真正的敌人并不是诈骗者,而是那个兑现支票的注册商。
在绝望的经济环境中,诈骗者不过是一个廉价且可替换的节点。而那个笑眯眯地收下他加密货币的注册商——以及不愿追究其责任的ICANN——才是真正的病灶。

让我们直截了当地谈谈反欺诈行业不愿公开承认的一点:大多数诈骗者并非犯罪大师。他们并不高明,其中大多数人甚至勉强算得上有点本事。
别再追着那些小喽啰不放了
多年来,我们一直追踪着这些威胁行为者。我们目睹他们不断变换作案手法:今天是窃取工具的运营者,明天是资金转移工具的开发者,下个季度又成了信用卡盗刷团伙。 我们目睹他们不断迁移虚假身份和基础设施——这个月在瑞士,下个月就在土耳其。他们藏身得并不严密,留下的线索连一名刚入行一年的分析师都能追踪。他们中的大多数人最终踏入这一“行当”,原因很简单:他们别无出路,又缺乏从事正当事业的智慧。
那么,为什么这个问题会不断恶化呢?因为恶意行为者的数量庞大,而逐一追查他们从数学角度来看是毫无意义的。
看看我们自己的Telegram情报平台。仅在我们的数据集中,就有近13万个恶意行为者——而这仅仅是一个数据集。

再加上其他研究团队在以往调查中查明的数千名诈骗分子,情况就一目了然了:面对如此庞大的群体,仅靠逮捕是无法根除这一问题的。 即便通过数月的法律工作、跨越国界的管辖权噩梦,以及执法部门通常不愿费心处理的微小案情,成功捣毁一个诈骗分子或一个团伙,同一周内就会有十个接替者取而代之。单个诈骗分子不过是廉价且可替换的节点。
只有当经济环境发生变化时,这种算计才会改变。只要诈骗成本依然低廉——廉价的域名、不问来历的注册商、无需验证的加密货币支付——诈骗就仍将层出不穷。唯一可规模化实施的策略就是提高诈骗成本。而这直接指向了那些目前让诈骗成本保持低廉的人:
数据表明这已构成危机。而业界却装作这只是暂时的波动。
这并非我们的观点。这是互联网现状的记录:
$16B lost, +33% YoY
联邦调查局(FBI)的IC3 已收到 859,532起投诉 2024年,据报道亏损超过 $16 billion ——比2023年增长了33%——而按投诉量计算,排名第一的网络犯罪是网络钓鱼/冒充。近15万起投诉涉及数字资产,总额达 $9.3 billion 亏损额——比上年增长了66%。
自2021年以来,网络钓鱼攻击增加了180%
Interisle Consulting 的年度研究报告, 通过分析2024年5月至2025年4月期间近400万份网络钓鱼报告,发现报告的网络钓鱼事件达到 近200万次攻击 ——自2021年以来增长了180%以上。该报告还指出,犯罪分子可以轻而易举地利用 宽松的行业政策和商业惯例 用于注册域名。
请再读一遍最后那句话。该领域权威的独立研究得出的结论与我们的说法完全一致:问题的根源在于行业内放任自流的做法,而非诈骗分子的“天才”。正是这种放任自流。而市场集中度也印证了这一点:Interisle发现,在一项调查中,对37,000个“未付费通关诈骗”域名样本的分析显示 其中65%是通过一家中国注册商注册的.
诈骗经济并非随机分布在互联网上,而是聚集在特定的域名注册商周围——因为诈骗者正是为了寻求“沉默”而四处搜寻。
注册商并非中立的。他们是领取报酬的参与者。
有一种令人安心的迷思,认为域名注册商是“中立的基础设施”——即被动的服务提供商,对所售域名上发生的事情不持任何立场。
这是谎言。域名注册商是一家营利性机构,它从每个拒绝暂停的钓鱼域名中直接获取收益。每份被忽视的滥用举报,都意味着一笔被保护的收入。每句“我们无法对内容进行判断”的回复,都是披着法律立场外衣的商业决策。
诈骗分子选择域名注册商时,并不看重其价格页面或设计。他们选择的是那些不会追问、不会暂停域名、接受无需身份验证的加密货币支付、并且对滥用报告置之不理的注册商。这就是一个市场。这就是一种产品。而该行业自身的数据也显示了谁在销售这种产品。根据 Interisle的研究结果, 按原始网络钓鱼数量排名的五大gTLD注册商是 NameSilo、GoDaddy、GMO(Onamae)、PublicDomainRegistry 和 NameCheap; 按管理中的域名进行标准化处理后,被滥用最严重的域名是 NiceNIC、URL Solutions、Aceville、WebNic 和 OwnRegistrar — 据NiceNIC统计,其gTLD组合中有45%被报告涉及网络钓鱼。
谁负责监管域名注册商?从技术上讲是ICANN。实际上却无人监管。
注册管理机构之上是ICANN。ICANN之上再无更高层级。

ICANN 2013年注册商认证协议, 第3.18节,合同规定每家经认证的注册商都有义务设立滥用投诉联系渠道,并采取合理且及时的措施,对滥用报告进行调查并作出适当回应。从字面上看——这是一项可强制执行的义务。
实际情况如何?根据我们每天在一线观察到的情况,我们估计,仅一家纵容滥用的注册商就至少违反了第3.18条 每年约1,000次 ——被忽视的报告、虚假的“调查”、在受害者持续遭受损失期间仍存活数周的钓鱼域名。若将这一现象放大到整个行业过去五年的情况,3.18级别的失败案例中,被忽视或处理不当的报告数量很可能达到一百万起。没有人知道确切数字,因为没有人被要求进行统计。这正是关键所在。
那么ICANN的执法工具箱呢?实际上只有一个“核按钮”:撤销认证。没有罚款。没有分级处罚。也没有对受害者的赔偿。 而这个“按钮”几乎只针对那些早已名存实亡的注册商——那些停止缴纳费用的空壳公司。为什么?因为ICANN的资金来源正是它所“监管”的注册商缴纳的费用。切断一家规模庞大、盈利丰厚且滥用行为严重的注册商的资金,就意味着切断自身的收入来源。从结构上讲,它根本无意执行监管。
ICANN名义上担任了监管者的角色——这正是为了维护其独立性并阻止政府干预。结果是:制定了一条没有任何注册商会畏惧的规则。是的,确实有先例——合规通知和警告(WebNIC的案例 (其中包括……)。看看后果吧。一封措辞严厉的信,与一个能创造数百万收益的商业模式相比。 一种遵守与否由个人决定的合规制度,不能称为监管。那不过是场戏。
案例研究:NameSilo——“增长最快”,却也“最不被重视”
NameSilo 是一家上市公司。它向证券交易所提交的报告显示其营收达数百万,并自诩为全球增长最快的域名注册商之一。此外,根据上文引用的独立研究,该公司在钓鱼攻击总量的排名中位居榜首。这只是巧合吗?以下是我们亲眼所见的情况:
先有二十份报告,然后是“此前没有报告”
我们向 NameSilo 举报了一个钓鱼网站。这已经不是第一次了—— 至少有20份有据可查的报告 针对该单一域名,我们提供了证据、截图、扫描件和分析报告。直到我们在Twitter/X上公开升级此事后,才有所动作。NameSilo的公开回应是:他们“此前未收到任何报告”。 一家上市公司域名注册商,面对二十份被忽视的滥用报告的书面证据,却公开声称这些报告根本不存在。这要么是他们拒绝修复的滥用处理流程存在缺陷,要么就是公然撒谎。这两种情况都不可接受——但两者都能带来利润。
为了避免损失收入,NameSilo直接无视了多少关于保护美国用户的请求?我们根据亲身经历来回答:不仅很多——我们认为甚至占了绝大多数。而对此却完全无人负责。
事情还有更离谱的。NameSilo曾公开表示,曾帮助一位客户——据他们称从未收到过关于该客户的投诉——删除了VirusTotal上的检测结果。请看以下逻辑:
- 要求暂停一个网络钓鱼域名: “我们没有资格判定什么属于恶意行为。”
- 帮助付费客户: 突然有权推翻《财富》500强安全供应商的检测判定。
你不能既把技术无能当作挡箭牌,又把技术权威当作服务。二选一。这并非偶然,也不是个别现象。这是一种模式:贪图钱财,无所作为,对谁都不负责。
ICANN 认证的实际价值究竟如何:Trustname,最新动态
这种利益冲突是结构性的,而且很简单: 监管机构绝不应直接从其监管的对象那里获取收入。 ICANN 确实如此——而且我们理解,其约 400 名员工无疑正忙于处理比用户安全更紧迫的事务,而这些域名正是为了掏空用户的钱包而设立的。
以下是该认证在当今现实中的实际价值。请考虑一下 信托名称 (Fewmoretaps OÜ) — 一家我们合作的域名注册商 详细记录. 从名义上讲,这是一家爱沙尼亚公司;但在实际运营中,其运营总部设在 白俄罗斯 由一名所有者兼经营者——即该公司100%的股东、首席执行官兼唯一员工——经营。2024年申报收入: 120欧元. 该公司直到今年才正式开始销售域名。其ICANN认证(IANA编号4318)是 即使公司已进入清算程序,仍继续运营. 在其管理的约7,641个域名中, 86% 的活跃样本已被确认为恶意软件.
这就是ICANN授予信任徽章的对象。而这并非我们对它处理滥用行为方式的评价——这是Trustname的 自身公布的滥用政策:
“根据ICANN的指导方针,在大多数情况下,注册商若要对某个域名采取行动,必须获得有效的法院命令或注册人的同意。”
“仅通过自动化威胁分析系统收到的报告将被视为调查线索,而非确凿证据……Trustname 还可能要求确认,在审查时,所指控的滥用行为是否仍在进行中。”
“通过免费或匿名电子邮件服务(例如 @gmail.com、@proton.me)发送的违规举报将接受额外核实。”
“我们不判定网站内容的合法性,仅在执法部门指示或明显违反我们条款的情况下才会采取行动。”
将其视为一个系统来看,其设计不言而喻:一个有效的 法院命令 涉及某个领域;真实的检测结果被降级为单纯的“线索”;要求你重新确认该诈骗行为是 仍然活着 在审核阶段——在他们拖延足够久之后;针对通过Gmail或Proton提交报告的用户进行额外的“验证”;以及一概拒绝评估内容,礼貌地引导用户“联系您的托管服务提供商”。再加上由域名注册商掌控的隐私保护机制(该机制支持加密支付并拒收实体邮件),这根本算不上一个有效的滥用处理流程。 你所面对的 靠文书工作做到万无一失 ——而且这封信的信头印有ICANN认证注册商的名称。
这直接指责了ICANN。一家由白俄罗斯运营、仅有一名员工、年收入120欧元且正处于清算中的实体,却持有有效的认证资格,并公开发布了一项旨在永远不会暂停任何服务的政策。 ICANN 应对此类情况的最有力手段是一封信函;而我们所见到的对此类信函的回应,是更新服务条款,而非暂停服务。 一个监管机构,如果其最终的处罚措施只是一封信——而对方却仅以修改条款作为回应——那就称不上是监管机构。 与此同时,每天都有普通人因……而蒙受损失 .com 以及其他在文书工作周而复始的过程中经由此类运营商转手的域名。针对一个正在运行的钓鱼网页发出三份法院下令要求其下线,这并非正当程序;这简直是一场闹剧,而ICANN通过向提出此类要求的运营商颁发认证,实际上是在为这场闹剧背书。
Trustname 并非偶然的怪事;这是认证程序廉价且缺乏问责制时必然产生的结果。欧盟的几个司法管辖区——其中包括爱沙尼亚(那里聚集了大量此类空壳公司, 圭太郎 (包括……),以及英国——那里公司注册成本极低——以极低的价格出售公司注册和相关服务,却省去了任何实质性的审核环节。其结果是形成了一种充满不信任的氛围,即便是合法企业也不例外,因为没有人进行核查,也没有人需要为此负责。 在与某些国家代码运营商打交道时,我们也遭遇了类似的、由法院命令构成的障碍;关于这些情况,我们将另行记录。
// The regulator that isn’t
一个运作良好的监管机构应具备什么
- 根据造成的损害程度分级施加的罚款
- 不涉及死刑的刑罚
- 赔偿金已拨付给受害人
- 独立审计——而非自我声明
- 独立于受监管实体的资金
- 数小时内阻止活体伤害的能力
ICANN拥有什么
- 一项制裁:一封措辞强硬的信函
- 仅终止 — 主要用于已经终止的shell
- 零罚款。零赔偿。
- 荣誉制度的遵守与自我声明
- 其资金来源于受其“监管”的注册服务商缴纳的费用
- 受虐者被活着遗弃数周,只因“法院命令”的要求
ICANN 并未在监管域名经济方面失职。
它本来就没打算建。
解决办法显而易见:罚款和责任追究
我们并不是在要求获得审查权。我们要求的是其他所有行业早已拥有的权利:对合同过失追究经济责任。
分级罚款
- 一家注册商对同一恶意域名收到的三份经证实的滥用报告(附有证据、扫描件和分析报告)置之不理?将自动受到处罚。
对受害人的赔偿责任
- 应向受害人或犯罪发生地的国家缴纳的罚款。
- 如果美国用户因某个钓鱼网站而遭受资金损失,而域名注册商此前已收到相关警告却未采取任何措施——则该域名注册商因未履行其明确的减轻损害义务,应承担连带责任。
信息公开
- 强制要求公开滥用行为举报的透明度——包括收到的举报、响应时间及采取的措施——每季度公布一次,并接受审计。
- NameSilo 绝不能针对公共日志声称“此前未曾有过相关报告”。
独立审计
- 将虐待事件处理情况的独立审计作为认证续期的条件——而非自我声明。
注册商们会抱怨说,“不能指望他们来判定什么是网络钓鱼”。反问一句:你们有能力收钱并签署认证义务协议——却无力履行这些义务吗? 如果一家注册商确实无法评估附有证据的滥用报告,那么它就不应该持有这份合同中明确要求其履行该义务的认证资格。
应该用什么来取代它:一个开放的、实时更新的滥用记录账本
我们并不是在提议建立第二个ICANN——我们不需要这样的机构。互联网的两个承重系统已经揭示了答案的雏形: TLS/SSL 证书透明度 以及 WHOIS — 开放、可查询的公共记录。滥用处理也应遵循同样的原则: 针对注册机构收到的每份滥用报告及其采取的具体应对措施,建立一个公开透明的登记册 — 带有时间戳、可审计,且事后无法否认。
一旦有了这套账目体系,当今大多数戏剧便不攻自破:
- 没有海外法院的命令来制止现实中的威胁。 一个用于盗取数字钱包资金的钓鱼页面是一种迫在眉睫的危害;封堵它不应需要某个离岸地区某座岛屿上的法院作出裁决。报告中已有相关证据,而公开记录也显示了域名注册商是否采取了行动。
- 分诊可以实现自动化。 域名注册商坚称他们正被“攻击”和垃圾报告淹没——而这恰恰是某种过滤机制所导致的 AI层 表现不错:过滤掉干扰信息,筛选出有确凿依据的案例,并记录每一项决定。在滥用处理流程前设置一个简单、公正的代理机制,其表现就已经会优于当前这种缺乏流程的人工处理方式。这并不需要一个ICANN的“二把手”来负责。
- 这个借口不再成立。 域名注册商每售出一枚域名都会获得报酬;处理滥用行为是该交易中不可或缺的一部分,而非一种善意服务。 NameSilo那套“我们没有资质”的说辞是一种商业决策,而非技术限制——而一家连钓鱼工具包和合法流量都分不清的公司,本应专注于经营其他业务,而不是默认为诈骗和钓鱼活动提供支持。
- 再也不会出现“我们从未收到过报告”这种情况了。 WebNic 和 NiceNic 向我们发送了自动回复,要求提供一份截图——而该截图其实早已作为附件附在报告中;NameSilo 则向公众声称“从未收到过任何投诉”。这些说辞在面对带有时间戳的公开记录时,无一能站得住脚。
而账本则产生了唯一重要的后果 可强制执行的. 当受害者因某个域名而损失资金时 几天后 既然已有经证实的报告存档——且公开记录显示注册处对此置之不理——这已不再是一个令人遗憾的灰色地带。这是一起带有时间戳的、有据可查的失职事件,注册处应就该具体事件承担经济责任。
这就是整个运作机制。一旦忽视一份举报所付出的代价超过了采取行动的代价,“我们没有资格处理”的说辞便不复存在,投诉处理部门突然就能获得预算和人员配备,而那些试图用金钱换取沉默的诈骗分子则会发现已无人可收买——于是他们便悄然放弃了原本寄予厚望的域名。
透明度才是解决之道。当所有人都看到你已收到某份报告时,你不能就这么悄悄地置之不理。
归根结底
$16 billion in reported losses in a single year. Phishing up 180% since 2021. 130,000 malicious actors in one monitoring dataset alone. And the entire pipeline still starts the same way: a cheap domain, sold by a registrar that will never answer for its silence.
诈骗者只是症状——在绝望的经济体系中,他不过是一个可有可无、大多头脑简单的中介节点。而那位注册商笑着收下他的加密货币,无视二十份投诉报告,随后还公然撒谎——这才是病灶。至于ICANN那形同虚设的“监管”,则如同免疫系统,却选择缺席。
只要诈骗成本依然低廉,它就仍将大行其道。而只要域名注册商保持沉默——且无需为这种沉默付出任何代价——诈骗成本就仍将保持低廉。
来源与参考文献
- 联邦调查局(FBI)互联网犯罪投诉中心(IC3)—— 《2024年网络犯罪报告》 (859,532起投诉;报告损失166亿美元;按投诉量计算,网络钓鱼/冒充行为位居榜首)。
- Interisle 咨询集团 — 2025年网络钓鱼态势 (约200万起网络钓鱼攻击;较2021年增长180%;域名注册商/顶级域名集中度;3.7万个涉及过路费诈骗的域名样本)。
- ICANN — 《2013年注册商认证协议》,第3.18条 (虐待事件联络人;有义务采取合理且及时的措施调查虐待事件并予以应对)。
- ICANN 合同合规性 — Web Commerce Communications(WebNic)数据泄露通知,2025年7月29日.
数据摘自上述一手资料;解读与评论均为作者所作。
指名道姓。为沉默定价。
— PhishDestroy 团队 — 一项独立的反网络钓鱼研究行动