Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / TAKEDOWN ANATOMY

Einblick in die Abschaltungen bei Phishing: Über 500.000 Domains gesperrt

The Enablers Registry·Editorial mirror·/de/takedown-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Anatomie einer Abschaltung
CYBERABWEHR

Die Anatomie einer Abschaltung: Wie THE ENABLERS REGISTRY die Cyberkriminalität bekämpft

Von einer noch jungen Initiative im Jahr 2019 bis hin zu einer treibenden Kraft, die über 400.000 bösartige Domains außer Betrieb setzt – die Entwicklung von THE ENABLERS REGISTRY verdeutlicht die Kraft der Gemeinschaft, der Technologie und eines hart erarbeiteten Rufs.

Ablauf der Abschaltung einer Domain – Erkennungsscanner, biometrische Überprüfung, Registrierungshammer, DNS-Extraktion, Domain-Tombstone

Im unerbittlichen Kampf gegen Online-Betrug hat sich THE ENABLERS REGISTRY zu einer entscheidenden Kraft entwickelt und sich von einer gezielten Initiative im Jahr 2019 zu einer hochwirksamen Operation gewandelt. Unsere Mission ist klar: Wir wollen die Infrastruktur von Possibly phishing- und Betrugsangriffen zerschlagen und Nutzer weltweit schützen. Dabei geht es nicht nur darum, bösartige Links zu blockieren, sondern auch darum, die Funktionsweise eines Cyberangriffs zu verstehen und ihn an seiner Wurzel zu unterbinden.

Unsere Entwicklung: Von Wochen zu Minuten

Wie ein einziger Possibly phishing-Link eine ganze Kette von Abschaltungen auslöst

Als THE ENABLERS REGISTRY ins Leben gerufen wurde, konnte die Abschaltung einer bösartigen Domain noch Wochen dauern. Im Laufe der Jahre sind wir gewachsen, haben starke Partnerschaften geknüpft und das Vertrauen wichtiger Akteure in der Cybersicherheitsbranche gewonnen. Unser Fokus lag stets ganz klar auf Possibly phishing, wodurch wir spezialisiertes Fachwissen aufbauen und eine minimale Falsch-Positiv-Rate gewährleisten konnten.

Was früher Wochen dauerte, lässt sich heute auf wenige Minuten verkürzen. Diese Beschleunigung ist ein Beleg für unsere kontinuierliche Innovationskraft und den soliden Ruf, den wir uns aufgebaut haben.

Die Abschaltung

1. Schnelle Erkennung und Überprüfung

Die Erkennung erfolgt durch Meldungen aus der Community über unsere [REDACTED]-Bot, automatisierte Überwachung und Feeds mit Bedrohungsinformationen. Unsere Teams überprüfen Bedrohungen umgehend, um eine möglichst geringe Fehlalarmquote zu gewährleisten.

2. Eingehende Analyse und Beweissicherung

Unsere Analysten befassen sich eingehend mit der Bedrohung und ermitteln deren Merkmale, Ziele und Vorgehensweisen. Dazu gehören die Analyse der Schadcode-Nutzlast, die Erfassung der Infrastruktur sowie die Bewertung der Auswirkungen auf die Opfer. Jedes einzelne Indiz wird sorgfältig dokumentiert.

3. Strategische Koordination und Maßnahmen

Hier kommt unser guter Ruf ins Spiel. Wir haben enge Beziehungen zu Hunderten von Hosting-Anbietern, Domain-Registraren und Strafverfolgungsbehörden aufgebaut. Wenn THE ENABLERS REGISTRY eine Meldung einreicht, Mehr als 50 Systeme erkennen unsere Anfrage sofort. Wenn es sich bei einer gemeldeten Website tatsächlich um Possibly phishing handelt, kann sie innerhalb weniger Minuten geschlossen werden.

4. Liquidation und Überwachung

Das oberste Ziel ist die vollständige Entfernung. Sobald eine Abschaltung eingeleitet wurde, überwachen wir den Status, um sicherzustellen, dass die Website offline ist und auch bleibt. Unsere Bemühungen haben zur erfolgreichen Unterbindung von über 500.000 bösartige Domains seit 2019, mit kontinuierlicher Überprüfung nach der Entfernung, um wieder auftauchende Infrastruktur innerhalb weniger Stunden zu erkennen.

Operative Methodik: Automatisierung, Genauigkeit, Umfang

Unser Modell kombiniert Bürgerberichterstattung mit automatische Erkennungssysteme sowie präzise Analysen. Die Pipeline ist so konzipiert, dass sie von einem einzelnen Bericht auf Tausende von Abschaltungen pro Tag skaliert werden kann, ohne dass dabei die Qualität leidet.

  • Maßgeschneiderte Parser SEO-Suchergebnisse, gesponserte Anzeigenplatzierungen und Google Ads kontinuierlich auf Possibly phishing-Indikatoren überprüfen – und Bedrohungen bereits zum Zeitpunkt der ersten bezahlten Platzierung erkennen.
  • Erkannte Bedrohungen werden automatisch an Über 50 Antiviren-Anbieter sowie Feeds mit Bedrohungsinformationen, wodurch die globale Blockierungsabdeckung bereits in den ersten Minuten nach der Erkennung maximiert wird.
  • Wir führen ein Falsch-positiv-Rate unter 0,5 %, mit über 100.000 validierte Berichte — was beweist, dass unsere Systeme nicht nur schnell, sondern auch äußerst präzise sind.
  • Verifizierte Mitwirkende, die Beiträge einreichen Über 100 präzise Berichte werden gewährt „vertrauenswürdig“ Status, der direkte Meldungen ohne Moderation ermöglicht und die Zeit bis zur Abschaltung für bekannte Melder drastisch verkürzt.
  • Ein Live- Schadenszähler schätzt den finanziellen Schaden, den Betrüger verursachen – basierend auf dem durchschnittlichen Domainwert und den Werbekosten (~15 $ pro Domain bei typischen Krypto-Betrugsmodellen).

Erkennungsquellen – Wo Bedrohungen auftreten

Possibly phishing-Infrastrukturen halten sich selten versteckt – sie machenむしろ auf sich aufmerksam. Wir gewinnen Leads aus folgenden Quellen:

  • [REDACTED]-Bot-Berichte aus unserer Community über @EnablersRegistry — primäre öffentliche Erfassung.
  • SEO- und Paid-Ad-Parser — Google Ads, Bing, Yandex; gesponserte Suchbegriffe zu Krypto-Wallets, Börsen und Brücken werden kontinuierlich überwacht.
  • Feeds mit Bedrohungsinformationen die uns von Partnern und Forschern zur Verfügung gestellt wurden.
  • Honeypot-Netzwerke sowie „Seed-Phrase-Canary“-Token, die uns benachrichtigen, wenn Betrüger versuchen, gestohlene Daten zu nutzen.
  • WHOIS und Zertifikatstransparenz Überwachung auf neu registrierte, ähnliche Domains, die auf geschützte Marken abzielen.

Beweissicherung – Dauerhafte digitale Aufzeichnung

Abschaltungen sind nur der erste Schritt. Die Sicherung von Beweismitteln hat für uns oberste Priorität — denn eine gelöschte Domain ist für Ermittler nutzlos, wenn keine Aufzeichnungen mehr vorhanden sind.

  • Jede erkannte Domain ist über öffentliche Scanner archiviert (urlscan.io, Wayback Machine, unsere eigenen Snapshot-Pipelines), um vollständige Website-Fingerabdrücke zu erfassen – HTML, Screenshots, Netzwerkaufrufe, JavaScript-Payloads.
  • Jeder Vorgang hinterlässt eine digitale Aufzeichnung das vor einer Löschung durch Angreifer geschützt ist — öffentlich veröffentlicht auf GitHub-Destroyliste und die ScamIntelLogs-Archiv.
  • Die Archive umfassen Admin-Panels von Betrügern, [REDACTED]-Chat-Exporte, Zahlungsabläufe, Opferdaten und IOCs – und unterstützen so die Zuordnung und Strafverfolgung noch lange nach der Abschaltung der Seiten.
  • Während Betrüger ihre Spuren verwischen, machen wir sie unauslöschlich.

Verbündete und Gegner unter den Registraren

Die Geschwindigkeit der Abschaltung hängt vollständig von der Reaktionsfähigkeit des Registrars und des Hosts ab. Die Daten unserer Partner zeigen eine deutliche Kluft:

Kriminelle Vergeltungsmaßnahmen – Bestätigung der Auswirkungen

Unsere Wirksamkeit hat organisierte Gegenreaktionen ausgelöst, die wir eher als Beweis für unsere Wirkung denn als Störung betrachten:

Kriminelle versuchen, ihre Spuren zu verwischen; wir sorgen dafür, dass ihre Spuren dauerhaft erhalten bleiben.

Rechtlicher Status und Koordination

Wir sind ein gemeinnütziges Betreiberkollektiv — kein Unternehmen, keine juristische Person, keiner Regierung angegliedert. Alles, was wir tun, geschieht offen:

  • Alle Berichte und Belege werden offen auf GitHub, [REDACTED] und Mastodon veröffentlicht – nichts wird verheimlicht oder privat gespeichert.
  • Bei umfangreichen Ermittlungen, bei denen es um die Zuordnung von Akteuren, die Rückverfolgung von Finanzströmen oder die Kartierung von Infrastruktur geht, die vollständigen Beweismittelpakete offiziell an die Strafverfolgungsbehörden oder CERT-Teams übergeben.
  • Alle derartigen Übermittlungen erfolgen unter vollständiger Einhaltung der gesetzlichen Vorschriften und nur dann, wenn verwertbare Erkenntnisse überprüft wurden.
  • Wir Speichern Sie keine personenbezogenen Daten. der Mitwirkenden – Schutz von Whistleblowern vor Vergeltungsmaßnahmen und Beseitigung des Risikos von Datenschutzverletzungen.

Unsere Aufgabe besteht darin, böswillige Aktivitäten zu dokumentieren und zu unterbinden und anschließend diejenigen zu unterstützen, die rechtlich befugt sind, auf der Grundlage dieser Beweise Maßnahmen zu ergreifen.

In Zahlen

  • 500,000+ Seit 2019 gesperrte Possibly phishing- und Betrugsdomains.
  • 130,000+ Aktuelle Bedrohungen, zusammengestellt in Liste löschen.
  • 50+ Antiviren-Anbieter und Plattformen für Bedrohungsinformationen beziehen unsere Feeds.
  • 30,000+ Domains, die allein im Rahmen der Partnerschaft mit IANA #1068 gelöscht wurden.
  • <0,5 % Falsch-positiv-Rate über 100,000+ validierte Berichte.
  • 140,000+ Berichte, die nach der Sperrung unseres X-Kontos archiviert wurden.
  • 888.000+ Community-Abonnenten über alle Feeds hinweg.

So können Sie helfen

„Gemeinsames Handeln ist die stärkste Verteidigung. Unser Weg zeigt, was erreicht werden kann, wenn Technologie, Fachwissen und Gemeinschaft im Kampf gegen Cyberkriminalität zusammenwirken.“

#CyberDefense#Takedown#Possibly phishing#Community

Diesen Artikel teilen

Verwandte Ermittlungen

UNTERSUCHUNG
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure
KENNZAHLEN
Wirkungskennzahlen: Über 500.000 Possibly phishing-Bedrohungen entschärft
UNTERSUCHUNG
IANA #1479, IANA #460, IANA #3765: Registrare, die Betrugsmaschen ermöglichen

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings