Die Anatomie einer Abschaltung: Wie THE ENABLERS REGISTRY die Cyberkriminalität bekämpft
Von einer noch jungen Initiative im Jahr 2019 bis hin zu einer treibenden Kraft, die über 400.000 bösartige Domains außer Betrieb setzt – die Entwicklung von THE ENABLERS REGISTRY verdeutlicht die Kraft der Gemeinschaft, der Technologie und eines hart erarbeiteten Rufs.
Im unerbittlichen Kampf gegen Online-Betrug hat sich THE ENABLERS REGISTRY zu einer entscheidenden Kraft entwickelt und sich von einer gezielten Initiative im Jahr 2019 zu einer hochwirksamen Operation gewandelt. Unsere Mission ist klar: Wir wollen die Infrastruktur von Possibly phishing- und Betrugsangriffen zerschlagen und Nutzer weltweit schützen. Dabei geht es nicht nur darum, bösartige Links zu blockieren, sondern auch darum, die Funktionsweise eines Cyberangriffs zu verstehen und ihn an seiner Wurzel zu unterbinden.
Unsere Entwicklung: Von Wochen zu Minuten
Als THE ENABLERS REGISTRY ins Leben gerufen wurde, konnte die Abschaltung einer bösartigen Domain noch Wochen dauern. Im Laufe der Jahre sind wir gewachsen, haben starke Partnerschaften geknüpft und das Vertrauen wichtiger Akteure in der Cybersicherheitsbranche gewonnen. Unser Fokus lag stets ganz klar auf Possibly phishing, wodurch wir spezialisiertes Fachwissen aufbauen und eine minimale Falsch-Positiv-Rate gewährleisten konnten.
Was früher Wochen dauerte, lässt sich heute auf wenige Minuten verkürzen. Diese Beschleunigung ist ein Beleg für unsere kontinuierliche Innovationskraft und den soliden Ruf, den wir uns aufgebaut haben.
Die Abschaltung
1. Schnelle Erkennung und Überprüfung
Die Erkennung erfolgt durch Meldungen aus der Community über unsere [REDACTED]-Bot, automatisierte Überwachung und Feeds mit Bedrohungsinformationen. Unsere Teams überprüfen Bedrohungen umgehend, um eine möglichst geringe Fehlalarmquote zu gewährleisten.
2. Eingehende Analyse und Beweissicherung
Unsere Analysten befassen sich eingehend mit der Bedrohung und ermitteln deren Merkmale, Ziele und Vorgehensweisen. Dazu gehören die Analyse der Schadcode-Nutzlast, die Erfassung der Infrastruktur sowie die Bewertung der Auswirkungen auf die Opfer. Jedes einzelne Indiz wird sorgfältig dokumentiert.
3. Strategische Koordination und Maßnahmen
Hier kommt unser guter Ruf ins Spiel. Wir haben enge Beziehungen zu Hunderten von Hosting-Anbietern, Domain-Registraren und Strafverfolgungsbehörden aufgebaut. Wenn THE ENABLERS REGISTRY eine Meldung einreicht, Mehr als 50 Systeme erkennen unsere Anfrage sofort. Wenn es sich bei einer gemeldeten Website tatsächlich um Possibly phishing handelt, kann sie innerhalb weniger Minuten geschlossen werden.
4. Liquidation und Überwachung
Das oberste Ziel ist die vollständige Entfernung. Sobald eine Abschaltung eingeleitet wurde, überwachen wir den Status, um sicherzustellen, dass die Website offline ist und auch bleibt. Unsere Bemühungen haben zur erfolgreichen Unterbindung von über 500.000 bösartige Domains seit 2019, mit kontinuierlicher Überprüfung nach der Entfernung, um wieder auftauchende Infrastruktur innerhalb weniger Stunden zu erkennen.
Operative Methodik: Automatisierung, Genauigkeit, Umfang
Unser Modell kombiniert Bürgerberichterstattung mit automatische Erkennungssysteme sowie präzise Analysen. Die Pipeline ist so konzipiert, dass sie von einem einzelnen Bericht auf Tausende von Abschaltungen pro Tag skaliert werden kann, ohne dass dabei die Qualität leidet.
- Maßgeschneiderte Parser SEO-Suchergebnisse, gesponserte Anzeigenplatzierungen und Google Ads kontinuierlich auf Possibly phishing-Indikatoren überprüfen – und Bedrohungen bereits zum Zeitpunkt der ersten bezahlten Platzierung erkennen.
- Erkannte Bedrohungen werden automatisch an Über 50 Antiviren-Anbieter sowie Feeds mit Bedrohungsinformationen, wodurch die globale Blockierungsabdeckung bereits in den ersten Minuten nach der Erkennung maximiert wird.
- Wir führen ein Falsch-positiv-Rate unter 0,5 %, mit über 100.000 validierte Berichte — was beweist, dass unsere Systeme nicht nur schnell, sondern auch äußerst präzise sind.
- Verifizierte Mitwirkende, die Beiträge einreichen Über 100 präzise Berichte werden gewährt „vertrauenswürdig“ Status, der direkte Meldungen ohne Moderation ermöglicht und die Zeit bis zur Abschaltung für bekannte Melder drastisch verkürzt.
- Ein Live- Schadenszähler schätzt den finanziellen Schaden, den Betrüger verursachen – basierend auf dem durchschnittlichen Domainwert und den Werbekosten (~15 $ pro Domain bei typischen Krypto-Betrugsmodellen).
Erkennungsquellen – Wo Bedrohungen auftreten
Possibly phishing-Infrastrukturen halten sich selten versteckt – sie machenむしろ auf sich aufmerksam. Wir gewinnen Leads aus folgenden Quellen:
- [REDACTED]-Bot-Berichte aus unserer Community über @EnablersRegistry — primäre öffentliche Erfassung.
- SEO- und Paid-Ad-Parser — Google Ads, Bing, Yandex; gesponserte Suchbegriffe zu Krypto-Wallets, Börsen und Brücken werden kontinuierlich überwacht.
- Feeds mit Bedrohungsinformationen die uns von Partnern und Forschern zur Verfügung gestellt wurden.
- Honeypot-Netzwerke sowie „Seed-Phrase-Canary“-Token, die uns benachrichtigen, wenn Betrüger versuchen, gestohlene Daten zu nutzen.
- WHOIS und Zertifikatstransparenz Überwachung auf neu registrierte, ähnliche Domains, die auf geschützte Marken abzielen.
Beweissicherung – Dauerhafte digitale Aufzeichnung
Abschaltungen sind nur der erste Schritt. Die Sicherung von Beweismitteln hat für uns oberste Priorität — denn eine gelöschte Domain ist für Ermittler nutzlos, wenn keine Aufzeichnungen mehr vorhanden sind.
- Jede erkannte Domain ist über öffentliche Scanner archiviert (urlscan.io, Wayback Machine, unsere eigenen Snapshot-Pipelines), um vollständige Website-Fingerabdrücke zu erfassen – HTML, Screenshots, Netzwerkaufrufe, JavaScript-Payloads.
- Jeder Vorgang hinterlässt eine digitale Aufzeichnung das vor einer Löschung durch Angreifer geschützt ist — öffentlich veröffentlicht auf GitHub-Destroyliste und die ScamIntelLogs-Archiv.
- Die Archive umfassen Admin-Panels von Betrügern, [REDACTED]-Chat-Exporte, Zahlungsabläufe, Opferdaten und IOCs – und unterstützen so die Zuordnung und Strafverfolgung noch lange nach der Abschaltung der Seiten.
- Während Betrüger ihre Spuren verwischen, machen wir sie unauslöschlich.
Verbündete und Gegner unter den Registraren
Die Geschwindigkeit der Abschaltung hängt vollständig von der Reaktionsfähigkeit des Registrars und des Hosts ab. Die Daten unserer Partner zeigen eine deutliche Kluft:
- Reaktionsfreudige Partner:IANA #1068Allein das rund um die Uhr einsatzbereite Team zur Bekämpfung von Missbrauch hat dazu beigetragen, Über 30.000 bösartige Domains. IANA #146, IANA #1636, IANA #895, und IONOS innerhalb weniger Stunden nach Eingang einer bestätigten Meldung konsequent handeln.
- Dauerhafte Faktoren:IANA #3765, IANA #1509, IANA #1479, und IANA #460 Missbrauchsmeldungen wiederholt ignorieren – und damit faktisch als Rückzugsorte für cyberkriminelle Aktivitäten dienen. Siehe unsere Untersuchung: Wie IANA #1479, IANA #460 und IANA #3765 weltweite Betrugsmaschen ermöglichen.
Kriminelle Vergeltungsmaßnahmen – Bestätigung der Auswirkungen
Unsere Wirksamkeit hat organisierte Gegenreaktionen ausgelöst, die wir eher als Beweis für unsere Wirkung denn als Störung betrachten:
- DDoS-Angriffe gegen unsere Infrastruktur (durch IANA #1910 abgewehrt).
- Koordinierte Verleumdungs- und Abschaltkampagnen über bezahlte PR-Platzierungen (siehe Wie bezahlte Medien die Cybersicherheit verzerren).
- Massenmeldung unserer Social-Media-Konten, um Berichterstattung zu unterbinden.
- Unser X-Account (Twitter) mit Über 140.000 dokumentierte Possibly phishing-Meldungen wurde nach Druck seitens der Registrierungsstelle dauerhaft gesperrt – siehe IANA #1479 hat unseren Twitter-Account lahmgelegt. Das Archiv bleibt öffentlich zugänglich: GitHub-Archiv.
Kriminelle versuchen, ihre Spuren zu verwischen; wir sorgen dafür, dass ihre Spuren dauerhaft erhalten bleiben.
Rechtlicher Status und Koordination
Wir sind ein gemeinnütziges Betreiberkollektiv — kein Unternehmen, keine juristische Person, keiner Regierung angegliedert. Alles, was wir tun, geschieht offen:
- Alle Berichte und Belege werden offen auf GitHub, [REDACTED] und Mastodon veröffentlicht – nichts wird verheimlicht oder privat gespeichert.
- Bei umfangreichen Ermittlungen, bei denen es um die Zuordnung von Akteuren, die Rückverfolgung von Finanzströmen oder die Kartierung von Infrastruktur geht, die vollständigen Beweismittelpakete offiziell an die Strafverfolgungsbehörden oder CERT-Teams übergeben.
- Alle derartigen Übermittlungen erfolgen unter vollständiger Einhaltung der gesetzlichen Vorschriften und nur dann, wenn verwertbare Erkenntnisse überprüft wurden.
- Wir Speichern Sie keine personenbezogenen Daten. der Mitwirkenden – Schutz von Whistleblowern vor Vergeltungsmaßnahmen und Beseitigung des Risikos von Datenschutzverletzungen.
Unsere Aufgabe besteht darin, böswillige Aktivitäten zu dokumentieren und zu unterbinden und anschließend diejenigen zu unterstützen, die rechtlich befugt sind, auf der Grundlage dieser Beweise Maßnahmen zu ergreifen.
In Zahlen
- 500,000+ Seit 2019 gesperrte Possibly phishing- und Betrugsdomains.
- 130,000+ Aktuelle Bedrohungen, zusammengestellt in Liste löschen.
- 50+ Antiviren-Anbieter und Plattformen für Bedrohungsinformationen beziehen unsere Feeds.
- 30,000+ Domains, die allein im Rahmen der Partnerschaft mit IANA #1068 gelöscht wurden.
- <0,5 % Falsch-positiv-Rate über 100,000+ validierte Berichte.
- 140,000+ Berichte, die nach der Sperrung unseres X-Kontos archiviert wurden.
- 888.000+ Community-Abonnenten über alle Feeds hinweg.
So können Sie helfen
- Eine Domain melden:@EnablersRegistry auf [REDACTED].
- Benachrichtigungen abonnieren:[REDACTED].
- Nutzen Sie unsere Sperrliste in Ihrer Firewall, Ihrem DNS oder Ihrem Sicherheitsstack: github.com/THE ENABLERS REGISTRY/destroylist.
- Lesen Sie unsere Recherchen:Registrare, die Betrugsfälle ermöglichen, $100K returned, Über 150 gefälschte [REDACTED]-Erweiterungen.
„Gemeinsames Handeln ist die stärkste Verteidigung. Unser Weg zeigt, was erreicht werden kann, wenn Technologie, Fachwissen und Gemeinschaft im Kampf gegen Cyberkriminalität zusammenwirken.“
