跳转至主要内容
返回新闻
当滥用举报石沉大海时——注册商未能作出回应
调查 • 阅读时间 15—18 分钟

当滥用举报石沉大海时:域名注册商如何成为网络犯罪的“沉默合伙人”

我们提交了证据充分的滥用报告——包括VirusTotal的检测结果、截图、黑名单数据以及杀毒软件扫描结果。域名注册商收到这些报告后却无动于衷。一些网络钓鱼域名依然存在 1,788小时 以及 13份独立报告. 这并非系统故障——而是一种设计选择。以下是相关数据。

失灵的体系

我们提交的每份滥用报告都遵循明确的流程:域名网址、类别(网络钓鱼、加密货币窃取、虚假赌场)、VirusTotal检测次数、截图证据以及黑名单状态。这些并非模糊的投诉——而是完整的取证资料包。然而,一个又一个域名却依然在线运行了 几周和几个月 在首份报告之后。

关于注册商应如何处理滥用报告,目前尚无统一标准。既无服务水平协议(SLA),也无强制性的响应时间要求,更无问责指标。每个注册商都会自行决定是否对被标记的域名 16个杀毒引擎 值得关注——或者直接发送模板回复并关闭工单。

1,788小时
payscrow[.]bet — 尽管收到了 6 份报告且在 VirusTotal 上被检测出 16 次,该域名仍保持活跃状态长达 75 天。域名注册商:Tucows / Identity Digital。

谁能超越16款杀毒引擎?

这是任何注册商都不愿回答的问题。当 卡巴斯基、ESET、Fortinet、BitDefender、Sophos、G-Data 此外,又有十家安全厂商在VirusTotal上将该域名标记为恶意域名——而域名注册商的滥用处理团队决定 “无需采取任何行动” ——到底是谁打的那个电话?

试想一下这种荒谬的局面:一家注册商的某位滥用行为分析师,竟能推翻来自 16个独立的杀毒引擎,每家都拥有数十亿个数据点、专门的研究实验室以及数十年的经验。依据是什么?NiceNIC 或 GlobalDomainGroup 的滥用行为应对团队究竟拥有怎样的扫描基础设施,能超越卡巴斯基的?

答案很简单:没有。 他们既不扫描,也不核实。要么根本不看报告,要么就进行财务计算:正常运行的域名能产生收入;被暂停的域名则不能。

farewex[.]com — 已提交 13 份滥用报告。VirusTotal 检测到 13 次。活跃时间 1,352 小时(56 天)。域名注册商(apiname.com / Verisign)收到了来自杀毒软件厂商、威胁情报平台以及 ICANN 合规部门的证据。 该域名目前仍处于有效状态。 是谁决定这样做是可以接受的?

让我们明确说明这意味着什么:注册管理机构中的某人审视了来自13家独立安全供应商的证据以及13份独立的滥用报告——却认为自己的判断更胜一筹。这并非失误,而是一项政策。

没有他们尊重的权威

请列举一家被域名注册商视为权威的杀毒软件厂商。你列举不出来——因为根本没有这样的厂商。

  • 卡巴斯基 — 检测域名?忽略。
  • ESET — 将其标记为网络钓鱼?忽略。
  • Fortinet — 在网络层进行拦截?被忽略。
  • BitDefender ——警告数百万用户?无人理会。
  • Google Safe Browsing ——地球上最大的网络安全系统?却依然被忽视。

无检测阈值 此时,域名注册商有义务采取行动。不是5个引擎,不是10个,也不是16个。一个域名即使在VirusTotal上被所有杀毒软件厂商标记、出现在多个黑名单中,并收到十几份滥用报告——域名注册商也没有任何可强制执行的义务去采取任何行动。

这并不是系统中的漏洞。 这就是该系统。 域名注册行业成功规避了任何具有约束力的标准,这些标准本应要求他们尊重安全研究人员、杀毒软件厂商或威胁情报平台的调查结果。当70个检测引擎中有16个检测到某个域名时——这绝非“可能”而已。 这已形成共识。然而,域名注册商的滥用处理团队——既没有扫描基础设施,又因经济利益而希望该域名继续存在——却推翻了这一共识。

0
其检测结果被域名注册商采纳的杀毒软件厂商数量为 有义务 可以采取行动的。卡巴斯基不行。ESET也不行。谷歌也不行。一个都没有。
行业的“沉默之墙”——5万多个被举报的域名仍在线上,被NiceNIC、Tucows、GlobalDomainGroup、apiname、Porkbun、Dynadot和Endurance屏蔽
已提交50,000多份滥用举报。注册商防线依然坚挺。域名仍可正常访问。

经济激励

域名注册商对每个域名收取年费。每次暂停服务都会造成收入损失,每次关停都存在退款风险。保持域名处于活跃状态存在直接且可量化的经济激励——而忽视滥用报告则不会受到任何经济处罚。

并非所有基础设施提供商都是如此。 Cloudflare例如,该公司能高效处理滥用举报,且不会像其他公司那样通过域名注册获利。这种区别至关重要:当处理您举报的公司从域名保持在线中获利时,这种利益冲突就是结构性的。

证据:来自我们报告的实时数据

以下是我们2026年3月滥用升级日志中的一个示例。每条记录都代表一个真实的钓鱼域名,该域名曾被 仍处于活跃状态 截至发稿时,尽管此前已有相关报道且已确认检测到该情况。

域名报告在线时长(小时)VTBL(简体中文(大陆))注册商滥用
payscrow[.]bet61,788小时16Tucows
6chicken9[.]top41,783小时41耐力
apphyena[.]trade21,781小时3NiceNIC
airdrop[.]autos31,364小时41Gname
amlstats[.]com71,363小时141Tucows
amlscore[.]info71,363小时91Tucows
amlwallets[.]io41,363小时101nic.io
aavleaderboard[.]assetavenue[.]capital(简体中文(大陆))21,359小时1IdentityDigital
airdropchime[.]com21,359小时1Namecheap
farewex[.]com131,352小时13apiname.com
app[.]whitewhalesmeme[.]com41,330小时14威瑞信
zordex[.]us31,314小时14apiname.com
alhpatrademarket[.]com21,278小时15GlobalDomainGroup
angelferno[.]com21,278小时71NiceNIC
ansol[.]cc41,278小时41NiceNIC
amltrackerbot[.]com21,278小时61Tucows
amlstatement[.]info41,228小时16Porkbun
a8vx[.]top21,049小时16Dynadot
amlinfo[.]now21,033小时2Porkbun
xwinner[.]cc41,026小时14GlobalDomainGroup
xerowex[.]com61,021小时14apiname.com
menty[.]sbs4985h16gen.xyz
perowex[.]com5971h14apiname.com
amlbot[.]im4965h6nic.im
3capitalstrading[.]com2879h2GlobalDomainGroup
naebex[.]com5826h11PDR
casbatle[.]com2803h2NiceNIC
amlchecknow[.]digital2751h6PDR
sollfalare[.]top2730h3耐力
marketcsgo[.]net2717h15GlobalDomainGroup
dinadrop[.]com2717h6GlobalDomainGroup
dotabuff[.]org2674h2PIR
casesbattle[.]org2652h2PIR
763182819[.]top2618h15Gname
kahcas[.]com5539h14INWX
qizaro[.]cc5535h12GlobalDomainGroup
apexresolvefix[.]com2496h3Cosmotown
amlriskscore[.]ru2448h1cctld.ru
patricksstash[.]to2427h2tonic.to
stashhpatrick[.]cc2427h5NiceNIC
stake2win[.]me2402h14domain.me
wazbee[.]me2388h16domain.me
dexscreener[.]at2328h16nic.at
2fa[.]walletpinet[.]com116威瑞信
appether[.]fi1131

VT = VirusTotal 约 70 个检测引擎中的检测结果。“Active” = 自首次检测以来截至上报时的经过小时数。数据来源:PhishDestroy 滥用上报日志,2026 年 3 月 19 日至 21 日。

数据不会说谎

平均活跃时间

943h

~39天(所有已知活跃时段的域名平均值)

最大活动时间

1,788小时

payscrow[.]bet — 75 天,6 份报告,VT:16

已发送报告总数

150+

仅就本样本而言,所有领域合并后的报告

VT≥10的域名

22

近一半的域名——经10个以上杀毒引擎确认具有恶意性质,且仍处于活跃状态

“惯犯”:注册官分析

并非所有域名注册商都一样。我们的数据显示出明显的规律——某些域名注册商屡屡出现在表现最差的条目中。

apiname.com

  • farewex[.]com — 1,352小时,13份报告,VT:13
  • zordex[.]us — 1,314小时,3份报告,VT:14
  • xerowex[.]com — 1,021小时,6份报告,VT:14
  • perowex[.]com — 971小时,5份报告,VT:14

4个域名。合计:4,658小时的犯罪基础设施活动。27份报告被忽视。

GlobalDomainGroup

  • xwinner[.]cc — 1,026小时,VT:14
  • marketcsgo[.]net — 717小时,VT:15
  • dinadrop[.]com — 717h, VT:6
  • qizaro[.]cc — 535h, VT:12
  • csgomy[.]com — 356小时,VT:9
  • tastdrop[.]com — 357小时,VT:2
  • casebatle[.]com — 327小时,VT:6
  • casebatltle[.]com — 327小时,VT:2
  • chestix[.]net — 293小时,VT:1
  • ggddrop[.]com — 365小时,VT:1

10个领域。这是我们数据集中最大的单一聚类。这是一种规律,而非偶然。

Tucows / IdentityDigital

  • payscrow[.]bet — 1,788小时,6份报告,VT:16
  • amlstats[.]com — 1,363小时,7份报告,VT:14,BL:1
  • amlscore[.]info — 1,363小时,7份报告,VT:9,BL:1Simplified Chinese (Mainland)
  • amltrackerbot[.]com — 1,278小时,2份报告,VT:6,BL:1

Tucows:共计22份报告,涉及5,792小时的欺诈行为。amlstats共收到7份报告——每周1份——并成功应对了所有这些情况。

NiceNIC (nicenic.net)

  • apphyena[.]trade — 1,781小时,VT:3
  • angelferno[.]com — 1,278小时,访问量:7,评论:1
  • ansol[.]cc — 1,278小时,4份报告,VT:4,BL:1
  • casbatle[.]com — 803h, VT:2
  • stashhpatrick[.]cc — 427h, VT:5
  • casebaetle[.]com — 310小时,VT:2
  • casebattle[.]info — 首份报告,VT:1
  • appalmanak[.]live — 首篇报道,VT:2

8个领域。累计5,877+小时。此前已调查过: NiceNIC 评测结论 — 未发现任何合法用途。

Porkbun

  • amlstatement[.]info — 1,228小时,4份报告,VT:16
  • amlinfo[.]now — 1,033小时,2份报告,VT:2
  • amlspace[.]com — 712小时,2份报告,VT:1

amlstatement[.]info:被16款杀毒软件检测到,收到4份报告,在线时间51天。Porkbun的滥用处理团队认为哪些情况是可以接受的?

Dynadot

  • a8vx[.]top — 1,049小时,2份报告,VT:16
  • aave[.]events — 首份报告,VT:2,BL:1
  • aavetrading[.]net — 首份报告,VT:9

a8vx[.]top:检测到16次VT活动,犯罪活动持续了44天。Dynadot是ICANN认证的域名注册商。

domain.me

  • wazbee[.]me — 388小时,VT:16
  • stake2win[.]me — 402h, VT:14

这两个域名均被14至16款杀毒软件检测出病毒。在第二次报告发布后,两者仍处于活跃状态。

网络犯罪中的“沉默合伙人”——网络示意图显示,部分域名注册商连接至ABUSE IGNORED Hub,但数小时内未采取任何行动
每个节点都是经ICANN认证的注册商。每个数字代表在收到滥用报告后,仍在线上的已确认犯罪基础设施所剩的时间(以小时为单位)。

注册官未采取行动的累计时长

NiceNIC
5,877小时
Tucows
5,792小时
GlobalDomainGroup
5,520小时+
apiname.com
4,658小时
Porkbun
2,973小时
耐力
2,513小时
Dynadot
1,049小时+
domain.me
790h

我们2026年3月数据集中,各注册商所报告的所有域名的活跃小时数总和。这并非注册商滥用行为的总数——仅是我们在一份样本中观察到的情况。

我们发送的内容与他们的实际做法

每份 PhishDestroy 滥用报告都包含:

本报告包含

  • 域名网址和注册信息
  • VirusTotal评分(含厂商名称)
  • 钓鱼网站的整页截图
  • 类别分类(网络钓鱼、资金窃取、诈骗赌场)
  • 来自多个数据源的黑名单状态
  • URLscan.io 或类似的扫描结果
  • 以往报告的记录及时间线

注册处回复

  • 完全没有回应(最常见的情况)
  • 模板确认,无需操作
  • “我们将进行审查”——几周过去了,域名依然存在
  • “我们无法核实这一说法”——尽管检测到了16次VT信号
  • 工单已关闭,但问题未解决
  • 关于已提交证据的请求

鉴于注册商未采取行动,我们将此事上报至 ICANN合规性 (compliance@icann.org)。在上述所有案例中,ICANN 均被抄送至第二份或后续报告中。结果呢?同样毫无下文。

那项并不存在的ICANN标准

ICANN的 注册管理机构认证协议(RAA),第3.18条 要求注册商设立滥用投诉联系人,并对滥用报告“采取合理且及时的措施进行调查并作出适当回应”。

实际上,“合理且及时”的具体含义由注册管理机构自行决定。具体包括:

  • 无最大响应时间 — 注册商可以拖延数周,却声称这是“合理的”
  • 无强制停赛门槛 — 检测到 16 次 VT 并不一定会自动触发任何操作
  • 无公开报告要求 — 注册机构无需公布其收到的报告数量或采取行动的报告数量
  • 没有实质性的处罚 — ICANN 极少因对滥用行为不作为而撤销认证

结果是:注册管理机构将滥用处理视为应尽量削减的成本中心,而非应履行的安全义务。

标准应是什么: 24小时内确认。对于VT≥10的域名,72小时内采取行动。收到3份及以上独立举报后自动暂停服务。每季度公开发布滥用指标报告。对系统性违规行为处以罚款。

他们对拼写劫持采取行动——但对网络钓鱼却无动于衷

更荒谬的是,那些对钓鱼报告置之不理长达数月的注册商,在处理某一种特定滥用行为时却异常高效: 拼写劫持 — 与已确立的品牌名称存在易混淆相似性的域名。

为什么?因为拼写劫持的目标是 设有法律预算的企业. 当谷歌、苹果或微软就仿冒域名提交UDRP投诉时,域名注册商会在数日内采取行动。因滥用商标而面临诉讼及ICANN制裁的威胁是真实且迫在眉睫的。

但当一个网络钓鱼域名从个人受害者那里骗取钱财时呢?当一个加密货币盗取程序将某人的毕生积蓄洗劫一空时呢?当一家虚假赌场窃取玩家的信用卡信息时呢? 没有公司法务团队。没有提交UDRP申请。没有紧迫感。 域名注册商的滥用处理部门采用的是另一套标准——根据这一标准,受害者的经济损失所引发的反应,与品牌方对商标问题的关切所引发的反应并不相同。

错拼域名抢注报告

  • 品牌所有者提起UDRP诉讼
  • 注册商将在数日内回复
  • 域名被迅速锁定/暂停
  • 不作为的法律后果

网络钓鱼/诈骗报告

  • 受害者/研究人员提交虐待报告
  • 注册商数周/数月不予理会
  • 域名在到期前一直保持有效
  • 不作为不会产生任何后果

信息很明确: 域名注册商保护的是品牌,而不是个人。 他们只对法律权力做出反应,而非对损害证据。我们的报告包含比任何UDRP申诉文件都更充分的客观证据——VirusTotal扫描结果、杀毒软件检测结果、黑名单确认信息、屏幕截图——然而这些报告却始终未获回应。

我们替他们干活——而且分文不取

PhishDestroy 是一个 独立的非商业项目. 我们扫描域名。我们对威胁进行分类。我们生成VirusTotal报告。我们截取屏幕截图。我们撰写详细的滥用报告,并将其发送给注册商、注册局和ICANN。 我们承担了本应由注册商自行完成的安全工作。

而这里有一个令人不舒服的事实: 有些注册商确实会做这项工作。 一些域名注册商拥有自己的域名扫描基础设施,使用私有的威胁情报源,甚至在任何人举报之前就主动暂停恶意域名的服务。这样的注册商确实存在。这证明了这是可行的。

行动派注册商

  • 运行内部扫描工具(私有、非公开)
  • 主动暂停明显涉嫌欺诈的域名
  • 在数小时内对滥用报告作出回应
  • 与研究人员和执法部门合作
  • 接受 VirusTotal 和黑名单数据作为证据

这些注册商证明,快速应对滥用行为在技术上和经济上都是可行的。

庇护诈骗分子的域名注册商

  • 完全没有任何扫描基础设施
  • 先等报告出来,然后置之不理
  • 模板回复、工单已关闭、域名有效
  • 拒绝接收报告(NameSilo 模式)
  • 在没有任何证据的情况下,推翻了16个杀毒引擎的检测结果

这些注册商选择了利润而非安全。他们的不作为,实际上是由安全社区免费代劳所维持的。

问题并不在于能否快速应对滥用行为。 是的。 问题在于,为什么有些注册商选择不这样做。而答案,每次都归结于同一个结构性激励因素: 正常运行的域名能带来收入,而被暂停的域名则不能。

应适用的权威标准

追究注册商责任的框架已经存在——只是没有得到执行:

ICANN RAA 第3.18条

注册商认证协议 要求注册商维护滥用投诉联系信息,并及时调查相关举报。但实际上,该规定几乎未得到执行。

APWG

反网络钓鱼工作组 该组织每季度发布网络钓鱼趋势报告,揭示了这一问题的严重程度。域名注册商虽参与了APWG,却依然无视这些报告。

联邦贸易委员会(FTC)的行动

美国联邦贸易委员会致NameSilo的警告信(2024年12月) 明确指出了未能解决欺诈问题。ICANN自身 合规部 收到我们的升级请求后却杳无音信。

DNSAI

DNS滥用研究所 (由 PIR 运营)开发了 DAAR 等工具,并推广最佳实践。然而,PIR 自己的域名注册库却托管着 dotabuff[.]org(活跃时间 674 小时,VT:2)和 casesbattle[.]org(活跃时间 652 小时)。

50,000 个域名,且数量仍在增加

上面的例子是一个 单周样本. 其实际规模之大令人震惊。

50K+
我们系统中活跃的网络钓鱼域名 destroylist 已收到滥用举报的。其中大多数是 仍在线.

我们持续更新的威胁情报源位于 content_active.txt 其中包含超过50,000个被举报为恶意的域名。每个域名都至少收到过一份滥用举报,许多域名甚至收到过多份。域名注册商在收到相关证据——包括VirusTotal的扫描结果、截图以及黑名单确认信息——后,却选择了维护客户利益,而非保障公众安全。

因为这就是它的本质: 一个选择. 域名注册商的客户就是注册该域名的人——也就是诈骗者。域名注册商的客户绝不是那位因假冒银行页面而损失积蓄的老奶奶,也不是钱包被清空的加密货币用户,更不是Steam账号被盗的游戏玩家。域名注册商选择的正是诈骗者。每次都是如此。

50,000个域名,零问责——NiceNIC、Tucows、GlobalDomainGroup、apiname和Porkbun批量生产带有“未采取行动”标记的钓鱼域名
滥用报告的流水线:域名一经检测出VT:16异常,便被标记为“无需处理”,随后继续流转。注册商名称在它们生成的那行上方闪烁着。

从报案到受害者:分秒必争

一旦我们提交滥用报告,计时便开始。从那一刻起,注册商将 正式知悉 其管理的某个域名正被用于实施诈骗。收到该通知后,每拖延一小时,就意味着 知情共谋.

我们数据集中的许多域名不仅能撑过几份报告——它们还能存活到 注册期限已过. 他们走完整个流程:注册、诈骗、被举报、再次被举报、上报至ICANN、继续诈骗、自然过期。注册商收取了注册费。诈骗者骗取了资金。受害者则一无所获。

NameSilo 该注册商公开否认收到我们有确凿证据证明已提交的滥用举报。当注册商为了逃避责任而谎称未收到举报时,受害者还能寻求什么救济?也许现在是时候对注册商的滥用处理流程进行独立审计了——这种审计应对比已提交的举报与实际采取的措施,并将结果公之于众。

及时暂停域名注册不仅是一项行政措施,也不仅仅是“给注册人带来不便”。 这是一次救援行动。 每个及时被关停的域名,都意味着一个未被掏空的钱包、一份未被盗取的凭证、一个未被清空的储蓄账户。那些将域名关停措施描述为“审查”或“业务中断”的域名注册商,恰恰暴露了他们究竟在为谁的利益服务。

域名注册商是否应该对受害者进行赔偿?

以下是整个域名注册行业都拒绝正视的问题:

如果一家域名注册商收到一份基于证据的滥用报告——其中包含VirusTotal的检测结果、屏幕截图以及黑名单确认信息——却选择不予处理,那么此后受害者所遭受的损失,该域名注册商是否应承担赔偿责任?

想想看。一旦注册机构收到报告,他们就会 不再无知. 他们已收到附有证据的通知,称其控制下的某个域名正被用于盗取资金、凭证和身份信息。从那一刻起,继续不作为就不再是疏忽——而是 有意识的决定 以允许造成伤害。

  • 注册商是否愿意承担责任 对于每个通过他们曾被警告过的域名被盗的一美元?
  • 注册机构是否准备向受害者提供赔偿 在滥用报告提交后却被忽视,导致资金损失的是谁?
  • 注册机构的法律团队是否 难道不明白,当16款杀毒引擎的检测结果不一致时,声称“我们审查后未发现任何问题”这种立场是站不住脚的吗?

如果这三个问题的答案都是“否”——那么就没有正当理由继续保留该域名的有效状态。 先停职,后调查。 这就是负责任的基础设施提供商的运作方式。这就是 Cloudflare 的运作方式。这也是 Hetzner 和 OVH 等托管服务提供商越来越普遍采用的运作方式。只有域名注册商仍固守着一种模式,即诈骗者的便利性被置于受害者安全之上。

谁来买单

钓鱼域名每在线一小时,就直接意味着会有新的受害者:

  • 加密货币盗币域名 (farewex、perowex、xerowex、naebex) —— 钱包在几秒内就被清空。apiname.com 域名累计注册时长达 4,658 小时,这意味着可能发生了数千起钱包被清空的事件。
  • 虚假赌场/CS:GO诈骗 (casebattle variants、csgomy、ggddrop、tastdrop)——针对游戏玩家的信用卡欺诈、身份盗用以及操纵游戏结果的行为。
  • 冒充服务 (dexscreener[.]at, trustwallet[.]receipts[.]sh, amlbot[.]im, dotabuff[.]org) — 冒用品牌身份,导致凭证被盗和财务损失。
  • 梳理基础设施 (patricksstash, stashhpatrick) —— 将盗取的支付数据出售给其他犯罪分子。
75
payscrow[.]bet 网站竟能继续运营——这相当于在安保人员接到举报、查看监控录像并指认出嫌疑人后,仍让一名扒手在购物中心内逗留了2.5个月。

必须改变什么

当前的模式在设计上就存在缺陷。域名注册商从域名保持激活状态中获利。ICANN缺乏执行力。受害者无处申诉。以下是解决这一问题的方案:

  1. 针对滥用行为响应的强制性服务水平协议(SLA): 24小时内确认,72小时内采取初步行动,7天内启动升级流程。可量化。可审计。
  2. 自动暂停阈值: 任何在VirusTotal上检测结果≥10且有2份及以上独立报告的域名,都必须在审核完成前被暂停——而不是相反。
  3. 关于滥用行为的公开透明度报告: 每家经ICANN认证的注册商都必须每季度公布以下信息:收到的报告、平均响应时间、已采取的措施以及被暂停的域名。
  4. 对违规行为的罚款: 对系统性不作为的注册机构实施分级罚款。对屡次违规者吊销认证资格。
  5. 独立虐待事务监察员: 一个能够审查注册管理机构决定、纠正不作为行为,并在面临重大威胁时加快暂停程序的第三方机构。
  6. 跨注册商封禁名单: 一旦确认某注册人属于惯犯,应通知所有经认证的注册商。不得再进行域名套利。

PhishDestroy 对此采取了哪些措施

我们不会只是撰写报告,然后坐等行业自我调整。我们会构建能够强制要求透明度、并对不作为行为施加后果的系统。

公共威胁数据库

我们创建并维护了该 destroylist — 一个公开的、持续更新的数据库,收录了 50,000 多个恶意域名。我们现在发送的每份滥用报告都会通知域名注册商: 该域名将被收录到公共数据库中. 其客户域名可能造成的受害者将看到报告提交的时间以及域名注册商忽视该报告的时间长度。这对域名注册商来说令人尴尬——而这正是关键所在。

域名威胁页面

我们目前标记的每个域名现在都有一个专门的页面,位于 phishdestroy.io/domain — 包含全面分析、AI生成的威胁描述以及一份 威胁响应 Pipeline 显示具体的处理阶段:检测、发送报告、升级处理、通知ICANN。状态实时更新。我们现在正在为每份后续报告添加精确的时间戳,以确保完全透明。任何人都可以准确查看注册商何时收到通知,以及他们选择不采取行动的时间长度。

升级系统——请勿报告积水

我们确实 向注册商发送大量重复报告。在98%的情况下,我们只会发送一份初始报告,不会重复发送——这既是因为每日电子邮件发送数量有限,也是因为我们认为大量重复发送并非正确做法。只有当某个域名 被重新检测为活跃状态 在进行新一轮扫描时。如果我们每天向每个活跃域名发送垃圾邮件,那每天将发送50,000封邮件。 但我们并没有这么做。我们的升级处理系统会生成后续报告(#2、#3 等),其中包含经 AI 分析的威胁摘要、更新的 VirusTotal 评分,以及域名注册商忽视该威胁已持续的小时数。

社区重新报告工具

在我们的Telegram机器人中 @PhishDestroy_bot,用户现在可以提交 重复报告 针对我们在初步报告后发现仍处于活跃状态的域名。由于太多注册商放任诈骗分子肆意妄为,且对由此造成的灾难性损害置若罔闻,我们因此为社区发声。如果某家注册商不愿听取我们的意见,或许他们会重视来自真实用户的众多独立举报。

致诈骗项目所有者和疏于职守的注册商的一封信: 如果您认为我们正在用大量报告“攻击”您——其实并非如此。我们针对每个检测事件只发送一份报告。如果您收到大量报告,那是因为您拥有许多恶意域名。这些报告各不相同,针对不同的域名,且包含不同的证据。问题并不在于我们的报告数量——而是 您的域名组合.

PhishDestroy——我们不保护品牌。我们也不为受害者辩护。 我们摧毁网络钓鱼和诈骗基础设施。

结论

当16个杀毒引擎都指出某个域名存在恶意,而域名注册商却表示“不予处理”时,该注册商并非在行使判断权——而是在维护自身收益。 当13份独立的滥用举报石沉大海,而该域名却持续在线1,352小时,这并非域名注册商在处理积压工作——而是纵容犯罪。

本文中的数据并非理论推测。这是我们2026年3月某一周的实时滥用事件升级日志——而其背后是 已报告域名超过50,000个 在我们持续更新的威胁情报源中。这并非某个注册商单独存在的问题。这是一个 全行业性失败 域名注册生态系统对此毫无兴趣加以解决,因为当前的模式是盈利的。

没有任何一家杀毒软件厂商的检测结果是域名注册商必须遵守的。也没有任何检测阈值会触发强制性措施。既没有服务水平协议(SLA),也没有问责机制,更不会产生任何后果。域名注册商收取费用,却对报告置之不理,最终受害者却要为此付出代价。

注册商并非中立的基础设施提供商。 他们是守门人,每天——每当他们忽略一份举报时——都在选择让犯罪基础设施继续在线运行。他们清楚这种危害,也有能力制止它,却选择袖手旁观。直到有人向他们提出那个唯一关键的问题—— “对于那些你们拒绝暂停的域名,你们是否愿意对受害者进行赔偿?” ——一切都不会改变。

业界对此问题的沉默,正是最响亮的回答。

#AbuseReports#ICANN#Registrars#VirusTotal#PhishingTakedown#Investigation#CyberSecurity

相关研究

域名注册商助长全球诈骗活动
NameSilo、Webnic 和 NiceNIC 如何通过忽视滥用报告来维持诈骗基础设施的运转。
NiceNIC 评测结论
对所有NiceNIC域名进行了审查——在整个域名组合中未发现任何合法用途。
NiceNIC 调查
揭露 IANA 3765——这家 ICANN 注册商以 1,141.74 的网络钓鱼评分助长全球网络犯罪。
透明度声明。 PhishDestroy 是一个非商业性的独立项目。我们的研究可能对诈骗基础设施及其相关服务存在固有的偏见。我们鼓励读者以批判性和独立的眼光评估所有内容。 阅读我们的完整透明度声明 →