phishdestroy/shortdot-evidence

GitHub: phishdestroy/shortdot-evidence

针对 ShortDot SA 旗下七个 gTLD 区域的域名滥用追踪与自动化威胁情报项目,每日更新 IOC 并提供 STIX 兼容数据。

Stars: 41 | Forks: 9


# ShortDot SA — 区域滥用证据 ### `.icu`  ·  `.bond`  ·  `.cyou`  ·  `.sbs`  ·  `.cfd`  ·  `.buzz`  ·  `.qpon` **7 个 gTLD 区域 · 卢森堡注册局运营商 · PhishDestroy 研究 · 2026**
[![IANA 注册局](https://img.shields.io/badge/IANA-ShortDot_SA-6ea8d7?style=for-the-badge&labelColor=0c1018)](https://www.iana.org/assignments/tld-review/) [![TLP CLEAR](https://img.shields.io/badge/TLP-CLEAR-3fb950?style=for-the-badge&labelColor=0c1018)](https://www.first.org/tlp/) [![License MIT](https://img.shields.io/badge/license-MIT-c0a060?style=for-the-badge&labelColor=0c1018)](LICENSE) [![自动更新](https://img.shields.io/badge/data-auto--updated_daily-8b5cf6?style=for-the-badge&labelColor=0c1018)](https://github.com/phishdestroy/shortdot-evidence/actions)
[![实时报告](https://img.shields.io/badge/▶_LIVE_REPORT-phishdestroy.github.io%2Fshortdot--evidence-3fb950?style=for-the-badge&labelColor=0c1018)](https://phishdestroy.github.io/shortdot-evidence)

📦 追踪域名数
6,231,825
💰 ShortDot 预估收入
$12,559,037
💸 ICANN 费用(注册局)
$1,738,556
❌ 无 IP 幻影域名
4,387,385 (70.4%)
🎯 品牌冒充
25,966 个域名
🏛️ 已验证合法
0
⚡ 合计套取金额
$14,297,593
### 🏷️ TLD 细分 | TLD | 域名数 | 有 IP | 无 IP(幻影) | 幻影 % | 批发价/域名 | 预估收入 | |:--|--:|--:|--:|--:|--:|--:| | `.icu` | 971,649 | 282,876 | 688,773 | **70.9%** | $0.65 | $631,572 | | `.bond` | 1,327,512 | 105,362 | 1,222,150 | **92.1%** | $6.50 | $8,628,828 | | `.cyou` | 753,652 | 266,942 | 486,710 | **64.6%** | $0.65 | $489,874 | | `.sbs` | 1,911,124 | 594,002 | 1,317,122 | **68.9%** | $0.65 | $1,242,231 | | `.cfd` | 950,551 | 406,434 | 544,117 | **57.2%** | $0.65 | $617,858 | | `.buzz` | 207,109 | 126,319 | 80,790 | 39.0% | $3.25 | $673,104 | | `.qpon` | 110,228 | 62,505 | 47,723 | 43.3% | $2.50 | $275,570 | | **总计** | **6,231,825** | **1,844,440** | **4,387,385** | **70.4%** | — | **$12,559,037** | *数据:ICANN gTLD 区域文件 · ICANN 费用(注册局):$1,738,556/年 · 合计套取金额:$14,297,593/年 · 品牌冒充域名:25,966* *表格在每次每日抓取运行时自动生成。* ### 📥 下载威胁情报 | 文件 | 格式 | 描述 | |:--|:--:|:--| | [`data/all.txt`](data/all.txt) | TXT | 所有 7 个区域的全部追踪域名 | | [`data/index.json`](data/index.json) | JSON | 完整的分析快照 | | [`data/ioc/serial_registrants.json`](data/ioc/serial_registrants.json) | JSON | 重复注册人及其域名 | | [`data/ioc/shared_ips.json`](data/ioc/shared_ips.json) | JSON | 黑洞(Bulletproof)托管集群 | | [`data/ioc/brand_domains.json`](data/ioc/brand_domains.json) | JSON | 按目标品牌分类的域名 | | [`data/ioc/stix-bundle.json`](data/ioc/stix-bundle.json) | STIX 2.1 | 兼容 MISP/OpenCTI 的 bundle | | [`ioc/domains_all_malicious.txt`](ioc/domains_all_malicious.txt) | TXT | 已确认恶意 — 包含所有严重级别 | | [`ioc/domains_high.txt`](ioc/domains_high.txt) | TXT | 仅 HIGH(高)严重级别(网络钓鱼、窃取、信用卡欺诈) | ## 📑 目录
**调查** - [0 · 来自粉丝的一封信](#0--a-note-from-fans) - [1 · 背景](#1--background) - [2 · 调查对象:ShortDot SA](#2--subject-shortdot-sa) - [3 · 七大区域](#3--the-seven-zones) - [4 · 方法论](#4--methodology) **核心问题** - [5 · 给我看哪怕一个合法业务](#5--show-me-one-legitimate-business) - [6 · 顺藤摸瓜:资金流向](#6--follow-the-money) - [7 · “私有基础设施”的谎言](#7--the-private-infrastructure-myth) - [8 · NameBlock — 结构性利益冲突](#8--nameblock--structural-conflict-of-interest) - [9 · 调查结果](#9--findings) **数据 / 法律** - [10 · 收购时间线](#10--timeline-of-acquisitions) - [11 · 执法姿态](#11--enforcement-posture) - [12 · 仓库结构](#12--repository-structure) - [13 · 引用与许可](#13--citation)
## 0 · 来自粉丝的一封信 无论从哪个角度来看,NiceNIC 都是一家了不起的公司。它是过去十年来**增长最快的 ICANN 认证注册商**。拥有华丽的网站。令人惊叹的收入曲线让投资者喜极而泣。看着一家注册商在如此竞争激烈的市场中如此激进、如此有利可图地增长,确实令人振奋。 我们是如此忠实的粉丝,以至于花了大量时间研究这些利润究竟是*如何*产生的。 以下是我们发现的——我们将此视为对他们创造力的最高赞扬: **自产自销的收入循环。** ShortDot SA 是*注册局*运营商——它为自己运营的区域(`.icu`、`.bond`、`.cyou` 等)设定批发价格。NiceNIC 是一家*注册商*——它从注册局购买域名注册权,然后将其转售给最终客户。ShortDot 和 NiceNIC 拥有共同的所有权。NiceNIC 以绝对优势成为 ShortDot 区域域名的**最大买方**——在姐妹公司运营的区域中批量注册了数以百万计的域名。 在正常的公平交易安排下,像 NiceNIC 这样规模的注册商将从注册局获得大幅的批发折扣。但在这里,*同一受益所有人控制着交易的两端*。注册局向注册商收取一个价格。注册商将此价格记为销售成本。注册局将其记为收入。从外部看,这是一家拥有真实客户支付真金白银的繁荣企业。从内部看,这只是一个实体在给自己开支票,并把账记了两次。 通过这个循环注册的域名就是本仓库中记录的幻影库存:**70.4% 在注册时不包含任何 DNS 记录**——从未被激活,从未被任何业务使用。它们的存在是因为注册事件本身(而非合法使用)才是产生这些收入数字的来源。 我们认为这是一种非常有趣的商业模式。我们还认为,ICANN 注册局协议第 2.8 条(*公平交易*)、注册局运营商根据其卢森堡公司注册须遵守的财务报告义务,以及任何向投资者展示这些收入数字时应遵循的基本证券披露规范,可能也会觉得这很有趣。 完整的 NiceNIC 调查:**[github.com/phishdestroy/nicenic-evidence](https://github.com/phishdestroy/nicenic-evidence)** ## 1 · 背景 本仓库是 **PhishDestroy 对 ShortDot SA 的调查**——这是一家在卢森堡注册的注册局运营商,负责运营七个域名区域:`.icu`、`.bond`、`.cyou`、`.sbs`、`.cfd`、`.buzz` 和 `.qpon`。 本次调查的核心问题不是这些区域内是否发生了滥用——它确实在大量发生。问题是:**这些区域究竟服务于什么合法目的,以及谁真正从它们的存在中获益?** ShortDot 自己的营销声称这些区域是为“企业、创作者和社区”服务的。本仓库用数据来检验这一说法。 ## 2 · 调查对象:ShortDot SA | 字段 | 值 | |---|---| | 🏢 法律实体 | **ShortDot SA** | | 📍 司法管辖区 | 卢森堡 — 股份有限公司 (Société Anonyme) | | 🏠 注册地址 | 9 Rue Louvigny, L-1946 Luxembourg | | 🔧 技术后端 | CentralNic (伦敦) | | 🌐 网站 | shortdot.bond | | 📊 运营区域 | 7 个 gTLD (.icu, .bond, .cyou, .sbs, .cfd, .buzz, .qpon) | | 🤝 指定合作伙伴 | GoDaddy, Alibaba, GMO, Namecheap, NameSilo, Dynadot | | 🛡️ 品牌保护部门 | NameBlock | | 🌐 合作企业 | Nicky, WebUnited, NameBlock | | 📅 首个 TLD 发布 | 2018年 (.icu) | ShortDot 通过由三家子公司组成的网络进行运营:**Nicky**(域名服务)、**WebUnited**(网络基础设施)和 **NameBlock**(品牌保护/阻断)。这些实体之间的关系以及 ShortDot 区域内的滥用模式是本次调查的核心主题。 ## 3 · 七大区域 ### .icu 发布于 2018 年。ShortDot 的旗舰区域。该名称据称代表“I See You”(我看见你)——作为个人品牌 TLD 进行营销。 **现实:** 在 abuse.ch、Spamhaus 和 SURBL 的网络钓鱼密度排名中始终位居前列。活跃注册域名主要被用于赌博基础设施、加密货币窃取面板和凭证收集器。迄今为止确认的合法使用案例:0。 ### .bond 高端定价(零售价约 $9.99)。面向金融服务和“受信任品牌”进行营销。 **现实:** `chase.bond`、`bofa.bond`、`binance.bond`、`ledger.bond`——这些域名确实存在。但没有一个是由 JPMorgan Chase、Bank of America、Binance 或 Ledger SAS 运营的。它们全都是冒充这些品牌的钓鱼网站。`.bond` 已经成为钓鱼攻击的代名词,恰恰是因为它向毫无戒心的受害者暗示了金融上的可信度。 ### .cyou `.cyou` = "See You"(看见你)。面向个人品牌、网红、社区进行营销。 **现实:** 几乎没有合法的采用。主要由停放域名和欺诈性基础设施组成。大量的连续注册,但没有任何对应的活跃内容。 ### .sbs 于 2024 年 4 月从澳大利亚 SBS 公司(通过 IANA 转移)收购。此前与澳大利亚公共广播公司相关联。 **现实:** 在 ShortDot 收购后,注册量激增。绝大多数活跃的 .sbs 域名提供钓鱼网页、虚假商店,或永久处于停放状态(为了指标膨胀而进行的幻影注册)。与所有其他注册商相比,在 NameSilo 的集中度表现出异常。 ### .cfd 于 2024 年 4 月从 DotCFD Registry Ltd. 收购。"CFD" = 差价合约——一种杠杆金融工具。 **现实:** 一个以高风险金融产品命名的 TLD,由一家没有任何已知金融监管资质的公司运营,如今主要充斥着虚假投资平台、加密货币诈骗和金融钓鱼。其命名本身就是一个定向攻击信号。 ### .buzz 作为/互动 TLD 进行营销。零售价约为 $3-5/年。 **现实:** 活跃的滥用区域。记录在案的使用案例包括垃圾邮件分发基础设施和点击欺诈网络。未发现任何已验证的合法业务采用。 ### .qpon 作为优惠券/折扣 TLD 进行营销。极低的批发价。 **现实:** 微量区域。甚至连滥用者的采用率都很低。主要用于联盟欺诈和虚假折扣计划。 ## 4 · 方法论 ### 数据收集 ShortDot 七个区域内的所有域名每天均按 TLD 从 ICANN gTLD 区域数据中查询并枚举。覆盖率:100% 的区域注册域名——无抽样。 ``` ╭───────────────────╮ ╭───────────────────╮ ╭───────────────────╮ │ 1. Zone pull │ ───▶ │ 2. TI cross-ref │ ───▶ │ 3. Legitimacy │ │ per-TLD (ICANN │ │ Spamhaus / SURBL │ │ classification │ │ public zone data)│ │ URLhaus / ThrFox │ │ human review │ ╰───────────────────╯ ╰───────────────────╯ ╰───────────────────╯ ``` ### 合法性分类 每个活跃域名被分为三个顶级类别之一: | 类别 | 描述 | |---|---| | `MALICIOUS` | 已确认的网络钓鱼 / 欺诈 / 恶意软件 / 窃取程序 / 信用卡欺诈 | | `SUSPICIOUS` | 未经证实,但表现出滥用指标(无 IP,关键词匹配,共享基础设施) | | `LEGITIMATE` | 已验证的真实业务,具有:公开的公司注册信息,明确的业务目的,无冒充行为 | | `PARKED` | 域名已注册,未提供内容 | | `DEAD` | 无 DNS 解析 | `LEGITIMATE`(合法)计数是本数据集中最重要的数字。我们积极寻找反例,以反驳这些区域没有合法用途的论点。 ### 威胁情报交叉比对 - **Spamhaus DBL** — 垃圾邮件 / 网络钓鱼 / 恶意软件 / 僵尸网络分类 - **SURBL** — URI 信誉 - **URLhaus** (abuse.ch) — 活跃的恶意软件分发 - **ThreatFox** (abuse.ch) — IOC 数据库 - **PhishDestroy Destroylist** — 与主屏蔽名单的相关性 ## 5 · 给我看哪怕一个合法业务 我们一直在寻找。以下是我们实际发现的情况: | 域名 | ShortDot 营销声称的用途 | 实际用途 | |---|---|---| | `chase.bond` | 金融服务 — 受信任的品牌 | JPMorgan Chase **钓鱼**页面 | | `bofa.bond` | 金融服务 — 受信任的品牌 | Bank of America **钓鱼**页面 | | `binance.bond` | 受信任的品牌 | Binance **钓鱼** | | `ledger.bond` | 受信任的品牌 | Ledger 硬件钱包**钓鱼** | | `metamask.icu` | 个人 / 社区品牌 | MetaMask **钱包窃取程序** | | `coinbase.sbs` | 创作者 / 企业品牌 | Coinbase **凭证收集器** | | `kraken.cyou` | 社区 / 个人 | Kraken 交易所**钓鱼** | | `uniswap.bond` | DeFi / Web3 创新 | Uniswap **窃取面板** | **品牌冒充数据 — 7 个区域内共确认 25,966 个域名:** | 目标品牌 | 域名数 | 类别 | |---|---|---| | Ally Bank | 2,512 | 银行 | | Wise | 2,249 | 支付 | | Charles Schwab | 1,925 | 银行 | | Google | 1,163 | 科技 | | USPS | 1,145 | 政府 | | Apple | 1,047 | 科技 | | WhatsApp | 1,042 | 社交 | | Fidelity | 1,039 | 银行 | | Visa | 982 | 支付 | | TikTok | 952 | 社交 | | Telegram | 923 | 社交 | | Discover | 840 | 银行 | | Ledger | 727 | 加密货币 | | American Express | 685 | 银行 | | JPMorgan Chase | 677 | 银行 | | Citibank | 629 | 银行 | | Amazon | 576 | 科技 | | Medicare | 531 | 政府 | | MetaMask | 481 | 加密货币 | | DHL | 318 | 物流 | *完整列表:[`data/ioc/brand_domains.json`](data/ioc/brand_domains.json) · 按品牌分类的屏蔽名单:[`data/ioc/brands/`](data/ioc/brands/)* 这些品牌作为**受害者**出现,而不是运营者。合法的公司——Chase、BofA、Binance、Ledger、MetaMask——并没有采用这些 TLD。犯罪分子代表这些品牌采用了它们,目的是欺骗这些品牌的客户。 **合法性挑战正在进行:** 如果您有证据表明存在经过验证的、非网络钓鱼、非抢注的合法业务使用 ShortDot TLD 作为其主域名,请带上证据提交一个 issue。每一份提交都会被审核,如果通过验证,将被添加到 `LEGITIMATE` 计数中。 当前已验证的合法网站:**请参见 [`case/LEGITIMATE_SURVEY.md`](case/LEGITIMATE_SURVEY.md)** ## 6 · 顺藤摸瓜:资金流向 ### ShortDot 收入链条 ``` ShortDot SA (Luxembourg) │ │ Charges wholesale per-domain annual fee │ (.icu ~$0.50–$1.00 · .sbs ~$0.50–$1.00 · .cfd ~$0.50–$1.00 │ .cyou ~$0.50–$1.00 · .bond ~$5–$8 · .buzz ~$3–$5 · .qpon ~$2–$4) │ ▼ 400+ Registrar Partners (NameSilo, GoDaddy, Namecheap, Alibaba, GMO, Dynadot…) │ │ Register at retail — keep margin │ NameSilo: $0.99 for .sbs → ~$0.50–$0.70 margin per domain │ ▼ End registrant (phisher, spammer, scammer, or phantom account) │ │ Uses domain for phishing / carding / draining / metric inflation │ OR: domain never activates (phantom, dead-zone padding) │ ▼ Revenue flows UP regardless of what domain does ShortDot collects · registrar collects · ICANN collects The victim (end user phished) pays nothing — and loses everything ``` ### 准入成本 — 这绝非偶然 ShortDot 希望监管机构相信,区域滥用是他们正在“积极打击”的不幸副作用。ICANN 的收费表证明了事实并非如此。进入这个行业的成本并不低: | ICANN 费用 | 金额 | |---|---| | 每个 TLD 的**申请费**(如被拒绝不予退还) | **$227,000** | | 每个区域的**年度注册局费** | **$25,800/年** | | **批量交易分成**(域名超过 5 万的区域) | **$0.25/域名/年** | ShortDot 运营着 7 个区域。仅申请费就高达:**$227,000 × 7 = $1,589,000**。 每年上交给 ICANN 的费用:**$25,800 × 7 = $180,600/年**。 在 620 万域名的情况下,ICANN 的批量抽成:**$1,557,956/年** — 由监管机构收取。 实际有效的 ROI 模型: ``` 1. Flood zones with phantom registrations via bulk registrars → $12.6M/year wholesale at current 6.2M domain volume → Inflated metrics signal "market adoption" to outside observers 2. Zone becomes toxic → brands impersonated at scale → NameBlock, BrandShelter, BrandSight, Brandma sell "protection" → Brands pay $100–$500/year per brand per zone × 7 zones 3. ICANN collects $0.25/domain/year + $25,800/zone/year → Silent beneficiary with full regulatory authority to act → Financial incentive to not act ``` ShortDot 花费了超过 **160 万美元仅用于 ICANN 申请**来获取这种结构。 这绝不是一个打算建立合法命名空间的公司的投资画像。 ### ICANN 费用套取(实时数据) 在 ShortDot 区域内注册的每个域名会在两个层级产生费用: | 费用 | 支付方 | 接收方 | 金额 | |---|---|---|---| | ICANN 批量抽成(域名>5万) | 注册商 → ShortDot → ICANN | ICANN | $0.25/域名/年 | | ICANN 年度区域费 | ShortDot | ICANN | $25,800/区域/年 | | 注册局批发费 | 注册商 | ShortDot | $0.65–$6.50/域名/年 | 以当前 **6,231,825 个活跃域名计算:** - **ICANN 批量抽成:** 来自 ShortDot 区域的 **$1,557,956/年** - **ICANN 区域费:** **$180,600/年**(7 个区域 × $25,800) - **ShortDot 批发:** **$12,559,037/年** - **4,387,385 个幻影(无 IP)域名** 贡献了上述所有三个收入来源,却 没有任何可验证的合法用途。 这个链条中的任何人都没有减少注册量的经济动力——包括通过过滤掉滥用行为来减少。 ### NameSilo 异常 | 注册商 | ShortDot TLD 份额 | 预期份额 | |---|---|---| | NameSilo | ~11% (.sbs 7% + .cfd 4%) | <1% | | GoDaddy | <0.2% | 正常 | | Namecheap | <1% | 正常 | NameSilo 是 ShortDot 的**指定合作伙伴**。NameSilo 在 ShortDot TLD 中表现出的 55 倍集中度异常——恰逢 ShortDot 在 2024 年 4 月收购 .sbs 和 .cfd——代表了该生态系统中注册局与注册商之间最具体的财务联系。 通过一家指定合作注册商进行的大量幻影注册,符合一种被称为**指标注水**的做法:人为夸大区域规模,以在合同审查期间向投资者、分析师和 ICANN 传递市场采用的信号。一个看起来拥有 190 万注册域名的区域,比只有 5 万个的区域更难被暂停。 **需要回答的问题:** 1. 是谁通过 NameSilo 购买了数十万个 .sbs 和 .cfd 域名却不激活它们? 2. 付款资金来源在哪里? 3. ShortDot 是否对指定合作伙伴的批量订单进行尽职调查? 4. NameSilo 的季度收入报告是否单独核算了这些幻影注册的利润率? 5. .sbs/.cfd 的收购时间点与 NameSilo 的激增是否涉及协同配合? ## 7 · “私有基础设施”的谎言 为大量幻影(无 IP)注册进行辩护的一个常见理由是,它们服务于后端基础设施、私有 VPN 节点或孤立的遥测端点。这种说法在技术上是站不住脚的。 ### 1. 行业标准:子域名路由 合法平台使用单一受控根域名下的动态子域名来路由数以百万计的唯一端点。Vercel (`*.vercel.app`)、Tailscale (`*.ts.net`) 以及主要 ISP(`*.rr.com`、`*.verizon.net`)会瞬间生成百万级别的子域名,且成本为零。注册数以百万计的独立根域名需要花费数百万美元的批发费和 ICANN 交易费。没有任何合法的可扩展基础设施会为其端点购买单独的根域名。 ### 2. 证书透明度摧毁了 OPSEC 论点 现代基础设施需要 SSL/TLS。每当一个独特的根域名被颁发证书时,该颁发行为就会被永久记录在公共证书透明度(CT)日志中。一个使用独立根域名作为节点的 VPN 或代理网络,实际上是在向公共互联网主动广播其整个网络拓扑和部署时间线——这是一条不可磨灭的、完全可审计的轨迹,记录了每个节点的配置时间。这是一个致命的架构缺陷,而不是功能。 ### 3. 通配符提供真正的隐私 带有通配符证书(`*.internal-network.net`)的单一根域名可以保护数以百万计的独立节点,而不会将特定的主机名泄露给 CT 日志。子域名无法被被动枚举:与可通过 ICANN 的集中式区域数据服务(CZDS)公开下载的根 TLD 区域文件不同,子域名树对外部观察者是不透明的。任何真正优先考虑运营安全性的运营商都会使用子域名和通配符。注册数以百万计独特且不解析的根域名没有任何合法的技术目的。 ### 结论 “私有基础设施”的辩护理由在成本、OPSEC 和技术架构上同时站不住脚。幻影注册的实际功能很简单:**指标注水**——人为地夸大区域容量,以在合同审查期间向投资者、分析师和 ICANN 传递市场采用的信号。一个拥有 190 万个注册域名的区域,在结构上比只有 5 万个的区域更难被暂停,无论这些域名是否解析到任何内容。 ## 8 · NameBlock — 结构性利益冲突 ShortDot 将 NameBlock 描述为一种“高级品牌保护”服务。其运作机制如下: ``` Step 1: ShortDot creates TLD zones (.icu, .sbs, .bond…) │ ▼ Step 2: Phishers register brand-impersonating domains chase.bond · binance.icu · metamask.sbs · kraken.cyou │ ▼ Step 3: Phishing begins. Brands are notified by their security teams. │ ▼ Step 4: NameBlock approaches the brand: "For $X/year, we block your name across all ShortDot zones" "Without protection, anyone can register [brand].icu" │ ▼ Step 5: Brand pays NameBlock defensive registration fees │ ▼ Step 6: ShortDot collects wholesale fee for the defensive registrations NameBlock collects the service fee on top │ ▼ Both ShortDot and NameBlock profit from the same threat they created. ``` 这**不是**对违法行为的指控——防御性域名注册服务确实存在,并且有合法的用途。这里记录的是结构性激励: ShortDot 自己的网站声明 NameBlock 提供“高级品牌保护工具”。这种高级技术是:在 ShortDot 控制的区域中阻断您的品牌,而如果该区域进行了适当的滥用控制,您的品牌本来根本不需要在这里受到保护。 ## 9 · 调查结果 ### 概要数据 *在每次抓取运行时自动填充 — 完整数据集请参见 [`data/index.json`](data/index.json)。* ### 按区域分类 *各 TLD 细分:请参见 [`stats/by_tld/`](stats/by_tld/) 目录。* ### 关键确认案例 | 域名 | 区域 | 分类 | 证据 | |---|---|---|---| | `chase.bond` | .bond | PHISHING_FINANCE | 品牌冒充,凭证收集表单 | | `bofa.bond` | .bond | PHISHING_FINANCE | 品牌冒充 | | `binance.bond` | .bond | PHISHING_CRYPTO | 交易所凭证收集器 | | `ledger.bond` | .bond | PHISHING_CRYPTO | 硬件钱包助记词收集器 | | `metamask.icu` | .icu | CRYPTO_DRAIN | MetaMask 钱包窃取面板 | | `coinbasebs` | .sbs | PHISHING_CRYPTO | 交易所网络钓鱼 | | `kraken.cyou` | .cyou | PHISHING_CRYPTO | 交易所网络钓鱼 | | `uniswap.bond` | .bond | CRYPTO_DRAIN | DEX 窃取面板 | | `drainmebaby.bond` | .bond | CRYPTO_DRAIN | 明显的命名,钱包窃取程序 | | `ghostqrpanel.bond` | .bond | CRYPTO_DRAIN | 二维码窃取面板基础设施 | ### .cfd 问题 `.cfd` 区域值得特别关注。"CFD" = 差价合约——一种特定的、高风险的、受监管的金融衍生工具。使用这个名字注册一个 TLD,然后在几乎没有滥用控制的情况下运营它,创造了一个这样的命名空间: 1. 以一种需要监管许可才能提供的金融产品命名 2. 由一家没有金融监管资质的实体运营 3. 异常充斥着虚假投资平台和金融欺诈 `.cfd` 的命名并非偶然——这是向那些希望域名表面上看起来具有金融属性的欺诈运营者发送的定向信号。 ## 10 · 收购时间线 | 日期 | 事件 | |---|---| | **2018** | ShortDot 发布 `.icu` — 首个 TLD | | **2019–2023** | `.bond`、`.cyou`、`.buzz`、`.qpon` 相继发布 | | **2024年4月** | ShortDot 从澳大利亚 SBS 公司收购 `.sbs`(IANA 记录) | | **2024年4月** | ShortDot 从 DotCFD Registry Ltd 收购 `.cfd`(IANA 记录) | | **2024** | NameSilo 死域名注册激增 615%(跨区域从 6.7万 增至 48.5万) | | **2025** | 激增持续:58.5万 死域名,1万–1.7万/天 | | **2026** | PhishDestroy 调查报告发布 | 2024 年 4 月的双重收购——将两个新区域添加到 ShortDot 的投资组合中——恰逢 NameSilo 异常的注册激增。这纯属巧合的统计可能性很低。 ## 11 · 执法姿态 本证据包适用于: - **ICANN 合规** — RAA/注册局协议下的注册局运营商问责 - **ICANN 注册局协议**违规报告(滥用缓解义务) - **执法机构转介** — 金融欺诈、信用卡欺诈、身份盗用 - **品牌滥用 / UDRP**针对品牌冒充域名的诉讼 - **注册商滥用报告** — 将已确认的网络钓鱼转发给注册商滥用处理团队 - **学术 / 威胁情报研究** — 在 MIT 许可下自由重用 **举报滥用:** - ShortDot 滥用报告邮箱:请参阅各 TLD 的 IANA 记录中的 `WHOIS` - ICANN 合规部门:`compliance@icann.org` - 特定注册商:请参阅 WHOIS 中注册商的滥用联系方式 ## 12 · 仓库结构 ``` shortdot-evidence/ ├── case/ │ ├── INVESTIGATION.md Full investigation document │ ├── FINANCIAL.md Follow-the-money analysis │ ├── NAMEBLOCK.md NameBlock structural conflict of interest analysis │ ├── LEGITIMATE_SURVEY.md Open challenge — verified legitimate sites │ ├── CLUSTERS.md Operator infrastructure clusters │ └── HIGH_SEVERITY.md High-severity confirmed cases ├── data/ │ ├── all.txt All tracked domains (all 7 zones) │ ├── index.json Full analytics snapshot │ ├── ioc/ IOC exports (STIX, serial registrants, shared IPs) │ ├── snapshots/ Monthly analytics snapshots │ └── new/YYYY/MM/ Daily domain additions ├── ioc/ │ ├── domains_all_malicious.txt │ ├── domains_high.txt HIGH severity (phishing/drain/carding) │ └── indicators.csv Full IOC table ├── scan/ │ └── fetch_new.py Daily data pipeline (zone fetch → stats → README) ├── stats/ │ ├── by_tld/ Per-TLD badge JSON files │ └── *.json Overall badge JSONs (shields.io endpoint format) ├── evidence/ │ ├── HASHES.txt SHA-256 of all screenshots │ └── [screenshots] PNG evidence, SHA-256 verified └── .github/workflows/ └── update.yml Daily automation ``` ## 13 · 引用 ``` @misc{phishdestroy2026shortdot, author = {PhishDestroy}, title = {ShortDot SA Zone Evidence — .icu/.bond/.cyou/.sbs/.cfd/.buzz/.qpon}, year = {2026}, publisher = {GitHub}, journal = {GitHub repository}, howpublished = {\url{https://github.com/phishdestroy/shortdot-evidence}}, note = {TLP:CLEAR. Updated daily.} } ``` **许可:** MIT — 数据、代码和分析在注明出处的前提下可自由重用。 **TLP:** CLEAR — 无分发限制。
PhishDestroy · 反钓鱼和欺诈调查 · phishdestroy.io
标签:Homebrew安装, IOC, 品牌侵权, 域名滥用, 威胁情报, 开发者工具, 逆向工具