«Анатомия ликвидации»: как THE ENABLERS REGISTRY пресекает киберпреступность
Путь THE ENABLERS REGISTRY — от зарождающейся инициативы в 2019 году до мощной организации, нейтрализовавшей более 400 000 вредоносных доменов, — демонстрирует силу сообщества, технологий и с трудом завоеванной репутации.
В непрекращающейся борьбе с онлайн-мошенничеством проект THE ENABLERS REGISTRY стал одной из ключевых сил, превратившись из специализированной инициативы 2019 года в высокоэффективную операцию. Наша миссия ясна: ликвидировать инфраструктуру фишинга и мошенничества, защищая пользователей по всему миру. Речь идет не просто о блокировке вредоносных ссылок, а о понимании механизмов кибератак и их пресечении в самом истоке.
Наша эволюция: от недель до минут
Когда проект THE ENABLERS REGISTRY только начинал свою деятельность, на удаление вредоносного домена могли уйти недели. С годами мы расширили свою деятельность, наладили прочные партнерские отношения и завоевали доверие ключевых игроков в сфере кибербезопасности. Мы всегда уделяли пристальное внимание именно фишингу, что позволило нам накопить специализированный опыт и поддерживать минимальный уровень ложных срабатываний.
Сегодня то, что раньше занимало недели, теперь можно выполнить за считанные минуты. Такое ускорение является свидетельством наших постоянных инноваций и прочной репутации, которую мы заработали.
Процесс ликвидации
1. Быстрое обнаружение и проверка
Обнаружение происходит благодаря сообщениям пользователей через нашу Бот в [REDACTED], автоматизированный мониторинг и потоки аналитических данных об угрозах. Наши специалисты оперативно проверяют угрозы, чтобы свести к минимуму количество ложных срабатываний.
2. Углубленный анализ и сбор доказательств
Наши аналитики тщательно изучают угрозу, выявляя её характеристики, цели и методы. Это включает анализ вредоносного кода, картирование инфраструктуры и оценку последствий для пострадавших. Каждый доказательный материал тщательно документируется.
3. Стратегическая координация и действия
Именно здесь на первый план выходит наша репутация. Мы наладили прочные отношения с сотнями хостинг-провайдеров, регистраторов доменов и правоохранительных органов. Когда THE ENABLERS REGISTRY отправляет заявку, более 50 систем мгновенно распознают наш запрос. Если сайт, о котором поступило сообщение, действительно является фишинговым, его можно заблокировать в течение нескольких минут.
4. Ликвидация и мониторинг
Конечной целью является полное удаление. После начала процедуры ликвидации мы отслеживаем статус, чтобы убедиться, что сайт отключен и остается в таком состоянии. Наши усилия привели к успешному пресечению деятельности более 500 000 вредоносных доменов с 2019 года, при этом проводится постоянная проверка после демонтажа, что позволяет выявлять повторное появление инфраструктуры в течение нескольких часов.
Методология работы: автоматизация, точность, масштаб
Наша модель сочетает в себе общественные репортажи с системы автоматического обнаружения и точной аналитики. Эта система рассчитана на масштабирование — от одного отчета до тысяч ликвидаций в день — без ущерба для качества.
- Специально разработанные парсеры непрерывно сканировать результаты поиска по SEO, рекламные объявления и Google Ads на наличие признаков фишинга — выявляя угрозы в момент появления первого платного объявления.
- Выявленные угрозы автоматически передаются в Более 50 производителей антивирусных программ а также потоки данных об угрозах, что позволяет обеспечить максимальный охват блокировок по всему миру уже в первые минуты после обнаружения.
- Мы ведем доля ложноположительных результатов ниже 0,5 %, насчитывающий более 100 000 подтвержденных отчетов — что доказывает: наши системы не только быстры, но и отличаются высокой точностью.
- Проверенные авторы, которые публикуют Более 100 точных отчетов предоставляются «надежный» статус, позволяющий публиковать материалы напрямую без модерации и значительно сокращающий время ликвидации контента для пользователей, имеющих статус «известного репортера».
- Прямая трансляция счетчик урона оценивает финансовый ущерб, нанесённый мошенниками, — исходя из средней стоимости домена и затрат на рекламу (около 15 долларов за домен для типичных схем криптовалютного мошенничества).
Источники обнаружения — где возникают угрозы
Фишинговая инфраструктура редко скрывается — она, напротив, афиширует себя. Мы собираем потенциальных клиентов из:
- Отчеты бота в [REDACTED] от нашего сообщества через @EnablersRegistry — первичный прием от населения.
- SEO и парсеры платной рекламы — Google Ads, Bing, Yandex; ключевые слова, связанные с криптовалютными кошельками, биржами и мостами, находятся под постоянным мониторингом.
- Каналы информации об угрозах предоставленные нам партнерами и исследователями.
- Сети-«медовые ловушки» а также токены «канарейки» для семенной фразы, которые оповещают нас, когда мошенники пытаются использовать похищенные данные.
- WHOIS и прозрачность сертификатов мониторинг вновь зарегистрированных доменов, внешне похожих на домены защищенных торговых марок.
Сохранение доказательств — постоянная цифровая запись
Ликвидации — это лишь первый шаг. Сохранение доказательств — наш главный приоритет — ведь удаленный домен бесполезен для следователей, если не осталось никаких записей.
- Каждый обнаруженный домен — это архивировано с помощью общедоступных сканеров (urlscan.io, Wayback Machine, наши собственные конвейеры создания моментальных снимков) для сбора полных «отпечатков» сайтов — HTML-кода, скриншотов, сетевых запросов, кода JavaScript.
- Каждая операция оставляет цифровая запись который защищен от удаления злоумышленниками — открыто опубликован на Список удалений на GitHub и Архив ScamIntelLogs.
- Архивы содержат панели администратора мошенников, экспортированные данные чатов [REDACTED], схемы платежей, записи о жертвах и IOC — что позволяет устанавливать авторство и возбуждать уголовные дела даже спустя длительное время после ликвидации преступной инфраструктуры.
- Пока мошенники стирают следы, мы делаем их неизгладимыми.
Союзники и соперники среди регистраторов
Скорость ликвидации полностью зависит от оперативности действий регистратора и хостинг-провайдера. Данные наших партнеров показывают резкое различие:
- Партнеры, откликнувшиеся на призыв:IANA #1068Только одна команда по борьбе с оскорблениями, работающая круглосуточно и без выходных, помогла устранить Более 30 000 вредоносных доменов. IANA #146, IANA #1636, IANA #895, и IONOS незамедлительно реагировать в течение нескольких часов после получения подтверждённого сообщения.
- Постоянные факторы, способствующие развитию:IANA #3765, Космотаун, IANA #1479, и IANA #460 неоднократно игнорируют сообщения о злоупотреблениях — фактически служа убежищем для киберпреступных операций. См. наше расследование: Как IANA #1479, IANA #460 и IANA #3765 способствуют глобальным мошенническим схемам.
Уголовное возмездие — подтверждение воздействия
Наша эффективность вызвала организованную реакцию сопротивления, которую мы рассматриваем скорее как доказательство нашего влияния, а не как препятствие:
- DDoS-атаки направленные против нашей инфраструктуры (риск смягчен благодаря IANA #1910).
- Скоординированные кампании по дискредитации и ликвидации оппонентов посредством платных PR-размещений (см. Как платные СМИ искажают представление о кибербезопасности).
- Массовое информирование наших аккаунтов в социальных сетях, чтобы заглушить критику.
- Наш аккаунт в X (Twitter) с Более 140 000 зарегистрированных сообщений о фишинге был навсегда отстранен от должности под давлением регистратора — см. IANA #1479 уничтожило наш Twitter. Архив по-прежнему доступен для общественности: Архив GitHub.
Преступники пытаются замести следы; мы же заботимся о том, чтобы эти следы оставались навсегда.
Правовой статус и координация
Мы — это некоммерческая организация, коллектив операторов — это не компания, не юридическое лицо и не связано с каким-либо правительством. Всё, что мы делаем, происходит открыто:
- Все отчеты и доказательства открыто публикуются на GitHub, в [REDACTED] и Mastodon — ничего не скрывается и не хранится в закрытом доступе.
- В ходе крупных расследований, связанных с установлением личности участников, отслеживанием финансовых потоков или картированием инфраструктуры, мы официально передавать полные комплекты доказательств правоохранительным органам или группам CERT.
- Все подобные передачи осуществляются в полном соответствии с законодательством и только после подтверждения достоверности оперативной информации.
- Мы не храните никаких персональных данных участников — защита информаторов от преследований и устранение риска утечки данных.
Наша задача — фиксировать и пресекать злонамеренные действия, а затем оказывать поддержку тем, кто уполномочен принимать меры на основании полученных доказательств.
В цифрах
- 500,000+ Домены, используемые для фишинга и мошенничества, заблокированы с 2019 года.
- 130,000+ активные угрозы, отобранные в список уничтожения.
- 50+ Наши информационные потоки получают производители антивирусных программ и платформы по анализу угроз.
- 30,000+ домены, удаленные исключительно в рамках партнерства с IANA #1068.
- <0,5 % доля ложноположительных результатов по 100,000+ проверенные отчеты.
- 140,000+ отчеты, заархивированные после приостановки действия нашего аккаунта в X.
- 888 тыс.+ подписчики сообщества по всем каналам.
Как вы можете помочь
- Пожаловаться на домен:@EnablersRegistry в [REDACTED].
- Подписаться на уведомления:[REDACTED].
- Воспользуйтесь нашим списком заблокированных адресов в вашем брандмауэре, системе DNS или стеке средств безопасности: github.com/THE ENABLERS REGISTRY/destroylist.
- Ознакомьтесь с нашими расследованиями:Регистраторы, способствующие мошенничеству, $100K returned, Более 150 поддельных расширений [REDACTED].
«Совместные действия — это самая надежная защита. Наш опыт наглядно демонстрирует, чего можно добиться, когда технологии, профессиональные знания и сообщество объединяются в борьбе с киберпреступностью».
