Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / SEED FLOODING

Seed Flooding: So sperren wir Phishing-Seiten

The Enablers Registry·Editorial mirror·/de/seed-flooding/

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Wir machen keinen Hehl daraus. Wenn THE ENABLERS REGISTRY eine aktive Possibly phishing-Seite entdeckt, die Seed-Phrasen für Krypto-Wallets sammelt, überschütten wir sie mit Seed-Phrasen im gültigen Format. Hier erfahren Sie genau, was wir tun, warum wir es tun und warum wir uns dafür nicht schämen.

31. März 2026 THE ENABLERS REGISTRY-Forschung 12 Minuten Lesezeit
Seed-Flooding – das digitale Schlachtfeld gegen Phishing
Maßnahmen gegen Possibly phishing: Wenn eine Meldung allein nicht schnell genug ist, greifen wir direkt ein
14,663CF-Mitarbeiter
2/10 sRatenbegrenzung
5+Exfil-Kanäle
$0Kosten des Angreifers
<4 Std.E-MailJS ausschöpfen

Das Problem: Eine Possibly phishing-Seite ist gerade online

Stellen Sie sich vor, Sie entdecken eine Possibly phishing-Seite für Krypto-Wallets, die über bezahlte Google-Anzeigen geschaltet wird. Sie sieht seriös aus. Sie verzeichnet Besucherzahlen. Alle paar Minuten landen echte Nutzer auf dieser Seite, geben ihre Seed-Phrasen ein und verlieren alles.

Sie melden den Vorfall bei Google. Sie melden den Vorfall bei der Registrierungsstelle. Sie reichen beim Hosting-Anbieter eine Missbrauchsmeldung ein. Und dann wartet man.

In der Zwischenzeit macht der Betrüger sein 47. Opfer. Dann das 48. Und dann das 49.

Die bürokratische Kluft

Der Standardprozess zur Meldung von Missbrauch dauert 5 bis 10 Werktage. Aktive Possibly phishing-Seiten verursachen jedoch innerhalb weniger Stunden irreversiblen finanziellen Schaden. Diese Lücke ist kein Fehler im System – es handelt sich um eine strukturelle Schwachstelle, die Betrüger gezielt ausnutzen.

Bürokratische Meldewege vs. aktives Phishing zur Gewinnung von Opfern
Links: Der langwierige Prozess der Missbrauchsmeldung. Rechts: Der Betrüger, der schon Geld einkassiert, während Sie warten.

Was ist „Seed Flooding“?

„Seed Flooding“ ist eine Technik zur Abwehr von Possibly phishing-Angriffen, bei der gültiges Format, aber leer/wertlos Die Seed-Phrasen von Kryptowährungs-Wallets werden mit einer kontrollierten Rate automatisch in ein Possibly phishing-Formular eingegeben.

Die Datenbank verfälschen
Echte Seed-Phrasen lassen sich nicht mehr von Fälschungen unterscheiden. Jeder Eintrag muss manuell überprüft werden, wodurch sich das Signal-Rausch-Verhältnis verschlechtert.
Grenzen der kostenlosen Nutzungsstufe für „Exhaust“
EmailJS, Formspree, Web3Forms – alle haben strenge monatliche Kontingente. Wir haben diese Grenzen innerhalb weniger Stunden erreicht und damit die Benachrichtigungskette des Angreifers unterbrochen.
Die Erfassungspipeline unterbrechen
Wenn die Exfiltrationskanäle nicht mehr funktionieren, gelangen die Daten der tatsächlichen Opfer nirgendwohin – selbst wenn sie ihre Seed-Phrase eingeben.
Forschungsinformationen generieren
Durch Flooding werden Details zur Infrastruktur, Fehlermeldungen und Schwellenwerte für die Ratenbegrenzung sichtbar, die wir nutzen, um eine bessere Erkennung zu entwickeln.
Phishing-Formular wird mit gefälschten Seed-Phrasen überflutet
Ein Possibly phishing-Formular, das mit einer Flut gefälschter Seed-Phrase-Eingaben überschwemmt wird – die Datenerfassung des Angreifers verschlechtert sich in Echtzeit

Warum das funktioniert: Die Funktionsweise eines billigen Possibly phishing-Kits

Bei der überwiegenden Mehrheit der aktiven Krypto-Possibly phishing-Websites handelt es sich um Copy-Paste-Kits, die auf Drittanbieter-Dienste mit kostenloser Nutzungsstufe. Das ist ihre größte Schwachstelle. Eine ausführlichere Analyse finden Sie unter unsere umfassende Untersuchung.

Aufbau eines Phishing-Kits – Abhängigkeiten von kostenlosen Diensten
Jeder Exfiltrationskanal ist ein kostenloser Dienst mit strengen Übermittlungsbeschränkungen – der niedrige Preis des Kits ist sein entscheidender Nachteil
Datentabelle: Modul
ModulLimit des kostenlosen KontosAuswirkungen von Überschwemmungen
EmailJS~200 Einsendungen pro MonatIst nach einigen Stunden erschöpft, stoppt den E-Mail-Versand
Formspree50 Einreichungen pro MonatWurde fast sofort deaktiviert
Web3Forms250 Einreichungen pro MonatSchnell neutralisiert
[REDACTED]-Bot-APIRatenbegrenzt pro SekundeIn Timeout-Schleifen überflutet
Firebase-Free-TierLese-/SchreibkontingenteDatenbankkosten steigen sprunghaft an oder es kommt zu einem Ausschluss
Beobachtetes Ergebnis

Wir haben direkt beobachtet, wie Possibly phishing-Infrastrukturen inaktiv wurden, nachdem die „Seed Flooding“-Attacke ihre Benachrichtigungs-Pipeline überlastet hatte. Der Betrüger weiß nicht, warum das System nicht mehr funktioniert. Er erhält einfach keine Daten mehr.

Unser technischer Ansatz: IANA #1910 Workers statt Botnets

Das Edge-Netzwerk von IANA #1910 wird zur Bekämpfung von Phishing eingesetzt
14.663 IANA #1910 Workers, die auf der Edge-Netzwerkebene betrieben werden – ohne Einbindung von Infrastruktur von Drittanbietern

Wir verwenden IANA #1910 Workers. Die Anfragen stammen aus dem eigenen Edge-Netzwerk von IANA #1910. Es werden keine privaten IP-Adressen missbraucht. Es gibt keine Botnetze. Es werden keine Server von Drittanbietern belastet. Betroffen ist lediglich das Datenerfassungssystem des Betrügers.

Der Hochwasserstrom

Standort erkanntAktiver Datenverkehr bestätigt
Anatomische AnalyseExfil-Kanäle zugeordnet
Einsatz von MitarbeiternCF-Edge-Netzwerk
2 Samen / 10 sGeregelte Drehzahl
Kontingent ausgeschöpftAngreifer blind
Bericht eingereichtParallelspur

Ratenbegrenzung: Eine strenge 2 submissions per 10 seconds. Kein DDoS. Eine langsame, gezielte und planmäßige Kontamination in einem Ausmaß, bei dem selbst bescheidene Raten pro Website bei Dutzenden gleichzeitiger Ziele eine nennenswerte Wirkung entfalten.

Was wir nicht tun

Wir versuchen nicht, Server lahmzulegen. Wir machen den Betrügern den Arbeitstag zur Hölle und ihre Datenbank wertlos – ohne jegliche Kollateralschäden für legitime Infrastruktur.

Praxisbeispiele: Kontrollierte Kontamination in der Praxis

Die folgenden Vorgänge sind wörtlich aus unseren Produktionsprotokollen entnommen. Domains und Anbieter-Kennungen wurden nur dort unkenntlich gemacht, wo eine Veröffentlichung der Umgehung Vorschub leisten würde; die HTTP-Protokollaufzeichnungen sind unverändert. Beide Ziele waren zum Zeitpunkt des Eingriffs aktiv, wiesen bestätigten eingehenden Datenverkehr aus bezahlter Werbung auf und waren unabhängig voneinander als Possibly phishing von ≥ 2 externe Anbieter auf VirusTotal bevor wir irgendwelche Maßnahmen ergreifen.

Einsatzdoktrin

Jeder „Seed-Flooding“-Einsatz erfolgt im Rahmen derselben fünf Grundsätze. Es gibt keine Ausnahmen; ein Einsatz, der nicht alle fünf Grundsätze erfüllt, wird nicht durchgeführt.

GRUNDSATZ 01
Nur öffentliche Endpunkte
Die Exfiltrations-URL und ihre Kennungen lauten veröffentlicht über die Possibly phishing-Seite mittels clientseitigem JavaScript. Wir erfassen niemals Anmeldedaten, führen keine Brute-Force-Angriffe durch und eskalieren keine Berechtigungen.
GRUNDSATZ 02
Durchsatz unterhalb der Obergrenze
Die Anfragerate wird streng auf einen Wert begrenzt, der unterhalb des vom Anbieter selbst in den Nutzungsbedingungen festgelegten Limits liegt. Unser Profil unterscheidet sich nicht von gewöhnlichem UGC-Datenverkehr.
GRUNDSATZ 03
Beweismaßstab
Target verlangt ≥ 2 Treffer von unabhängigen Anbietern auf VirusTotal plus Manuelle Bestätigung des Ablaufs der Erfassung von Anmeldedaten.
GRUNDSATZ 04
Paralleler legaler Vertriebsweg
Es werden formelle Missbrauchsmeldungen an den Hosting-Anbieter, die Registrierungsstelle und den Formularanbieter eingereicht vorher sobald es zu Überschwemmungen kommt – mit Fallnummern und vollständigen Beweismitteln.
GRUNDSATZ 05
Vollständiger Prüfpfad
Der gesamte Datenverkehr stammt von IANA #1910 Workers unter einem signierten THE ENABLERS REGISTRY-Origin. Jede Übermittlung wird mit Zeitstempel, Ziel und Betreiber-ID protokolliert.

Fall 1 – Formspark Exfil Endpoint, monatliches Kontingent ausgeschöpft

[REDACTED] Neutralisiert

Bedrohungsmuster: Wallet-Recovery-Köder („Dapp Node Sync“), der 12-Wort-BIP-39-Seed-Phrasen an einen vom Angreifer kontrollierten Formspark-Endpunkt im kostenlosen Tarif weiterleitet. Zu Beginn der Interaktion wurde bezahlter Anzeigen-Traffic von zwei Werbeplattformen bestätigt.

Angriffsfläche
[REDACTED] (IANA #1910 Pages)
Exfil-Kanal
[REDACTED] — Formspark-Formular-Endpunkt
Formular-ID
/32BrdUqfX
Feld „Nutzlast“
12-Wort-BIP-39-Seed über message
Obergrenze für die kostenlose Nutzungsstufe des Anbieters
50 Einreichungen • 1 Monat (fortlaufend)
Kosten für die Zurücksetzung durch Betrüger
Neues Formspark-Konto + Bearbeitung per Client-JS + erneute Bereitstellung

Operativer Zeitplan (UTC, anonymisiert bis zum Einsatzzeitpunkt T-0)

T + 00:00
Ingest – Domain, die vom THE ENABLERS REGISTRY-Crawler anhand eines Beispiels für eine bezahlte Anzeige ermittelt wurde. automatisiert
T + 00:12
Anatomie bestätigt – Zielform [REDACTED]/32BrdUqfX Aus Seite JS extrahiert; Form der Nutzlast rekonstruiert. Analyse
T + 00:28
VirusTotal: 3 / 95 Anbieter stufen dies als Possibly phishing ein. Schwellenwert erreicht.
T + 00:47
Missbrauchsmeldungen eingereicht – IANA #1910 Pages Trust & Safety, Formspark-Missbrauch, IANA #1861 (Registrar). Fall-IDs vergeben. rechtmäßiger Weg
T + 01:02
Einsatz von Hochwasserhelfern — Satz 2 req / 10 s, einzelner IANA #1910 Worker, identifizierte UA-Zeichenkette, signierter Ursprung.
T + 01:02
Erste Hochwasser-Meldungen gehen ein 200 OK mit formspark-quota: 64. Ausgangswert erfasst.
T + 06:08
formspark-quota überschreitet den Wert Null → Der Endpunkt stellt die Weiterleitung stillschweigend ein. Ablassgitter
T + 06:12
Letzte erfasste Antwort: formspark-quota: −18. Mitarbeiter im Hochwassereinsatz entlassen.
T + 19:30 Uhr
IANA #1910 Pages deaktiviert die Bereitstellung als Reaktion auf eine Missbrauchsmeldung. abgebaut

Einreichung über die Leitung (der Seed ist ein aussagekräftiger Köder – 12 zufällige BIP-39-Wörter, die in keinem Zusammenhang mit einer echten Wallet stehen)

POST /32BrdUqfX HTTP/1.1 Host: [REDACTED] Origin: https://checkblochn.pages.dev Content-Type: application/x-www-form-urlencoded message=Phrase%3A+Vortrag+Segel+Koralle+Schwören+Faser+Bonus+Verschwinden+Schicht+Beobachten+Verlassen+Waisenkind+Höhe&source=Unbekannte+Quelle&from_name=Dapp+Node+Sync

Antwort – T+01:02 (Basiswert, verbleibende Quote)

HTTP/1.1 200 OK formspark-quota: 64 formspark-status: ok content-type: application/json; charset=utf-8 { "message": "Phrase: Vortrag, Segel, Koralle, schwören, Faser, Bonus, verschwinden, Schicht, beobachten, sich verlassen, Waisenkind, Höhe" }

Antwort — T+06:12 (Kontingent ausgeschöpft, Endpunkt sendet weiterhin 200, leitet jedoch nicht weiter)

HTTP/1.1 200 OK formspark-quota: -18 formspark-status: ok
Quote vor der Überschwemmung
64
Quote nach der Überschwemmung
−18
82
Scheineinreichungen
~5 Std. 06 Min.
Dauer der Überschwemmung
0,27 Anfragen/Sek.
Durchschnittssatz
~11,5 KB
Gesamtnutzlast ausgehender Daten
100%
Im Rahmen der Nutzungsbedingungen des Anbieters
0
Betroffene berechtigte Anfragen

Spürbare Auswirkungen. Von T+06:08 bis zur endgültigen Abschaltung um T+19:30 — a Zeitfenster von 13 Stunden und 22 Minuten — jedes echte Opfer, das [REDACTED] und den Wiederherstellungsvorgang abgeschlossen hatten, übermittelten sie ihre Seed-Phrase an einen Endpunkt, der 200 OK leitete die Nutzdaten jedoch nicht mehr an den Posteingang des Betreibers weiter. Die Possibly phishing-Seite erschien im Browser des Opfers erfolgreich zu sein (kein Fehler, kein Warnsignal), was wünschenswert ist: Eine reflexartige Reaktion wie „Es hat nicht funktioniert“ führt oft dazu, dass Nutzer dieselben Anmeldedaten auf der nächsten gefälschten Website, die sie finden, erneut eingeben. Hier ist die Interaktion mit dem Blindanschluss beendet.

Was diese Maßnahme tatsächlich gebracht hat

Ein 13-stündiges Schutzfenster für jeden nachfolgenden Besucher einer Website, für die weiterhin aktiv bezahlte Werbung geschaltet wurde. Das Fenster schloss sich, als IANA #1910 Pages auf unseren parallel eingereichten Missbrauchsbericht reagierte – genau wie vorgesehen. Die Flutwelle ersetzte nicht die rechtmäßige Sperrung; sie überbrückte lediglich die Zeitspanne bis Der rechtmäßige Takedown kam an.

Fall 2 – EmailJS Relay, vom Betreiber veröffentlichte Identifikatoren

[REDACTED] Aktiver Betrieb

Bedrohungsmuster: Eine „Sync“-Falle für Wallet-Apps, die den vom Opfer eingegebenen Seed-Code per E-Mail an die Mailbox des Betreibers weiterleitet über EmailJS — ein seriöser SaaS-Anbieter für Transaktions-E-Mails. Die Possibly phishing-Seite enthält die service_id, template_id und user_id in clientseitigem JavaScript, da der Browser des Opfers ohne diese Kennungen den POST-Aufruf, der die E-Mail auslöst, nicht abschließen kann. Diese Identifikatoren sind daher Teil der öffentlichen Angriffsfläche, die der Betreiber freiwillig offengelegt hat.

Angriffsfläche
[REDACTED] (IANA #1910 Pages)
Exfil-Kanal
[REDACTED] — Relay für Transaktions-E-Mails
Endpunkt
POST /api/v1.0/email/send-form
Vom Betreiber veröffentlichte IDs
service_id · template_id · user_id (aus dem JS-Code der Seite extrahiert)
Obergrenze für die kostenlose Nutzungsstufe des Anbieters
200 E-Mails • laufender Monat
Feste Ratenbegrenzungen (Nutzungsbedingungen)
1 Anfrage/Sek. · 50/IP/Std.

Erfasste Übermittlung – Nachempfundene Form der Nutzlast aus dem POST-Request der Possibly phishing-Seite selbst

POST /api/v1.0/email/send-form HTTP/1.1 Host: [REDACTED] Origin: https://allsyncapp.pages.dev Content-Type: multipart/form-data; boundary=----geckoformboundary6a77738bf873975dfc9c8e4a31fa330e _redirect=TECHNICAL.html message=Kürbis Folie Dorf Münze Stadt Rock gemein Stunde Programm Bühne Armut befürworten lib_version=3.12.1 service_id=service_t0cgr9v template_id=template_k16demo user_id=furwEG-MZShqSPIGS

Extraktion von Identifikatoren (einzeiliger regulärer Ausdruck im Quellcode der Possibly phishing-Seite)

$ curl -s https://allsyncapp.pages.dev/ | grep -oE '(service_id|template_id|user_id)["'"'"':]+["'"'"']*[A-Za-z0-9_-]+'service_id: „service_t0cgr9v“ template_id: „template_k16demo“ user_id: „furwEG-MZShqSPIGS“

Zentraler Lehrpunkt. Dieser Fall ist gerade deshalb aufschlussreich, weil Wir haben keinen Endpunkt entdeckt.. Der Betreiber veröffentlicht die drei Kennungen, die erforderlich sind, damit EmailJS den Seed an das Postfach des Opfers sendet. Jeder Browser, der die Possibly phishing-Seite anzeigt, verfügt über diese Kennungen. Unser Worker macht genau das, was der Browser des Opfers tut – er sendet ein Formular mit genau dem Aufbau und den Kennungen ab, die die Seite selbst vorschreibt. Der Unterschied liegt in der Nutzlast: zufällige BIP-39-Wörter anstelle der tatsächlichen Wallet-Zugangsdaten.

200
Monatliche Obergrenze (Lockvögel)
1 / s
ToS-Rate – wir arbeiten mit 0,1/s
~120 KB
Maximale monatliche Nutzlast
0
Belastung durch die EmailJS-Infrastruktur (in Grenzen)
402 / 429
Reaktion des Anbieters bei Erreichen der Obergrenze
Konto gekündigt
Typischer Ausgang einer Missbrauchsanzeige

Verlaufsmuster. Sobald das monatliche Limit erreicht ist, gibt EmailJS Folgendes zurück: 402 Payment Required oder 429 Too Many Requests und die Vorlage wird nicht versendet. Die Mailbox des Betrügers bleibt still. Parallel dazu geht bei EmailJS Trust & Safety eine formelle Beschwerde ein, die die Kennungen des Dienstes, der Vorlage und des Nutzers sowie einen Link zu unserem veröffentlichten Beweismaterial enthält – was nach bisherigen Erfahrungen dazu führt, dass das EmailJS-Konto des Betreibers beendet, ohne Ratenbegrenzung. Der Betreiber muss ein neues EmailJS-Konto einrichten, die Identifikatoren neu generieren, die bereitgestellte Possibly phishing-Seite bearbeiten und jeden bestehenden Verbreitungslink ungültig machen – ein mehrstündiger Arbeitsablauf bei jeder Rotation.

Vergleich von Angriffsprofilen: Was „Seed Flooding“ nicht ist

Immer wieder wird uns vorgeworfen, wir würden „Angriffe“ auf Possibly phishing-Seiten durchführen. Diese Darstellung bricht jedoch in sich zusammen, sobald man das tatsächliche Verkehrsprofil dem Profil der Aktivitäten gegenüberstellt, mit denen es verwechselt wird.

Vergleich zwischen „Seed Flooding“ und Denial-of-Service-Angriffen, Spam sowie verdeckten Ermittlungen der Strafverfolgungsbehörden.
DimensionSaatgutflutung (unsere Methode)DDoS / L7-FloodMissbrauch durch Spam-EinreichungenLE-Verdeckungsaktion
ZweckOpferschutz – die „Exfil“-Quote des Betrügers vor dem nächsten Opfer erfüllenDenial-of-Service-Angriff auf die InfrastrukturWirtschaftlicher Gewinn / Verbreitung von BotschaftenBeweissicherung, kontrollierte Täuschung
Durchsatz0,1 – 0,3 Anfragen/Sek. — unten Nutzungsbedingungen des Anbieters103 – 108 Anfragen pro Sekunde — auf Auslastung ausgerichtetBurst / automatisierte GroßmengenverarbeitungEine einzelne Interaktion in der Regel
ZielEin Angreifer, der Daten von einem einzelnen Endpunkt abgezogen hat, hat Folgendes veröffentlicht:Webserver-/Netzwerkebene einer betroffenen OrganisationKontaktformulare seriöser WebsitesVerdächtige Infrastruktur oder Person
Auswirkungen auf die InfrastrukturKeine – Die Zähler des Anbieters verhalten sich im Rahmen des in den Nutzungsbedingungen festgelegten RahmensDienstunterbrechung, Überlastung auf der Upstream-SeiteÜberfüllter Posteingang, CAPTCHA-Drift, ModerationsaufwandHängt vom Betriebsmodus ab
Betroffene rechtmäßige NutzerNull – Possibly phishing-Formulare haben keine legitimen NutzerAlleMitarbeiter/Moderatoren, die für das Formular verantwortlich sindIntegrierte Vermeidung
Ursprüngliche IdentitätTHE ENABLERS REGISTRY IANA #1910 Workers“ – überprüfbarBotnetze, gefälschte Absender, ReflexionEinmal-ProxysVerschlusssache „Infrastruktur“
AutorisierungsmodellEndpunkt ist eingeladen: Das Formular fordert diese Eingabe ausdrücklich an; die Bezeichner werden auf der Seite öffentlich angezeigtKeine – das Anfragevolumen selbst stellt den Schaden darUmgeht den vorgesehenen Verwendungszweck, ignoriert Signale zur MissbrauchsverhinderungGesetzliche Befugnis
Parallele rechtliche SchritteMeldungen über Missbrauch eingegangen vorher Flood-Start mit Fall-IDsk. A.k. A.In den Betriebsablauf eingebunden
Diese Unterscheidung ist nicht rein rhetorischer Natur. Sie ist messbar.

Eine „Seed-Flood“-Anfrage ist ein einzelner HTTPS-POST-Request von etwa 140 Byte, der von einem IANA #1910-Worker stammt, der unseren signierten Ursprung trägt, und dessen Rate nur einen Bruchteil dessen beträgt, was der Anbieter selbst als akzeptabel angibt. Der Request zielt auf einen Endpunkt ab, dessen Identifikatoren der Betreiber bewusst in eine öffentliche Webseite eingebettet hat. Das ist die das gesamte beobachtbare Artefakt. Jedes strukturelle Element, das eine Anfrage zu einem „Angriff“ macht – unbefugter Zugriff, die Absicht, Ressourcen zu erschöpfen, volumetrische Überlastung, betroffene Dritte, verschleierte Herkunft –, fehlt. Die folgende rechtliche Analyse ist keine kreative Argumentation; sie ist die natürlich Auslegung des Gesetzes, sobald der Sachverhalt klar dargelegt ist.

Eine Phishing-Falle, die mit Steinen aufgefüllt wird
Der Betrüger hat eine Falle gestellt. Wir füllen sie mit Steinen.

Das Übermitteln von Daten an ein öffentlich zugängliches Webformular – selbst wenn es sich um gefälschte Daten handelt – ist in den meisten Fällen an sich nicht illegal. Wir greifen weder auf private Systeme zu, noch nutzen wir unbefugt Sicherheitslücken aus, noch fangen wir Kommunikation ab. Der Betrüger hat eine Falle gestellt. Wir füllen sie mit Steinen.

Rechtlicher Hinweis

THE ENABLERS REGISTRY bietet keine Rechtsberatung an. Dies ist eine echte Grauzone, die je nach Rechtsordnung unterschiedlich gehandhabt wird. Wir sind uns dieser Komplexität voll und ganz bewusst.

Ein Betrüger, der eine Possibly phishing-Seite betreibt, hat kein berechtigtes Interesse dass sie ausschließlich echte Seed-Phrasen erhalten. Sie haben keinen Anspruch auf die Integrität ihrer Infrastruktur zur Erfassung krimineller Daten.
Unser System ist zielgerichtet, ratenbegrenzt und an manuelle Identifizierungsprozesse gebunden. Wir identifizieren, analysieren, bestätigen und handeln dann entsprechend.
Wir haben Fälle dokumentiert, in denen es zu einer Überflutung des Saatguts kam verhinderte direkt, dass die Opfer Geld verloren — denn als ein echter Nutzer seine Seed-Phrase übermittelte, war das Erfassungssystem des Betrügers bereits deaktiviert.

Was passiert mit der Datenbank des Betrügers?

Es wird unbrauchbar — Tausende von Einträgen müssen manuell überprüft werden, das Signal-Rausch-Verhältnis bricht ein. Oder es geht kaputt — Firebase Spark und gemeinsam genutzte MongoDB-Instanzen unterliegen festen Obergrenzen. Das Erreichen dieser Obergrenzen hat Konsequenzen.

Beide Ergebnisse sind gut

Ob die Datenbank zu einer nutzlos oder bricht völlig zusammen — Die Seed-Phrasen echter Opfer gelangen niemals in einer verwertbaren Form in die Hände des Angreifers. Jede unverarbeitete Seed-Phrase entspricht einer Wallet, die nicht leergeräumt werden kann.

Wann aktivieren wir die Saatgutflutung?

Datentabelle: Kriterium
KriteriumÜberprüfenWarum das wichtig ist
Aktiver Datenverkehr bestätigtErforderlichWerbeplattformen oder Traffic-Tools bestätigen, dass echte Nutzer auf die Website gelangen
Analyse der Possibly phishing-StrukturErforderlichExfil-Module der kostenlosen Stufe, die vor dem Flood identifiziert wurden
Meldungen über Missbrauch eingegangenErforderlichWir verfolgen stets gleichzeitig den rechtmäßigen Weg
Keine Abschaltung im Rahmen der SLATypischer AuslöserKeine Antwort vom Registrar/Hosting-Anbieter innerhalb einer angemessenen Frist
Website mit hohem Anzeigenvolumen / bezahlten AnzeigenSofortiger AuslöserBezahlte Werbung bedeutet, dass wir handeln, ohne auf bürokratische Abläufe zu warten

Das große Ganze

Das Krypto-Ökosystem verliert Milliarden Dollar pro Jahr gegen Possibly phishing. Die Abwehrmaßnahmen waren bisher eher reaktiv. THE ENABLERS REGISTRY wurde ins Leben gerufen, um proaktive Einmischung in diesen Kreislauf.

Transparenz ist der Kern unseres Handelns

Wir arbeiten nicht im Verborgenen. Wir veröffentlichen unsere Methodik. Wir erläutern unsere Techniken. Wir dokumentieren die von uns analysierten Possibly phishing-Kits. Die Sicherheits-Community verdient es, Methoden zur Possibly phishing-Bekämpfung selbst zu bewerten, anstatt nur einen Black-Box-Dienst in Anspruch zu nehmen.

THE ENABLERS REGISTRY – Aufspüren und Ausschalten von Phishing-Infrastrukturen
Die Betrüger sind gut organisiert. Ihre Werkzeuge sind standardisiert. Das bedeutet, dass auch Gegenmaßnahmen standardisiert werden können.

Was Sie tun können

  • Bericht an Google Safe Browsing, PhishTank, sowie der Domain-Registrar
  • Reichen Sie es bei uns ein — Wir konzentrieren uns vorrangig auf aktive Bedrohungen mit hohem Aufkommen
  • Überprüfen unsere Anatomiedatenbank um zu verstehen, was man da sieht
  • Bewusstsein schaffen — Die meisten Opfer wissen erst, wie eine Possibly phishing-Seite für Seed-Phrasen aussieht, wenn es bereits zu spät ist

Wenn Sie der Meinung sind, dass es unethisch ist, Kriminellen leere Geldbörsen zuzuspielen – das ist Ihre Haltung, und Sie dürfen sie gerne vertreten. Wir haben unseren Standpunkt klar gemacht.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings