Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / IT / TAKEDOWN ANATOMY

Analisi di una rimozione contro il phishing: oltre 500.000 domini disattivati

The Enablers Registry·Editorial mirror·/it/takedown-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Anatomia di una rimozione
DIFESA INFORMATICA

L'anatomia di una rimozione: come THE ENABLERS REGISTRY contrasta la criminalità informatica

Da un’iniziativa agli esordi nel 2019 a una forza trainante in grado di neutralizzare oltre 400.000 domini dannosi, il percorso di THE ENABLERS REGISTRY mette in luce il potere della comunità, della tecnologia e di una reputazione conquistata con grande impegno.

Anatomia delle rimozioni — scanner di rilevamento, verifica biometrica, martello del registrar, estrazione DNS, tombstone del dominio

Nella lotta senza tregua contro le frodi online, THE ENABLERS REGISTRY si è affermata come una forza fondamentale, evolvendosi da un’iniziativa specifica avviata nel 2019 a un’operazione altamente efficace. La nostra missione è chiara: smantellare le infrastrutture utilizzate per il possibly phishing e le truffe, proteggendo gli utenti in tutto il mondo. Non si tratta solo di bloccare i link dannosi, ma di comprendere l’anatomia di un attacco informatico e di neutralizzarlo alla radice.

La nostra evoluzione: da settimane a minuti

Come un singolo link di possibly phishing possa innescare un'intera catena di rimozioni

Quando THE ENABLERS REGISTRY ha iniziato la sua attività, la rimozione di un dominio dannoso poteva richiedere settimane. Nel corso degli anni siamo cresciuti, abbiamo stretto solide alleanze e ci siamo guadagnati la fiducia dei principali attori nel panorama della sicurezza informatica. La nostra attenzione si è sempre concentrata in modo mirato sul possibly phishing, consentendoci di sviluppare competenze specialistiche e di mantenere un tasso di falsi positivi minimo.

Oggi, ciò che un tempo richiedeva settimane può ora essere ridotto a pochi minuti. Questa accelerazione testimonia la nostra continua innovazione e la solida reputazione che ci siamo costruiti.

Il processo di rimozione

1. Rilevamento e verifica rapidi

L'individuazione avviene grazie alle segnalazioni della comunità tramite il nostro Bot di [REDACTED], monitoraggio automatizzato e feed di intelligence sulle minacce. I nostri team verificano rapidamente le minacce per garantire un tasso minimo di falsi positivi.

2. Analisi approfondita e raccolta di prove

I nostri analisti approfondiscono la minaccia, identificandone le caratteristiche, gli obiettivi e i metodi. Ciò comporta l'analisi del payload, la mappatura dell'infrastruttura e la valutazione dell'impatto sulle vittime. Ogni elemento di prova viene meticolosamente documentato.

3. Coordinamento strategico e azione

È qui che entra in gioco la nostra reputazione. Abbiamo instaurato solidi rapporti con centinaia di provider di hosting, registrar di domini e forze dell’ordine. Quando THE ENABLERS REGISTRY invia una segnalazione, oltre 50 sistemi riconoscono immediatamente la nostra richiesta. Se un sito segnalato risulta effettivamente essere un sito di possibly phishing, può essere chiuso nel giro di pochi minuti.

4. Liquidazione e monitoraggio

L'obiettivo finale è la rimozione completa. Una volta avviata la procedura di rimozione, monitoriamo lo stato del sito per assicurarci che sia offline e che rimanga tale. I nostri sforzi hanno portato alla disattivazione di oltre 500.000 domini dannosi dal 2019, con una verifica continua dopo la rimozione per individuare le infrastrutture che ricompaiono nel giro di poche ore.

Metodologia operativa: automazione, precisione, scalabilità

Il nostro modello combina reportistica della comunità con sistemi di rilevamento automatici e analisi di precisione. Il flusso di lavoro è progettato per adattarsi a qualsiasi volume, da un singolo report a migliaia di rimozioni al giorno, senza compromettere la qualità.

  • Parser personalizzati analizza costantemente i risultati di ricerca SEO, gli annunci sponsorizzati e Google Ads alla ricerca di indicatori di possibly phishing, individuando le minacce nel momento stesso in cui viene pubblicato il primo annuncio a pagamento.
  • Le minacce individuate vengono automaticamente inviate a Oltre 50 produttori di antivirus e i feed di intelligence sulle minacce, massimizzando la copertura globale dei blocchi nei primi minuti successivi al rilevamento.
  • Manteniamo un tasso di falsi positivi inferiore allo 0,5%, con oltre 100.000 segnalazioni convalidate — a dimostrazione del fatto che i nostri sistemi non sono solo veloci, ma anche estremamente precisi.
  • I collaboratori verificati che inviano Oltre 100 rapporti accurati vengono concessi "affidabile" stato, consentendo l'invio diretto dei contenuti senza moderazione e riducendo drasticamente i tempi di rimozione per gli utenti noti come segnalatori.
  • Un live contatore dei danni stima la perdita finanziaria causata ai truffatori — sulla base del valore medio dei domini e dei costi promozionali (~15 $ per dominio per le tipiche truffe legate alle criptovalute).

Fonti di rilevamento — Dove emergono le minacce

L'infrastruttura di possibly phishing raramente si nasconde: anzi, si mette in mostra. Raccogliamo contatti da:

  • Rapporti del bot di [REDACTED] dalla nostra comunità tramite @EnablersRegistry — raccolta primaria da parte delle autorità pubbliche.
  • Parser per SEO e annunci a pagamento — Google Ads, Bing, Yandex; le parole chiave sponsorizzate relative a portafogli crittografici, piattaforme di scambio e bridge vengono monitorate costantemente.
  • Feed di intelligence sulle minacce condivisi con noi da partner e ricercatori.
  • Reti honeypot e i token "canary" basati sulla seed phrase che ci avvisano quando i truffatori tentano di utilizzare dati rubati.
  • WHOIS e trasparenza dei certificati monitoraggio dei domini simili di nuova registrazione che prendono di mira marchi protetti.

Conservazione delle prove — Registrazione digitale permanente

Le rimozioni sono solo il primo passo. La salvaguardia delle prove è la nostra priorità assoluta — perché un dominio cancellato è inutile per gli investigatori se non ne rimane alcuna traccia.

  • Ogni dominio rilevato è archiviati tramite scanner pubblici (urlscan.io, Wayback Machine, le nostre pipeline di snapshot) per acquisire le impronte digitali complete dei siti: codice HTML, screenshot, richieste di rete, payload JavaScript.
  • Ogni operazione lascia un registrazione digitale che sia a prova di cancellazione da parte degli hacker — pubblicato apertamente su Lista di eliminazione di GitHub e il Archivio ScamIntelLogs.
  • Gli archivi includono pannelli di amministrazione dei truffatori, esportazioni delle chat di [REDACTED], flussi di pagamento, registri delle vittime e IOC, che consentono di attribuire la responsabilità e perseguire i responsabili anche molto tempo dopo la rimozione dei siti.
  • Mentre i truffatori cancellano le tracce, noi le rendiamo indelebili.

Alleati e avversari tra i registrar

La velocità di rimozione dipende interamente dalla reattività del registrar e dell’host. I dati dei nostri partner evidenziano una netta differenza:

Ritorsioni criminali — Conferma dell'impatto

La nostra efficacia ha scatenato una reazione contraria organizzata, che consideriamo una prova del nostro impatto piuttosto che un ostacolo:

I criminali cercano di cancellare le loro tracce; noi facciamo in modo che rimangano per sempre.

Status giuridico e coordinamento

Siamo un'azienda senza scopo di lucro, collettivo di operatori — non è un’azienda, non è una persona giuridica, non è affiliata ad alcun governo. Tutto ciò che facciamo è trasparente:

  • Tutti i rapporti e le prove sono pubblicati apertamente su GitHub, [REDACTED] e Mastodon: nulla viene nascosto o archiviato in modo riservato.
  • Nelle indagini di ampia portata che riguardano l'attribuzione degli attori, la tracciabilità finanziaria o la mappatura delle infrastrutture, noi trasferire formalmente i fascicoli completi delle prove alle forze dell'ordine o ai team CERT.
  • Tutti questi trasferimenti vengono effettuati nel pieno rispetto della legge e solo previa verifica di informazioni operative attendibili.
  • Noi non conservare alcun dato personale dei collaboratori — proteggendo gli informatori da ritorsioni ed eliminando il rischio di violazioni dei dati.

Il nostro ruolo consiste nel documentare e smantellare le operazioni illecite, per poi fornire supporto a chi ha l'autorità legale per agire sulla base delle prove raccolte.

I numeri parlano chiaro

  • 500,000+ Domini utilizzati per attività di possibly phishing e truffe bloccati dal 2019.
  • 130,000+ minacce attive selezionate in lista da eliminare.
  • 50+ I fornitori di antivirus e le piattaforme di intelligence sulle minacce ricevono i nostri feed.
  • 30,000+ domini rimossi esclusivamente tramite la partnership con IANA #1068.
  • <0,5% tasso di falsi positivi in 100,000+ rapporti convalidati.
  • 140,000+ post archiviati dopo la sospensione del nostro account su X.
  • 888.000+ abbonati della community su tutti i feed.

Come puoi dare una mano

"L'azione collettiva è la difesa più efficace. Il nostro percorso mette in luce ciò che si può ottenere quando la tecnologia, le competenze e la comunità si uniscono contro la criminalità informatica."

#CyberDefense#Takedown#Possibly phishing#Community

Condividi questo articolo

Indagini correlate

INDAGINE
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure
METRICHE
Metriche di impatto: oltre 500.000 minacce di possibly phishing neutralizzate
INDAGINE
IANA #1479, IANA #460, IANA #3765: registrar che favoriscono le truffe

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings