关停行动的解剖:PhishDestroy 如何打击网络犯罪
从2019年一个初出茅庐的项目,到如今能够摧毁超过40万个恶意域名的行业巨头,PhishDestroy的发展历程彰显了社区力量、技术实力以及来之不易的声誉。
在与网络欺诈的无休止斗争中,PhishDestroy 已成为一股关键力量,它从 2019 年的一项专项行动发展成为一项高效运作的行动。 我们的使命明确:摧毁网络钓鱼和诈骗基础设施,保护全球用户。这不仅仅是为了拦截恶意链接,更是为了深入理解网络攻击的运作机制,并从根源上瓦解其攻击链。
我们的演变:从数周到数分钟
PhishDestroy 成立之初,关闭一个恶意域名可能需要数周时间。多年来,我们不断发展壮大,建立了牢固的合作伙伴关系,并赢得了网络安全领域关键参与者的信任。我们始终将注意力高度集中于网络钓鱼领域,这使我们能够积累专业知识,并将误报率控制在最低水平。
如今,过去需要数周才能完成的工作,现在只需几分钟即可完成。这种效率的提升,正是我们持续创新以及所建立的良好声誉的明证。
关停流程
1. 快速检测与验证
检测是通过社区通过我们的平台提交的报告进行的 Telegram 机器人、自动化监控以及威胁情报源。我们的团队会迅速核实威胁,以确保误报率降至最低。
2. 深入分析与证据收集
我们的分析师对该威胁进行深入分析,识别其特征、目标和手段。这包括有效载荷分析、基础设施映射以及评估对受害者的影响。每一项证据都会被详细记录在案。
3. 战略协调与行动
这正是我们声誉发挥作用的地方。我们已与数百家主机服务商、域名注册商和执法机构建立了牢固的合作关系。当 PhishDestroy 提交报告时, 超过50个系统能立即识别我们的请求. 如果被举报的网站确实属于网络钓鱼网站,则可在几分钟内将其关闭。
4. 清算与监督
最终目标是彻底清除。一旦启动关停程序,我们会持续监控状态,以确保该网站已下线且保持离线状态。我们的努力已成功导致 超过50万个恶意域名 自2019年以来,通过持续的拆除后核查,能在数小时内发现重新出现的基础设施。
运营方法论:自动化、准确性、规模
我们的模型结合了 社区报道 与 自动检测系统 以及精准分析。Pipeline的设计旨在实现弹性扩展,无论是一份报告还是每天数千次关停操作,都能在不牺牲质量的前提下顺利处理。
- 定制解析器 持续扫描 SEO 搜索结果、赞助广告位和 Google Ads,以查找网络钓鱼迹象——在付费广告首次投放的瞬间就拦截威胁。
- 已识别的威胁会自动提交至 50多家杀毒软件厂商 以及威胁情报源,在检测后的最初几分钟内最大限度地提高全球封堵覆盖率。
- 我们坚持 假阳性率低于0.5%,超过 100,000份经验证的报告 ——这证明我们的系统不仅速度快,而且精度极高。
- 已通过认证的贡献者提交 100多份准确的报告 被授予 “值得信赖” 状态,允许直接提交且无需审核,并大幅缩短了针对已知举报者的关停时间。
- 一场直播 伤害计数器 根据平均域名价值和推广成本(典型加密货币诈骗方案中,每个域名约15美元),估算诈骗者造成的经济损失。
检测来源——威胁出现的地点
网络钓鱼基础设施很少隐蔽——它反而会主动宣传。我们从以下渠道收集潜在目标:
- Telegram 机器人报告 来自我们社区,通过 @PhishDestroy_bot — 主要公众意见征集渠道。
- SEO 和付费广告解析器 — Google Ads、Bing、Yandex;持续监控加密货币钱包、交易所和跨链桥的相关赞助关键词。
- 威胁情报源 由合作伙伴和研究人员与我们分享。
- 诱饵网络 以及种子短语“金丝雀”令牌,当诈骗者试图使用被盗数据时,这些令牌会向我们发出警报。
- WHOIS 与证书透明度 监测针对受保护品牌的、新注册的仿冒域名。
证据保全——永久性数字记录
关停只是第一步。 保全证据是我们的首要任务 ——因为如果没有任何记录留存,被删除的域名对调查人员来说就毫无用处。
- 每个被检测到的域名都是 通过公共扫描仪存档 (urlscan.io、Wayback Machine、我们自己的快照 Pipeline),以捕获完整的网站指纹——包括 HTML、屏幕截图、网络请求和 JavaScript 有效载荷。
- 每次操作都会留下一个 数字记录 能够抵御攻击者删除——公开发布在 GitHub 删除列表 以及 ScamIntelLogs 存档.
- 档案资料包括诈骗者的管理后台、Telegram聊天记录导出文件、支付流程、受害者记录以及IOC——这些资料可在平台被关停后很长一段时间内,为追责和起诉提供支持。
- 当诈骗分子试图销毁证据时,我们却让这些证据永久留存。
注册商中的盟友与对手
关停速度完全取决于注册商和主机的响应速度。我们的合作伙伴数据表明,情况存在显著差异:
- 响应式合作伙伴:Namecheap仅其全天候运作的举报团队就已协助消除 30,000+ 个恶意域名. GoDaddy, Hostinger, Squarespace,以及 IONOS 在收到经核实的报告后,总是在数小时内采取行动。
- 持久的推动因素:NiceNIC, Cosmotown, NameSilo,以及 Webnic 一再忽视滥用行为的举报——实际上为网络犯罪活动提供了庇护所。请参阅我们的调查报告: NameSilo、Webnic 和 NiceNIC 如何助长全球诈骗活动.
刑事报复——影响的确认
我们的成效引发了有组织的反弹,而我们将此视为影响力的证明,而非造成干扰的迹象:
- DDoS攻击 针对我们基础设施的攻击(已由 Cloudflare 缓解)。
- 有组织的抹黑和关停行动 通过付费公关推广(参见 付费媒体如何扭曲网络安全).
- 大规模报告 利用我们的社交媒体账号来压制报道。
- 我们的 X(Twitter)账号是 140,000+ 份经核实的网络钓鱼报告 在注册官施压后被永久停权——参见 NameSilo 搞垮了我们的 Twitter. 该档案库仍对公众开放: GitHub 存档.
罪犯试图销毁自己的行踪;而我们则确保他们的行踪永远留存。
法律地位与协调
我们是一家 非营利性运营者集体 — 既不是公司,也不是法人实体,与任何政府均无隶属关系。我们所做的一切都是公开透明的:
- 所有报告和证据均在 GitHub、Telegram 和 Mastodon 上公开发布——没有任何内容被隐藏或私下存储。
- 在涉及行为主体归因、资金追踪或基础设施映射的大型调查中,我们 将完整的证据资料正式移交执法部门或计算机应急响应小组(CERT).
- 所有此类移交均完全符合法律规定,且仅在可采取行动的情报得到核实后才会进行。
- 我们 请勿存储任何个人数据 贡献者——保护举报人免受报复,并消除数据泄露风险。
我们的职责是记录并遏制恶意活动,然后协助拥有法律授权的机构根据这些证据采取行动。
数据解读
- 500,000+ 自2019年以来被取缔的网络钓鱼和诈骗域名。
- 130,000+ 精选的活跃威胁 destroylist.
- 50+ 杀毒软件厂商和威胁情报平台会接收我们的数据源。
- 30,000+ 仅通过与Namecheap的合作移除的域名。
- <0.5% 假阳性率在 100,000+ 已验证的报告。
- 140,000+ 在我们的X账号被暂停后存档的报告。
- 888K+ 各信息流中的社区订阅者。
您可以如何提供帮助
- 举报域名:@PhishDestroy_bot 在Telegram上。
- 订阅提醒:@PhishDestroyAlerts.
- 使用我们的黑名单 在您的防火墙、DNS 或安全架构中: github.com/PhishDestroy/destroylist.
- 阅读我们的调查报道:助长诈骗行为的域名注册商, $100K returned, 150多个假冒的Mozilla扩展程序.
“集体行动是最有力的防御。我们的历程充分证明,当技术、专业知识和社区携手打击网络犯罪时,能够取得怎样的成就。”





