返回新闻
持续情报报告

$0 Takedowns, 无价的发脾气

自2019年以来,我们已免费移除了数千个网络钓鱼域名。诈骗分子为此发动了DDoS攻击、冒用公司名义、进行大规模举报并伪造法律文件进行报复。但这些手段均未奏效。以下是相关证据。

发布于2025年5月20日 更新于2026年4月 阅读时间 9 分钟 PhishDestroy 情报
OSINT调查委员会自2019年以来一直追踪诈骗者针对PhishDestroy行动的报复行为
$0每次下架成本
10+攻击类型
5年以上活跃于
0停机天数
100%故障率

我们的运作方式

我们的模式刻意保持低调。我们扫描网络钓鱼基础设施、归档证据、提交结构化的滥用报告,并移除域名。没有公关战,没有个人恩怨。只有自动化和电子邮件。

检测
通过Telegram机器人实现自动化爬取和社区提交。我们的威胁数据库中收录了83.9万多个域名。
存档
Web Archive 上的快照站点以及下线前的本地取证副本。证据保全至关重要。
报告
每个域名提供一封结构化的 SMTP 电子邮件,包含域名注册商/主机商所需的一切内容。自动化流程。费用为 0 美元。
基本原则

默认情况下不公开个人信息。 我们关注的是基础设施,而非个人。当威胁行为者触犯法律(如发出威胁、实施欺诈、盗用身份)时,我们会向执法部门提交完整的证据材料并上报。否则,我们只会关闭他们的域名。

诈骗分子曾尝试过什么(以及为何失败)

多年来,威胁行为者们想尽一切办法向我们发起攻击。以下是对每种战术的全面剖析,以及说明为何每一种都纯属白费力气。

攻击方法其成本我们的影响状态
邮件泛滥连续数月,每天2,000至5,000条消息$50-300/mo失败
英国空壳公司空壳公司 + 伪造的“所有权”文件$500-2,000失败
社交媒体上的抨击Mass-reporting X、Telegram、Medium$100-500账号已暂停,存档仍可访问Simplified Chinese (Mainland)滋扰
DDoS攻击针对我们着陆器的租用僵尸网络$200-2,000失败
机器人农场虚假粉丝/点赞/举报$50-300失败
虚假的滥用举报向我们的托管服务商提交虚假投诉时间失败
内容交换注入非法内容以触发自动封禁时间失败
冒充冒充“俄罗斯黑客”的论坛在兜售我们的作品时间失败
DDoS → 终止主机服务2.83亿次请求 / 1.21 TB — Namecheap 终止了与我们的合作$2,000+已迁移至 Cloudflare + Hetzner滋扰
虚假的DMCA通知向谷歌提交虚假的OnlyFans版权申诉时间零——OnlyFans否认提交申请失败
信任用户渗透一位受信任的用户注入了46个误报域名时间快速锁定,所有角色均已强化失败
关于垃圾邮件的申诉表通过hCaptcha解码处理了9,000多起虚假域名申诉$100-500零 — 经过简单过滤失败
邮件轰炸(正在进行中)40万多条消息,源源不断,自动删除$500+/mo失败
X/Twitter(再次)封号政府风格的紧急请求 → 账户被暂停$3,000+不恢复了。和X已经结束了。滋扰
Reddit封号账号已被封禁。5年前发布过1条帖子。时间失败
其中的经济原理很简单

他们每次进行“政府式”社交媒体下架操作要花费3,000多美元。而我们每次域名下架的成本为0美元。我们的下架流程基于电子邮件自动化——网站只是可选环节。针对落地页的DDoS攻击就像轰炸广告牌:邮件卡车照常行驶。

袭击时间线

2019 — 起源
“你们连个网站都没有!”
诈骗分子在域名注册商的投诉中嘲讽我们。我们仅用15分钟就搭建了一个系统。这个玩笑反倒奏效了。下线行动随之扩大。
2020-2022 — 邮件泛滥
每天 2,000 至 5,000 条消息
持续数月的批量垃圾邮件轰炸。我们的运营并不依赖收到的邮件,因此完全没有受到任何影响。
2023 — 英国空壳公司
空壳公司 + 伪造的所有权文件
成立了一家在英国注册的公司,并伪造了“域名所有权”文件以试图夺取我们的域名。该域名注册在一名个人名下——企业方面的索赔注定会失败。
2024 — DDoS 攻击活动
针对我们着陆页的僵尸网络租赁
他们租用了僵尸网络来“攻击”我们。Cloudflare 提供了保护。邮件流量保持正常。网站下线情况未受影响。这对他们来说是个代价高昂的教训。
2025年9月——Telegram被下架
在我们的Telegram频道上进行了大规模报道
我们的频道因发布域名而被自动封禁,该频道已被成功大规模举报。我们随即开通了一个新频道。
2025-2026 — 进行中
业务规模扩大,基础设施得到强化
自动检测和报告流程已得到扩展。针对正在运行的网络钓鱼基础设施部署了新的应对措施。具体细节属于机密。
2026年3月6日 — DDoS“核选项”
2.83亿次请求,1.21 TB——Namecheap 终止了与我们的合作
大规模DDoS攻击:7天内收到2.83亿次请求,带宽消耗达1.21 TB。Namecheap主机无法承受这一压力,因此终止了我们的账户。我们迁移到了Cloudflare + Hetzner(费用从每月8美元涨至25美元)。 迁移后,攻击者再次发起攻击——结果不出所料,彻底失败了。Cloudflare 成功抵御了所有攻击,系统零停机。
2026年3月30日 — 虚假DMCA通知
向谷歌提交虚假的OnlyFans版权申诉
有人向谷歌提交了一份虚假的《数字千年版权法案》(DMCA)下架通知,声称我们的域名报告页面侵犯了OnlyFans的内容。该申诉由“kanave mogel”提交,其中使用了OnlyFans表演者的名字。我们直接联系了OnlyFans——他们确认: “本通知并非由OnlyFans团队发布。它并非出自我们之手。” 案件被驳回。
2026年3月 — 信任用户渗透
一位受信任的用户注入了46个误报域名
一位具有“受信任”权限的用户设法将46个合法域名添加到了我们的屏蔽列表中。我们迅速检测到了这一情况并进行了回滚。结果:针对所有用户角色(管理员、受信任用户、所有用户)加强了权限模型。感谢这次免费的安全审计。
2026年3月至4月——上诉申请如潮
通过破解hCaptcha提交的9,000多份虚假申诉
有人向我们的域名申诉表单发送了9,000多条虚假提交,还付费让他人破解hCaptcha验证码。这些提交很容易就被过滤掉了——模式非常明显。这让他们白白浪费了金钱和时间,而我们却分文未花。
2026年4月——X/Twitter再次被暂停服务
第二个X账号被封了。无法恢复。
我们的X账号再次被暂停,很可能是政府发出的紧急请求所致。这次我们决定:不再使用X了。不值得费力去恢复账号。我们已经建立了替代的沟通渠道,我们的运营并不依赖任何社交平台。
2026年——Reddit被禁
一个拥有1-3篇帖子的5年老账号。已消失。
我们的 Reddit 账号被封了。该账号有 1 点卡玛值,0 条帖子,以及 r/TREZOR 版块中一篇 5 年前的帖子,内容是警告 Google Play 上的诈骗应用。我们感到非常沮丧。(其实并没有。)😂
正在进行中 — 邮件轰炸
40万多封电子邮件,且数量仍在增加
邮件如潮水般源源不断涌来,均被自动删除。我们确实无法告诉您确切的数量,因为我们的过滤器会自动将它们删除。估计有40万封以上。有人对此非常不满。看来我们做对了什么。

证据档案库

以下是具体事件的记录证据。点击任意卡片即可查看全尺寸截图。所有证据均已保存,以确保透明度并为可能的法律程序做好准备。

显示针对 PhishDestroy 基础设施的攻击尝试的 DDoS 攻击流量图表
DDoS 攻击图表
来自租用僵尸网络的流量激增。源自Cloudflare。对基于电子邮件的下线操作没有任何运营影响。
伪造的俄罗斯黑客论坛截图,将PhishDestroy的工作包装成自己的服务进行营销
虚假的“俄罗斯黑客”论坛
诈骗分子创建了伪造的RU论坛,并将我们的工作包装成他们的“服务”。已保存截图作为证据。
诈骗论坛上非法服务的定价,包括访问政府数据库的服务
论坛定价——“Gov Access”
公开诈骗论坛的定价。他们提供交钥匙服务,并可访问自动化的执法仪表盘。
向主机服务商提交了虚假的滥用报告,其中使用了伪造的域名掩蔽
虚假滥用举报
他们在报告中将真实的域名伪装成“mysite.com”。这并非DDoS攻击——而是他们的种子捕获认证端点。
Cloudflare 分析数据显示,此次 DDoS 攻击共产生了 2.83 亿次请求,占用带宽 1.21 TB
DDoS:2.83亿次请求 / 1.21 TB
2026年3月6日。那次攻击导致我们的Namecheap主机服务瘫痪。加拿大、美国、印度尼西亚、保加利亚——全球范围的僵尸网络。已迁移至Cloudflare。
谷歌关于针对 PhishDestroy 的虚假 DMCA 版权投诉的通知
通过谷歌发送的虚假DMCA通知
有人伪造了一份OnlyFans DMCA报告,试图要求删除我们的域名。该报告由“kanave mogel”提交。OnlyFans已确认他们从未提交过该报告。
OnlyFans官方回应,否认曾提交DMCA通知
OnlyFans:“非我们所为”
OnlyFans 的 Dana 给出的官方回复:“该通知并非由 OnlyFans 团队发布,也并非出自我们之手。”
一个被封禁的Reddit账号,显示1点卡玛和一条5年前的反诈骗帖子
Reddit 账号被封禁
1 积分。0 条贡献。一篇发布于5年前、警告诈骗应用的帖子。确实是对社会的威胁。

2026年3月:那次让我们的主机瘫痪的DDoS攻击

2026年3月6日,诈骗分子对我们的基础设施发动了迄今为止规模最大的DDoS攻击: 2.8345亿次请求 以及 1.21 TB 的带宽 仅用7天时间。此次攻击源自一个覆盖全球的僵尸网络,其活动范围遍及加拿大(9100万次请求)、美国(7300万次)、印度尼西亚(1300万次)、保加利亚(1300万次)、危地马拉(1200万次)、日本、俄罗斯和德国。

Cloudflare 分析数据显示,此次横跨多个国家的 DDoS 攻击共产生了 2.83 亿次请求、1.21 TB 带宽消耗以及 31.3 万次访问
Cloudflare 分析数据:2.83 亿次请求,1.21 TB 带宽。正是这次攻击迫使我们迁移了托管服务。

Namecheap 每月 8 美元的主机服务无法应对,因此终止了我们的账户。我们迁移到了 Cloudflare + Hetzner(每月 25 美元)。迁移后,他们再次尝试——结果不出所料,彻底失败了。而 Cloudflare 则轻松自如地处理了所有流量。 零停机时间。对下线操作零影响。

虚假的DMCA投诉

2026年3月30日,谷歌就针对我们域名报告页面的版权投诉向我们发出了通知 phishdestroy.io/domain/hbmhcw.net/. 该指控称,我们的页面包含属于表演者“Mibadbitch、Bri Naranjo 或 Brianna Naranjo”的受版权保护的 OnlyFans 内容。该投诉是由一名名为 “kanave mogel”.

谷歌《数字千年版权法案》(DMCA)通知
谷歌版权声明
2026年3月30日。谷歌基于虚假的《数字千年版权法案》(DMCA)申诉,将我们的域名报告页面从搜索结果中移除。
OnlyFans否认曾提交该通知
OnlyFans:非我们提供
来自OnlyFans的达娜表示:“该通知并非由OnlyFans团队发布,也并非出自我们之手。”

我们直接联系了OnlyFans。他们的回复很明确: “所提及的《数字千年版权法案》(DMCA)通知(Lumen数据库ID:81731777)并非由OnlyFans团队提交。该通知仅将我们的平台指认为该内容的涉嫌原始来源,但该投诉并非代表我们提出的。”

Lumen 数据库记录

lumendatabase.org/notices/81731777 — 这份完全虚假的《数字千年版权法案》(DMCA)通知已作为公共记录公开。提交者为“kanave mogel”。这是一名诈骗分子,企图利用版权法将我们报告中关于其钓鱼域名的证据删除。

社交媒体内容下架

我们的社交媒体账号正遭到有系统的针对性打击。X(Twitter)、Telegram、Medium、Reddit——所有账号均因大规模举报而被暂停或封禁,这些举报很可能利用了伪造的政府紧急请求。我们最新的X账号于2026年4月被封禁。 我们决定不恢复它了。 我们已经厌倦了在平台停权问题上玩“打地鼠”的游戏。

X/Twitter — 已永久停用

第二次被封号后,我们决定:够了。我们不会再浪费时间去恢复那些平台上的账号——在那些平台上,有钱的诈骗分子可以提交虚假的政府请求来封禁账号。我们的运营从来都不依赖社交媒体。无论如何,我们的行动都会继续。

其他渠道

我们说真话,并帮助封堵那些需要封堵的内容。有些人对此很不满。他们以为封禁或删除我们的账号就能阻止我们,或者伤害我们。我们并不抱怨——说实话,到了这个地步,这反而挺可笑的。 我们已做好应对任何封禁和下架的准备。那些有钱没脑子的骗子,只会花钱雇人攻击并企图摧毁我们。但PhishDestroy依然屹立不倒。而我们,将继续摧毁他们。

X 档案
已保存14万余条被删除的帖子。
GitHub 仓库
Medium 档案库
所有博客文章均已保存并镜像。
查看存档
新频道
拆卸后立即重新组装。
加入频道

证据保全规程

我们采取的每一项行动都遵循一套严格的证据保全规程,该规程旨在确保最大程度的透明度,并为可能的法律程序做好准备:

相关阅读

《信息安全杂志》:执法与政府电子邮件 — 各域名注册商的响应质量差异极大。Namecheap 始终响应迅速;其他注册商则不然。

“0美元模式”的实践应用

我们的成本结构是刻意设计成不对称的。他们用于报复的每一美元都是白花。我们每清除一个域名,都不需要任何成本。

他们的支出我们的支出
$3,000+ per "government-style" social takedown$0 per automated abuse report
$200-2,000 for DDoS botnet rental$0 — behind Cloudflare, email flows continue
$500-2,000 for UK paper company + legal forgeries$0 — private registration, claims auto-rejected
$50-300/mo for email flood services$0 — we don't use inbound email for operations
$50-300 for bot farm fake reports$0 — reported and wiped by platforms

比分板

他们为了阻止我们,烧死了成千上万人。我们则花费了 $0 以拆除他们的基础设施。我们的自动化系统具备可扩展性,而他们的恐慌却无法扩展。我们警告他们: “您的基础设施即将关闭” ——随后,他们那边便陷入了一片混乱。与此同时,我们这边依然按部就班:扫描、归档、报告、删除。

想帮忙吗?

如果您遇到过钓鱼网站,或者希望为打击加密货币诈骗贡献一份力量,请按照以下方法操作:

透明度声明。 PhishDestroy 是一个非商业性的独立项目。我们的研究可能对诈骗基础设施及其相关服务存在固有的偏见。我们鼓励读者以批判性和独立的眼光评估所有内容。 阅读我们的完整透明度声明 →