我们决定去查一查
在我们首次调查揭露NiceNIC这家经ICANN认证的注册商是全球网络犯罪的幕后推手后,一个问题依然悬而未决:它真的“一无是处”吗?在这座由网络钓鱼、加密货币诈骗乃至更恶劣行径堆砌而成的山丘之下,是否还隐藏着合法的企业?
我们决定一探究竟。我们审查了 NiceNIC 的整个域名组合——每一项注册、每一项知识产权、以及我们能够访问的每一份内容。最终,我们生成了一套 24.7 MB 的数据集,并将其发布在 GitHub 上,供任何人独立验证。
这一结论是一致且明确无误的。
结果
我们寻找任何一种合法的使用场景。一家正规的企业。一个个人博客。一个作品集网站。 我们没有找到任何。
本项调查是在我们最初调查结果的基础上展开的。请阅读完整背景信息:
我们的发现
通过 NiceNIC 注册的域名明显属于以下滥用类别:
| 分类 | 患病率 | 注释 |
|---|
| 加密货币网络钓鱼与资金清空攻击 | 占主导地位的 | 钱包盗取、虚假交易所、空投骗局 |
| 虚假赌博与赌场 | 高 | 与我们此前调查过的行动有关(OFEDREX、LuxardGambling) |
| 网络钓鱼(概述) | 高 | 凭证窃取、冒用品牌 |
| 恶意软件传播 | 中等 | “ drive-by” 下载、假冒软件 |
| 未披露的犯罪内容 | 现在 | 在所有司法管辖区均构成刑事犯罪的内容——故意不予描述 |
内容警告
NiceNIC域名下托管的部分内容极其极端,若对其进行详细描述本身就是不负责任的行为。其中存在一些违反全球刑法的类别。 我们已将一切记录在案。但具体细节我们不会公布。
唯一被归类为“边缘”的类别是赌博——但即使这一分类在仔细审查下也站不住脚。这些赌博域名可以直接追溯到我们此前已调查过的虚假赌场运营: OFEDREX 其中已确认的受害者达383人, LuxardGambling 这些网站利用深度伪造技术伪造名人代言。它们并非正规的博彩网站,不过是换了张“面皮”的同一批诈骗平台罢了。
“黑客论坛”的关联
NiceNIC 与网络犯罪分子的关系远不止于被动疏忽。该域名注册商积极参与了这一生态系统:
“NiceNIC 在 BlackHatWorld 上非常活跃,该论坛以充斥 SEO 垃圾信息、网络钓鱼工具包和欺诈服务而臭名昭著。”
“有记录显示,NiceNIC的促销邮件曾吹嘘‘滥用报告更少’——这种营销文案正是专门为了吸引犯罪客户而设计的。”
“当收到滥用行为举报时,NiceNIC 会将举报人的个人联系方式——包括电子邮件地址——直接转发给域名所有者。这并非疏忽,而是一项旨在威慑举报人的功能。”
重大事件
信息图:NiceNIC收到5,000份滥用举报,却未采取任何行动——被忽略的举报如山般堆积在垃圾箱里 BreachForums 事件
NiceNIC 已解除对一个域名的停用状态 在联邦调查局提出关停请求后,随后据称暂停了联邦调查局(FBI)的官方账号,以阻止进一步的通信。
Telegram @NiceNIC_NET
记录在案的讨论内容涉及 禁用 WHOIS 并为犯罪嫌疑人提供万无一失的服务。
《GDPR》/ 隐私权侵犯
将举报人的数据分享给攻击者——将滥用行为举报流程变成针对举报人的武器。
5,000张罚单被忽视
该数字并非估计值,也没有因重复计算而被夸大。 5,000+ 条独立的滥用工单 针对 NiceNIC 域名提交了多份报告——每份报告都提供了新的证据,且针对不同的恶意域名。此统计数字不包括重复上报、后续提交以及相互引用报告的情况。
回应模式总是千篇一律:
“证据不足”——这是NiceNIC对包含VirusTotal报告(其中有15家及以上厂商检测结果)、活跃钓鱼门户的整页截图、DNS映射以及技术元数据的取证PDF文件的标准自动回复。
虐待的机制
- 48小时暂停延迟: 根据NiceNIC的内部政策,被举报的域名可在48小时内保持活跃状态,这给诈骗者留出了充足的时间来榨干受害者的钱
- WHOIS/RDAP 篡改: 应客户要求故意破坏或禁用,违反了ICANN《注册管理协议》(RAA)的透明度要求
- 自动关闭的投诉: 发送到 abuse@nicenic.net 的工单会自动转发给域名所有者并关闭
商业决策
5,000张门票并不算违规。这是一种商业决策。 每张被忽略的工单都享有收入保障。
我们的结论
根据现有证据——包括对该域名的全面审查、5,000多张被忽略的工单、黑客论坛上的活动、FBI介入事件、对举报人的恐吓,以及经确认的合法使用率为零——PhishDestroy 已做出最终决定:
正式名称
目前,所有通过 NiceNIC(IANA 3765)注册的域名,在 PhishDestroy 的威胁情报系统中均被标记为“可能不安全”。 这适用于我们的 API、黑名单、浏览器警告以及所有合作伙伴集成。
这并非一刀切的惩罚,而是一个统计结论。当100%的被审查内容均为恶意内容,且域名注册商主动助长这种行为时,该域名注册商本身就是犯罪基础设施。
最终声明
这并非疏忽。这并非无能。这是一个建立在对滥用行为的容忍基础上的商业模式。 NICENIC INTERNATIONAL GROUP CO., LIMITED 的所有者应承担刑事责任 ——不是因为没有采取行动,而是因为故意选择不采取行动。我们正在等待问责。
其商业模式一目了然:向犯罪分子收取域名费用,无视所有滥用报告,将举报人的数据分享给攻击者,并在黑客论坛上投放广告。这绝非灰色地带,而是为有组织犯罪服务的有组织基础设施。若在此事上确立法律先例,将向所有在ICANN监管下运营的“防弹”域名注册商发出明确信号。