo mà họ từ chối đình chỉ. Mỗi báo cáo lạm dụng bị phớt lờ đều là nguồn doanh thu được bảo toàn. Mỗi câu trả lời kiểu “chúng tôi không thể đánh giá nội dung” đều là một quyết định kinh doanh được ngụy trang dưới vỏ bọc lập trường pháp lý.

Những kẻ lừa đảo không chọn nhà đăng ký tên miền vì trang giá cả hay thiết kế. Chúng chọn nhà đăng ký tên miền nào không đặt câu hỏi, không tạm ngưng tên miền, chấp nhận thanh toán bằng tiền điện tử mà không cần xác minh, và im lặng trước các báo cáo về hành vi lạm dụng. Đó là một thị trường. Đó là một sản phẩm. Và chính dữ liệu của ngành này cho thấy ai là người bán nó. Theo Kết quả nghiên cứu của Interisle, năm nhà đăng ký tên miền cấp cao chung (gTLD) hàng đầu tính theo khối lượng lừa đảo thô là NameSilo, GoDaddy, GMO (Onamae), PublicDomainRegistry và NameCheap; khi tính theo các tên miền đang được quản lý, những tên miền bị lạm dụng nhiều nhất là NiceNIC, URL Solutions, Aceville, WebNic và OwnRegistrar — trong đó, 45% danh mục gTLD của NiceNIC đã bị báo cáo là liên quan đến lừa đảo qua email.

45% danh mục đầu tư đã được báo cáo là liên quan đến lừa đảo qua email. Vậy thì đến mức nào thì “cơ sở hạ tầng trung lập” lại trở thành “chuỗi cung ứng tội phạm”?

Ai là cơ quan quản lý các nhà đăng ký tên miền? Về mặt kỹ thuật thì là ICANN. Trên thực tế thì không ai cả.

Trên các cơ quan đăng ký là ICANN. Trên ICANN không có tổ chức nào khác.

Một liên kết lừa đảo được “đóng dấu xác thực” bằng con dấu chứng nhận trong khi tiền điện tử đang mất giá — lỗ hổng trong việc thực thi của ICANN
Chứng nhận chỉ là hình thức: Điều 3.18 của RAA quy định các cơ quan đăng ký phải có biện pháp xử lý các hành vi lạm dụng — nhưng một cơ chế tuân thủ mà việc tuân thủ lại mang tính tự nguyện thì không thể coi là quy định.

Thỏa thuận công nhận nhà đăng ký tên miền năm 2013 của ICANN, Mục 3.18, quy định bằng hợp đồng rằng mọi cơ quan đăng ký được công nhận phải duy trì một kênh liên lạc chuyên trách về các trường hợp lạm dụng và thực hiện các biện pháp hợp lý và kịp thời để điều tra cũng như xử lý phù hợp các báo cáo về lạm dụng. Trên giấy tờ — đây là một nghĩa vụ có thể thi hành.

Trên thực tế thì sao? Dựa trên những gì chúng tôi quan sát được hàng ngày tại tuyến đầu, chúng tôi ước tính rằng chỉ riêng một nhà đăng ký tên miền có chính sách dung túng hành vi lạm dụng đã vi phạm Điều 3.18 ít nhất ~1.000 lần mỗi năm — các báo cáo bị phớt lờ, những cuộc “điều tra” hư cấu, các tên miền lừa đảo vẫn tồn tại hàng tuần liền trong khi nạn nhân phải gánh chịu thiệt hại. Nếu nhân rộng quy mô đó ra toàn ngành trong vòng năm năm, con số thực tế của những sự cố thuộc mức độ 3.18 có thể lên tới một triệu báo cáo bị phớt lờ hoặc xử lý sai. Không ai biết con số thực sự là bao nhiêu, bởi vì không ai bị bắt buộc phải thống kê. Đó chính là vấn đề.

Còn bộ công cụ thực thi của ICANN thì sao? Thực chất chỉ là một “nút bấm hạt nhân”: thu hồi giấy phép. Không có tiền phạt. Không có mức phạt tăng dần. Không có bồi thường cho nạn nhân. Và nút bấm đó hầu như chỉ được sử dụng đối với các nhà đăng ký tên miền đã “chết” — những vỏ bọc không còn đóng phí nữa. Tại sao? Bởi vì ICANN được tài trợ bởi các khoản phí từ chính những nhà đăng ký tên miền mà họ “quản lý”. Cắt đứt một nhà đăng ký tên miền lớn, có lợi nhuận cao và thường xuyên vi phạm nghĩa là cắt đứt nguồn thu nhập của chính họ. Về mặt cấu trúc, họ không thể nào muốn thực thi các biện pháp này.

ICANN đã đảm nhận vai trò cơ quan quản lý trên danh nghĩa — chính xác là để duy trì tính độc lập của mình và ngăn chặn sự can thiệp của các chính phủ. Kết quả là: một quy định mà không nhà đăng ký nào phải lo ngại. Đúng vậy, đã có những tiền lệ — các thông báo yêu cầu tuân thủ và cảnh báo (Trường hợp của WebNIC (trong số đó). Hãy nhìn vào hậu quả. Một lá thư với giọng điệu cứng rắn so với một mô hình kinh doanh mang lại hàng triệu. Một cơ chế tuân thủ mà việc tuân thủ là tùy chọn thì không phải là quy định. Đó chỉ là một vở kịch.

Nghiên cứu điển hình: NameSilo — “tăng trưởng nhanh nhất,” nhưng cũng “bỏ rơi khách hàng nhanh nhất”

NameSilo là một công ty niêm yết trên sàn chứng khoán. Công ty này nộp các báo cáo cho sàn chứng khoán, trong đó thể hiện doanh thu lên đến hàng triệu và tự quảng bá mình là một trong những nhà đăng ký tên miền phát triển nhanh nhất thế giới. Đồng thời, theo nghiên cứu độc lập được trích dẫn ở trên, công ty này cũng đứng đầu bảng xếp hạng về khối lượng lừa đảo qua email (phishing) thô. Có phải là sự trùng hợp ngẫu nhiên? Dưới đây là những gì chúng tôi đã tận mắt chứng kiến:

Đã được ghi chép

Hai mươi báo cáo, sau đó là “không có báo cáo nào trước đó”

Chúng tôi đã báo cáo một trang web lừa đảo cho NameSilo. Không chỉ một lần — ít nhất 20 báo cáo đã được ghi nhận trên tên miền đó, kèm theo bằng chứng, ảnh chụp màn hình, bản quét và phân tích. Không có gì xảy ra cho đến khi chúng tôi công khai vụ việc trên Twitter/X. Phản hồi công khai của NameSilo: rằng họ “chưa nhận được bất kỳ báo cáo nào trước đó”. Một nhà đăng ký tên miền niêm yết trên sàn chứng khoán, khi đối mặt với bằng chứng được ghi chép rõ ràng về 20 báo cáo lạm dụng bị phớt lờ, lại công khai khẳng định rằng những báo cáo đó không tồn tại. Điều này hoặc là do quy trình xử lý báo cáo lạm dụng của họ bị hỏng mà họ từ chối khắc phục, hoặc là một lời nói dối công khai. Cả hai đều không thể chấp nhận được — và cả hai đều mang lại lợi nhuận.

NameSilo đã trực tiếp phớt lờ bao nhiêu yêu cầu bảo vệ người dùng Mỹ để tránh mất doanh thu? Dựa trên kinh nghiệm của mình, chúng tôi sẽ trả lời: không chỉ nhiều — mà chúng tôi tin rằng đó là phần lớn. Và không có bất kỳ sự chịu trách nhiệm nào về điều này.

Chuyện còn hay hơn nữa. NameSilo đã công khai mô tả việc giúp một khách hàng — một khách hàng mà họ khẳng định chưa từng nhận được bất kỳ khiếu nại nào — xóa các kết quả phát hiện trên VirusTotal. Hãy theo dõi logic sau đây:

  • Được yêu cầu tạm ngưng một tên miền lừa đảo: "Chúng tôi không đủ thẩm quyền để xác định điều gì là độc hại."
  • Hỗ trợ khách hàng đã thanh toán: bỗng nhiên có thẩm quyền bác bỏ các kết luận phát hiện từ các nhà cung cấp giải pháp an ninh thuộc danh sách Fortune 500.

Bạn không thể vừa lấy sự thiếu năng lực kỹ thuật làm lá chắn, vừa lấy uy tín chuyên môn làm dịch vụ. Hãy chọn một trong hai. Đây không phải là sự cố ngẫu nhiên và cũng không phải là trường hợp cá biệt. Đó là một xu hướng: ham tiền, không làm gì cả, và không chịu trách nhiệm trước ai cả.

Giá trị thực sự của chứng nhận ICANN là gì: Trustname, ngay lúc này

Xung đột lợi ích mang tính cấu trúc và rất đơn giản: Một cơ quan quản lý không bao giờ được thu nguồn thu trực tiếp từ các bên mà mình quản lý. ICANN thì có — và chúng tôi hiểu rằng khoảng 400 nhân viên của tổ chức này chắc chắn đang bận rộn với những vấn đề cấp bách hơn là sự an toàn của những người dùng mà các tên miền này được thiết kế để vét sạch ví tiền của họ.

Dưới đây là giá trị thực tế của chứng nhận đó trong thực tiễn, ngay tại thời điểm hiện tại. Hãy xem xét Tên ủy thác (Fewmoretaps OÜ) — một nhà đăng ký tên miền mà chúng tôi được ghi chép chi tiết. Trên giấy tờ, đây là một công ty của Estonia; về mặt vận hành, công ty này được điều hành từ Belarus do một chủ sở hữu kiêm người điều hành duy nhất — người nắm giữ 100% cổ phần, đồng thời là Giám đốc điều hành và nhân viên duy nhất của công ty. Doanh thu công bố năm 2024: 120 €. Công ty này chỉ mới bắt đầu kinh doanh tên miền một cách chính thức từ năm nay. Và chứng nhận ICANN của công ty (IANA #4318) là vẫn đang hoạt động ngay cả khi công ty đang trong quá trình thanh lý. Trong số khoảng 7.641 tên miền mà công ty này quản lý, 86% trong số các mã độc đang hoạt động đã được xác nhận là có hại.

Đó chính là đối tượng mà ICANN đã trao tặng “dấu hiệu tin cậy”. Và đây không phải là cách chúng tôi đánh giá cách tổ chức này xử lý các hành vi lạm dụng — mà là đánh giá của Trustname chính sách về lạm dụng do chính họ ban hành:

“Theo hướng dẫn của ICANN, trong hầu hết các trường hợp, để thực hiện các biện pháp đối với một tên miền, nhà đăng ký phải được cung cấp một lệnh tòa án hợp lệ hoặc sự đồng ý của chủ sở hữu tên miền.”

“Các báo cáo chỉ được nhận thông qua các hệ thống phân tích mối đe dọa tự động sẽ được coi là manh mối điều tra, chứ không phải là bằng chứng xác định… Trustname cũng có thể yêu cầu xác nhận rằng hành vi lạm dụng bị cáo buộc vẫn đang diễn ra tại thời điểm xem xét.”

“Các báo cáo về hành vi lạm dụng được gửi từ các dịch vụ email miễn phí hoặc ẩn danh (ví dụ: @gmail.com, @proton.me) sẽ phải trải qua quy trình xác minh bổ sung.”

“Chúng tôi không đánh giá tính hợp pháp của nội dung trên một trang web và sẽ chỉ thực hiện các biện pháp khi có chỉ đạo từ cơ quan thực thi pháp luật hoặc trong những trường hợp rõ ràng vi phạm các điều khoản của chúng tôi.”

Hãy xem xét nó như một hệ thống, và thiết kế của nó là không thể nhầm lẫn: một thiết kế hợp lệ quyết định của tòa án để can thiệp vào một tên miền; các trường hợp phát hiện thực sự bị hạ cấp xuống chỉ còn là những “dấu vết”; yêu cầu bạn phải xác nhận lại vụ lừa đảo là vẫn còn sống vào thời điểm xem xét — sau khi họ đã trì hoãn đủ lâu; yêu cầu “xác minh” bổ sung đối với bất kỳ ai gửi báo cáo từ Gmail hoặc Proton; và việc từ chối một cách chung chung việc đánh giá nội dung, đồng thời lịch sự hướng dẫn người dùng “liên hệ với nhà cung cấp dịch vụ lưu trữ của bạn”. Kết hợp điều đó với các biện pháp bảo vệ quyền riêng tư do nhà đăng ký tên miền sở hữu — những biện pháp chấp nhận thanh toán bằng tiền điện tử và loại bỏ thư từ vật lý — thì bạn sẽ không có một quy trình xử lý lạm dụng nào cả. Bạn sẽ có bảo vệ bằng thủ tục giấy tờ — và nó được in trên giấy tiêu đề của một nhà đăng ký tên miền được ICANN công nhận.

Điều này trực tiếp chỉ trích ICANN. Một thực thể do Belarus điều hành, chỉ có một người, với doanh thu 120 euro — hiện đang trong quá trình giải thể — lại đang sở hữu giấy chứng nhận còn hiệu lực và công khai đăng tải một chính sách được thiết kế sao cho không bao giờ đình chỉ bất kỳ hoạt động nào. Công cụ mạnh mẽ nhất mà ICANN có để phản hồi chỉ là một lá thư; phản ứng mà chúng ta đã thấy đối với những lá thư như vậy là việc cập nhật Điều khoản Sử dụng, chứ không phải là việc đình chỉ. Một cơ quan quản lý mà hình thức xử phạt cao nhất chỉ là một lá thư — và bị đáp trả bằng việc chỉnh sửa Điều khoản — thì không phải là cơ quan quản lý. Trong khi đó, mỗi ngày, những người thật sự lại bị mất tiền vì .com và các tên miền khác cũng phải qua tay các nhà khai thác như thế này trong khi thủ tục giấy tờ vẫn đang được xử lý. Ba lệnh tòa yêu cầu gỡ bỏ một trang lừa đảo đang hoạt động không phải là thủ tục pháp lý đúng đắn; đó là một trò hề, và ICANN đang tiếp tay cho trò hề này bằng cách cấp phép cho chính những nhà khai thác đang đòi hỏi điều đó.

Trustname không phải là một sự cố ngẫu nhiên; đó chính là hậu quả của việc quy trình công nhận diễn ra một cách hời hợt và thiếu trách nhiệm giải trình. Một số quốc gia thành viên EU — trong đó có Estonia (nơi có một danh sách dài các công ty vỏ bọc như vậy, Keitaro (bao gồm cả), và Vương quốc Anh với thủ tục thành lập doanh nghiệp cực kỳ rẻ — bán quyền truy cập vào các dịch vụ và doanh nghiệp với mức giá loại bỏ mọi hình thức kiểm tra thực sự. Kết quả là một môi trường vốn đã tồn tại sự thiếu tin tưởng, ngay cả đối với các doanh nghiệp hợp pháp, bởi vì không ai kiểm tra và không ai phải chịu trách nhiệm. Chúng tôi cũng đã vấp phải những biến thể của “bức tường lệnh tòa án” tương tự với một số nhà cung cấp dịch vụ có mã quốc gia cụ thể; những trường hợp này sẽ được chúng tôi ghi chép riêng biệt.

// The regulator that isn’t

Một cơ quan quản lý hoạt động hiệu quả cần có những yếu tố nào

  • Các mức phạt tăng dần tùy theo mức độ thiệt hại gây ra
  • Các hình phạt nhẹ hơn án tử hình
  • Tiền bồi thường đã được chuyển đến các nạn nhân
  • Kiểm toán độc lập — chứ không phải tự xác nhận
  • Nguồn tài trợ độc lập với các tổ chức chịu sự quản lý
  • Khả năng ngăn chặn một mối nguy hiểm đang diễn ra chỉ trong vài giờ

ICANN có những gì

  • Một biện pháp trừng phạt: một lá thư có lời lẽ mạnh mẽ
  • Chỉ dùng để kết thúc — chủ yếu được sử dụng trên các vỏ lệnh đã ngừng hoạt động
  • Không bị phạt tiền. Không phải bồi thường.
  • Tuân thủ theo cơ chế tự giác và tự xác nhận
  • Được tài trợ từ các khoản phí do các cơ quan đăng ký mà nó “quản lý” thu
  • Những nạn nhân bị lạm dụng bị bỏ mặc sống sót trong nhiều tuần do các yêu cầu từ “lệnh tòa”
120 €Doanh thu năm 2024 do Trustname công bố
86%trong số các tên miền đang hoạt động của nó, có nội dung độc hại
$0các mức phạt mà ICANN có thể áp dụng
1công cụ thực thi — một lá thư

ICANN không hề thất bại trong việc quản lý nền kinh tế tên miền.
Nó vốn dĩ không được xây dựng để làm điều đó.

Giải pháp rất rõ ràng: phạt tiền và trách nhiệm pháp lý

Chúng tôi không yêu cầu quyền kiểm duyệt. Chúng tôi chỉ yêu cầu điều mà mọi ngành nghề khác đều đã có: các biện pháp xử lý về mặt tài chính đối với hành vi vi phạm nghĩa vụ hợp đồng.

Mức phạt tăng dần

  • Một nhà đăng ký tên miền phớt lờ ba báo cáo lạm dụng có căn cứ — kèm theo bằng chứng, bản quét và phân tích — liên quan đến cùng một tên miền độc hại? Sẽ bị xử phạt tự động.

Trách nhiệm đối với nạn nhân

  • Tiền phạt phải nộp cho nạn nhân hoặc cho nhà nước nơi xảy ra tội phạm.
  • Nếu một người dùng tại Hoa Kỳ bị mất tiền do một tên miền lừa đảo mà nhà đăng ký đã được cảnh báo nhưng không có biện pháp xử lý nào — thì nhà đăng ký đó phải chịu trách nhiệm chung vì đã không thực hiện nghĩa vụ rõ ràng của mình trong việc giảm thiểu thiệt hại.

Sự minh bạch đối với công chúng

  • Yêu cầu bắt buộc về tính minh bạch trong việc báo cáo các hành vi lạm dụng — số lượng báo cáo nhận được, thời gian phản hồi, các biện pháp đã thực hiện — được công bố hàng quý và có thể kiểm toán.
  • NameSilo không bao giờ có thể khẳng định rằng “chưa có báo cáo nào trước đó” khi đối chiếu với nhật ký công khai.

Kiểm toán độc lập

  • Việc kiểm toán độc lập về quy trình xử lý các trường hợp lạm dụng là điều kiện để gia hạn chứng nhận — chứ không phải là tự xác nhận.

Các cơ quan đăng ký sẽ than vãn rằng “không thể đòi hỏi họ phải xác định thế nào là lừa đảo qua email”. Câu hỏi ngược lại: các vị có khả năng nhận tiền và ký cam kết công nhận — nhưng lại không thể tuân thủ chúng sao? Nếu một nhà đăng ký thực sự không thể đánh giá một báo cáo lạm dụng kèm theo bằng chứng, thì họ không có tư cách để giữ chứng nhận mà theo hợp đồng lại yêu cầu chính xác điều đó.

Điều gì nên thay thế nó: một sổ cái ghi chép các hành vi lạm dụng mở và theo thời gian thực

Chúng tôi không đề xuất thành lập một tổ chức ICANN thứ hai — chúng tôi không cần điều đó. Hai trong số các hệ thống chịu tải chính của Internet đã phần nào hé lộ câu trả lời: Tính minh bạch của chứng chỉ TLS/SSLWHOIS — các hồ sơ công khai, có thể tra cứu. Việc xử lý các trường hợp lạm dụng cũng nên được thực hiện theo cách tương tự: một sổ đăng ký công khai, minh bạch về mọi báo cáo lạm dụng mà cơ quan đăng ký nhận được, cùng với các biện pháp cụ thể mà cơ quan này đã thực hiện để ứng phó — có dấu thời gian, có thể kiểm tra được và không thể chối cãi sau này.

Khi cuốn sổ cái đó được thiết lập, phần lớn nền kịch nghệ ngày nay sụp đổ:

  • Không có lệnh của tòa án nước ngoài nào nhằm ngăn chặn một mối đe dọa đang diễn ra. Một trang web lừa đảo nhằm đánh cắp tiền trong ví điện tử là mối nguy hại ngay trước mắt; việc chặn trang web đó không nên phải chờ phán quyết từ một tòa án trên hòn đảo nào đó thuộc vùng lãnh thổ hải ngoại. Bằng chứng đã có trong báo cáo, và hồ sơ công khai cho thấy cơ quan đăng ký có hành động hay không.
  • Việc phân loại bệnh nhân có thể được tự động hóa. Các nhà đăng ký khẳng định họ đang phải đối mặt với một lượng lớn “các cuộc tấn công” và các báo cáo rác — và đó chính xác là loại lọc mà một Lớp AI hoạt động hiệu quả: lọc bỏ những thông tin nhiễu, làm nổi bật các trường hợp có căn cứ và ghi lại mọi quyết định. Một cơ chế đơn giản, minh bạch được đặt trước quy trình xử lý các trường hợp lạm dụng đã có thể mang lại hiệu quả cao hơn so với quy trình hiện tại do con người thực hiện một cách thiếu hệ thống. Bạn không cần một “số 2” của ICANN để làm điều đó.
  • Lý do đó không còn hợp lệ nữa. Mỗi khi bán được một tên miền, nhà đăng ký sẽ nhận được hoa hồng; việc xử lý các hành vi lạm dụng chính là phần còn lại của giao dịch đó, chứ không phải là một ân huệ. Câu nói “chúng tôi không đủ năng lực” của NameSilo là một quyết định kinh doanh, chứ không phải là hạn chế kỹ thuật — và một công ty thực sự không thể phân biệt được bộ công cụ lừa đảo (phishing kit) với lưu lượng truy cập hợp pháp thì nên tập trung vào các mảng kinh doanh khác, chứ không phải vô tình tiếp tay cho các hoạt động lừa đảo và phishing.
  • Không còn câu “chúng tôi chưa bao giờ nhận được báo cáo” nữa. WebNic và NiceNic đã trả lời chúng tôi bằng các thư trả lời tự động, yêu cầu cung cấp ảnh chụp màn hình – thứ vốn đã được đính kèm trong báo cáo; NameSilo thì tuyên bố công khai rằng “chưa từng có bất kỳ khiếu nại nào”. Không một động thái nào trong số đó có thể đứng vững trước sự kiểm chứng của sổ cái công khai có ghi rõ thời gian.

Và sổ cái đưa ra kết quả duy nhất có ý nghĩa có hiệu lực thi hành. Khi nạn nhân bị mất tiền vào tay một tên miền vài ngày sau đó một báo cáo có căn cứ đã được lưu trong hồ sơ — và hồ sơ công khai cho thấy cơ quan đăng ký đã cố tình trì hoãn việc xử lý — thì điều đó không còn là một “vùng xám” đáng tiếc nữa. Đó là một sai sót đã được ghi chép rõ ràng kèm theo dấu thời gian, và cơ quan đăng ký phải chịu trách nhiệm tài chính đối với sự cố cụ thể đó.

Hãy áp đặt một mức phạt đối với công ty đăng ký tên miền đã để xảy ra tình trạng cạn kiệt tài khoản sau khi chúng tôi đã cảnh báo, và mọi công ty đăng ký tên miền trên thế giới sẽ bỗng chốc trở nên chuyên nghiệp.

Đó chính là toàn bộ cơ chế. Ngay khi chi phí để phớt lờ một báo cáo cao hơn chi phí để xử lý báo cáo đó, cái cớ “chúng tôi không đủ năng lực” sẽ chấm dứt, các bộ phận xử lý lạm dụng đột nhiên có đủ ngân sách và nhân sự, còn những kẻ lừa đảo vốn tìm cách mua sự im lặng sẽ phát hiện ra rằng không còn gì để mua nữa — và lặng lẽ từ bỏ các tên miền mà chúng từng trông cậy.

Sự minh bạch chính là giải pháp. Bạn không thể lặng lẽ phớt lờ một báo cáo mà ai cũng có thể thấy rằng bạn đã nhận được.

Tóm lại

$16 billion in reported losses in a single year. Phishing up 180% since 2021. 130,000 malicious actors in one monitoring dataset alone. And the entire pipeline still starts the same way: a cheap domain, sold by a registrar that will never answer for its silence.

Kẻ lừa đảo chỉ là triệu chứng — một mắt xích có thể thay thế, phần lớn là những kẻ thiếu thông minh trong một nền kinh tế đầy tuyệt vọng. Nhà đăng ký tên miền nhận tiền điện tử của hắn với nụ cười trên môi, phớt lờ hai mươi báo cáo vi phạm, rồi còn công khai nói dối về việc đó — đó mới chính là căn bệnh. Còn những quy định “hình thức” của ICANN chính là hệ thống miễn dịch đã quyết định không xuất hiện.

Tình trạng lừa đảo sẽ vẫn diễn ra trên quy mô lớn chừng nào nó còn rẻ. Và nó sẽ vẫn rẻ chừng nào các nhà đăng ký tên miền còn im lặng — và không phải trả giá gì cho sự im lặng đó.

Chúng tôi sẽ tiếp tục nêu tên cụ thể. Chúng tôi sẽ tiếp tục công bố bằng chứng. Các cơ quan đăng ký tên miền không hề trung lập. Tình trạng miễn trừ trách nhiệm chính là mô hình kinh doanh của họ. Đã đến lúc khiến họ phải trả giá đắt.

Nguồn và tài liệu tham khảo

  1. Trung tâm Tiếp nhận Khiếu nại về Tội phạm Mạng của FBI (IC3) — Báo cáo về Tội phạm Mạng năm 2024 (859.532 đơn khiếu nại; tổng thiệt hại được báo cáo là 16,6 tỷ USD; lừa đảo qua email (phishing/spoofing) đứng đầu về số lượng đơn khiếu nại).
  2. Tập đoàn Tư vấn Interisle — Bức tranh tổng quan về lừa đảo qua email năm 2025 (≈2 triệu vụ tấn công lừa đảo; tăng 180% so với năm 2021; sự tập trung ở các nhà đăng ký tên miền/TLD; mẫu 37.000 tên miền liên quan đến lừa đảo thu phí).
  3. ICANN — Thỏa thuận công nhận cơ quan đăng ký năm 2013, Điều 3.18 (điểm liên hệ về các vụ lạm dụng; nghĩa vụ phải thực hiện các biện pháp hợp lý và kịp thời để điều tra và xử lý các vụ lạm dụng).
  4. Tuân thủ hợp đồng của ICANN — Thông báo về sự cố rò rỉ dữ liệu tại Web Commerce Communications (WebNic), ngày 29 tháng 7 năm 2025.

Các số liệu được trích dẫn từ các nguồn chính nêu trên; phần phân tích và bình luận là của các tác giả.

Xác định yếu tố thúc đẩy. Định giá sự im lặng.

Đội ngũ PhishDestroy — Một dự án nghiên cứu độc lập về chống lừa đảo qua email