Когда сообщения о злоупотреблениях остаются без ответа: как регистраторы становятся «молчаливыми» соучастниками киберпреступлений
Мы отправляем отчеты о злоупотреблениях, подкрепленные доказательствами — результаты проверки на VirusTotal, скриншоты, данные из черных списков, результаты антивирусных сканирований. Регистраторы получают их, но ничего не предпринимают. Некоторые фишинговые домены остаются в сети 1 788 часов и 13 отдельных отчетов. Это не сбой системы — это проектное решение. Вот данные.
Неработающая система
Каждое отправленное нами сообщение о нарушении соответствует четкому протоколу: URL-адрес домена, категория (фишинг, крипто-драйнер, поддельное казино), количество обнаружений на VirusTotal, скриншоты в качестве доказательств и статус в черном списке. Это не расплывчатые жалобы — это полные пакеты доказательств. И тем не менее, один домен за другим продолжает оставаться в сети в течение недели и месяцы после первого отчета.
Не существует единого стандарта, определяющего, как регистраторы должны реагировать на сообщения о злоупотреблениях. Нет соглашения об уровне обслуживания (SLA). Нет обязательных сроков ответа. Нет показателей подотчетности. Каждый регистратор самостоятельно решает, как поступить с доменом, на который было подано сообщение о 16 антивирусных движков заслуживает внимания — либо шаблонного ответа и закрытия заявки.
Кто превосходит 16 антивирусных движков?
Это вопрос, на который ни один регистратор не хочет отвечать. Когда «Касперский», ESET, Fortinet, BitDefender, Sophos, G-Data и ещё десять поставщиков решений для обеспечения безопасности помечают домен как вредоносный на VirusTotal — и служба по борьбе со злоупотреблениями регистратора принимает решение «Действия не требуются» — а кто именно позвонил?
Подумайте, насколько это абсурдно: один-единственный аналитик по кибербезопасности в регистратуре отклоняет совокупные данные аналитики угроз, полученные от 16 независимых антивирусных движков, каждая из которых располагает миллиардами точек данных, специализированными исследовательскими лабораториями и многолетним опытом. На каком основании? Какой инфраструктурой сканирования располагает команда по борьбе со злоупотреблениями в IANA #3765 или GlobalDomainGroup, которая превосходит инфраструктуру «Лаборатории Касперского»?
Ответ прост: ни одного. Они не проверяют. Они не анализируют. Либо они вообще не смотрят на отчет, либо руководствуются финансовыми соображениями: действующий домен приносит доход, а приостановленный — нет.
Давайте разберемся, что это означает: кто-то из сотрудников регистратора ознакомился с данными, предоставленными 13 независимыми поставщиками решений по обеспечению безопасности, и 13 отдельными сообщениями о злоупотреблениях — и решил, что его собственное суждение имеет преимущественную силу. Это не ошибка. Это политика.
Нет власти, которую они уважали бы
Назовите хотя бы одного производителя антивирусных программ, к мнению которого регистраторы относятся как к авторитетному. Вы не сможете — потому что такого просто нет.
- «Касперский» — определяет домен? Игнорируется.
- ESET — система определяет это как фишинг? Игнорируется.
- Fortinet — блокирует его на сетевом уровне? Игнорируется.
- BitDefender — предупреждает миллионы пользователей? Никто не обращает внимания.
- Google Safe Browsing — крупнейшая в мире система обеспечения безопасности в Интернете? И на это по-прежнему не обращают внимания.
Существует отсутствие порога обнаружения в случае которых регистратор обязан принять меры. Не 5 антивирусных движков. Не 10. Не 16. Домен может быть отмечен всеми антивирусными компаниями на VirusTotal, попасть в несколько черных списков и стать предметом десятка жалоб о злоупотреблении — и при этом у регистратора нет юридически обязательного обязательства что-либо предпринимать.
Это не пробел в системе. Вот такая система. Отрасль регистрации доменов успешно избежала введения каких-либо обязательных стандартов, которые обязывали бы её учитывать выводы исследователей в области безопасности, производителей антивирусных программ или платформ анализа угроз. Когда 16 из 70 сканирующих модулей обнаруживают угрозу в домене — это не «возможно». Это консенсус. А команда регистратора по борьбе со злоупотреблениями, не имеющая никакой инфраструктуры для сканирования и преследующая финансовую заинтересованность в том, чтобы домен продолжал существовать, игнорирует этот консенсус.
Финансовое поощрение
Регистраторы доменов взимают ежегодную плату за каждый домен. Каждое приостановление действия домена — это упущенная выгода. Каждая ликвидация домена — это риск возмещения средств. Существует прямой и поддающийся количественной оценке финансовый стимул для поддержания доменов в активном состоянии — при этом за игнорирование сообщений о злоупотреблениях не предусмотрено никаких финансовых санкций.
Это касается не всех поставщиков инфраструктуры. IANA #1910, например, оперативно рассматривает жалобы о злоупотреблениях и не получает дохода от регистрации доменов таким же образом. Это различие имеет значение: когда компания, рассматривающая вашу жалобу, извлекает выгоду из того, что домен остается в сети, возникает структурный конфликт интересов.
Доказательства: оперативные данные из наших отчетов
Ниже приведён фрагмент из нашего журнала эскалации случаев злоупотреблений за март 2026 года. Каждая запись представляет собой реальный фишинговый домен, который был по-прежнему действует на момент подготовки отчета, несмотря на ранее поступившие сообщения и подтвержденные случаи обнаружения.
| Домен | Отчеты | Активное время (часы) | VT | BL | Злоупотребление полномочиями регистратора |
|---|---|---|---|---|---|
| payscrow[.]bet | 6 | 1 788 ч | 16 | — | IANA #69 |
| [REDACTED] | 4 | 1 783 ч | 4 | 1 | Выносливость |
| [REDACTED] | 2 | 1 781 ч | 3 | — | IANA #3765 |
| airdrop[.]autos | 3 | 1 364 ч | 4 | 1 | IANA #1923 |
| [REDACTED] | 7 | 1 363 ч | 14 | 1 | IANA #69 |
| [REDACTED] | 7 | 1 363 ч | 9 | 1 | IANA #69 |
| [REDACTED] | 4 | 1 363 ч | 10 | 1 | [REDACTED] |
| aavleaderboard[.]assetavenue[.]capital | 2 | 1 359 ч | 1 | — | IdentityDigital |
| [REDACTED] | 2 | 1 359 ч | 1 | — | IANA #1068 |
| [REDACTED] | 13 | 1 352 ч | 13 | — | [REDACTED] |
| [REDACTED] | 4 | 1 330 ч | 14 | — | Verisign |
| zordex[.]us | 3 | 1 314 ч | 14 | — | [REDACTED] |
| [REDACTED] | 2 | 1 278 ч | 15 | — | GlobalDomainGroup |
| [REDACTED] | 2 | 1 278 ч | 7 | 1 | IANA #3765 |
| [REDACTED] | 4 | 1 278 ч | 4 | 1 | IANA #3765 |
| [REDACTED] | 2 | 1 278 ч | 6 | 1 | IANA #69 |
| [REDACTED] | 4 | 1 228 ч | 16 | — | IANA #1861 |
| [REDACTED] | 2 | 1 049 ч | 16 | — | IANA #472 |
| amlinfo[.]now | 2 | 1 033 ч | 2 | — | IANA #1861 |
| [REDACTED] | 4 | 1 026 ч | 14 | — | GlobalDomainGroup |
| [REDACTED] | 6 | 1 021 ч | 14 | — | [REDACTED] |
| menty[.]sbs | 4 | 985 ч | 16 | — | [REDACTED] |
| [REDACTED] | 5 | 971h | 14 | — | [REDACTED] |
| amlbot[.]im | 4 | 965 ч | 6 | — | nic.im |
| [REDACTED] | 2 | 879h | 2 | — | GlobalDomainGroup |
| [REDACTED] | 5 | 826h | 11 | — | PDR |
| [REDACTED] | 2 | 803h | 2 | — | IANA #3765 |
| [REDACTED] | 2 | 751h | 6 | — | PDR |
| [REDACTED] | 2 | 730 ч | 3 | — | Выносливость |
| [REDACTED] | 2 | 717h | 15 | — | GlobalDomainGroup |
| [REDACTED] | 2 | 717h | 6 | — | GlobalDomainGroup |
| [REDACTED] | 2 | 674 ч | 2 | — | PIR |
| [REDACTED] | 2 | 652 ч | 2 | — | PIR |
| [REDACTED] | 2 | 618 ч | 15 | — | IANA #1923 |
| [REDACTED] | 5 | 539h | 14 | — | INWX |
| [REDACTED] | 5 | 535 ч | 12 | — | GlobalDomainGroup |
| [REDACTED] | 2 | 496 ч | 3 | — | Космотаун |
| [REDACTED] | 2 | 448 ч | 1 | — | [REDACTED] |
| patricksstash[.]to | 2 | 427 ч | 2 | — | tonic.to |
| [REDACTED] | 2 | 427 ч | 5 | — | IANA #3765 |
| [REDACTED] | 2 | 402h | 14 | — | [REDACTED] |
| [REDACTED] | 2 | 388 ч | 16 | — | [REDACTED] |
| dexscreener[.]at | 2 | 328 ч | 16 | — | nic.at |
| [REDACTED] | 1 | — | 16 | — | Verisign |
| appether[.]fi | 1 | — | 13 | 1 | — |
VT = количество обнаружений VirusTotal из ~70 сканирующих модулей. «Активный» = количество часов, прошедших с момента первого обнаружения на момент эскалации. Данные: журнал эскалации злоупотреблений THE ENABLERS REGISTRY, 19–21 марта 2026 года.
Цифры не лгут
Среднее время активности
~39 дней в среднем по всем доменам с известными часами активности
Максимальное время активности
payscrow[.]bet — 75 дней, 6 отчетов, VT:16
Общее количество отправленных отчетов
Сводные отчеты по всем областям только в этой выборке
Домены с VT ≥ 10
Почти половина всех доменов, признанных вредоносными более чем 10 антивирусными движками, по-прежнему активны
Рецидивисты: разбивка по регистраторам
Не все регистраторы одинаковы. Наши данные показывают четкие закономерности — некоторые регистраторы неоднократно фигурируют в списках с наихудшими показателями.
[REDACTED]
- [REDACTED] — 1 352 ч, 13 сообщений, VT:13
- zordex[.]us — 1 314 ч, 3 сообщения, VT:14
- [REDACTED] — 1 021 час, 6 сообщений, VT:14
- [REDACTED] — 971h, 5 сообщений, VT:14
4 домена. Итого: 4 658 часов работы преступной инфраструктуры. 27 игнорированных сообщений.
GlobalDomainGroup
- [REDACTED] — 1 026 ч, VT:14
- [REDACTED] — 717h, VT:15
- [REDACTED] — 717h, VT:6
- [REDACTED] — 535h, VT:12
- [REDACTED] — 356 ч, VT:9
- [REDACTED] — 357h, VT:2
- [REDACTED] — 327 ч, VT:6
- [REDACTED] — 327 ч, VT:2
- [REDACTED] — 293h, VT:1
- [REDACTED] — 365h, VT:1
10 доменов. Самый крупный кластер в нашем наборе данных. Это закономерность, а не случайность.
IANA #69 / IdentityDigital
- payscrow[.]bet — 1 788 часов, 6 сообщений, VT:16
- [REDACTED] — 1 363 ч, 7 сообщений, VT:14, BL:1
- [REDACTED] — 1 363 ч, 7 сообщений, VT:9, BL:1
- [REDACTED] — 1 278 ч, 2 сообщения, VT:6, BL:1
IANA #69: 22 сообщения в общей сложности, 5 792 часа, связанные с мошенничеством. amlstats получила 7 сообщений — по одному в неделю — и справилась со всеми ними.
IANA #3765 (IANA #3765)
- [REDACTED] — 1 781 ч, VT:3
- [REDACTED] — 1 278 ч, VT:7, BL:1
- [REDACTED] — 1 278 часов, 4 сообщения, VT:4, BL:1
- [REDACTED] — 803h, VT:2
- [REDACTED] — 427h, VT:5
- [REDACTED] — 310h, VT:2
- [REDACTED] — первое сообщение, VT:1
- [REDACTED] — первый отчет, VT:2
8 областей. Более 5 877 часов в совокупности. Ранее исследовались: Заключение IANA #3765 — не обнаружено ни одного законного случая использования.
IANA #1861
- [REDACTED] — 1 228 ч, 4 сообщения, VT:16
- amlinfo[.]now — 1 033 ч, 2 сообщения, VT:2
- [REDACTED] — 712h, 2 сообщения, VT:1
[REDACTED]: 16 обнаружений антивирусами, 4 сообщения и 51 день в сети. Что команда IANA #1861 по борьбе со злоупотреблениями сочла допустимым?
IANA #472
- [REDACTED] — 1 049 ч, 2 сообщения, VT:16
- aave[.]events — первый отчет, VT:2, BL:1
- [REDACTED] — первое сообщение, VT:9
[REDACTED]: 16 случаев обнаружения VT и 44 дня преступной деятельности. IANA #472 — регистратор, аккредитованный ICANN.
[REDACTED]
- [REDACTED] — 388h, VT:16
- [REDACTED] — 402h, VT:14
Оба домена были обнаружены 14–16 антивирусными программами. Оба по-прежнему активны после публикации второго отчета.
Общее количество часов бездействия со стороны регистратора
Общее количество часов активности всех доменных имен, о которых поступили сообщения, в разбивке по регистраторам в нашем наборе данных за март 2026 года. Это не отражает общего масштаба злоупотреблений со стороны регистраторов — а лишь то, что мы зафиксировали в одной выборке.
Что мы отправляем и что они делают
Каждое сообщение о нарушении правил на сайте THE ENABLERS REGISTRY содержит:
Наш отчет содержит
- URL-адрес домена и регистрационные данные
- Оценка VirusTotal с указанием названий поставщиков
- Скриншот фишингового сайта на всю страницу
- Классификация по категориям (фишинг, программы-драйнеры, мошеннические казино)
- Статус «в чёрном списке» из нескольких источников данных
- URLscan.io или аналогичные результаты сканирования
- История предыдущих отчетов и хронология событий
Ответ регистратора
- Отсутствие какого-либо ответа (наиболее часто)
- Подтверждение получения шаблона, никаких действий не требуется
- «Мы рассмотрим» — проходят недели, домен по-прежнему в силе
- «Мы не можем подтвердить это утверждение» — несмотря на 16 случаев обнаружения VT
- Заявка закрыта без решения
- Запрос о доказательствах, которые уже были представлены
В связи с бездействием регистратора мы обращаемся на более высокий уровень Соблюдение требований ICANN (compliance@icann.org). Во всех приведенных выше случаях ICANN была указана в копии второго или последующих отчетов. Результаты? Их также не было.
Стандарт ICANN, которого не существует
ICANN Соглашение об аккредитации регистраторов (RAA), раздел 3.18 обязывает регистраторов иметь контактное лицо, ответственное за вопросы злоупотреблений, и «принимать разумные и оперативные меры для расследования и надлежащего реагирования» на сообщения о злоупотреблениях.
На практике термин «разумный и оперативный» означает то, что решит регистратор. Существуют:
- Максимальное время отклика не установлено — регистратор может ждать неделями и утверждать, что это было «обоснованно»
- Отсутствие обязательного порога для приостановки — 16 случаев обнаружения VT не приводят к автоматическому запуску каких-либо действий
- Отсутствие требования о публичной отчетности — регистраторам не обязательно публиковать информацию о том, сколько сообщений они получают и по каким из них принимают меры
- Никаких существенных санкций — ICANN редко лишала аккредитации за бездействие в случаях злоупотреблений
Результат: регистраторы рассматривают работу по борьбе со злоупотреблениями как статью расходов, которую нужно сократить, а не как обязательство по обеспечению безопасности, которое необходимо выполнять.
Они принимают меры против типосквоттинга — но не против фишинга
А вот что делает эту ситуацию ещё более абсурдной. Некоторые из тех же регистраторов, которые месяцами игнорируют сообщения о фишинге, чрезвычайно оперативно реагируют на один конкретный вид злоупотреблений: типосквоттинг — домены, которые до степени смешения похожи на устоявшиеся торговые марки.
Почему? Потому что типосквоттинг нацелен на корпорации, имеющие утвержденные бюджеты. Когда Google, Apple или Microsoft подают жалобу в рамках процедуры UDRP в связи с доменом, похожим на их торговую марку, регистраторы принимают меры в течение нескольких дней. Угроза судебного разбирательства и санкций со стороны ICANN за злоупотребление товарными знаками является реальной и непосредственной.
Но что, если фишинговый домен обманывает отдельных жертв и похищает их деньги? Если криптовалютный дрейнер обчищает чьи-то сбережения всей жизни? Если поддельное казино похищает данные кредитных карт у игроков? Нет корпоративной юридической службы. Нет подачи заявления по процедуре UDRP. Нет срочности. Отдел по борьбе со злоупотреблениями регистратора руководствуется иными критериями — при этом финансовые убытки потерпевшего не вызывают такой же реакции, как проблемы, связанные с товарными знаками бренда.
Отчет о типосквоттинге
- Владелец бренда подает иск в рамках процедуры UDRP
- Регистратор отвечает в течение нескольких дней
- Домен был быстро заблокирован/приостановлен
- Правовые последствия бездействия
Сообщение о фишинге/мошенничестве
- Потерпевшие и исследователи подают заявления о злоупотреблениях
- Регистратор игнорирует запросы в течение нескольких недель/месяцев
- Домен остается активным до истечения срока действия
- Отсутствие последствий за бездействие
Послание ясно: Регистраторы защищают бренды, а не людей. Они реагируют на юридические полномочия, а не на доказательства нанесения ущерба. Наши отчеты содержат больше объективных доказательств, чем любое заявление в рамках процедуры UDRP — результаты сканирования VirusTotal, обнаружения антивирусными программами, подтверждения включения в черные списки, скриншоты — и тем не менее на них так и не поступает ответа.
Мы делаем их работу — бесплатно
THE ENABLERS REGISTRY — это независимый некоммерческий проект. Мы сканируем домены. Мы классифицируем угрозы. Мы формируем отчеты VirusTotal. Мы делаем скриншоты. Мы составляем подробные отчеты о злоупотреблениях и отправляем их регистраторам, реестрам и ICANN. Мы выполняем работу по обеспечению безопасности, которую должны были бы выполнять сами регистраторы.
А вот и неприятная правда: Некоторые регистраторы действительно занимаются этой работой. Некоторые регистраторы используют собственную инфраструктуру для сканирования доменов, подключаются к частным каналам информации об угрозах и упреждающе блокируют вредоносные домены ещё до того, как о них кто-либо сообщит. Такие регистраторы существуют. Они доказывают, что это возможно.
Регистраторы, которые действуют
- Запустить внутренние инструменты сканирования (закрытые, непубличные)
- Проактивно блокировать домены, явно связанные с мошенничеством
- Реагировать на сообщения о нарушениях в течение нескольких часов
- Сотрудничать с учеными и правоохранительными органами
- Принять данные VirusTotal и данные из черного списка в качестве доказательств
Эти регистраторы доказывают, что оперативное реагирование на случаи злоупотребления вполне возможно как с технической, так и с экономической точки зрения.
Регистраторы, защищающие мошенников
- Полное отсутствие инфраструктуры сканирования
- Подождите, пока появятся отчеты, а потом не обращайте на них внимания
- Шаблонные ответы, заявка закрыта, домен активен
- Отказ от получения отчетов (шаблон IANA #1479)
- Отклонить 16 антивирусных движков при отсутствии каких-либо доказательств
Эти регистраторы предпочли прибыль безопасности. Их бездействие субсидируется сообществом специалистов по безопасности, которые выполняют их работу бесплатно.
Вопрос не в том, возможно ли оперативное реагирование на случаи злоупотребления. Да, так и есть. Вопрос в том, почему некоторые регистраторы предпочитают этого не делать. И ответ каждый раз сводится к одному и тому же структурному стимулу: Активные домены приносят доход. Приостановленные домены — нет.
Обязательные к применению стандарты
Механизм обеспечения ответственности регистраторов уже существует — просто он не применяется:
Рамочное соглашение с ICANN (§3.18)
Этот Соглашение об аккредитации регистратора обязывает регистраторов вести реестр контактных данных для случаев злоупотреблений и оперативно расследовать поступающие сообщения. Однако контроль за соблюдением этих требований фактически отсутствует.
APWG
Этот Рабочая группа по борьбе с фишингом ежеквартально публикует отчеты о тенденциях в сфере фишинга, демонстрирующие масштабы этой проблемы. Регистраторы входят в состав APWG — и по-прежнему игнорируют эти отчеты.
Меры Федеральной торговой комиссии (FTC)
Этот Предупредительное письмо Федеральной торговой комиссии (FTC) компании IANA #1479 (декабрь 2024 г.) прямо указала на неспособность бороться с мошенничеством. В собственном отчете ICANN Отдел по обеспечению соблюдения нормативных требований принимает наши эскалации и не отвечает.
DNSAI
Этот Институт по борьбе со злоупотреблениями в системе DNS (организация PIR) разрабатывает такие инструменты, как DAAR, и продвигает передовой опыт. При этом в собственном реестре PIR зарегистрированы домены [REDACTED] (674 ч в активном состоянии, VT:2) и [REDACTED] (652 ч).
50 000 доменов, и их число продолжает расти
Приведенные выше примеры представляют собой выборка за одну неделю. Реальные масштабы просто ошеломляют.
Наш постоянно обновляемый канал информации об угрозах по адресу content_active.txt содержит более 50 000 доменов, которые были заявлены как вредоносные. На каждый из них поступило как минимум одно сообщение о злоупотреблении. На многие — несколько. Регистраторы получили доказательства — результаты сканирования VirusTotal, скриншоты, подтверждения включения в чёрный список — и предпочли интересы своих клиентов безопасности общественности.
Потому что именно это и есть: выбор. Клиент регистратора — это тот, кто зарегистрировал домен, то есть мошенник. Клиентом регистратора не является ни бабушка, лишившаяся сбережений из-за поддельной банковской страницы, ни пользователь криптовалюты, у которого опустошили кошелек, ни геймер, у которого украли аккаунт в [REDACTED]. Регистратор выбрал мошенника. Каждый раз.
Из отчета для пострадавших: каждый час на счету
Как только мы отправляем сообщение о нарушении, начинается отсчет времени. С этого момента регистратор официально осведомлен о том, что домен, находящийся под их управлением, используется для совершения мошенничества. Каждый час бездействия после получения такого уведомления — это час осознанное соучастие.
Многие домены в нашем наборе данных не просто выдерживают несколько жалоб — они сохраняются до тех пор, пока их заканчивается срок регистрации. Они проходят полный цикл: регистрируются, совершают мошенничество, попадают в отчет, снова попадают в отчет, дело передается в ICANN, продолжают мошенничество, срок регистрации истекает естественным образом. Регистратор получил регистрационный сбор. Мошенник получил похищенные средства. Потерпевшие ничего не получили.
Своевременная приостановка действия домена — это не просто административная мера. Это не просто «неудобство для владельца домена». Это спасательная операция. Каждый домен, ликвидированный вовремя, — это кошелек, который не опустошили, учетные данные, которые не украли, и сберегательный счет, который не опустошили. Регистраторы, которые представляют такие меры как «цензуру» или «препятствие ведению бизнеса», тем самым показывают, чьим интересам они на самом деле служат.
Должны ли регистраторы выплачивать компенсацию пострадавшим?
Вот вопрос, на который вся отрасль регистрации доменов отказывается отвечать:
Подумайте об этом. Как только регистратор получит отчет, он больше не невежественный. Им было сообщено, с приведением доказательств, что домен, находящийся под их контролем, используется для кражи денег, учетных данных и личных данных. С этого момента дальнейшее бездействие уже не является халатностью — это осознанное решение чтобы допустить причинение вреда.
- Готов ли регистратор взять на себя ответственность за каждый доллар, похищенный через домен, о котором их предупреждали?
- Готов ли регистратор выплатить компенсацию пострадавшим? кто понес убытки после того, как заявление о злоупотреблении было подано, но осталось без внимания?
- Имеет ли юридический отдел регистратора Понимаете ли вы, что утверждение «мы провели проверку и не обнаружили никаких проблем» — при том, что 16 антивирусных движков показывают иное — не является обоснованной позицией?
Если ответ на все три вопроса — «нет», то нет веских причин оставлять домен активным. Сначала отстранить, потом проводить расследование. Именно так работают ответственные поставщики инфраструктуры. Именно так работает IANA #1910. Именно так всё чаще работают хостинг-провайдеры, такие как Hetzner и IANA #433. Только регистраторы доменов по-прежнему придерживаются модели, при которой удобство мошенника превалирует над безопасностью жертвы.
Кто за это расплачивается
Каждый час, в течение которого фишинговый домен остается в сети, напрямую приводит к появлению новых жертв:
- Домены, используемые для кражи криптовалюты (farewex, perowex, xerowex, naebex) — кошельки опустошаются за считанные секунды. 4 658 часов, накопленных доменами [REDACTED], означают тысячи потенциальных случаев опустошения кошельков.
- Поддельные казино / Мошенничество в CS:GO (casebattle variants, csgomy, ggddrop, tastdrop) — мошенничество с кредитными картами, кража личных данных и фальсификация результатов игр, направленные против геймеров.
- Подделка идентификационных данных службы (dexscreener[.]at, [REDACTED][.]receipts[.]sh, amlbot[.]im, [REDACTED]) — подделка брендов, приводящая к краже учетных данных и финансовым потерям.
- Инфраструктура кардирования (patricksstash, stashhpatrick) — сбыт похищенных платежных данных другим преступникам.
Что должно измениться
Существующая модель изначально несовершенна. Регистраторы получают прибыль от того, что домены остаются активными. У ICANN нет реальных полномочий по обеспечению соблюдения правил. У пострадавших нет возможности защитить свои права. Вот что помогло бы исправить ситуацию:
- Обязательное соглашение об уровне обслуживания (SLA) для реагирования на случаи злоупотребления: Подтверждение в течение 24 часов, первоначальные действия в течение 72 часов, порядок эскалации в течение 7 дней. Поддается измерению. Поддается аудиту.
- Порог автоматической приостановки: Любой домен, по которому в VirusTotal зарегистрировано ≥10 обнаружений и имеется 2 и более независимых отчета, должен быть заблокирован до завершения проверки — а не наоборот.
- Отчеты о прозрачности в отношении публичных случаев злоупотреблений: Каждый регистратор, аккредитованный ICANN, обязан ежеквартально публиковать следующие данные: количество полученных отчетов, среднее время ответа, принятые меры, количество приостановленных доменов.
- Финансовые санкции за несоблюдение требований: Дифференцированные штрафы для регистраторов, систематически не выполняющих свои обязанности. Лишение аккредитации для рецидивистов.
- Независимый омбудсмен по вопросам насилия: Независимый орган, который может пересматривать решения регистраторов, устранять случаи бездействия и в ускоренном порядке принимать решения о приостановке действия учетных записей в случае серьезных угроз.
- Список запрещенных доменов, зарегистрированных у разных регистраторов: В случае подтверждения того, что регистрант является злоумышленником, систематически совершающим нарушения, об этом следует уведомить всех аккредитованных регистраторов. Больше никаких «доменных покупок».
Что предприняла компания THE ENABLERS REGISTRY в связи с этим
Мы не ограничиваемся составлением отчетов и ожиданием, пока отрасль сама наладит ситуацию. Мы создаем системы, которые обеспечивают прозрачность и предусматривают меры в случае бездействия.
Публичная база данных угроз
Мы создали и поддерживаем список уничтожения — общедоступная, постоянно обновляемая база данных, содержащая более 50 000 вредоносных доменов. Каждое отправленное нами сообщение о злоупотреблении теперь доводится до сведения регистратора: этот домен будет внесен в общедоступную базу данных. Потенциальные жертвы доменов их клиентов смогут увидеть, когда была подана жалоба и как долго регистратор игнорировал её. Это ставит регистраторов в неловкое положение — и в этом-то и суть.
Страницы, посвящённые угрозам в домене
Для каждого домена, который мы отмечаем, теперь создана отдельная страница по адресу enablers.report/domain — с полным анализом, описанием угрозы, сгенерированным с помощью ИИ, и Конвейер реагирования на угрозы с указанием точных этапов обработки: обнаружение, отправка отчета, эскалация, уведомление ICANN. Статусы обновляются в режиме реального времени. В настоящее время мы добавляем точные временные метки к каждому последующему отчету для обеспечения полной прозрачности. Любой желающий может точно увидеть, когда регистратор был уведомлен и как долго он предпочитал бездействовать.
Система эскалации — не сообщать о затоплении
Мы делаем не заваливать регистраторов дубликатами отчетов. В 98 % случаев мы отправляем только один первоначальный отчет и не повторяем его — как из-за ежедневных ограничений на количество писем, так и потому, что считаем массовое дублирование неправильным подходом. Мы отправляем повторный отчет только в том случае, если домен вновь обнаружен как активный во время нового сканирования. Если бы мы ежедневно рассылали спам на каждый активный домен, это составило бы 50 000 писем в день. Но мы этого не делаем. Наша система эскалации генерирует последующие отчеты (#2, #3 и т. д.) с проанализированными ИИ сводками об угрозах, обновленными оценками VirusTotal и указанием количества часов, в течение которых регистратор игнорировал угрозу.
Инструмент повторной отчетности сообщества
В нашем боте в [REDACTED] @EnablersRegistry, теперь пользователи могут отправлять повторные отчеты для доменов, которые, как выяснилось, по-прежнему активны после нашего первоначального сообщения. Поскольку слишком многие регистраторы позволяют мошенникам действовать безнаказанно и игнорируют наносимый ими катастрофический ущерб, мы даем возможность высказаться сообществу. Если регистратор не хочет прислушиваться к нам, возможно, он прислушается к множеству независимых сообщений от реальных пользователей.
THE ENABLERS REGISTRY — мы не защищаем бренды. Мы не защищаем жертв. Мы ликвидируем инфраструктуру фишинга и мошенничества.
Заключение
Когда 16 антивирусных движков определяют домен как вредоносный, а регистратор отвечает «без действий», он не проявляет здравый смысл — он защищает свои доходы. Когда 13 отдельных сообщений о злоупотреблениях остаются без ответа, а домен продолжает работать в течение 1 352 часов, регистратор не просто обрабатывает накопившиеся заявки — он способствует совершению преступлений.
Данные, приведенные в этой статье, не являются теоретическими. Это наш реальный журнал эскалации случаев злоупотреблений за одну неделю марта 2026 года — и за ним стоят Более 50 000 зарегистрированных доменов в нашем постоянно обновляемом канале информации об угрозах. Это не единичная проблема, связанная с одним регистратором. Это отраслевой провал что экосистема регистрации доменов не заинтересована в устранении этой проблемы, поскольку существующая модель приносит прибыль.
Не существует ни одного поставщика антивирусных решений, выводами которого регистраторы были бы обязаны руководствоваться. Не существует порога обнаружения, при достижении которого предписывается принимать обязательные меры. Нет ни соглашения об уровне обслуживания (SLA), ни ответственности, ни последствий. Регистратор взимает плату, игнорирует отчеты, а расплачиваются за это пострадавшие.
Регистраторы не являются нейтральными поставщиками инфраструктуры. Они — «стражи», которые каждый день, игнорируя каждое сообщение, принимают решение о том, чтобы преступная инфраструктура продолжала функционировать в сети. Им известно о наносимом вреде. У них есть возможность это остановить. Но они предпочитают этого не делать. И пока кто-нибудь не задаст им единственный вопрос, который имеет значение — «Готовы ли вы выплатить компенсацию пострадавшим от доменов, которые вы отказались заблокировать?» — ничего не изменится.
Молчание представителей отрасли по этому вопросу — самый красноречивый ответ из всех возможных.
