Trustname[.]com: 揭秘一家为诈骗赌场提供服务的“无懈可击”的ICANN认证注册商
一家获得ICANN认证的注册商(IANA编号4318),自称是“增长最快的独立注册商”。爱沙尼亚的税务申报文件显示,该公司收入为120欧元,仅有一名员工,净资产为负,且 删除通知. 这两家赌场的所有者都是白俄罗斯人。诈骗赌场的域名层出不穷。

Trustname.com 由 Fewmoretaps OÜ — 一家爱沙尼亚空壳公司,其股本尚未缴足, 申报的年收入为120欧元,一名员工,负净资产为−71,648欧元,以及一个 删除通知 已在爱沙尼亚商业登记处登记。该公司直截了当地将自己称为 “万无一失的域名注册商” 在其自身的 DNS TXT 记录中。两位所有者均为白俄罗斯公民。该注册商目前正被用于注册 冒牌的埃隆·马斯克加密货币赌场 隐藏在其自身的离岸隐私代理服务器之后。
爱沙尼亚的壳牌:Fewmoretaps OÜ
Fewmoretaps OÜ 已在爱沙尼亚企业注册处注册,注册代码为 16354846, 增值税 EE102702659,注册地址为虚拟办公地址——塔林罗塞尼街13号。公司于2021年11月1日注册成立,注册资本为2,500欧元,该资本为 从未缴纳过 (“无需出资即可设立”——《2022年年度报告》)。

fewmoretaps.com.所有权链
财务状况:每年120欧元,且亏损持续扩大
爱沙尼亚的强制性年度报告是公开的。数据非常明确:

财务表(欧元)
| 公制 | 2022 | 2023 | 2024 |
|---|---|---|---|
| 收入 | €0 | €0 | 120欧元 |
| 净亏损 | 0 | −20,711 | −50,937 |
| 人员费用 | 0 | 8,324 | 24,084 |
| 长期负债 | 0 | 35,370 | 175,310 |
| 权益 | 0 | −20,711 | −71,648 |
| 员工(全职当量) | 0 | 1 | 1 |
仅ICANN的认证费就是 约$4,000/年. AWS(3 个 Kafka 代理 + EKS + S3)正在运行 $500–2,000/month. OpenSRS 的 .com 域名批发价格为 8–12 欧元。此外还有 Vercel、Freshdesk、Brevo 和 Stripe 的费用。 最低运营成本:3.5万至5万欧元/年。申报收入:120欧元。 该缺口由来源未披露的175,310欧元“长期负债”填补。
“防弹”——他们自己的说法
这并非 PhishDestroy 的营销炒作——这确实就出现在 Trustname 自身的 DNS TXT 记录中:
“Trustname 是 ICANN 认证的域名注册商,也是全球最值得信赖的独立域名注册商,专为注重隐私的个人以及处于敏感领域的企业提供服务。请放心选择我们作为您的 万无一失的域名注册商“我们值得信赖,我们可靠,而且价格实惠。”
任何拥有 DNS 客户端的人都可以验证: dig TXT trustname.com. 在主机和域名注册行业中, “防弹” 是一个专业术语——它明确指代那些拒绝处理滥用下架请求,并为非法内容运营者提供服务的行为。
诈骗赌场网络
在 单周 (2026年4月8日至13日),有六个欺诈性加密货币赌场域名通过Trustname注册,均隐藏在Trustname自有的隐私代理服务器之后:

gambler-partners.is.已确认的诈骗域名(均通过 IANA #4318 注册)
noawin.com
代理:Perfect Privacy LLC (KN)
henofex.com
代理:WHOIS隐私保护(佛罗里达州)
jopexplay.com
代理:WHOIS隐私保护(佛罗里达州)
bezowin159.pro
代理:WHOIS隐私保护(佛罗里达州)
noswin152.pro
代理:WHOIS隐私保护(佛罗里达州)
bazowin781.pro
代理:WHOIS隐私保护(佛罗里达州)
对的JavaScript分析 noawin.com 披露了针对 https://gambler-partners.is/api, /api/slots, /payser,以及图片 CDN https://pictures-cdn.is/. 该 gambler-partners.is 该网站本身显示了一个俄语版的管理面板,标题为 “赌徒 | 首页” (赌徒 | 首页) 附说明 “流量控制面板” (流量管理面板)。相同的代码库、相同的后端、相同的CDN——这其实是一个有组织的诈骗赌场网络。
离岸隐私代理服务器——由注册商所有
Trustname 不使用独立的第三方隐私服务。它运营自己的服务:

harakiri.org
whoispps.com
当收到针对受隐私保护的域名的滥用投诉时,Trustname 会接收该投诉,并将其转发给……它自己。该 whoispps.com 该网站明确指出: “纸质邮件被丢弃了。” 这并不是隐私——这是一种 滥用-洗钱 这种机制的设计旨在确保投诉无处可去。
钱都去哪儿了?

Trustname 平台通过 Stripe 接受信用卡支付(/v2/users/billing/stripe/payment-methods) 以及 通过嵌入在经过身份验证的 API 通知端点中的以下钱包地址发送加密货币:
ETH: 0xdee6582dc53fa56180311393018121c6f1e8bd7c
LTC: MEREvHtzqAUTJ1XvEevmci8UqMnDvfe2ri
ZEC: t1d19KevpcXpesr9XA9UUyMW9XGYVDxkK9S
XMR: 8B5N29BocrTjkRCeGCARnkhKgBeHBhg4oH7ay4RfXfnL7RqBdyiuL4k6iN4GVUVxt1EQJvZRqLg8n4qgCNWmYHQQDZmfytM 对……的接受 门罗币(XMR) ——一种专门设计为无法追踪的加密货币——与一家受监管且要求进行“了解你的客户”(KYC)认证的支付处理商(Stripe)并行使用,同时声明 120欧元年收入 这对爱沙尼亚税务部门来说,造成了一个合规悖论。仅一个.com域名的注册费用(批发价约13美元)就已经超过了全年申报的收入总额。
爱沙尼亚法律(《防止洗钱和恐怖主义融资法》)要求虚拟资产服务提供商必须持有金融情报机构的许可证。 Fewmoretaps OÜ 是否持有该许可证? 否则,接受加密货币支付服务费用这一行为本身可能就构成违规。
营销宣传与税务申报
他们对客户说什么
- “2025年增长最快的独立域名注册商(排名第一)”
- “深受数百万域名持有者的信赖”
- “深受《财富》500强企业信赖”
- “一支由35多人组成的团队,分布在全球各地”
- 在伦敦、比佛利山庄和墨尔本设有办事处
- 客户:麦当劳、沃达丰、阿迪达斯、塔塔、雅虎、波士顿咨询公司(BCG)(fewmoretaps.com 标志墙)
- “自1997年以来”(fewmoretaps.com)
他们向爱沙尼亚税务机关申报的内容
- 0欧元收入 2023年, 120欧元收入 2024年
- 1名员工 (全职当量)在两年中
- 权益 −71,648欧元, 未缴资本2,500欧元
- 位于塔林Roseni tn 13号的虚拟办公室
- 已注册成立 2021,而不是1997年
- 公司 正在清算中
虚假用户评价(“爱之墙”)

对……的分析 trustname.com/wall-of-love 页面: 30条“顾客评论”,其中只有11个不同的名字。 “杰克”出现五次。“莉莉”出现六次。“梅根”出现三次。所有评论都是千篇一律的单行赞誉,写作风格如出一辙。没有独立评论平台的链接,也没有可核实的客户身份信息。相比之下,Namecheap和Porkbun在Trustpilot和G2上都有数千条经过验证的评论。
基础设施与安全风险

trustname.com (Vercel / Next.js)
├── api.trustname.com Fastify API (Swagger behind Basic Auth only)
├── admin.trustname.com React-Admin panel (publicly accessible)
├── blog.trustname.com Strapi CMS (admin UI exposed)
├── support.trustname.com Freshdesk (EU instance)
└── whois-fewmoretaps.corenic.net Knipp DomainSRS (JSF Development mode)
fewmoretaps.com (WordPress) origin: 37.1.219.211
Open ports: FTP:21 (vsftpd 3.0.5), SSH:22, HTTP:80, HTTPS:443
AWS eu-central-1 (EKS Kubernetes):
35.156.29.145 / 18.196.68.81 / 52.28.105.156
Port 7777 — Apache Kafka (Strimzi)
SSL cert CN: kafka-staging-kafka SAN: staging.kafka-0.trustname.com
Namespace: backend-staging
Upstream registrar: OpenSRS (Tucows)
Invoicing: Quaderno · Payments: Stripe + Crypto
Email: Brevo · Analytics: Google, Fuago
S3: domain-registrar-strapi-media (eu-central-1, leaked via CSP header) - 管理面板对公众开放(
admin.trustname.com) — 仅限登录用户访问,不设IP白名单。 - Strapi CMS 管理界面可通过以下地址访问:
blog.trustname.com. - CoreNIC WHOIS 系统中的 JSF 处于开发模式。
- 三台 AWS Kafka 代理服务器通过 7777 端口向公共互联网开放;SSL SAN 泄露了 Kubernetes 命名空间。
- 源IP地址可绕过Cloudflare——可直接访问。
- 在 fewmoretaps 源服务器上已启用 FTP(vsftpd)。
- Swagger / OpenAPI 仅在启用基本身份验证时才可用
api.trustname.com/api-json.
时间轴
trustname.com (前任车主)。fewmoretaps.com 已完成注册。整个营销网站由一名名为“riseup”的WordPress用户仅用5天时间创建完成。whoispps.com 已注册隐私代理域名。是谁纵容了这种行为?

致 ICANN
- 一家拥有……的公司,究竟是如何……的? 0欧元收入,0名员工(简体中文(大陆)) 在提交申请时是否已获得ICANN认证?进行了哪些尽职调查?
- 某家域名注册商的DNS TXT记录中字面意思是 “万无一失的域名注册商” 以及 “敏感生态位” — 这与《注册商认证协议》是如何一致的?
- 该注册处目前处于 清算 在爱沙尼亚。针对通过 IANA #4318 注册的域名,正在处理中的滥用投诉将如何处理?
- 这两位业主都是 白俄罗斯 ——该国自2020年以来一直受到欧盟和美国的全面制裁。这一点在资质认证过程中是否已披露?
致 OpenSRS(Tucows)
- OpenSRS 提供了 Trustname 用于注册域名的上游 API(已由
opensrsOrderId(在交易数据中)。Tucows 是否会对那些公开以“万无一失”为噱头进行营销的经销商进行合规审查? - 一周内,有六个诈骗赌场域名——其中包括一个已被Cloudflare标记的域名——通过Trustname在OpenSRS上注册。在经销商层面,目前有哪些自动欺诈检测机制?
致 AWS、Stripe、Vercel、Cloudflare
- AWS:EKS 集群、S3 存储桶以及三个对外公开的 Kafka 代理位于
eu-central-1. AWS《用户使用政策》(AUP)禁止提供助长欺诈的服务。 - Stripe: 信用卡支付通过
/v2/users/billing/stripe/payment-methods. Stripe 的“受限业务”清单禁止提供助长非法活动的服务。是否已对客户组合进行过审查? - Vercel:
trustname.com以及admin.trustname.com托管在 Vercel 上。Vercel 的《服务条款》(AUP)禁止“推广欺诈计划的服务”。 - Cloudflare:
jopexplay.com被标记为“疑似误导性网站”。而另外五家使用相同模板的赌场仍正常运营。为何会出现这种不一致的情况?
关于白俄罗斯与门罗币
- 这两位业主都是 白俄罗斯税务居民. 根据白俄罗斯税法,全球所得均应在白俄罗斯申报。白俄罗斯当局与大多数西方司法管辖区未签订《互助税收协定》(MLAT)——执法工作实际上陷入僵局。
- Trustname 接受 门罗币(XMR),这是一种旨在无法追踪的加密货币。XMR支付在增值税、反洗钱以及爱沙尼亚财务报告中应如何申报?年度报告显示 120欧元. 这包括加密货币吗?如果不包括,该归入哪一类?
安全事件迹象
注册机构标识符
IANA ID: 4318
WHOIS Server: whois.fewmoretaps.com
Abuse email: abuse@trustname.com
Abuse phone: +372.6884747 基础设施
trustname.com
fewmoretaps.com
harakiri.org
whoispps.com
gambler-partners.is
pictures-cdn.is
37.1.219.211 fewmoretaps.com origin (FTP, SSH, HTTP, HTTPS)
195.253.23.47 CoreNIC WHOIS origin
35.156.29.145 AWS Kafka broker
18.196.68.81 AWS Kafka broker
52.28.105.156 AWS Kafka broker 已确认的诈骗域名
noawin.com henofex.com jopexplay.com
bezowin159.pro noswin152.pro bazowin781.pro 结论
Trustname.com 并非一家“注重隐私的域名注册商”。它是一个专门为助长网络欺诈而构建的基础设施:
- 一家爱沙尼亚空壳公司,注册资本未缴足,有两名白俄罗斯籍所有者
- 零合法收入 尽管域名注册业务仍在积极进行
- 位于圣基茨和佛罗里达州的私营“独立”离岸隐私代理服务器
- 接受无法追踪的加密货币(门罗币、Zcash)
- 数十个使用相同模板的新注册诈骗赌场域名
- 一个DNS TXT记录,其中他们直接将自己称为 防弹的
- 公司 目前正在清算中 ——一项已付诸实施的退出策略
ICANN 和 OpenSRS(Tucows)应审查对 IANA 第4318号. 通过 Trustname 的隐私代理注册的域名,其滥用报告将受到更严格的审查。在此之前,PhishDestroy 会将我们扫描器中检测到的每个由 Trustname 注册的域名标记为 注册商警告,就像我们对 NiceNIC 和 NameSilo 所做的那样。
相关研究
来源与核实
本报告中的每一项主张均以公开可查的记录或研究者通过其本人经过认证的账户获取的数据为依据。以下是主要信息来源,并附有独立核查的说明。
公司注册信息与税务记录
| 主张 | 来源 | 如何验证 |
|---|---|---|
| 公司注册、所有者、状态、注销通知 | 爱沙尼亚商业登记处(Äriregister) | ariregister.rik.ee — 查询注册代码 16354846 |
| 2022年、2023年、2024年年度报告——收入、净资产、员工人数 | 爱沙尼亚商业登记处——OÜ实体的强制性申报事项 | 同一注册库 → “年度报告”选项卡。报告对公众开放。 |
| 所有者姓名、身份证号、国籍(Tsyvinski、Nestsiarovich) | 年度报告中的股东专页(Osanikud) | 《2022年报告》第6页(茨维因斯基);《2023–2024年报告》(涅斯恰罗维奇) |
增值税登记 EE102702659 | 爱沙尼亚税务与海关局 | 通过欧盟进行验证 VIES |
ICANN 与注册商标识符
| 主张 | 来源 | 如何验证 |
|---|---|---|
IANA 标识符 4318 — ICANN 认证 | ICANN 认证注册商名单 | icann.org/en/accredited-registrars — 搜索“Fewmoretaps”或“4318” |
举报滥用行为(abuse@trustname.com, +372.6884747) | 任何由Trustname注册的域名的WHOIS记录 | whois trustname.com 通过任何 RDAP/WHOIS 客户端 |
WHOIS 服务器 whois.fewmoretaps.com | WHOIS记录 | 列于所有通过 IANA #4318 注册的域名中 |
WHOIS 和 DNS 证据
| 主张 | 方法 |
|---|---|
| DNS TXT 记录——“坚不可摧”这一字面引语 | dig TXT trustname.com 或 DNSChecker |
| 隐私代理 WHOIS 数据(Perfect Privacy LLC、WHOIS Privacy LLC) | whois noawin.com, whois harakiri.org, whois whoispps.com |
| 通过Trustname注册诈骗域名 | 向以下地址发送 WHOIS 43 端口查询: 195.253.23.47:43 或任何公共WHOIS服务 |
| 用于基础设施映射的 MX、NS 记录 | 标准 DNS 查询(dig NS trustname.com, dig MX) |
营销宣传(直播+存档)
- trustname.com/about — “35人以上”,“首席执行官基尔·N.”
- trustname.com 主页——“增长速度排名第一”、“深受数百万用户信赖”、“《财富》500强”
- trustname.com/爱之墙 — 30 条评论 / 11 个不同的名字
- fewmoretaps.com — “自1997年以来”、“100%项目交付率”、“《财富》500强标志墙”
- fewmoretaps.com/enquiry — 伦敦/比佛利山庄/墨尔本的地址
- whoispps.com — “纸质邮件被丢弃了”
- harakiri.org — Perfect Privacy LLC,圣基茨和尼维斯
- 历史快照: trustname.com 的“互联网档案馆”
技术基础设施(非侵入式)
赌场网络分析
- 赌场内容(“埃隆·马斯克的官方赌场”)——
curl https://henofex.com - Cloudflare 钓鱼攻击防护 —
curl https://jopexplay.com返回 Cloudflare 插页广告 - 共享模板(块哈希值相同)—— 比较
_next/static/chunks/涵盖所有六个领域 - 俄语版管理面板 —
curl https://gambler-partners.is返回标题 “赌徒 | 首页”
使用的工具
DNS / WHOIS: dig, nslookup, whois
Port scanning: nmap (service / version detection only)
HTTP: curl (header + content retrieval)
SSL: openssl s_client
JavaScript: manual deobfuscation of publicly served bundles
PDF: PyPDF2 (annual report text extraction) 财务成本法
该 最低运营成本为3.5万至5万欧元 该数据基于公开价格点得出:
- ICANN 认证费:~$4,000/year (ICANN公布的费率)
- OpenSRS 批发 .com: $8–12/domain (Tucows 经销商定价)
- AWS eu-central-1(3 台 m5.large 实例,用于 Kafka + EKS 控制平面 + S3): $500–2,000/month (AWS 定价计算器)
- Vercel Pro:20 美元/月,Freshdesk:15 美元/客服代表/月,Brevo:25 美元/月(公开定价页面)
- 2024年报告的人事费用: 24,084欧元 (该公司自身的年度报告)
伦理与方法论
- 公共记录查询(爱沙尼亚企业注册处、ICANN、VIES、WHOIS、DNS)。
- 非侵入式技术侦察:DNS查询、HTTP头信息读取、SSL证书检查、public-bundle JavaScript分析、
nmap无需利用漏洞即可检测服务。 - 使用研究人员自己合法注册的 Trustname 账户进行经过身份验证的 API 测试。
- 针对营销宣传内容,对“互联网档案馆”(Wayback Machine)的快照进行交叉核对。
- 不得对任何登录进行暴力破解攻击。
- 未发现SQL注入、远程代码执行或其他攻击尝试。
- 严禁未经授权访问任何系统、账户或数据。
- 受保护的终端设备未发生数据外泄。
- 不得修改任何数据,即使因配置错误而本可进行修改的情况也不例外。
- 已对管理 API 端点进行了 BOLA(对象级别授权失效)测试 —— 已确认 RBAC 已正确实施; 管理员端点会正确地拒绝用户令牌。
信息披露与报告职位
该调查报告已作为一种形式的完整版本发布,即 公开披露. PhishDestroy 是一个公开情报(OSINT)研究团队,而非受监管的报告实体,因此根据爱沙尼亚《刑法典》(KarS)第 306 条或类似的欧盟法规,其并无向当局提交私人报告的法律义务——该义务仅适用于银行、虚拟资产服务提供商(VASP)及类似的受监管义务主体。
如果针对通过 IANA #4318 注册的域名提交的滥用报告继续被忽视,本案卷将正式上报至:
- ICANN合规性 — icann.org/compliance/complaint · 《RAA》第 3.7.8 条(WHOIS 信息的准确性)和第 3.18 条(滥用处理)
- Tucows / OpenSRS — 上游注册商;
abuse@tucows.com,compliance@opensrs.com - CERT-EE (RIA) —
cert@cert.ee - 爱沙尼亚税务局 (Maksu- ja Tolliamet,税务与海关局)——税务欺诈举报热线
vihjeliin@emta.ee - 爱沙尼亚金融情报机构 (拉哈佩苏数据局)—
rab@politsei.ee针对洗钱及无牌照虚拟资产服务提供商(VASP)的活动 - 平台滥用处理部门 — AWS 信任与安全、Stripe 风险管理、Vercel 滥用防范、Cloudflare 信任与安全
- 欧盟金融情报单位网络(EU FIU.net) 通过爱沙尼亚金融情报机构——涉及白俄罗斯制裁部分
目前,我们有意推迟了正式升级处理:该域名注册商在爱沙尼亚已进入清算程序,运营方位于白俄罗斯(无《司法协助条约》⇒ 执法陷入僵局),而且一份公开报告比待处理的工单更有分量。如果情况发生变化——或者阅读本文的任何人能提出足以改变现状的论据——我们将重新评估。
本次调查完全采用公开情报(OSINT)方法和非侵入性技术分析进行。所有数据来源均为公开信息,或通过研究人员在该平台上的经认证账户获取。在任何阶段均未进行任何未经授权的访问。更正、反证或补充数据: @PhishDestroy_bot · @Phish_Destroy · github.com/PhishDestroy.



