跳转至主要内容
一次关停的剖析
网络防御

关停行动的解剖:PhishDestroy 如何打击网络犯罪

从2019年一个初出茅庐的项目,到如今能够摧毁超过40万个恶意域名的行业巨头,PhishDestroy的发展历程彰显了社区力量、技术实力以及来之不易的声誉。

关停流程解析——检测扫描器、生物特征验证、注册机构法槌、DNS提取、域名墓碑
Medium 上的配套文章: 对网络钓鱼活动的直接打击

在与网络欺诈的无休止斗争中,PhishDestroy 已成为一股关键力量,它从 2019 年的一项专项行动发展成为一项高效运作的行动。 我们的使命明确:摧毁网络钓鱼和诈骗基础设施,保护全球用户。这不仅仅是为了拦截恶意链接,更是为了深入理解网络攻击的运作机制,并从根源上瓦解其攻击链。

我们的演变:从数周到数分钟

一个钓鱼链接如何引发一连串的关停连锁反应
一个钓鱼链接如何引发一连串的关停连锁反应

PhishDestroy 成立之初,关闭一个恶意域名可能需要数周时间。多年来,我们不断发展壮大,建立了牢固的合作伙伴关系,并赢得了网络安全领域关键参与者的信任。我们始终将注意力高度集中于网络钓鱼领域,这使我们能够积累专业知识,并将误报率控制在最低水平。

如今,过去需要数周才能完成的工作,现在只需几分钟即可完成。这种效率的提升,正是我们持续创新以及所建立的良好声誉的明证。

关停流程

1. 快速检测与验证

检测是通过社区通过我们的平台提交的报告进行的 Telegram 机器人、自动化监控以及威胁情报源。我们的团队会迅速核实威胁,以确保误报率降至最低。

2. 深入分析与证据收集

我们的分析师对该威胁进行深入分析,识别其特征、目标和手段。这包括有效载荷分析、基础设施映射以及评估对受害者的影响。每一项证据都会被详细记录在案。

3. 战略协调与行动

这正是我们声誉发挥作用的地方。我们已与数百家主机服务商、域名注册商和执法机构建立了牢固的合作关系。当 PhishDestroy 提交报告时, 超过50个系统能立即识别我们的请求. 如果被举报的网站确实属于网络钓鱼网站,则可在几分钟内将其关闭。

4. 清算与监督

最终目标是彻底清除。一旦启动关停程序,我们会持续监控状态,以确保该网站已下线且保持离线状态。我们的努力已成功导致 超过50万个恶意域名 自2019年以来,通过持续的拆除后核查,能在数小时内发现重新出现的基础设施。

运营方法论:自动化、准确性、规模

我们的模型结合了 社区报道自动检测系统 以及精准分析。Pipeline的设计旨在实现弹性扩展,无论是一份报告还是每天数千次关停操作,都能在不牺牲质量的前提下顺利处理。

  • 定制解析器 持续扫描 SEO 搜索结果、赞助广告位和 Google Ads,以查找网络钓鱼迹象——在付费广告首次投放的瞬间就拦截威胁。
  • 已识别的威胁会自动提交至 50多家杀毒软件厂商 以及威胁情报源,在检测后的最初几分钟内最大限度地提高全球封堵覆盖率。
  • 我们坚持 假阳性率低于0.5%,超过 100,000份经验证的报告 ——这证明我们的系统不仅速度快,而且精度极高。
  • 已通过认证的贡献者提交 100多份准确的报告 被授予 “值得信赖” 状态,允许直接提交且无需审核,并大幅缩短了针对已知举报者的关停时间。
  • 一场直播 伤害计数器 根据平均域名价值和推广成本(典型加密货币诈骗方案中,每个域名约15美元),估算诈骗者造成的经济损失。

检测来源——威胁出现的地点

网络钓鱼基础设施很少隐蔽——它反而会主动宣传。我们从以下渠道收集潜在目标:

  • Telegram 机器人报告 来自我们社区,通过 @PhishDestroy_bot — 主要公众意见征集渠道。
  • SEO 和付费广告解析器 — Google Ads、Bing、Yandex;持续监控加密货币钱包、交易所和跨链桥的相关赞助关键词。
  • 威胁情报源 由合作伙伴和研究人员与我们分享。
  • 诱饵网络 以及种子短语“金丝雀”令牌,当诈骗者试图使用被盗数据时,这些令牌会向我们发出警报。
  • WHOIS 与证书透明度 监测针对受保护品牌的、新注册的仿冒域名。

证据保全——永久性数字记录

关停只是第一步。 保全证据是我们的首要任务 ——因为如果没有任何记录留存,被删除的域名对调查人员来说就毫无用处。

  • 每个被检测到的域名都是 通过公共扫描仪存档 (urlscan.io、Wayback Machine、我们自己的快照 Pipeline),以捕获完整的网站指纹——包括 HTML、屏幕截图、网络请求和 JavaScript 有效载荷。
  • 每次操作都会留下一个 数字记录 能够抵御攻击者删除——公开发布在 GitHub 删除列表 以及 ScamIntelLogs 存档.
  • 档案资料包括诈骗者的管理后台、Telegram聊天记录导出文件、支付流程、受害者记录以及IOC——这些资料可在平台被关停后很长一段时间内,为追责和起诉提供支持。
  • 当诈骗分子试图销毁证据时,我们却让这些证据永久留存。

注册商中的盟友与对手

关停速度完全取决于注册商和主机的响应速度。我们的合作伙伴数据表明,情况存在显著差异:

  • 响应式合作伙伴:Namecheap仅其全天候运作的举报团队就已协助消除 30,000+ 个恶意域名. GoDaddy, Hostinger, Squarespace,以及 IONOS 在收到经核实的报告后,总是在数小时内采取行动。
  • 持久的推动因素:NiceNIC, Cosmotown, NameSilo,以及 Webnic 一再忽视滥用行为的举报——实际上为网络犯罪活动提供了庇护所。请参阅我们的调查报告: NameSilo、Webnic 和 NiceNIC 如何助长全球诈骗活动.

刑事报复——影响的确认

我们的成效引发了有组织的反弹,而我们将此视为影响力的证明,而非造成干扰的迹象:

  • DDoS攻击 针对我们基础设施的攻击(已由 Cloudflare 缓解)。
  • 有组织的抹黑和关停行动 通过付费公关推广(参见 付费媒体如何扭曲网络安全).
  • 大规模报告 利用我们的社交媒体账号来压制报道。
  • 我们的 X(Twitter)账号是 140,000+ 份经核实的网络钓鱼报告 在注册官施压后被永久停权——参见 NameSilo 搞垮了我们的 Twitter. 该档案库仍对公众开放: GitHub 存档.

罪犯试图销毁自己的行踪;而我们则确保他们的行踪永远留存。

法律地位与协调

我们是一家 非营利性运营者集体 — 既不是公司,也不是法人实体,与任何政府均无隶属关系。我们所做的一切都是公开透明的:

  • 所有报告和证据均在 GitHub、Telegram 和 Mastodon 上公开发布——没有任何内容被隐藏或私下存储。
  • 在涉及行为主体归因、资金追踪或基础设施映射的大型调查中,我们 将完整的证据资料正式移交执法部门或计算机应急响应小组(CERT).
  • 所有此类移交均完全符合法律规定,且仅在可采取行动的情报得到核实后才会进行。
  • 我们 请勿存储任何个人数据 贡献者——保护举报人免受报复,并消除数据泄露风险。

我们的职责是记录并遏制恶意活动,然后协助拥有法律授权的机构根据这些证据采取行动。

数据解读

  • 500,000+ 自2019年以来被取缔的网络钓鱼和诈骗域名。
  • 130,000+ 精选的活跃威胁 destroylist.
  • 50+ 杀毒软件厂商和威胁情报平台会接收我们的数据源。
  • 30,000+ 仅通过与Namecheap的合作移除的域名。
  • <0.5% 假阳性率在 100,000+ 已验证的报告。
  • 140,000+ 在我们的X账号被暂停后存档的报告。
  • 888K+ 各信息流中的社区订阅者。

您可以如何提供帮助

“集体行动是最有力的防御。我们的历程充分证明,当技术、专业知识和社区携手打击网络犯罪时,能够取得怎样的成就。”

#CyberDefense#Takedown#Phishing#Community

分享本文

相关调查

$0 Takedowns: How We Disrupt Phishing Infrastructure
调查
$0 Takedowns: How We Disrupt Phishing Infrastructure
影响指标:成功化解50万余起网络钓鱼威胁
指标
影响指标:成功化解50万余起网络钓鱼威胁
NameSilo、Webnic、NiceNIC:助长诈骗的域名注册商
调查
NameSilo、Webnic、NiceNIC:助长诈骗的域名注册商
透明度声明。 PhishDestroy 是一个非商业性的独立项目。我们的研究可能对诈骗基础设施及其相关服务存在固有的偏见。我们鼓励读者以批判性和独立的眼光评估所有内容。 阅读我们的完整透明度声明 →