वास्तविक दुश्मन धोखेबाज़ नहीं है। यह उस रजिस्ट्रार है जो अपने चेक कैश कर रहा है।
ठग निराशा की अर्थव्यवस्था में एक सस्ता, प्रतिस्थापनीय नोड है। रजिस्ट्रार जो मुस्कुराते हुए उसकी क्रिप्टो ले लेता है — और ICANN जो उसे इसके लिए जवाबदेह नहीं ठहराता — वही बीमारी है।
आइए हम एक बात के बारे में बेबाकी से ईमानदार रहें जिसे धोखाधड़ी-रोधी उद्योग खुलेआम नहीं कहना चाहता: अधिकांश ठग अपराध की कुशल योजनाकार नहीं होते। वे परिष्कृत नहीं होते। उनमें से अधिकांश मुश्किल से ही सक्षम होते हैं।
निचले स्तर के कार्यकर्ताओं का पीछा करना बंद करो।
हम वर्षों से खतरे पैदा करने वाले अभिनेताओं को ट्रैक कर रहे हैं। हम उन्हें एक ठगी से दूसरी ठगी में बदलते देखते हैं: आज स्टीलर ऑपरेटर, कल ड्रेनर डेवलपर, अगली तिमाही कार्डिंग शॉप। हम देखते हैं कि वे अपनी नकली पहचान और बुनियादी ढांचे को एक जगह से दूसरी जगह ले जाते हैं — इस महीने स्विट्ज़रलैंड, अगले महीने तुर्की। वे अच्छी तरह छिपते नहीं हैं। वे ऐसे निशान छोड़ जाते हैं जिन्हें एक प्रथम वर्ष का विश्लेषक भी आसानी से ट्रैक कर सकता है। उनमें से अधिकांश इस "व्यवसाय" में एक ही सरल कारण से आए: उनके पास निकलने का कोई दूसरा रास्ता नहीं था और वैध काम के लिए पर्याप्त दिमाग भी नहीं था।
तो समस्या लगातार क्यों बढ़ती जा रही है? क्योंकि बुरे तत्वों की संख्या बहुत बड़ी है, और उन्हें एक-एक करके शिकार करना गणितीय रूप से निरर्थक है।
हमारे अपने टेलीग्राम इंटेलिजेंस प्लेटफ़ॉर्म को देखें। केवल हमारे डेटासेट में ही लगभग 130 हज़ार दुर्भावनापूर्ण कर्ता हैं — और वह सिर्फ एक डेटासेट है।
अन्य शोध टीमों द्वारा पिछली जांचों में पहचाने गए हजारों और को जोड़ें, और तस्वीर स्पष्ट हो जाती है: आप इतनी बड़ी आबादी से गिरफ्तारी करके बाहर नहीं निकल सकते। एक अभिनेता को, एक समूह को गिरा दो — महीनों की कानूनी कार्रवाई, सीमा-पार क्षेत्राधिकार की दुःस्वप्न जैसी जटिलताएँ, और ऐसे मामूली मुकदमे जिनमें कानून प्रवर्तन की रुचि शायद ही कभी होती है — और उसी सप्ताह दस नए प्रतिस्थापन उभर आते हैं। व्यक्तिगत ठग एक सस्ता, प्रतिस्थापन योग्य नोड है।
जब आप अर्थशास्त्र बदलते हैं तभी गणित बदलता है। जब तक धोखाधड़ी सस्ती रहेगी — सस्ते डोमेन, बिना किसी सवाल के रजिस्ट्रार, बिना किसी सत्यापन के क्रिप्टो भुगतान — तब तक यह खूब होगी। एकमात्र रणनीति जो काम करती है वह है धोखाधड़ी को महंगा बनाना। और यह सीधे उन लोगों की ओर ले जाता है जो वर्तमान में इसे सस्ता बनाते हैं:
आंकड़े कहते हैं कि यह एक संकट है। उद्योग इसे मौसम का खेल बताकर दिखावा करता है।
यह हमारी राय नहीं है। यह इंटरनेट की प्रलेखित स्थिति है:
$16B lost, +33% YoY
एफबीआई का आईसी3 प्राप्त हुआ ८५९,५३२ शिकायतें 2024 में रिपोर्ट किए गए नुकसान से अधिक $16 billion — 2023 की तुलना में 33% की वृद्धि — और शिकायतों की संख्या के आधार पर शीर्ष साइबर अपराध फिशिंग/स्पूफिंग था। लगभग 150,000 शिकायतों में डिजिटल संपत्तियाँ शामिल थीं, जो कुल मिलाकर $9.3 billion हानियों में — पिछले वर्ष की तुलना में 66% की वृद्धि।
2021 से फ़िशिंग में 180% की वृद्धि
इंटरआइल कंसल्टिंग का वार्षिक अध्ययन, मई 2024 और अप्रैल 2025 के बीच लगभग चार मिलियन फ़िशिंग रिपोर्टों का विश्लेषण करते हुए, पाया कि रिपोर्ट की गई फ़िशिंग पहुँच रही थी लगभग दो मिलियन हमले — 2021 से 180% से अधिक की वृद्धि। वही रिपोर्ट उस आसानी को उजागर करती है जिससे अपराधी शोषण करते हैं। उदार उद्योग नीतियाँ और व्यावसायिक प्रथाएँ डोमेन नाम प्राप्त करने के लिए।
उस आखिरी पंक्ति को फिर से पढ़ें। इस क्षेत्र में अग्रणी स्वतंत्र शोध ठीक वही कहता है जो हम कहते हैं: सक्षमकर्ता अनुमत उद्योग प्रथाएँ हैं, धोखेबाज़ की प्रतिभा नहीं। अनुमतता। और एकाग्रता इसे साबित करती है: इंटरआइल ने पाया कि एक अभियान में, 37,000 अनपेड टोल स्कैम डोमेन नामों के एक नमूने ने दिखाया 65% एक ही चीनी रजिस्ट्रार के माध्यम से पंजीकृत थे।.
धोखाधड़ी की अर्थव्यवस्था इंटरनेट पर यादृच्छिक रूप से वितरित नहीं होती। यह विशिष्ट रजिस्ट्रारों के आसपास केंद्रित होती है — क्योंकि धोखेबाज चुप्पी खरीदते हैं।
रजिस्ट्रार तटस्थ नहीं होते। वे भुगतान किए गए प्रतिभागी होते हैं।
एक आरामदायक मिथक है कि रजिस्ट्रार "तटस्थ अवसंरचना" होते हैं — निष्क्रिय उपयोगिताएँ जिनका उन डोमेनों पर होने वाली गतिविधियों में कोई हित नहीं होता।
यह झूठ है। एक रजिस्ट्रार एक लाभ-उन्मुख पक्ष है जो प्रत्येक फ़िशिंग डोमेन को निलंबित करने से इनकार करके सीधे राजस्व अर्जित करता है। हर अनदेखी दुरुपयोग रिपोर्ट संरक्षित राजस्व है। हर "हम सामग्री का मूल्यांकन नहीं कर सकते" वाला उत्तर एक कानूनी स्थिति के भेष में एक व्यावसायिक निर्णय है।
ठग कीमतों के पेज या डिज़ाइन के लिए रजिस्ट्रार नहीं चुनते। वे उस रजिस्ट्रार को चुनते हैं जो सवाल नहीं पूछेगा, डोमेन सस्पेंड नहीं करेगा, बिना सत्यापन के क्रिप्टो स्वीकार करेगा, और दुरुपयोग की रिपोर्टों पर चुप रहेगा। यह एक बाज़ार है। यह एक उत्पाद है। और उद्योग का अपना डेटा दिखाता है कि इसे कौन बेचता है। प्रति इंटरआइल के निष्कर्ष, कच्ची फ़िशिंग की मात्रा के आधार पर शीर्ष पाँच gTLD रजिस्ट्रार थे नेमसाइलो, गॉडैडी, जीएमओ (ओनामे), पब्लिकडोमेनरेजिस्ट्री, और नेमचीप; प्रबंधन के दायरे में आने वाले डोमेनों के अनुसार सामान्यीकृत, सबसे अधिक दुरुपयोग किए गए थे नाइसएनआईसी, यूआरएल सॉल्यूशंस, ऐसविले, वेबएनआईसी, और ओनरेजिस्ट्रार — जिसमें IANA #3765 के 45% gTLD पोर्टफोलियो का उपयोग फ़िशिंग के लिए रिपोर्ट किया गया।
रजिस्ट्रारों को कौन नियंत्रित करता है? तकनीकी रूप से ICANN। व्यावहारिक रूप से कोई नहीं।
रजिस्ट्रारों के ऊपर ICANN है। ICANN के ऊपर कोई नहीं है।
आईसीएएनएन का 2013 का रजिस्ट्रार मान्यता समझौता, धारा 3.18यह अनुबंधात्मक रूप से प्रत्येक मान्यता प्राप्त रजिस्ट्रार को एक दुरुपयोग संपर्क बनाए रखने और दुरुपयोग रिपोर्टों की जांच करने तथा उचित एवं त्वरित कदम उठाकर उपयुक्त प्रतिक्रिया देने के लिए बाध्य करता है। कागज़ पर — एक प्रवर्तनीय दायित्व।
व्यवहार में? रोज़ाना मोर्चे पर जो हम देखते हैं, उसके आधार पर हमारा अनुमान है कि एक अकेला दुरुपयोग-अनुकूल रजिस्ट्रार कम से कम 3.18 का उल्लंघन करता है। साल में लगभग 1,000 बार रिपोर्टों को अनदेखा किया गया, काल्पनिक "जांचें", पीड़ितों के रक्तस्राव के दौरान हफ्तों तक सक्रिय रहने वाले फ़िशिंग डोमेन। अगर इसे पूरे उद्योग में पाँच वर्षों तक फैलाया जाए, तो 3.18-क्लास की विफलताओं की असली संख्या संभवतः दस लाख अनदेखी या गलत तरीके से संभाली गई रिपोर्टों तक पहुँच जाती है। कोई भी असली संख्या नहीं जानता, क्योंकि किसी को गिनने की आवश्यकता नहीं है। यही बात है।
और ICANN का प्रवर्तन टूलकिट? प्रभावी रूप से एक परमाणु बटन: मान्यता रद्द करना। कोई जुर्माना नहीं। कोई क्रमिक दंड नहीं। पीड़ितों को कोई मुआवजा नहीं। और वह बटन लगभग विशेष रूप से उन रजिस्ट्रारों के खिलाफ दबाया जाता है जो पहले से ही निष्क्रिय हैं — ऐसे शेल जो शुल्क का भुगतान बंद कर चुके हैं। क्यों? क्योंकि ICANN को उन्हीं रजिस्ट्रारों से मिलने वाले शुल्कों से वित्त पोषित किया जाता है जिन्हें वह "नियंत्रित" करता है। एक बड़े, लाभदायक, और उच्च-दुरुपयोग वाले रजिस्ट्रार को बंद करने का मतलब है अपनी ही आय को बंद करना। यह संरचनात्मक रूप से प्रवर्तन करने की इच्छा रखने में असमर्थ है।
ICANN ने नाममात्र के लिए नियामक की कुर्सी संभाली — ठीक अपनी स्वतंत्रता बनाए रखने और सरकारों को दूर रखने के लिए। परिणाम: एक ऐसा नियम जिससे कोई रजिस्ट्रार नहीं डरता। हाँ, मिसालें हैं — अनुपालन नोटिस और चेतावनियाँ (वेबएनआईसी का मामला उनमें से). परिणाम देखें। एक कड़ी भाषा में लिखा गया पत्र बनाम लाखों कमाने वाला एक व्यावसायिक मॉडल। एक अनुपालन व्यवस्था जहाँ अनुपालन वैकल्पिक हो, वह विनियमन नहीं है। यह सिर्फ दिखावा है।
केस स्टडी: नेमसाइलो — "सबसे तेज़ी से बढ़ने वाला," सबसे तेज़ी से अनदेखा करने वाला
IANA #1479 एक सार्वजनिक रूप से सूचीबद्ध कंपनी है। यह स्टॉक एक्सचेंज के लिए रिपोर्ट दाखिल करती है, जिसमें लाखों डॉलर का राजस्व दिखाया जाता है, और खुद को दुनिया के सबसे तेजी से बढ़ते रजिस्ट्रारों में से एक के रूप में प्रचारित करती है। ऊपर उद्धृत स्वतंत्र शोध के अनुसार, यह कच्ची फ़िशिंग-वॉल्यूम रैंकिंग में शीर्ष पर भी है। क्या यह महज संयोग है? यहाँ वह है जो हमने व्यक्तिगत रूप से देखा:
बीस रिपोर्टें, फिर "कोई पूर्व रिपोर्ट नहीं"
हमने IANA #1479 को एक फ़िशिंग साइट की रिपोर्ट की। एक बार नहीं — कम से कम 20 प्रलेखित रिपोर्टें उस एकल डोमेन पर, सबूतों, स्क्रीनशॉट, स्कैन और विश्लेषण के साथ। जब तक हमने मामले को ट्विटर/एक्स पर सार्वजनिक रूप से आगे नहीं बढ़ाया, तब तक कुछ नहीं हुआ। नेमसाइलो की सार्वजनिक प्रतिक्रिया: कि उन्हें "कोई पूर्व रिपोर्ट प्राप्त नहीं हुई थी।" एक सार्वजनिक रूप से सूचीबद्ध रजिस्ट्रार, जिस पर अनदेखी की गई बीस दुरुपयोग रिपोर्टों के दस्तावेजी सबूत थे, ने सार्वजनिक रूप से दावा किया कि ऐसी कोई रिपोर्ट मौजूद ही नहीं थीं। यह या तो एक टूटी हुई दुरुपयोग प्रक्रिया है जिसे वे ठीक करने से इनकार करते हैं, या एक सार्वजनिक झूठ है। दोनों में से कोई भी स्वीकार्य नहीं है — और दोनों ही लाभदायक हैं।
IANA #1479 ने राजस्व खोने से बचने के लिए अमेरिकी उपयोगकर्ताओं की सुरक्षा के कितने अनुरोधों को सीधे अनदेखा किया? हम अनुभव से कह सकते हैं: सिर्फ कई नहीं — हमें लगता है कि अधिकांश। और इसके लिए कोई जवाबदेही नहीं है।
यह और भी बेहतर हो जाता है। IANA #1479 ने सार्वजनिक रूप से बताया है कि उन्होंने एक क्लाइंट की मदद की — एक ऐसा क्लाइंट जिसके बारे में उन्होंने दावा किया था कि उन्हें कोई शिकायत नहीं मिली — ताकि उसके VirusTotal डिटेक्शन हटा दिए जाएँ। तर्क देखें:
- फ़िशिंग डोमेन को निलंबित करने के लिए कहा गया: हम यह निर्धारित करने के लिए योग्य नहीं हैं कि क्या दुर्भावनापूर्ण है।
- भुगतान करने वाले ग्राहक की मदद करना: अचानक फॉर्च्यून 500 सुरक्षा विक्रेताओं के डिटेक्शन फैसलों को पलटने का अधिकार प्राप्त कर लिया।
आप तकनीकी अक्षमता को ढाल के रूप में और तकनीकी अधिकार को सेवा के रूप में इस्तेमाल नहीं कर सकते। एक चुनें। यह कोई आकस्मिक घटना नहीं है और यह कोई अलग-थलग मामला नहीं है। यह एक पैटर्न है: पैसे से प्यार करो, कुछ मत करो, किसी को जवाब मत दो।
एक ICANN मान्यता वास्तव में कितनी मूल्यवान है: ट्रस्टनेम, अभी
हितों का टकराव संरचनात्मक और सरल है: एक नियामक को कभी भी अपने राजस्व को सीधे उन पक्षों से प्राप्त नहीं करना चाहिए जिन्हें वह नियंत्रित करता है। ICANN ऐसा करता है — और हम समझते हैं कि इसके लगभग 400 कर्मचारी निस्संदेह उन उपयोगकर्ताओं की सुरक्षा से कहीं अधिक महत्वपूर्ण मामलों में व्यस्त हैं, जिनके वॉलेट्स को ये डोमेन खाली करने के लिए बनाए गए हैं।
यहाँ यह है कि वह मान्यता व्यवहार में, आज ही, कितनी मूल्यवान है। विचार करें ट्रस्टनाम ([REDACTED]) — एक रजिस्ट्रार हम विस्तार से प्रलेखितकागज़ पर यह एक एस्टोनियाई कंपनी है; परिचालनात्मक रूप से इसे से संचालित किया जाता है बेलारूस एकमात्र मालिक-संचालक द्वारा — जो इसके 100% शेयरधारक, सीईओ और एकमात्र कर्मचारी हैं। घोषित 2024 राजस्व: €120. इसने केवल इस साल ही गंभीरता से डोमेन बेचना शुरू किया। और इसकी ICANN मान्यता (IANA #4318) है विलय प्रक्रिया में कंपनी के साथ भी सक्रिय. जिन लगभग 7,641 डोमेनों का यह प्रबंधन करता है, जीवित नमूनों में से 86% दुर्भावनापूर्ण पाए गए हैं।.
यही वह है जिसे ICANN ने भरोसे का प्रतीक सौंपा। और यह इस बात का हमारा वर्णन नहीं है कि यह दुरुपयोग को कैसे संभालता है — यह IANA #3736 का है। अपनी प्रकाशित दुर्व्यवहार नीति:
ICANN दिशानिर्देशों के अनुसार, अधिकांश मामलों में, किसी डोमेन के खिलाफ कार्रवाई करने के लिए रजिस्ट्रार को एक वैध न्यायालय आदेश या रजिस्ट्रेंट की सहमति प्रदान करनी होती है।
केवल स्वचालित खतरे-विश्लेषण प्रणालियों के माध्यम से प्राप्त रिपोर्टों को निर्णायक साक्ष्य नहीं, बल्कि जांच के लिए संभावित सुराग माना जाता है… ट्रस्टनेम समीक्षा के समय कथित दुरुपयोग के सक्रिय बने रहने की पुष्टि भी मांग सकता है।
नि:शुल्क या गुमनाम ईमेल सेवाओं (जैसे @gmail.com, @proton.me) से भेजी गई दुरुपयोग रिपोर्टों की अतिरिक्त सत्यापन की जाती है।
हम किसी साइट की सामग्री की वैधता निर्धारित नहीं करते हैं और केवल कानून प्रवर्तन के निर्देश पर या हमारी शर्तों के उल्लंघन के स्पष्ट मामलों में ही कार्रवाई करेंगे।
इसे एक प्रणाली के रूप में पढ़ें और डिज़ाइन निस्संदेह है: एक वैध न्यायालय का आदेश किसी डोमेन को छूना; वास्तविक डिटेक्शन को महज "लीड्स" में घटा दिया गया; यह मांग कि आप घोटाले की फिर से पुष्टि करें अभी भी जीवित समीक्षा के समय — जब वे पर्याप्त समय तक रुके रहें; Gmail या Proton से रिपोर्ट करने वाले किसी भी व्यक्ति के लिए अतिरिक्त "सत्यापन"; और सामग्री का मूल्यांकन करने से पूरी तरह इनकार, विनम्रतापूर्वक "अपने होस्टिंग प्रदाता से संपर्क करें" पर पुनर्निर्देशित किया गया। इसे रजिस्ट्रार-स्वामित्व वाले गोपनीयता ढालों में लपेटें जो क्रिप्टो स्वीकार करते हैं और भौतिक डाक को अस्वीकार कर देते हैं, और आपके पास दुरुपयोग प्रक्रिया नहीं होती। आपके पास है कागजी कार्रवाई से अभेद्य — और यह ICANN-मान्यता प्राप्त रजिस्ट्रार के लेटरहेड पर लिखा है।
यह सीधे ICANN को दोषी ठहराता है। एक व्यक्ति द्वारा संचालित, €120 राजस्व वाली, बेलारूस-स्थित संस्था — विघटन की प्रक्रिया में — एक सक्रिय मान्यता रखती है और खुले तौर पर एक ऐसी नीति प्रकाशित करती है जिसे कभी भी किसी चीज़ को निलंबित न करने के लिए तैयार किया गया है। ICANN के पास प्रतिक्रिया में सबसे शक्तिशाली उपकरण एक पत्र है; ऐसे पत्रों पर हमें जो प्रतिक्रिया देखने को मिली है, वह निलंबन नहीं बल्कि नियमों का अपडेट है। एक नियामक जिसकी अंतिम सज़ा एक पत्र है — जिसे शर्तों में संशोधन से उत्तर दिया जाता है — वह नियामक नहीं है। इस बीच, हर दिन, असली लोग पर पैसे गंवाते हैं .com और अन्य डोमेन जो कागजी कार्रवाई के चक्र के दौरान इस तरह के ऑपरेटरों के माध्यम से गुजरते हैं। एक लाइव फ़िशिंग पेज को हटाने के लिए तीन न्यायालयीन आदेश उचित कानूनी प्रक्रिया नहीं हैं; यह एक तमाशा है, और यह एक तमाशा है जिसे ICANN उन ऑपरेटरों को मान्यता देकर समर्थन देता है जो इसकी मांग करते हैं।
IANA #3736 कोई अजीब दुर्घटना नहीं है; यह तब होता है जब मान्यता सस्ती और गैर-जवाबदेह हो। कई यूरोपीय संघ के क्षेत्राधिकार — जिनमें एस्टोनिया भी शामिल है (ऐसी शेल कंपनियों की लंबी सूची का घर, केइतारो शामिल), और यूके अपनी अति-सस्ते कॉर्पोरेट गठन के साथ — कॉर्पोरेट और सेवाओं तक पहुंच ऐसी कीमत पर बेचता है जो किसी भी वास्तविक जांच-पड़ताल को खत्म कर देती है। परिणामस्वरूप, यहां तक कि वैध व्यवसायों के लिए भी एक अंतर्निहित अविश्वास का माहौल बन जाता है, क्योंकि कोई जांच नहीं कर रहा है और कोई जवाबदेह नहीं है। हम कुछ कंट्री-कोड ऑपरेटरों के साथ भी उसी कोर्ट-ऑर्डर वाली दीवार के विभिन्न रूपों से टकराए हैं; उनका दस्तावेजीकरण हम अलग से करेंगे।
// The regulator that isn’t
एक सुचारू नियामक के पास क्या होता है
- हुए नुकसान के अनुसार बढ़ने वाली क्रमिक जुर्माना राशि
- मृत्युदंड से कम दंड
- पीड़ितों तक मुआवज़ा पहुँचाया गया
- स्वतंत्र ऑडिट — आत्म-प्रमाणीकरण नहीं
- नियंत्रित से स्वतंत्र वित्त पोषण
- घंटों में किसी को हो रहे गंभीर नुकसान को रोकने की शक्ति
ICANN के पास क्या है
- एक प्रतिबंध: एक कड़ी भाषा वाला पत्र
- टर्मिनेट-ओनली — ज्यादातर पहले से ही मृत शेल पर इस्तेमाल किया जाता है।
- शून्य जुर्माना। शून्य क्षतिपूर्ति।
- सम्मान-प्रणाली अनुपालन और स्व-प्रमाणन
- जिन रजिस्ट्रारों को यह "नियंत्रित" करता है, उनसे मिलने वाली फीस से वित्त पोषित।
- "कोर्ट-ऑर्डर" की मांगों के पीछे हफ्तों तक जीवित छोड़ा गया दुर्व्यवहार
ICANN डोमेन अर्थव्यवस्था को विनियमित करने में विफल नहीं हुआ।
इसे कभी भी इसके लिए नहीं बनाया गया था।
समाधान स्पष्ट है: जुर्माना और दायित्व
हम सेंसरशिप के अधिकार नहीं मांग रहे हैं। हम वही मांग रहे हैं जो हर दूसरे उद्योग के पास पहले से ही है: अनुबंधगत लापरवाही के लिए वित्तीय परिणाम।
क्रमबद्ध जुर्माने
- क्या एक रजिस्ट्रार एक ही दुर्भावनापूर्ण डोमेन पर संलग्न साक्ष्य, स्कैन और विश्लेषण सहित तीन पुष्टित दुरुपयोग रिपोर्टों को अनदेखा करता है? स्वचालित दंड।
पीड़ितों के प्रति देयता
- जुर्माना पीड़ितों को या उस राज्य को देय है जहाँ अपराध हुआ था।
- यदि कोई अमेरिकी उपयोगकर्ता उस फ़िशिंग डोमेन के कारण धन खो देता है, जिसके बारे में रजिस्ट्रार को चेतावनी दी गई थी और उसने कुछ नहीं किया — तो रजिस्ट्रार हानि को कम करने के अपने स्पष्ट दायित्व को पूरा न करने के लिए उत्तरदायी होता है।
सार्वजनिक पारदर्शिता
- अनिवार्य सार्वजनिक दुर्व्यवहार-रिपोर्ट पारदर्शिता — प्राप्त रिपोर्टें, प्रतिक्रिया समय, की गई कार्रवाइयाँ — त्रैमासिक रूप से प्रकाशित और लेखा-परीक्षण योग्य।
- IANA #1479 सार्वजनिक लॉग के खिलाफ "कोई पूर्व रिपोर्ट नहीं" का दावा कभी नहीं कर सकता।
स्वतंत्र ऑडिट
- मान्यता नवीनीकरण की शर्त के रूप में दुर्व्यवहार निपटान का स्वतंत्र लेखा-परीक्षण — स्व-प्रमाणन नहीं।
रजिस्ट्रार यह कहेंगे कि उनसे यह उम्मीद नहीं की जा सकती कि वे यह निर्धारित कर सकें कि क्या फिशिंग है। प्रत्युत्तर प्रश्न: आप पैसे लेने और मान्यता की शर्तों पर हस्ताक्षर करने में सक्षम हैं — लेकिन उन्हें पूरा करने में असमर्थ? यदि कोई रजिस्ट्रार वास्तव में संलग्न साक्ष्यों के साथ दुरुपयोग रिपोर्ट का मूल्यांकन नहीं कर सकता, तो उसका उस मान्यता को धारण करने का कोई अधिकार नहीं है, जो संविदात्मक रूप से ठीक यही मांगती है।
इसके स्थान पर क्या होना चाहिए: एक खुला, वास्तविक-समय दुरुपयोग खाता
हम दूसरा ICANN प्रस्तावित नहीं कर रहे हैं — हमें इसकी आवश्यकता नहीं है। इंटरनेट की दो भार-वाहक प्रणालियाँ पहले से ही उत्तर का रूप दिखाती हैं: TLS/SSL प्रमाणपत्र पारदर्शिता और कौन है — खुले, खोजने योग्य, सार्वजनिक अभिलेख। दुरुपयोग प्रबंधन को भी इसी तरह काम करना चाहिए: हर दुरुपयोग रिपोर्ट की एक स्पष्ट, सार्वजनिक रजिस्ट्री जो किसी रजिस्ट्रार को प्राप्त होती है, और इस बात की सटीक जानकारी कि उसने प्रतिक्रिया में क्या किया। — समय-मुद्रित, लेखा-परीक्षण योग्य, और बाद में इनकार करना असंभव।
उस लेजर के मौजूद होने से, आज के अधिकांश रंगमंच ढह जाते हैं:
- किसी भी लाइव खतरे को रोकने के लिए कोई विदेशी न्यायालय का आदेश नहीं। वॉलेट्स खाली करने वाला एक फ़िशिंग पेज तात्कालिक नुकसान है; इसे रोकने के लिए किसी ऑफशोर क्षेत्र के किसी द्वीप की अदालत से आदेश की आवश्यकता नहीं होनी चाहिए। रिपोर्ट में सबूत मौजूद हैं, और सार्वजनिक अभिलेख दिखाते हैं कि रजिस्ट्रार ने कार्रवाई की या नहीं।
- ट्रियाज को स्वचालित किया जा सकता है। रजिस्ट्रार जोर देकर कहते हैं कि वे "हमलों" और कचरा रिपोर्टों में डूब रहे हैं — जो ठीक उसी तरह की फ़िल्टरिंग है जो एक एआई परत यह अच्छा काम करता है: शोर को अलग करता है, ठोस मामलों को सामने लाता है, और हर निर्णय को लॉग करता है। दुरुपयोग Pipeline के सामने एक सरल, ईमानदार प्रतिनिधि वर्तमान मानवीय गैर-प्रक्रिया से पहले ही बेहतर प्रदर्शन कर सकता है। इसके लिए आपको ICANN #2 की आवश्यकता नहीं है।
- बहाना समाप्त हो जाता है। एक रजिस्ट्रार को हर बेचे गए डोमेन के लिए भुगतान किया जाता है; दुरुपयोग को संभालना उस लेनदेन का दूसरा हिस्सा है, कोई एहसान नहीं। IANA #1479 की "हम योग्य नहीं हैं" वाली रूटिन एक व्यावसायिक निर्णय है, तकनीकी सीमा नहीं — और एक ऐसी कंपनी जो वास्तव में फ़िशिंग किट और वैध ट्रैफ़िक में अंतर नहीं कर सकती, उसे अपने अन्य व्यवसाय चलाने चाहिए, न कि डिफ़ॉल्ट रूप से घोटाले और फ़िशिंग ऑपरेशनों का समर्थन करना चाहिए।
- अब और नहीं "हमें कभी कोई रिपोर्ट नहीं मिली।" IANA #460 और IANA #3765 ने हमें स्वचालित उत्तरों के साथ जवाब दिया, जिसमें उस स्क्रीनशॉट की मांग की गई जो पहले से ही रिपोर्ट में संलग्न था; IANA #1479 ने जनता को बताया कि "कभी एक भी शिकायत नहीं हुई।" इनमें से कोई भी कदम सार्वजनिक, समय-मुद्रित लेजर के संपर्क में आने पर टिक नहीं पाता।
और लेजर वही परिणाम निकालता है जो मायने रखता है। लागू करने योग्य. जब कोई पीड़ित किसी डोमेन को पैसे खो देता है कुछ दिनों बाद एक पुख्ता रिपोर्ट पहले से ही फाइल में मौजूद थी — और सार्वजनिक अभिलेख दिखाते हैं कि रजिस्ट्रार ने उस पर कार्रवाई नहीं की — अब यह कोई दुर्भाग्यपूर्ण धूसर क्षेत्र नहीं है। यह एक दस्तावेजीकृत विफलता है जिस पर समय-मुद्रांकित है, और उस विशिष्ट घटना के लिए रजिस्ट्रार को वित्तीय जिम्मेदारी उठानी चाहिए।
यही पूरी व्यवस्था है। जिस क्षण किसी रिपोर्ट की अनदेखी करने की लागत उस पर कार्रवाई करने की लागत से अधिक हो जाती है, 'हम योग्य नहीं हैं' की रट समाप्त हो जाती है, दुरुपयोग डेस्कों को अचानक बजट और कर्मचारी मिल जाते हैं, और जो घोटालेबाज चुप्पी खरीदने के लिए सौदेबाजी करते थे, वे पाते हैं कि खरीदने के लिए अब कोई चुप्पी बची नहीं है — और वे उन डोमेनों को चुपचाप छोड़ देते हैं जिन पर वे भरोसा कर रहे थे।
पारदर्शिता ही समाधान है। आप चुपचाप उस रिपोर्ट को अनदेखा नहीं कर सकते जिसे हर कोई देख सकता है कि आपने प्राप्त की है।
निचोड़
एक ही वर्ष में $16 बिलियन का घोषित नुकसान। 2021 से फ़िशिंग में 180% की वृद्धि। केवल एक निगरानी डेटासेट में 130,000 दुर्भावनापूर्ण तत्व। और पूरी शृंखला आज भी उसी तरह शुरू होती है: एक सस्ते डोमेन से, जिसे ऐसा रजिस्ट्रार बेचता है जो अपनी चुप्पी का जवाब कभी नहीं देगा।
ठग तो केवल लक्षण है — निराशा की अर्थव्यवस्था में एक प्रतिस्थाप्य, ज्यादातर मंदबुद्धि कड़ी। रजिस्ट्रार जो मुस्कुराते हुए उसका क्रिप्टो ले लेता है, बीस दुरुपयोग रिपोर्टों को अनदेखा करता है, और फिर सार्वजनिक रूप से झूठ बोलता है — वही बीमारी है। और ICANN का सजावटी "नियमन" वह प्रतिरक्षा प्रणाली है जिसने उपस्थित न होने का निर्णय लिया।
जब तक यह सस्ता रहेगा, तब तक यह घोटाला विशाल बना रहेगा। और जब तक रजिस्ट्रार चुप रहेंगे — और अपनी चुप्पी के लिए कुछ भी नहीं चुकाएंगे — तब तक यह सस्ता बना रहेगा।
स्रोत और संदर्भ
- एफबीआई इंटरनेट अपराध शिकायत केंद्र (आईसी3) — 2024 इंटरनेट अपराध रिपोर्ट (८५९,५३२ शिकायतें; $१६.६ अरब रिपोर्ट किए गए नुकसान; शिकायतों की संख्या में फिशिंग/स्पूफिंग प्रथम स्थान पर)।
- इंटरआइल कंसल्टिंग ग्रुप — फ़िशिंग परिदृश्य 2025 (≈2M फ़िशिंग हमले; 2021 से +180%; रजिस्ट्रार/TLD एकाग्रता; 37,000-डोमेन टोल-स्कैम नमूना).
- आईसीएएनएन — 2013 रजिस्ट्रार मान्यता समझौता, §3.18 (दुर्व्यवहार संपर्क बिंदु; दुर्व्यवहार की जांच करने और उस पर प्रतिक्रिया देने के लिए उचित और त्वरित कदम उठाने का दायित्व)।
- आईसीएएनएन संविदात्मक अनुपालन — वेब कॉमर्स कम्युनिकेशंस (वेबनिक) को उल्लंघन की सूचना, 29 जुलाई 2025.
आंकड़े उपरोक्त प्राथमिक स्रोतों से लिए गए हैं; व्याख्या और टिप्पणी लेखकों की हैं।
सक्षमकर्ता का नाम बताओ। मौन की कीमत लगाओ।
— फिशडिस्ट्रॉय टीम — एक स्वतंत्र फ़िशिंग-विरोधी अनुसंधान अभियान
