Quay lại trang Tin tức
Báo cáo điều tra — Thư ký

Trustname[.]com: Bên trong một nhà đăng ký tên miền “bất khả xâm phạm” được ICANN công nhận, phục vụ các sòng bạc lừa đảo

Một nhà đăng ký tên miền được ICANN công nhận (IANA #4318) tự giới thiệu là “nhà đăng ký tên miền độc lập phát triển nhanh nhất”. Hồ sơ khai thuế của Estonia cho thấy doanh thu là 120 €, chỉ có một nhân viên, vốn chủ sở hữu âm và một thông báo xóa. Cả hai chủ sở hữu đều là người Belarus. Các tên miền sòng bạc lừa đảo vẫn tiếp tục xuất hiện.

Ngày 14 tháng 4 năm 2026 Nghiên cứu PhishDestroy Thời gian đọc: 14 phút
Bảng điều khiển điều tra Trustname.com — IANA 4318, doanh thu 120 EUR, tình trạng đang thanh lý
Tổng quan về cuộc điều tra: Một nhà đăng ký tên miền được ICANN công nhận đã khai báo doanh thu 120 € trong khi vận hành một nền tảng đăng ký tên miền toàn diện.
120 €
Doanh thu đã công bố năm 2024
1
Nhân viên
-71.000 €
Vốn chủ sở hữu
6
Sòng bạc lừa đảo / Tuần
4318
Mã định danh IANA
Tóm tắt nội dung chính

Trustname.com được điều hành bởi Fewmoretaps OÜ — một công ty vỏ bọc của Estonia có vốn cổ phần chưa góp, 120 euro doanh thu hàng năm đã khai báo, một nhân viên, vốn chủ sở hữu âm −71.648 €, và một thông báo xóa được công bố trên Sổ đăng ký doanh nghiệp Estonia. Công ty này tự gọi mình là một “nhà đăng ký tên miền an toàn tuyệt đối” trong bản ghi TXT DNS của chính nó. Cả hai chủ sở hữu đều là công dân Belarus. Nhà đăng ký này hiện đang được sử dụng để đăng ký Các sòng bạc tiền điện tử giả mạo mang tên Elon Musk được che giấu đằng sau các máy chủ proxy bảo mật đặt ở nước ngoài của chính nó.

Công ty Shell tại Estonia: Fewmoretaps OÜ

Công ty Fewmoretaps OÜ đã được đăng ký tại Cơ quan Đăng ký Doanh nghiệp Estonia với mã số đăng ký 16354846, thuế GTGT EE102702659, tại địa chỉ văn phòng ảo — Roseni tn 13, Tallinn. Được thành lập vào ngày 01.11.2021 với vốn điều lệ là 2.500 €, vốn này đã được chưa bao giờ nộp tiền vào (“Được thành lập mà không cần đóng góp” — Báo cáo thường niên năm 2022).

Cơ cấu tổ chức của Fewmoretaps OU — Trustname.com, harakiri.org, whoispps.com đều thuộc quyền quản lý của một nhà điều hành duy nhất tại Belarus
Chuỗi sở hữu: một nhà khai thác người Belarus kiểm soát công ty vỏ bọc ở Estonia, cả hai máy chủ proxy bảo mật “độc lập” này, cũng như công ty tiếp thị làm bình phong fewmoretaps.com.

Dòng sở hữu

Người sáng lập (2021–2023)
Vitali Tsyvinski
Thành viên Hội đồng quản trị duy nhất kiêm cổ đông duy nhất
Mã số cá nhân 39403090187
Belarus (“Valgevene”)
Báo cáo thường niên năm 2022 đã được ký ngày 13/01/2023
Năm không có hoạt động
Chủ sở hữu hiện tại (từ tháng 5 năm 2023)
Kiryl Nestsiarovich
“Kir N.” — Giám đốc điều hành (trustname.com/about)
Ngày sinh: 09/09/1993
Belarus
+375 29 2964411 (điện thoại di động MTS)
fewmoretaps@gmail.com
Cổ đông sở hữu 100% cổ phầnĐược bổ nhiệm ngày 23/05/2023
Thực thể pháp lý
Fewmoretaps OÜ
Tên thương mại: Trustname.com
Số đăng ký 16354846 · Mã số thuế VAT EE102702659
Số 13 đường Roseni, Tallinn 10111
Được thành lập vào ngày 01/11/2021
Thông báo xóa đã được đăng tải
2.500 € vốn chưa góp

Tình hình tài chính: 120 €/năm và lỗ ngày càng tăng

Các báo cáo thường niên bắt buộc của Estonia được công khai. Các con số này rất rõ ràng:

Các khiếu nại liên quan đến tên quỹ tín thác so với hồ sơ khai thuế của Estonia — hàng triệu khách hàng so với doanh thu 120 EUR
Các tuyên bố tiếp thị so với thông tin trong hồ sơ: “Được hàng triệu người tin tưởng” và “Khách hàng thuộc danh sách Fortune 500” ở một bên — Doanh thu 120 €, 1 nhân viên, giải thể mặt khác.

Bảng tài chính (EUR)

Hệ mét202220232024
Doanh thu0 €0 €120 €
Lỗ ròng0−20.711−50.937
Chi phí nhân sự08,32424,084
Nợ dài hạn035,370175,310
Vốn chủ sở hữu0−20.711−71.648
Nhân viên (FTE)011
Các con số không khớp

Chỉ riêng phí công nhận của ICANN là ~4.000 USD/năm. AWS (3 máy chủ Kafka + EKS + S3) đang hoạt động $500–2,000/month. Giá sỉ tên miền trên OpenSRS dao động từ 8–12 € cho mỗi tên miền .com. Ngoài ra còn có các khoản phí của Vercel, Freshdesk, Brevo và Stripe. Chi phí vận hành tối thiểu: 35–50 nghìn euro/năm. Doanh thu công bố: 120 euro. Khoản thâm hụt này được bù đắp bằng số tiền 175.310 euro thuộc mục “nợ dài hạn” từ các nguồn không được tiết lộ.

“Bulletproof” — Cụm từ do chính họ đặt ra

Đây không phải là chiêu trò tiếp thị của PhishDestroy — thông tin này thực sự có trong bản ghi TXT DNS của chính Trustname:

“Trustname là đơn vị được ICANN công nhận và là nhà đăng ký tên miền độc lập đáng tin cậy nhất thế giới dành cho các cá nhân và doanh nghiệp quan tâm đến quyền riêng tư trong các lĩnh vực nhạy cảm. Hãy tin tưởng chúng tôi sẽ là nhà đăng ký tên miền đáng tin cậy. “Chúng tôi đáng tin cậy, chúng tôi đáng tin cậy và giá cả phải chăng.”

Bất kỳ ai có máy khách DNS đều có thể xác minh: dig TXT trustname.com. Trong ngành dịch vụ lưu trữ và đăng ký tên miền, “chống đạn” là một thuật ngữ chuyên ngành — thuật ngữ này chỉ rõ ràng các dịch vụ chống lại các yêu cầu gỡ bỏ nội dung do lạm dụng và cung cấp dịch vụ cho các nhà khai thác nội dung bất hợp pháp.

Mạng lưới sòng bạc lừa đảo

Trong vòng một một tuần (Từ ngày 8 đến ngày 13 tháng 4 năm 2026), sáu tên miền sòng bạc tiền điện tử lừa đảo đã được đăng ký thông qua Trustname, tất cả đều được ẩn đằng sau các máy chủ proxy bảo mật riêng của Trustname:

Sáu tên miền sòng bạc lừa đảo cùng sử dụng hệ thống quản trị phía sau (backend) bằng tiếng Nga của trang gambler-partners.is
Cả sáu sòng bạc này đều sử dụng chung các mẫu Next.js, các mã băm chunk của Webpack và một hệ thống quản trị phía máy chủ chung bằng tiếng Nga tại gambler-partners.is.

Các tên miền lừa đảo đã được xác nhận (tất cả đều được đăng ký qua IANA #4318)

noawin.com

2026-04-12
Sòng bạc tiền điện tử

Đại diện: Perfect Privacy LLC (KN)

henofex.com

2026-04-09
Sòng bạc “Elon Musk”

Proxy: Bảo mật thông tin WHOIS (FL)

jopexplay.com

2026-04-10
Bị Cloudflare chặn

Proxy: Bảo mật thông tin WHOIS (FL)

bezowin159.pro

2026-04-13
Sòng bạc tiền điện tử

Proxy: Bảo mật thông tin WHOIS (FL)

noswin152.pro

2026-04-08
Sòng bạc tiền điện tử

Proxy: Bảo mật thông tin WHOIS (FL)

bazowin781.pro

2026-04-08
Sòng bạc tiền điện tử

Proxy: Bảo mật thông tin WHOIS (FL)

Bằng chứng nền tảng chung

Phân tích JavaScript về noawin.com đã tiết lộ các lệnh gọi API đến https://gambler-partners.is/api, /api/slots, /payser, và CDN hình ảnh https://pictures-cdn.is/. Cái gambler-partners.is Trang web này hiển thị một bảng điều khiển quản trị bằng tiếng Nga có tiêu đề là “Gambler | Trang chủ” (Gambler | Trang chủ) kèm mô tả “Bảng điều khiển quản lý lưu lượng truy cập” (Bảng điều khiển quản lý lưu lượng truy cập). Cùng một mã nguồn, cùng một hệ thống backend, cùng một CDN — đây là một mạng lưới sòng bạc lừa đảo được tổ chức bài bản.

Máy chủ proxy bảo mật ở nước ngoài — Thuộc sở hữu của cơ quan đăng ký tên miền

Trustname không sử dụng các dịch vụ bảo vệ quyền riêng tư độc lập của bên thứ ba. Công ty này tự vận hành hệ thống của riêng mình:

Bản đồ thế giới thể hiện các kết nối giữa Estonia (máy chủ ảo), St Kitts (máy chủ ảo), Florida (máy chủ ảo) và nhà cung cấp dịch vụ tại Belarus
Tallinn (vỏ bọc) → Charlestown, Nevis (Perfect Privacy LLC) → Orlando, FL (WHOIS Privacy LLC) → Minsk (nhà điều hành). Tất cả các nút đều do cùng một người kiểm soát.

harakiri.org

Perfect Privacy LLCSaint Kitts và NevisBTC / LTC / XMR / ZEC / ETHĐã đăng ký qua IANA 4318

whoispps.com

Công ty TNHH Bảo vệ Quyền riêng tư WHOISOrlando, FL 32837“Thư giấy bị vứt bỏ”Đã đăng ký qua IANA 4318
Cấu trúc xử lý lạm dụng theo chu trình

Khi nhận được đơn khiếu nại về hành vi lạm dụng đối với một tên miền được bảo vệ quyền riêng tư, Trustname sẽ tiếp nhận đơn khiếu nại đó và chuyển tiếp nó đến… chính mình. Cái whoispps.com Trang web này công khai nêu rõ rằng “Thư giấy bị vứt bỏ.” Đây không phải là quyền riêng tư — đây là một rửa tiền từ hoạt động lạm dụng một cơ cấu được thiết kế nhằm đảm bảo các khiếu nại không thể đi đến đâu.

Tiền đi đâu rồi?

Các khoản thanh toán qua Stripe và Monero đang đổ vào Fewmoretaps OU, trong khi chỉ có 120 EUR được khai báo với cơ quan thuế Estonia
Các hình thức thanh toán: Stripe + BTC/ETH/LTC/XMR/ZEC. Các khoản thanh toán được khai báo với cơ quan thuế Estonia: 120 €/năm. Khoảng thâm hụt này được bù đắp bằng khoản “vay dài hạn” trị giá 175.310 euro từ các nguồn không được tiết lộ.

Nền tảng Trustname chấp nhận thanh toán bằng thẻ qua Stripe (/v2/users/billing/stripe/payment-methods) tiền điện tử thông qua các địa chỉ ví sau đây được nhúng trong điểm cuối thông báo API đã được xác thực:

ETH:  0xdee6582dc53fa56180311393018121c6f1e8bd7c
LTC:  MEREvHtzqAUTJ1XvEevmci8UqMnDvfe2ri
ZEC:  t1d19KevpcXpesr9XA9UUyMW9XGYVDxkK9S
XMR:  8B5N29BocrTjkRCeGCARnkhKgBeHBhg4oH7ay4RfXfnL7RqBdyiuL4k6iN4GVUVxt1EQJvZRqLg8n4qgCNWmYHQQDZmfytM

Sự chấp nhận Monero (XMR) — một loại tiền điện tử được thiết kế đặc biệt để không thể truy vết — cùng với một nhà cung cấp dịch vụ thanh toán được quản lý và yêu cầu xác minh danh tính (KYC) (Stripe), đồng thời tuyên bố 120 euro doanh thu hàng năm đối với cơ quan thuế Estonia, điều này tạo ra một nghịch lý về tuân thủ. Chỉ riêng việc đăng ký một tên miền .com với giá sỉ (~13 USD) đã vượt quá doanh thu khai báo của cả năm.

Câu hỏi về phòng chống rửa tiền ở Estonia

Luật Estonia (Luật Phòng chống Rửa tiền và Tài trợ Khủng bố) quy định các Nhà cung cấp Dịch vụ Tài sản Ảo phải có giấy phép do Đơn vị Tình báo Tài chính cấp. Công ty Fewmoretaps OÜ có sở hữu giấy phép này không? Nếu không, việc chấp nhận thanh toán bằng tiền điện tử cho các dịch vụ có thể tự nó đã cấu thành hành vi vi phạm quy định.

Các tuyên bố tiếp thị so với hồ sơ khai thuế

Những gì họ nói với khách hàng

  • “Nhà đăng ký tên miền độc lập có tốc độ tăng trưởng nhanh nhất năm 2025”
  • “Được hàng triệu chủ sở hữu tên miền tin tưởng”
  • “Được các công ty trong danh sách Fortune 500 tin tưởng”
  • “Một đội ngũ gồm hơn 35 người làm việc tại nhiều địa điểm khác nhau trên khắp thế giới”
  • Các văn phòng có trụ sở tại London, Beverly Hills và Melbourne
  • Khách hàng: McDonald’s, Vodafone, Adidas, Tata, Yahoo, BCG (bức tường logo của fewmoretaps.com)
  • “Kể từ năm 1997” (fewmoretaps.com)

Những tài liệu mà họ nộp cho cơ quan thuế Estonia

  • Doanh thu 0 € vào năm 2023, Doanh thu 120 euro vào năm 2024
  • 1 nhân viên (FTE) trong cả hai năm
  • Vốn chủ sở hữu −71.648 €, vốn chưa góp là 2.500 €
  • Văn phòng ảo tại Roseni tn 13, Tallinn
  • Được thành lập 2021, chứ không phải năm 1997
  • Công ty đang trong quá trình thanh lý

Những lời chứng thực giả mạo (“Bức tường tình yêu”)

Trustname: Bức tường tình yêu – các đánh giá giả mạo có tên đệm trùng lặp: Jack, Lily, Megan
30 đánh giá. 11 tên riêng khác nhau. Tên “Jack” xuất hiện 5 lần, tên “Lily” xuất hiện 6 lần. Không có ảnh, không có ngày tháng, không có hồ sơ có thể xác minh, không có liên kết đến Trustpilot hay G2. Không có họ.

Phân tích về trustname.com/wall-of-love trang: Trong số 30 “đánh giá của khách hàng”, chỉ có 11 tên riêng khác nhau. “Jack” xuất hiện năm lần. “Lily” sáu lần. “Megan” ba lần. Tất cả các đánh giá đều là những lời khen chung chung chỉ vỏn vẹn một dòng, được viết theo một phong cách thống nhất. Không có liên kết nào dẫn đến các nền tảng đánh giá độc lập. Không có thông tin xác thực về danh tính khách hàng. Để so sánh, Namecheap và Porkbun có hàng nghìn đánh giá đã được xác minh trên Trustpilot và G2.

Rủi ro về cơ sở hạ tầng và an ninh

Sơ đồ cơ sở hạ tầng Trustname hiển thị các cổng Kafka đang mở, các bảng điều khiển quản trị đang mở và dịch vụ FTP trên máy chủ gốc
Sơ đồ cơ sở hạ tầng: Frontend Vercel, Kubernetes trên AWS eu-central-1 với các máy chủ Kafka được mở công khai trên cổng 7777, giao diện quản trị Strapi mở, hệ thống WHOIS của CoreNIC không được bảo vệ và đang ở chế độ phát triển.
trustname.com (Vercel / Next.js)
  ├── api.trustname.com              Fastify API (Swagger behind Basic Auth only)
  ├── admin.trustname.com            React-Admin panel (publicly accessible)
  ├── blog.trustname.com             Strapi CMS (admin UI exposed)
  ├── support.trustname.com          Freshdesk (EU instance)
  └── whois-fewmoretaps.corenic.net  Knipp DomainSRS (JSF Development mode)

fewmoretaps.com (WordPress) origin: 37.1.219.211
     Open ports: FTP:21 (vsftpd 3.0.5), SSH:22, HTTP:80, HTTPS:443

AWS eu-central-1 (EKS Kubernetes):
  35.156.29.145 / 18.196.68.81 / 52.28.105.156
  Port 7777 — Apache Kafka (Strimzi)
  SSL cert CN: kafka-staging-kafka   SAN: staging.kafka-0.trustname.com
  Namespace: backend-staging

Upstream registrar: OpenSRS (Tucows)
Invoicing: Quaderno · Payments: Stripe + Crypto
Email: Brevo  ·  Analytics: Google, Fuago
S3: domain-registrar-strapi-media (eu-central-1, leaked via CSP header)
Các lỗi cấu hình đã phát hiện
  1. Bảng điều khiển quản trị có thể truy cập công khai (admin.trustname.com) — chỉ bảo vệ bằng cách đăng nhập, không có danh sách IP được phép.
  2. Giao diện quản trị của Strapi CMS có thể truy cập tại blog.trustname.com.
  3. JSF ở chế độ Phát triển trên hệ thống WHOIS của CoreNIC.
  4. Ba máy chủ trung gian AWS Kafka được kết nối với mạng Internet công cộng qua cổng 7777; thông tin SAN trong chứng chỉ SSL đã làm lộ tên không gian Kubernetes.
  5. Các địa chỉ IP gốc có thể bỏ qua Cloudflare — có thể truy cập trực tiếp.
  6. FTP (vsftpd) đang chạy trên máy chủ gốc của fewmoretaps.
  7. Swagger / OpenAPI chỉ hoạt động khi sử dụng xác thực Basic Auth trên api.trustname.com/api-json.

Dòng thời gian

2004-06-04
Lần đăng ký đầu tiên của trustname.com (chủ sở hữu trước đây).
2021-07-11
fewmoretaps.com đã đăng ký. Toàn bộ trang web tiếp thị được tạo ra trong vòng 5 ngày bởi một người dùng WordPress duy nhất có tên “riseup”.
2021-11-01
Công ty Fewmoretaps OÜ được thành lập tại Estonia. Chủ sở hữu: Vitali Tsyvinski (Belarus). Vốn điều lệ 2.500 € — chưa góp.
2023-01-13
Báo cáo thường niên đầu tiên đã được nộp (không có hoạt động nào trong năm 2022).
2023-05-23
Quyền sở hữu đã được chuyển giao cho Kiryl Nestsiarovich (Belarus).
2023-08-20
whoispps.com Tên miền proxy bảo mật đã được đăng ký.
2023
Đã được ICANN cấp chứng nhận (Mã IANA 4318).
2024-02-01
Đăng ký thuế GTGT (EE102702659).
2024-12-31
Báo cáo thường niên năm 2024 đã được nộp. Doanh thu 120 €, lỗ ròng −50.937 €, vốn chủ sở hữu −71.648 €.
08/04/2026…13
Đăng ký hàng loạt sáu tên miền sòng bạc lừa đảo chỉ trong vòng một tuần.
2026-04
Thông báo xóa tên công ty được đăng trên Sổ đăng ký doanh nghiệp Estonia.

Ai là người tạo điều kiện cho việc này?

Huy hiệu trách nhiệm giải trình của ICANN, AWS, Stripe, Cloudflare, Vercel, Tucows và OpenSRS
Mọi nền tảng lớn có liên quan đến hoạt động này đều có Chính sách Sử dụng Hợp lý riêng, trong đó nghiêm cấm hành vi gian lận. Tuy nhiên, chưa có nền tảng nào thực hiện biện pháp nào cả.

Gửi ICANN

  • Làm thế nào mà một công ty với Doanh thu 0 € và 0 nhân viên Tại thời điểm nộp đơn, liệu đã được ICANN công nhận chưa? Các biện pháp thẩm định nào đã được thực hiện?
  • Một nhà đăng ký mà bản ghi TXT DNS của họ ghi rõ ràng là “nhà đăng ký tên miền an toàn tuyệt đối”“các phân khúc nhạy cảm” — Điều này phù hợp như thế nào với Thỏa thuận công nhận của Văn phòng Đăng ký?
  • Hiện tại, cơ quan đăng ký đang thuộc thanh lý tại Estonia. Các khiếu nại về hành vi lạm dụng đang được xử lý liên quan đến các tên miền được đăng ký thông qua IANA #4318 sẽ được xử lý như thế nào?
  • Cả hai chủ sở hữu đều là công dân của Belarus — một quốc gia đang phải chịu các biện pháp trừng phạt toàn diện từ Liên minh châu Âu (EU) và Hoa Kỳ kể từ năm 2020. Thông tin này có được tiết lộ trong quá trình công nhận hay không?

Gửi OpenSRS (Tucows)

  • OpenSRS cung cấp API nguồn mà Trustname sử dụng để đăng ký tên miền (đã được xác nhận bởi opensrsOrderId (trong dữ liệu giao dịch). Liệu Tucows có tiến hành kiểm tra tuân thủ đối với các nhà phân phối lại tự quảng bá mình là “không thể bị tấn công” hay không?
  • Sáu tên miền sòng bạc lừa đảo — trong đó có một tên miền đã bị Cloudflare đánh dấu — đã được đăng ký qua OpenSRS thông qua Trustname chỉ trong vòng một tuần. Hiện nay, có những biện pháp phát hiện gian lận tự động nào được áp dụng ở cấp độ đại lý phân phối?

Gửi đến AWS, Stripe, Vercel, Cloudflare

  • AWS: cụm EKS, bucket S3 và ba máy chủ Kafka được mở công khai nằm tại eu-central-1. Chính sách Sử dụng Được Chấp nhận (AUP) của AWS cấm các dịch vụ tạo điều kiện cho hành vi gian lận.
  • Dải sọc: các giao dịch thanh toán bằng thẻ được xử lý qua /v2/users/billing/stripe/payment-methods. Danh sách các ngành nghề bị hạn chế của Stripe cấm các dịch vụ tạo điều kiện cho hoạt động bất hợp pháp. Danh mục khách hàng đã được rà soát chưa?
  • Vercel: trustname.comadmin.trustname.com được lưu trữ trên Vercel. Chính sách Sử dụng Được Chấp nhận (AUP) của Vercel cấm “các dịch vụ quảng bá các âm mưu lừa đảo.”
  • Cloudflare: jopexplay.com được gắn nhãn là “Trang web nghi ngờ gây hiểu lầm”. Năm sòng bạc còn lại sử dụng các mẫu thiết kế giống hệt nhau vẫn đang hoạt động bình thường. Tại sao lại có sự không nhất quán này?

Giới thiệu về Belarus và Monero

  • Cả hai chủ sở hữu đều là Cư dân thuế Belarus. Theo luật thuế của Belarus, thu nhập từ khắp nơi trên thế giới phải được khai báo tại Belarus. Các cơ quan chức năng Belarus không có hiệp định hỗ trợ tư pháp về thuế (MLAT) với hầu hết các quốc gia phương Tây — do đó, việc thi hành pháp luật trên thực tế rơi vào bế tắc.
  • Trustname chấp nhận Monero (XMR), một loại tiền điện tử được thiết kế để không thể truy vết. Các khoản thanh toán bằng XMR được kê khai như thế nào đối với thuế GTGT, phòng chống rửa tiền (AML) và báo cáo tài chính tại Estonia? Báo cáo thường niên cho thấy 120 €. Điều đó có bao gồm tiền điện tử không? Nếu không, thì nó được xếp vào đâu?

Các dấu hiệu cho thấy hệ thống đã bị xâm nhập

Mã định danh của cơ quan đăng ký

IANA ID:        4318
WHOIS Server:   whois.fewmoretaps.com
Abuse email:    abuse@trustname.com
Abuse phone:    +372.6884747

Cơ sở hạ tầng

trustname.com
fewmoretaps.com
harakiri.org
whoispps.com
gambler-partners.is
pictures-cdn.is

37.1.219.211      fewmoretaps.com origin (FTP, SSH, HTTP, HTTPS)
195.253.23.47     CoreNIC WHOIS origin
35.156.29.145     AWS Kafka broker
18.196.68.81      AWS Kafka broker
52.28.105.156     AWS Kafka broker

Các tên miền lừa đảo đã được xác nhận

noawin.com          henofex.com         jopexplay.com
bezowin159.pro      noswin152.pro       bazowin781.pro

Kết luận

Trustname.com không phải là một “nhà đăng ký tên miền chú trọng quyền riêng tư”. Đây là một hệ thống hạ tầng được xây dựng chuyên biệt nhằm tạo điều kiện cho các hành vi gian lận trực tuyến:

  • Công ty vỏ bọc của Estonia có vốn chưa góp và hai chủ sở hữu người Belarus
  • Không có doanh thu hợp pháp mặc dù các hoạt động đăng ký tên miền vẫn đang diễn ra sôi nổi
  • Các máy chủ proxy bảo mật “độc lập” thuộc sở hữu tư nhân đặt tại Saint Kitts và Florida
  • Chấp nhận các loại tiền điện tử không thể theo dõi (Monero, Zcash)
  • Hàng chục tên miền sòng bạc lừa đảo vừa được đăng ký, sử dụng các mẫu thiết kế giống hệt nhau
  • Một bản ghi TXT DNS trong đó họ tự gọi mình là chống đạn
  • Công ty hiện đang trong quá trình thanh lý — một chiến lược rút lui đang được triển khai

ICANN và OpenSRS (Tucows) nên rà soát việc cấp phép cho IANA số 4318. Các tên miền được đăng ký thông qua dịch vụ đại lý bảo mật của Trustname cần được xem xét kỹ lưỡng hơn khi có báo cáo về hành vi lạm dụng. Cho đến khi đó, PhishDestroy sẽ gắn cờ cho mọi tên miền được đăng ký qua Trustname trong trình quét của chúng tôi bằng một Cảnh báo từ cơ quan đăng ký, giống như cách chúng tôi làm với NiceNIC và NameSilo.

Các nghiên cứu liên quan

Nguồn và việc xác minh

Mọi khẳng định trong báo cáo này đều được chứng thực bằng các tài liệu công khai hoặc dữ liệu thu thập được thông qua tài khoản đã được xác thực của chính nhà nghiên cứu. Dưới đây là các nguồn chính kèm theo hướng dẫn để kiểm chứng độc lập.

Đăng ký doanh nghiệp và hồ sơ thuế

Yêu cầuNguồnCách xác minh
Đăng ký doanh nghiệp, chủ sở hữu, tình trạng, thông báo xóa tênSổ đăng ký doanh nghiệp Estonia (Äriregister)ariregister.rik.ee — tìm kiếm mã đăng ký 16354846
Báo cáo thường niên năm 2022, 2023, 2024 — doanh thu, vốn chủ sở hữu, số lượng nhân viênSổ đăng ký doanh nghiệp Estonia — các thủ tục đăng ký bắt buộc đối với các pháp nhân OÜTrong cùng một cơ sở dữ liệu → tab “Báo cáo thường niên”. Các báo cáo này được công khai.
Tên chủ sở hữu, số ID, quốc tịch (Tsyvinski, Nestsiarovich)Các trang dành cho cổ đông trong báo cáo thường niên (Osanikud)Báo cáo năm 2022, trang 6 (Tsyvinski); Các báo cáo năm 2023–2024 (Nestsiarovich)
Đăng ký thuế GTGT EE102702659Cục Thuế và Hải quan EstoniaXác minh thông qua EU VIES

ICANN và mã định danh nhà đăng ký tên miền

Yêu cầuNguồnCách xác minh
Mã định danh IANA 4318 — Chứng nhận của ICANNDanh sách các nhà đăng ký được ICANN công nhậnicann.org/en/các-nhà-đăng-ký-được-công-nhận — tìm kiếm “Fewmoretaps” hoặc “4318”
Đường dây nóng về bạo hành (abuse@trustname.com, +372.6884747)Thông tin WHOIS của bất kỳ tên miền nào được đăng ký qua Trustnamewhois trustname.com thông qua bất kỳ ứng dụng khách RDAP/WHOIS nào
Máy chủ WHOIS whois.fewmoretaps.comBản ghi WHOISĐược liệt kê trên mọi tên miền được đăng ký thông qua IANA #4318

Bằng chứng WHOIS và DNS

Yêu cầuPhương pháp
Bản ghi TXT của DNS — cụm từ “chống đạn” theo nghĩa đendig TXT trustname.com hoặc DNSChecker
Dịch vụ bảo mật dữ liệu WHOIS (Perfect Privacy LLC, WHOIS Privacy LLC)whois noawin.com, whois harakiri.org, whois whoispps.com
Đăng ký tên miền lừa đảo qua TrustnameTruy vấn WHOIS qua cổng 43 đến 195.253.23.47:43 hoặc bất kỳ dịch vụ WHOIS công khai nào
Các bản ghi MX, NS để lập bản đồ cơ sở hạ tầngCác truy vấn DNS tiêu chuẩn (dig NS trustname.com, dig MX)

Các tuyên bố tiếp thị (trực tiếp + đã lưu trữ)

Cơ sở hạ tầng kỹ thuật (không xâm lấn)

Hiển thị bảng nguồn dữ liệu đầy đủ
Dữ liệuPhương pháp
Địa chỉ IP nguồn (37.1.219.211, 195.253.23.47)Giải quyết tên miền (DNS) + Phân tích tiêu đề HTTP
Các tên miền con (api / admin / blog / support)Quá trình liệt kê DNS tiêu chuẩn
Công nghệ bảng điều khiển quản trị (React-Admin)Các gói JS công khai được cung cấp bởi admin.trustname.com
Bản đồ các điểm cuối APIPhân tích khối frontend (được cung cấp công khai)
Giới thiệu về hệ thống quản lý nội dung StrapiPhản hồi HTTP từ blog.trustname.com
Kafka trên cổng 7777 + rò rỉ SAN SSLnmap -sV; openssl s_client -connect 35.156.29.145:7777
CoreNIC / Knipp DomainSRSPhản hồi HTTP từ whois-fewmoretaps.corenic.net
Biểu ngữ FTP trên máy chủ gốcnmap -sV 37.1.219.211 — Thông báo khởi động của vsftpd 3.0.5
Nhà cung cấp dịch vụ cấp trên (OpenSRS)Lĩnh vực details.opensrsOrderId trong mô hình dữ liệu của bảng điều khiển quản trị
Tích hợp thanh toán StripeĐiểm cuối /v2/users/billing/stripe/payment-methods
Địa chỉ ví tiền điện tửGET /users/notifications trên api.trustname.com (theo lời kể của chính nhà nghiên cứu)
Bucket S3 domain-registrar-strapi-mediaBị rò rỉ qua tiêu đề Content-Security-Policy trên blog.trustname.com
Hệ thống quản trị sòng bạc gambler-partners.isTrích từ app/layout-414e3e65ac0c109b.js trên noawin.com

Phân tích mạng lưới sòng bạc

  • Nội dung về sòng bạc (“Sòng bạc chính thức của Elon Musk”) — curl https://henofex.com
  • Tính năng chặn lừa đảo của Cloudflare — curl https://jopexplay.com hiển thị trang trung gian của Cloudflare
  • Mẫu chung (các giá trị băm của các đoạn mã giống hệt nhau) — so sánh _next/static/chunks/ trên cả sáu lĩnh vực
  • Bảng điều khiển quản trị bằng tiếng Nga — curl https://gambler-partners.is trả về tiêu đề “Gambler | Trang chủ”

Các công cụ được sử dụng

DNS / WHOIS:    dig, nslookup, whois
Port scanning:  nmap (service / version detection only)
HTTP:           curl (header + content retrieval)
SSL:            openssl s_client
JavaScript:     manual deobfuscation of publicly served bundles
PDF:            PyPDF2 (annual report text extraction)

Phương pháp tính toán chi phí tài chính

Cái Chi phí vận hành tối thiểu từ 35.000–50.000 euro Con số này được tính toán dựa trên các mức giá công khai:

  • Phí công nhận của ICANN: ~$4,000/year (ICANN đã công bố mức phí)
  • OpenSRS bán buôn tên miền .com: $8–12/domain (Giá dành cho đại lý của Tucows)
  • AWS eu-central-1 (3 máy chủ m5.large dành cho Kafka + hệ thống điều khiển EKS + S3): $500–2,000/month (Công cụ tính giá AWS)
  • Vercel Pro: 20 USD/tháng, Freshdesk: 15 USD/nhân viên hỗ trợ/tháng, Brevo: 25 USD/tháng (trang công bố giá công khai)
  • Chi phí nhân sự được báo cáo cho năm 2024: 24.084 € (báo cáo thường niên của chính công ty)

Đạo đức và Phương pháp luận

Đã thực hiện những gì
  • Nghiên cứu hồ sơ công khai (Sổ đăng ký doanh nghiệp Estonia, ICANN, VIES, WHOIS, DNS).
  • Thăm dò kỹ thuật không xâm nhập: các truy vấn DNS, đọc tiêu đề HTTP, kiểm tra chứng chỉ SSL, phân tích JavaScript trong gói công khai, nmap phát hiện dịch vụ mà không cần khai thác lỗ hổng.
  • Kiểm thử API đã xác thực bằng tài khoản Trustname do chính nhà nghiên cứu đăng ký hợp pháp.
  • So sánh chéo các bản chụp nhanh từ Wayback Machine để kiểm chứng các tuyên bố tiếp thị.
Những việc CHƯA được thực hiện
  • Không có cuộc tấn công brute-force nào nhắm vào bất kỳ tài khoản đăng nhập nào.
  • Không có lỗ hổng SQL injection, RCE hay bất kỳ nỗ lực khai thác nào khác.
  • Không được truy cập trái phép vào bất kỳ hệ thống, tài khoản hoặc dữ liệu nào.
  • Không có dữ liệu nào bị rò rỉ khỏi các thiết bị đầu cuối được bảo vệ.
  • Không được sửa đổi bất kỳ dữ liệu nào, ngay cả trong trường hợp các thiết lập sai có thể cho phép việc đó.
  • Các điểm cuối API quản trị đã được kiểm tra về BOLA (Ủy quyền theo cấp độ đối tượng bị hỏng) — Đã xác nhận rằng mô hình RBAC đã được triển khai đúng cách; các mã thông báo người dùng đã bị các điểm cuối quản trị từ chối một cách chính xác.

Chức danh về công bố thông tin và báo cáo

Cuộc điều tra này đã được công bố toàn văn dưới dạng công bố công khai. PhishDestroy là một nhóm nghiên cứu OSINT chứ không phải là một thực thể báo cáo chịu sự quản lý, do đó không có nghĩa vụ pháp lý nào theo Điều 306 của Bộ luật Hình sự Estonia (KarS) hoặc các quy định tương đương của Liên minh Châu Âu về việc phải nộp báo cáo riêng cho các cơ quan chức năng — nghĩa vụ này chỉ áp dụng đối với các ngân hàng, các nhà cung cấp dịch vụ tài sản ảo (VASP) và các thực thể chịu sự quản lý tương tự.

Nếu các báo cáo về hành vi lạm dụng liên quan đến các tên miền được đăng ký thông qua IANA #4318 tiếp tục bị phớt lờ, hồ sơ này sẽ được chuyển lên cấp trên một cách chính thức tới:

  1. Tuân thủ các quy định của ICANNicann.org/tuân-thủ/khiếu-nại · RAA Điều 3.7.8 (Tính chính xác của WHOIS) và Điều 3.18 (Xử lý các trường hợp lạm dụng)
  2. Tucows / OpenSRS — cơ quan đăng ký cấp trên; abuse@tucows.com, compliance@opensrs.com
  3. CERT-EE (RIA) — cert@cert.ee
  4. Cơ quan Thuế Estonia (MTA) (Maksu- ja Tolliamet, Cục Thuế và Hải quan) — đường dây nóng tố giác gian lận thuế vihjeliin@emta.ee
  5. Cơ quan Tình báo Tài chính Estonia (Văn phòng Thống kê Rahapesu) — rab@politsei.ee đối với tội phạm rửa tiền (AML) và các hoạt động của nhà cung cấp dịch vụ tài sản ảo (VASP) không có giấy phép
  6. Bộ phận xử lý các trường hợp lạm dụng nền tảng — AWS Trust & Safety, Stripe Risk, Vercel Abuse, Cloudflare Trust & Safety
  7. Mạng lưới FIU của EU.net thông qua Cơ quan Tình báo Tài chính (FIU) của Estonia — liên quan đến phần trừng phạt đối với Belarus

Hiện tại, việc đưa vụ việc lên cấp cao hơn theo thủ tục chính thức đã được chủ động hoãn lại: đơn vị đăng ký tên miền hiện đang trong quá trình thanh lý tại Estonia, các nhà điều hành có trụ sở tại Belarus (không có Hiệp định Hỗ trợ Tư pháp Hình sự — MLAT ⇒ việc thi hành pháp luật đi vào ngõ cụt), và một báo cáo công khai có sức nặng hơn một phiếu yêu cầu đang chờ xử lý. Chúng tôi sẽ xem xét lại nếu tình hình thay đổi — hoặc nếu ai đó đọc bài viết này đưa ra lập luận cho thấy điều đó.

Cuộc điều tra này được thực hiện hoàn toàn bằng các phương pháp OSINT và phân tích kỹ thuật không xâm nhập. Tất cả các nguồn dữ liệu đều có thể truy cập công khai hoặc được thu thập thông qua tài khoản đã được xác thực của chính nhà nghiên cứu trên nền tảng đó. Không có bất kỳ hành vi truy cập trái phép nào được thực hiện ở bất kỳ giai đoạn nào. Các chỉnh sửa, bằng chứng phản bác hoặc dữ liệu bổ sung: @PhishDestroy_bot · @Phish_Destroy · github.com/PhishDestroy.

Chia sẻ cuộc điều tra này

X / Twitter Telegram Reddit LinkedIn

Các cuộc điều tra liên quan

xmrwallet.com bị phanh phui: 10 năm khóa riêng tư bị đánh cắp
ĐIỀU TRA SÂU RỘNG
xmrwallet.com bị phanh phui: 10 năm khóa riêng tư bị đánh cắp
Cuộc điều tra của NiceNIC: Nhà đăng ký ICANN tiếp tay cho tội phạm mạng
ĐIỀU TRA SÂU RỘNG
Cuộc điều tra của NiceNIC: Nhà đăng ký ICANN tiếp tay cho tội phạm mạng
NameSilo, Webnic, NiceNic: Các nhà đăng ký tên miền tạo điều kiện cho các vụ lừa đảo
ĐIỀU TRA
NameSilo, Webnic, NiceNic: Các nhà đăng ký tên miền tạo điều kiện cho các vụ lừa đảo