Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / RU / TAKEDOWN ANATOMY

Как проходит ликвидация фишинга: заблокировано более 500 тысяч доменов

The Enablers Registry·Editorial mirror·/ru/takedown-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Анатомия ликвидации
КИБЕРЗАЩИТА

«Анатомия ликвидации»: как THE ENABLERS REGISTRY пресекает киберпреступность

Путь THE ENABLERS REGISTRY — от зарождающейся инициативы в 2019 году до мощной организации, нейтрализовавшей более 400 000 вредоносных доменов, — демонстрирует силу сообщества, технологий и с трудом завоеванной репутации.

Анатомия ликвидации — сканер обнаружения, биометрическая проверка, молоток регистратора, извлечение DNS, «надгробная плита» домена
Сопутствующая статья на Medium: Прямая борьба с фишинговыми операциями

В непрекращающейся борьбе с онлайн-мошенничеством проект THE ENABLERS REGISTRY стал одной из ключевых сил, превратившись из специализированной инициативы 2019 года в высокоэффективную операцию. Наша миссия ясна: ликвидировать инфраструктуру фишинга и мошенничества, защищая пользователей по всему миру. Речь идет не просто о блокировке вредоносных ссылок, а о понимании механизмов кибератак и их пресечении в самом истоке.

Наша эволюция: от недель до минут

Как одна фишинговая ссылка запускает целую цепочку действий, приводящую к ликвидации сайта

Когда проект THE ENABLERS REGISTRY только начинал свою деятельность, на удаление вредоносного домена могли уйти недели. С годами мы расширили свою деятельность, наладили прочные партнерские отношения и завоевали доверие ключевых игроков в сфере кибербезопасности. Мы всегда уделяли пристальное внимание именно фишингу, что позволило нам накопить специализированный опыт и поддерживать минимальный уровень ложных срабатываний.

Сегодня то, что раньше занимало недели, теперь можно выполнить за считанные минуты. Такое ускорение является свидетельством наших постоянных инноваций и прочной репутации, которую мы заработали.

Процесс ликвидации

1. Быстрое обнаружение и проверка

Обнаружение происходит благодаря сообщениям пользователей через нашу Бот в [REDACTED], автоматизированный мониторинг и потоки аналитических данных об угрозах. Наши специалисты оперативно проверяют угрозы, чтобы свести к минимуму количество ложных срабатываний.

2. Углубленный анализ и сбор доказательств

Наши аналитики тщательно изучают угрозу, выявляя её характеристики, цели и методы. Это включает анализ вредоносного кода, картирование инфраструктуры и оценку последствий для пострадавших. Каждый доказательный материал тщательно документируется.

3. Стратегическая координация и действия

Именно здесь на первый план выходит наша репутация. Мы наладили прочные отношения с сотнями хостинг-провайдеров, регистраторов доменов и правоохранительных органов. Когда THE ENABLERS REGISTRY отправляет заявку, более 50 систем мгновенно распознают наш запрос. Если сайт, о котором поступило сообщение, действительно является фишинговым, его можно заблокировать в течение нескольких минут.

4. Ликвидация и мониторинг

Конечной целью является полное удаление. После начала процедуры ликвидации мы отслеживаем статус, чтобы убедиться, что сайт отключен и остается в таком состоянии. Наши усилия привели к успешному пресечению деятельности более 500 000 вредоносных доменов с 2019 года, при этом проводится постоянная проверка после демонтажа, что позволяет выявлять повторное появление инфраструктуры в течение нескольких часов.

Методология работы: автоматизация, точность, масштаб

Наша модель сочетает в себе общественные репортажи с системы автоматического обнаружения и точной аналитики. Эта система рассчитана на масштабирование — от одного отчета до тысяч ликвидаций в день — без ущерба для качества.

  • Специально разработанные парсеры непрерывно сканировать результаты поиска по SEO, рекламные объявления и Google Ads на наличие признаков фишинга — выявляя угрозы в момент появления первого платного объявления.
  • Выявленные угрозы автоматически передаются в Более 50 производителей антивирусных программ а также потоки данных об угрозах, что позволяет обеспечить максимальный охват блокировок по всему миру уже в первые минуты после обнаружения.
  • Мы ведем доля ложноположительных результатов ниже 0,5 %, насчитывающий более 100 000 подтвержденных отчетов — что доказывает: наши системы не только быстры, но и отличаются высокой точностью.
  • Проверенные авторы, которые публикуют Более 100 точных отчетов предоставляются «надежный» статус, позволяющий публиковать материалы напрямую без модерации и значительно сокращающий время ликвидации контента для пользователей, имеющих статус «известного репортера».
  • Прямая трансляция счетчик урона оценивает финансовый ущерб, нанесённый мошенниками, — исходя из средней стоимости домена и затрат на рекламу (около 15 долларов за домен для типичных схем криптовалютного мошенничества).

Источники обнаружения — где возникают угрозы

Фишинговая инфраструктура редко скрывается — она, напротив, афиширует себя. Мы собираем потенциальных клиентов из:

  • Отчеты бота в [REDACTED] от нашего сообщества через @EnablersRegistry — первичный прием от населения.
  • SEO и парсеры платной рекламы — Google Ads, Bing, Yandex; ключевые слова, связанные с криптовалютными кошельками, биржами и мостами, находятся под постоянным мониторингом.
  • Каналы информации об угрозах предоставленные нам партнерами и исследователями.
  • Сети-«медовые ловушки» а также токены «канарейки» для семенной фразы, которые оповещают нас, когда мошенники пытаются использовать похищенные данные.
  • WHOIS и прозрачность сертификатов мониторинг вновь зарегистрированных доменов, внешне похожих на домены защищенных торговых марок.

Сохранение доказательств — постоянная цифровая запись

Ликвидации — это лишь первый шаг. Сохранение доказательств — наш главный приоритет — ведь удаленный домен бесполезен для следователей, если не осталось никаких записей.

  • Каждый обнаруженный домен — это архивировано с помощью общедоступных сканеров (urlscan.io, Wayback Machine, наши собственные конвейеры создания моментальных снимков) для сбора полных «отпечатков» сайтов — HTML-кода, скриншотов, сетевых запросов, кода JavaScript.
  • Каждая операция оставляет цифровая запись который защищен от удаления злоумышленниками — открыто опубликован на Список удалений на GitHub и Архив ScamIntelLogs.
  • Архивы содержат панели администратора мошенников, экспортированные данные чатов [REDACTED], схемы платежей, записи о жертвах и IOC — что позволяет устанавливать авторство и возбуждать уголовные дела даже спустя длительное время после ликвидации преступной инфраструктуры.
  • Пока мошенники стирают следы, мы делаем их неизгладимыми.

Союзники и соперники среди регистраторов

Скорость ликвидации полностью зависит от оперативности действий регистратора и хостинг-провайдера. Данные наших партнеров показывают резкое различие:

  • Партнеры, откликнувшиеся на призыв:IANA #1068Только одна команда по борьбе с оскорблениями, работающая круглосуточно и без выходных, помогла устранить Более 30 000 вредоносных доменов. IANA #146, IANA #1636, IANA #895, и IONOS незамедлительно реагировать в течение нескольких часов после получения подтверждённого сообщения.
  • Постоянные факторы, способствующие развитию:IANA #3765, Космотаун, IANA #1479, и IANA #460 неоднократно игнорируют сообщения о злоупотреблениях — фактически служа убежищем для киберпреступных операций. См. наше расследование: Как IANA #1479, IANA #460 и IANA #3765 способствуют глобальным мошенническим схемам.

Уголовное возмездие — подтверждение воздействия

Наша эффективность вызвала организованную реакцию сопротивления, которую мы рассматриваем скорее как доказательство нашего влияния, а не как препятствие:

  • DDoS-атаки направленные против нашей инфраструктуры (риск смягчен благодаря IANA #1910).
  • Скоординированные кампании по дискредитации и ликвидации оппонентов посредством платных PR-размещений (см. Как платные СМИ искажают представление о кибербезопасности).
  • Массовое информирование наших аккаунтов в социальных сетях, чтобы заглушить критику.
  • Наш аккаунт в X (Twitter) с Более 140 000 зарегистрированных сообщений о фишинге был навсегда отстранен от должности под давлением регистратора — см. IANA #1479 уничтожило наш Twitter. Архив по-прежнему доступен для общественности: Архив GitHub.

Преступники пытаются замести следы; мы же заботимся о том, чтобы эти следы оставались навсегда.

Правовой статус и координация

Мы — это некоммерческая организация, коллектив операторов — это не компания, не юридическое лицо и не связано с каким-либо правительством. Всё, что мы делаем, происходит открыто:

  • Все отчеты и доказательства открыто публикуются на GitHub, в [REDACTED] и Mastodon — ничего не скрывается и не хранится в закрытом доступе.
  • В ходе крупных расследований, связанных с установлением личности участников, отслеживанием финансовых потоков или картированием инфраструктуры, мы официально передавать полные комплекты доказательств правоохранительным органам или группам CERT.
  • Все подобные передачи осуществляются в полном соответствии с законодательством и только после подтверждения достоверности оперативной информации.
  • Мы не храните никаких персональных данных участников — защита информаторов от преследований и устранение риска утечки данных.

Наша задача — фиксировать и пресекать злонамеренные действия, а затем оказывать поддержку тем, кто уполномочен принимать меры на основании полученных доказательств.

В цифрах

  • 500,000+ Домены, используемые для фишинга и мошенничества, заблокированы с 2019 года.
  • 130,000+ активные угрозы, отобранные в список уничтожения.
  • 50+ Наши информационные потоки получают производители антивирусных программ и платформы по анализу угроз.
  • 30,000+ домены, удаленные исключительно в рамках партнерства с IANA #1068.
  • <0,5 % доля ложноположительных результатов по 100,000+ проверенные отчеты.
  • 140,000+ отчеты, заархивированные после приостановки действия нашего аккаунта в X.
  • 888 тыс.+ подписчики сообщества по всем каналам.

Как вы можете помочь

«Совместные действия — это самая надежная защита. Наш опыт наглядно демонстрирует, чего можно добиться, когда технологии, профессиональные знания и сообщество объединяются в борьбе с киберпреступностью».

#CyberDefense#Takedown#Possibly phishing#Community

Поделиться этой статьей

Связанные расследования

РАССЛЕДОВАНИЕ
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure
ПОКАЗАТЕЛИ
Показатели эффективности: нейтрализовано более 500 тыс. фишинговых угроз
РАССЛЕДОВАНИЕ
IANA #1479, IANA #460, IANA #3765: регистраторы, способствующие мошенничеству

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings