Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / CLOAKING WHITEPAGES EXPLAINED

Cloaking und White Pages erklärt

The Enablers Registry·Editorial mirror·/de/cloaking-whitepages-explained

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Warum wir „White Pages“ und Weiterleitungen zu offiziellen Websites sperren: Das Cloaking-Problem erklärt

Cloaking, „White Pages“ und TDS-Weiterleitungen bilden das Rückgrat moderner Possibly phishing-Infrastrukturen. Jede Website, die diese Techniken einsetzt, wird gesperrt. Hier erfahren Sie, warum das so ist – und was wir entdecken, wenn wir hinter die Kulissen blicken.

29. März 2026 THE ENABLERS REGISTRY-Forschung ~12 Minuten Lesezeit
Cloaking und White Pages in der Phishing-Infrastruktur – Technischer Überblick
Wie moderne Possibly phishing-Infrastrukturen Cloaking einsetzen, um jede Ebene der automatisierten Erkennung zu umgehen.
50,000+
Überprüfte Websites
1,565
[REDACTED]-Comics
0
Zulässige Verwendungszwecke
55+
[REDACTED]-Domains
100+
AV-Motoren

Die Frage, die uns immer wieder gestellt wird

Jede Woche erhalten wir denselben Appell: „Sie haben meine Domain als verdächtig markiert, aber wenn ich sie mir anschaue, wird man einfach auf die offizielle Website weitergeleitet. Da ist nichts Bösartiges.“

Oder eine Variante: „Die Seite ist lediglich ein Blogbeitrag über Kryptowährungen. Es handelt sich nicht um Possibly phishing.“

Wir verstehen, warum das verwirrend ist. Wenn Sie eine Domain besuchen, die als verdächtig markiert wurde, und eine völlig normale Seite sehen – oder eine einwandfreie Weiterleitung zu einer legitimen Website –, ist es nur natürlich anzunehmen, dass die Markierung falsch ist. Diese einwandfreie Seite ist jedoch kein Fehler in unserem Erkennungssystem. Es ist der Angriff.

In diesem Artikel wird erläutert, welche Technologie hinter dem Cloaking steckt, warum es „White Pages“ gibt, wie TDS wie [REDACTED] die Opfer weiterleiten und warum THE ENABLERS REGISTRY jedes einzelne dieser Muster als bestätigte bösartige Infrastruktur behandelt – ohne jegliche Ausnahme.

Warum das wichtig ist

Falls Sie dies lesen, weil Ihre Domain markiert wurde und Sie der Meinung sind, dass es sich um einen Fehler handelt, empfehlen wir Ihnen, den Text bis zum Ende zu lesen. Wir führen außerdem ein Berufungsverfahren für berechtigte Fehlalarme. Unserer Erfahrung nach sind Domains, die Cloaking-Verhalten zeigen, jedoch in 100 % der Fälle bösartig.

Wie Antivirenprogramme die Spielregeln verändert haben

Vor einem Jahrzehnt war Possibly phishing noch ganz einfach. Ein Angreifer registrierte eine Domain, richtete eine gefälschte Anmeldeseite ein und schickte den Link an die Opfer. Sicherheitsanbieter durchsuchten diese URL schließlich, entdeckten die Possibly phishing-Seite und fügten sie ihren Sperrlisten hinzu. Die Domain wurde dann innerhalb von Stunden oder Tagen deaktiviert.

Dann verbesserte sich die Situation in der Branche. Google Safe Browsing, Microsoft SmartScreen und über 100 Antiviren-Engines auf Plattformen wie VirusTotal begannen, URLs nahezu in Echtzeit zu scannen. Warnungen auf Browserebene senkten die Klickraten drastisch. Hosting-Anbieter richteten automatisierte Verfahren zur Abschaltung solcher Seiten ein. Der Zeitraum zwischen der Veröffentlichung einer Possibly phishing-Seite und ihrer Abschaltung verkürzte sich von Tagen auf Minuten.

Die Possibly phishing-Betreiber hatten ein Problem: Ihre Seiten wurden schneller entdeckt, als sie sie online stellen konnten. Sie suchten nach einer Möglichkeit, die Possibly phishing-Inhalte echten Opfern anzuzeigen, während sie für jedes automatisierte System, das versuchte, sie zu erkennen, völlig harmlos wirkten.

Die Antwort lautete Tarnung.

Entwicklung der Antiviren-Erkennung im Vergleich zur Umgehung von Phishing-Angriffen – technische Infografik
Das Wettrüsten: Als sich die Erkennungsgeschwindigkeit von Antivirenprogrammen von Tagen auf Minuten verkürzte, reagierten die Possibly phishing-Betreiber mit einer Tarninfrastruktur, die Scannern andere Inhalte anzeigt als den tatsächlichen Opfern.
Das Kernproblem

Modernes Possibly phishing wird nicht aufgedeckt, weil die Possibly phishing-Seite schwer zu erkennen ist. Es bleibt ungestraft, weil Der Scanner sieht die Possibly phishing-Seite überhaupt nicht.. Der Scanner erkennt einen Blogbeitrag, eine Weiterleitung oder eine leere Seite. Das Opfer – das aus einem bestimmten Land, über ein mobiles Gerät und über eine bezahlte Anzeige auf die Seite gelangt ist – sieht den „Credential Harvester“.

Was Cloaking eigentlich ist

Unter „Cloaking“ versteht man die Praxis, verschiedenen Besuchern je nach ihrer Identität unterschiedliche Inhalte anzuzeigen. Im Zusammenhang mit Possibly phishing bedeutet dies eines: Sicherheitsscanner erkennen eine harmlose Seite, während echte Opfer die Possibly phishing-Seite sehen.

Die Filterung kann auf mehreren Ebenen erfolgen:

  • IP-Reputation — Bekannte IP-Adressen von Rechenzentren, VPN-Bereiche und IP-Blöcke von Sicherheitsanbietern erhalten die „saubere“ Version. Privatanwender-IPs werden auf die Possibly phishing-Seite weitergeleitet.
  • User-Agent-Strings — Headless-Browser, bekannte Crawler (Googlebot, Bingbot, Screaming Frog) und Sicherheitsscanner werden erkannt und herausgefiltert.
  • Geolokalisierung — Die Possibly phishing-Seite wird nur Besuchern aus den Ziel Ländern angezeigt. Alle anderen sehen die leere Seite.
  • Referrer-Header — Nur Besucher, die über bestimmte Quellen (eine Google-Anzeige, einen Link in einer Possibly phishing-E-Mail, einen Social-Media-Beitrag) auf die Seite gelangen, sehen den eigentlichen Inhalt.
  • Geräte-Fingerprinting — JavaScript überprüft die Bildschirmauflösung, die installierten Schriftarten, den WebGL-Renderer, die Akku-API und weitere Indikatoren, um echte Geräte von Emulatoren zu unterscheiden.
  • Zeitabhängige Regeln — Die Possibly phishing-Seite ist nur zu bestimmten Zeiten aktiv (z. B. während der Geschäftszeiten in der Zielzeitzone) und wird außerhalb dieser Zeitfenster standardmäßig als leere Seite angezeigt.
  • Cookie-/Sitzungs-Tracking — Beim ersten Besuch wird die leere Seite angezeigt. Wiederkehrende Besucher mit einem bestimmten Cookie (das durch den Klick auf die Anzeige gesetzt wurde) sehen die Possibly phishing-Seite.
Drei Angreifer, die eine Tarninfrastruktur betreiben – konzeptionelle Darstellung
Die Cloaking-Infrastruktur filtert Besucher auf mehreren Ebenen. Bis ein echtes Opfer die Possibly phishing-Seite erreicht, wurde jeder automatisierten Abwehr bereits ein harmloser Köder präsentiert.

Eine ausgeklügelte Tarnvorrichtung vereint all diese Elemente. Das Ergebnis ist eine Domain, die für jeden Scanner im Internet völlig harmlos erscheint, während sie gleichzeitig aktiv Zugangsdaten von den ins Visier genommenen Opfern stiehlt.

Die Erkennungslücke

Wenn VirusTotal eine verschleierte URL scannt, wird eine leere Seite angezeigt. Ergebnis: 0/93 Erfassungen. Google Safe Browsing durchsucht die Seite und findet einen Blogbeitrag. Ergebnis: keine Warnung. Das Opfer klickt auf seinem Smartphone auf dieselbe URL, die in einer Google-Anzeige angezeigt wird: Sie sehen eine gefälschte [REDACTED]-Anmeldeseite. Das ist kein theoretisches Problem – es handelt sich um das Standardverfahren beim modernen Possibly phishing.

Die Werkzeuge hinter der Täuschung

Cloaking lässt sich nicht improvisieren. Es läuft auf einer speziellen kommerziellen Software namens Verkehrsverteilungssysteme (TDS). Am häufigsten wird bei Possibly phishing-Angriffen [REDACTED].

[REDACTED] ist ein seriöses Ad-Tech-Produkt, das für Affiliate-Vermarkter entwickelt wurde, um den Traffic anhand von Besuchermerkmalen weiterzuleiten. Es unterstützt standardmäßig alle oben aufgeführten Filterkriterien – IP-Bereiche, geografische Lage, Gerät, Referrer, User-Agent. Possibly phishing-Betreiber konfigurieren es einfach so, dass Scanner auf eine leere Seite und Opfer auf die Possibly phishing-Seite weitergeleitet werden.

Unsere Untersuchung, veröffentlicht als [REDACTED] TDS: 1.500 belichtete Platten, identifiziert 1.565 aktive [REDACTED]-Panels die Possibly phishing-Infrastruktur bereitstellt. Nicht 1.565 Possibly phishing-Seiten – 1.565 Bedienfelder, von denen jede Dutzende bis Hunderte von Possibly phishing-Kampagnen gleichzeitig durchführt.

[REDACTED]-TDS-Panel-Infrastruktur, die zur Verteilung von Phishing-Datenverkehr genutzt wird
[REDACTED] TDS: ein kommerzielles System zur Verkehrsverteilung, das als Rückgrat für Possibly phishing-Cloaking umfunktioniert wurde. Über 1.565 Panels wurden identifiziert und dokumentiert.

Zu den weiteren TDS-Plattformen, auf die wir stoßen, gehören:

  • Binom — Selbst gehosteter Tracker, der bei Operationen in der GUS-Region beliebt ist
  • BeMob — Cloud-basierter Tracker mit IP-Filterung und Bot-Erkennung
  • Benutzerdefinierte PHP-Router — Eigenentwickelte Skripte unter Verwendung von MaxMind GeoIP und IP-Sperrlisten
  • IANA #1910 Workers — Edge-basiertes Routing, bei dem die Besucherattribute ausgewertet werden, noch bevor die Anfrage den Ursprungsserver erreicht

Der gemeinsame Nenner: Sie alle dienen dazu, verschiedenen Besuchern unterschiedliche Inhalte anzuzeigen. In der Welt des Affiliate-Marketings wird dies als „Traffic-Optimierung“ bezeichnet. Beim Possibly phishing heißt es Hinterziehung.

Erkennungstool verfügbar

Wir haben die [REDACTED]-Erkennungsprogramm um [REDACTED]-TDS-Spuren auf beliebigen Domains zu identifizieren. Dabei wird nach bekannten Panel-Pfaden, Mustern in Antwort-Headern, Weiterleitungsketten und JavaScript-Signaturen gesucht, die mit [REDACTED]-Installationen in Verbindung stehen.

Das Szenario „Weiterleitung zur offiziellen Website“

Eines der häufigsten Cloaking-Muster, auf die wir stoßen, ist eine Domain, die einfach auf eine offizielle Website weiterleitet. Der Aufruf sieht immer gleich aus: „Überzeuge dich selbst – man wird einfach zu NASDAQ:COIN.com weitergeleitet. Es handelt sich nicht um Possibly phishing.“

Und so sieht die tatsächliche Situation aus:

Der Scanner ruft die URL auf
TDS überprüft IP/UA/Geo
302 → NASDAQ:COIN.com
Scanner: „Sauber“
Das Opfer klickt auf die Anzeige
TDS überprüft IP/UA/Geo
Gefälschte NASDAQ:COIN-Anmeldung
Anmeldedaten gestohlen

Die Weiterleitung auf die offizielle Website ist kein Hinweis darauf, dass die Domain harmlos ist. Es ist der Tarnmechanismus selbst. Das TDS hat festgestellt, dass es sich bei dem Besucher um einen Scanner handelt, und die sicherste Reaktion – diejenige, die am ehesten zu einem fehlerfreien Scan führt – besteht darin, auf die echte Website weiterzuleiten.

Hier ist ein vereinfachtes Beispiel für die serverseitige Logik:

// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];

function routeVisitor(req) {
  const ip = req.headers['cf-connecting-ip'];
  const ua = req.headers['user-agent'];
  const geo = req.headers['cf-ipcountry'];

  // If scanner/bot detected: redirect to official site
  if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
    return Response.redirect('https://www.NASDAQ:COIN.com', 302);
  }

  // If not in target geography: show white page
  if (!TARGET_GEO.includes(geo)) {
    return renderWhitePage(); // Innocent blog post
  }

  // Real victim from target country: show possibly phishing page
  return renderPhishingPage(); // Credential harvester
}
Die wichtigste Erkenntnis

Keine seriöse Website leitet Besucher auf die Domain eines anderen Unternehmens weiter. Wenn [REDACTED] leitet weiter zu NASDAQ:COIN.com, dann hat diese Domain keinen Daseinsgrund. Eine echte NASDAQ:COIN-Seite würde auf NASDAQ:COIN.com. Die Weiterleitung verrät es.

Das Problem mit den „Weißen Seiten“

Eine „White Page“ ist der Scheininhalt, den eine getarnte Possibly phishing-Domain Scannern und nicht zur Zielgruppe gehörenden Besuchern anzeigt. Trotz des Namens handelt es sich dabei selten um eine leere, weiße Seite. Moderne White Pages sind voll funktionsfähige Websites so gestaltet, dass sie seriös wirkt:

  • Blogbeiträge zu den Themen Kryptowährung, Finanzen oder Technologie
  • Produkt-Landingpages für allgemeine SaaS-Tools
  • Nachrichtenartikel, die aus seriösen Publikationen zusammengetragen wurden
  • Geparkte Domain-Seiten mit allgemeinen „Coming soon“-Meldungen
  • SEO-optimierte Inhalte, die darauf ausgelegt sind, in den Suchergebnissen weit oben zu erscheinen

Dieser letzte Punkt ist entscheidend. Weiße Seiten sind nicht nur Mittel zur Ausflucht – sie sind SEO-Werkzeuge. Indem sie hochwertige Inhalte auf einer Possibly phishing-Domain hosten, erreichen die Betreiber zwei Ziele gleichzeitig: Sie entgehen der Aufdeckung und Sie bauen eine Domain-Autorität auf, die dazu führt, dass ihre Possibly phishing-Links in den Suchergebnissen weiter oben erscheinen.

Der dreistufige SEO-Poisoning-Angriff

Dies ist der gesamte Lebenszyklus einer auf „White Pages“ basierenden Possibly phishing-Kampagne:

Phase 1
Bauaufsichtsbehörde
Phase 2
Rang & Index
Phase 3
Possibly phishing aktivieren
Phase 1: Autorität aufbauen (Wochen 1–4)
Domain registrieren. Eine „White Page“ mit SEO-optimierten Inhalten (Blogbeiträge, Artikel) bereitstellen. Backlinks aufbauen. Die Domain altert und gewinnt an Autorität. Alle Crawler sehen eine Website mit sauberen Inhalten. Google indexiert sie ohne Warnungen.
Phase 2: Rangliste und Index (Wochen 4–8)
Die Domain erscheint in den Suchergebnissen für die Ziel-Keywords („[REDACTED]-Wallet verbinden“, „NASDAQ:COIN-Login“, „Krypto-Airdrop“). Der Inhalt der leeren Seite wird weiterhin angezeigt. Der organische Traffic setzt ein. Die Reputation der Domain wird in allen Bewertungssystemen etabliert.
Phase 3: Possibly phishing aktivieren (ab Woche 8)
Die TDS-Regeln werden umgekehrt. Besucher, die den Profilen der Opfer entsprechen (private IP-Adresse, Zielland, Mobilgerät), sehen nun die Possibly phishing-Seite anstelle der leeren Seite. Scanner sehen weiterhin die leere Seite. Aufgrund der über die Zeit aufgebauten Reputation der Domain werden Browser-Warnungen erst mit Verzögerung ausgelöst. Opfer, die auf Suchergebnisse oder Anzeigen klicken, gelangen auf eine vertrauenswürdig wirkende Domain mit einem hohen Autoritätswert.
SEO-Poisoning-Pipeline für „White Pages“ – Phishing-Domain baut Autorität auf, bevor sie aktiviert wird
„White Pages“ sind keine passive Ausweichstrategie. Sie sind aktive SEO-Werkzeuge, die die Domain-Autorität stärken, Suchrankings erzielen und diese Reputation anschließend nutzen, um Possibly phishing-Angriffe über organische Suchergebnisse an Opfer zu richten.

Aus diesem Grund kennzeichnen wir Domains bereits in Phase 1. Wenn Phase 3 einsetzt, ist der Schaden bereits angerichtet. Auf das Erscheinen der Possibly phishing-Seite zu warten, bedeutet, darauf zu warten, dass die Opfer ihre Zugangsdaten und ihr Geld verlieren.

Aktive Traffic-Szenarien: Anzeigen und E-Mail-Kampagnen

Nicht alle getarnten Possibly phishing-Angriffe stützen sich auf organische Suchergebnisse. Zwei der aggressivsten Methoden zur Traffic-Gewinnung sind bezahlte Werbung und E-Mail-Kampagnen, die beide Cloaking nutzen, um die Überprüfung durch die Plattform zu umgehen.

Cloaking bei Google Ads

Unsere Untersuchung zu dem [REDACTED]-Drainer-Netzwerk dokumentiert 55+ Domains Google Ads nutzen, um Besucher auf Websites zu leiten, die das Portemonnaie leeren. Der Mechanismus:

  1. Der Betreiber reicht die Domain zur Überprüfung durch Google Ads ein. Der Crawler von Google findet eine leere Seite vor (ein Blog über Blockchain-Technologie). Anzeige genehmigt.
  2. Die Anzeige wird geschaltet und zielt auf die Suchbegriffe „Connect Wallet“ und „Crypto Airdrop“ ab.
  3. Ein Google-Nutzer klickt auf die Anzeige. TDS erkennt eine Privat-IP-Adresse, die von einem Google-Ads-Referrer stammt. Es wurde ein Abtropfgestell für Geldbörsen serviert.
  4. Das Opfer verbindet seine Wallet. Das Guthaben wird innerhalb von Sekunden über eine vorab signierte Transaktion abgezogen.

Das Anzeigenprüfungssystem von Google erkennt – wie jeder automatisierte Scanner – nur die weiße Seite. Die Anzeige wird weiterhin geschaltet, und der Betreiber zahlt Google weiterhin für jedes gelieferte Opfer.

Verschleierung von E-Mail-Kampagnen

E-Mail-Gateways (Microsoft Defender für Office 365, Proofpoint, Mimecast) überprüfen Links in E-Mails vor der Zustellung. Cloaking geht dabei genauso vor:

  1. Die Possibly phishing-E-Mail enthält einen Link zu einer getarnten Domain.
  2. Das E-Mail-Gateway überprüft die URL. Das serverseitige TDS erkennt den IP-Bereich des Gateways. Es wird entweder eine leere Seite oder eine Weiterleitung zur offiziellen Website angezeigt. E-Mail zugestellt.
  3. Der Empfänger klickt in seinem E-Mail-Programm auf den Link. Privat-IP-Adresse, korrekter Referrer, Zielregion. Possibly phishing-Seite aufgerufen.
Die Waage

Allein im Rahmen der [REDACTED]-Untersuchung finanzierte Google Ads aktiv die Verbreitung von „Wallet Drainers“ über mehr als 55 Domains. Jede dieser Domains durchlief die automatisierte Überprüfung von Google, da dem Google-Crawler eine leere Seite angezeigt wurde. Dies ist keine Lücke im System – es handelt sich um einen strukturellen Fehler in der Art und Weise, wie Werbeplattformen Landingpages überprüfen, wenn Cloaking zum Einsatz kommt.

Warum der Grundsatz „Unschuldig, bis die Schuld bewiesen ist“ hier nicht gilt

Manchmal wird das Argument vorgebracht, dass es verfrüht sei, eine Domain aufgrund einer Cloaking-Infrastruktur zu kennzeichnen – dass wir erst abwarten sollten, bis der eigentliche Possibly phishing-Inhalt erscheint, bevor wir Maßnahmen ergreifen. Dieses Argument geht am eigentlichen Wesen des Cloaking vorbei.

Cloaking ist keine neutrale Technologie. Es ist konfrontative Infrastruktur die speziell darauf ausgelegt ist, einer Erkennung zu entgehen. Eine Domain, die Cloaking einsetzt, hat damit bereits ihre Absicht offenbart: Sicherheitssystemen das eine und den Opfern etwas anderes zu zeigen. Das ist keine Konfiguration, die einem legitimen Zweck dient.

Die 5 Anzeichen, auf die wir achten

Jede Domäne, die folgende Merkmale aufweist jede beliebige Kombination Von diesen Signalen wird eines als bösartig markiert:

  1. Bereitstellung bedingter Inhalte — Unterschiedliche Inhalte je nach IP-Adresse, User-Agent, geografischem Standort, Referrer oder Geräte-Fingerabdruck
  2. TDS-Fingerabdrücke[REDACTED], Binom, BeMob oder benutzerdefinierte Router-Signaturen in Antwort-Headern, Weiterleitungsketten oder JavaScript
  3. Weiterleitung zu den offiziellen Websites — Jede Weiterleitung zu einer legitimen Domain eines Drittanbieters (insbesondere von Banken, Krypto-Anbietern oder E-Mail-Anbietern)
  4. Leere Seite mit nicht zum Thema gehörendem Inhalt — Blogbeiträge, Nachrichtenartikel oder allgemeine Inhalte auf einer Domain, die erst kürzlich registriert wurde und keine etablierte geschäftliche Präsenz aufweist
  5. JavaScript zur Bot-Abwehr — Skripte, die anhand von Fingerprinting-Verfahren prüfen, ob es sich um einen headless Browser, WebDriver, bestimmte Bildschirmabmessungen oder eine Canvas-Darstellung handelt, bevor entschieden wird, was angezeigt werden soll

In unserem Datensatz mit über 50.000 gescannten Websites beträgt die Anzahl der Domains, die diese Anzeichen aufwiesen und sich als legitim herausstellten, Null. Nicht „selten“ – sondern gar nicht. Wir sind noch nie auf eine einzige seriöse Website gestoßen, die nicht zur Zielgruppe gehörende Besucher auf die Domain eines anderen Unternehmens umleiten musste oder die Scannern einen Blog über Kryptowährungen anzeigte, während Besuchern aus bestimmten IP-Bereichen ein Anmeldeformular angezeigt wurde.

Unsere Richtlinien

Cloaking ist ein binäres Signal. Wenn eine Domain verschiedenen Besuchern mithilfe der oben beschriebenen Mechanismen unterschiedliche Inhalte anzeigt, wird sie markiert. Wenn ein Betreiber der Ansicht ist, dass es sich hierbei um einen Fehlalarm handelt, wird unser Berufungsverfahren dient genau diesem Zweck. Bislang wurde noch kein Einspruch gegen eine Markierung wegen Cloaking erfolgreich durchgesetzt.

Das Registrar-Problem

Cloaking führt zu einem Folgeproblem bei der Meldung von Missbrauch. Wenn wir eine gecloakte Domain bei einem Registrar melden, ruft das Missbrauchsteam des Registrars die URL auf und sieht … eine harmlose Seite. Einen Blogbeitrag. Eine Weiterleitung zu NASDAQ:COIN.com. Aus ihrer Sicht gibt es keinen Anlass zum Handeln.

Genau dieses Szenario hat sich bei uns abgespielt Untersuchung zu IANA #3765 und unser Untersuchung im Fall „IANA #1479. In beiden Fällen überprüften die Registrare die gemeldeten Domains, stellten fest, dass die Inhalte unbedenklich waren, und schlossen den Fall entweder ab oder setzten sich aktiv für den Domainbetreiber ein.

Das Problem ist systemischer Natur:

  • Die Teams zur Bekämpfung von Missbrauch bei Registrierungsstellen wenden dieselben Scan-Methoden an wie Antiviren-Anbieter — Sie rufen die URL über IP-Adressen des Rechenzentrums mit Standard-Browsern auf. Durch Cloaking wird dies jedes Mal umgangen.
  • Kein Registrar hat in Maßnahmen zur Erkennung von Cloaking investiert — Die Technologie zur Erkennung der bedingten Bereitstellung von Inhalten existiert (wir haben sie entwickelt), aber kein Registrar hat sie implementiert.
  • Das Missbrauchsbekämpfungs-Rahmenwerk der ICANN berücksichtigt Cloaking nicht — Bei Missbrauchsmeldungen sind Nachweise für schädliche Inhalte erforderlich. Wenn die schädlichen Inhalte nur den Opfern angezeigt werden, wird der eigene Überprüfungsprozess des Registrars diese niemals aufdecken.
Fehler bei der Antwort des Registrars

Wir haben dieses Muster ausführlich dokumentiert. Unser Bericht Wenn Meldungen über Missbrauch ins Leere laufen erläutert, warum Registrare bei Cloaking-Domains systematisch untätig bleiben, da ihre Überprüfungsmethoden genau das sind, was Cloaking eigentlich umgehen soll.

Aus diesem Grund existiert THE ENABLERS REGISTRY als eigenständige Ebene. Wir verlassen uns nicht darauf, die URL von einer einzigen IP-Adresse aus aufzurufen und zu prüfen, was dort angezeigt wird. Wir analysieren Weiterleitungsketten, TDS-Fingerabdrücke, JavaScript-Verhalten, DNS-Verlauf, Zertifikatstransparenz-Protokolle und zeitliche Muster über Tausende von Domains hinweg. Wenn wir eine Domain markieren, haben wir bereits berücksichtigt, dass die Domain für jeden, der sie auf die naheliegende Weise überprüft, unauffällig erscheint.

Zusammenfassung: Cloaking-Techniken und deren Erkennung

TechnikWas Scanner sehenWas die Opfer sehenNachweismethode
IP-basierte FilterungLeere Seite / WeiterleitungPossibly phishing-SeiteMulti-IP-Scan, Vergleich von Residential-Proxys
UA-basierte FilterungWeiße Seite / 403Possibly phishing-SeiteUA-Rotation, Vergleich zwischen Headless-Modus und echtem Browser
Standortbasierte FilterungAllgemeiner InhaltLokalisiertes Possibly phishingProxy-Scan in mehreren Regionen
Referrer-FilterungWeiße SeitePossibly phishing (über Werbung/E-Mail)Fälschung der Referrer-Adresse, Simulation von Anzeigenklicks
JS-FingerprintingLeere Seite (Bot erkannt)Possibly phishing (echtes Gerät)Statische Analyse von JavaScript, Entschleierung
Zeitabhängige RegelnReinigung (außerhalb der Öffnungszeiten)Possibly phishing (während der Geschäftszeiten)Zeitliche Überprüfung, zeitzonenbezogene Kontrollen
Cookie-/Sitzungs-GatingSauber (erster Besuch)Possibly phishing (Wiederholungsbesuch mit Cookie)Analyse von Sitzungen mit mehreren Besuchen, Cookie-Wiedergabe
TDS ([REDACTED]/Binom)Leere Seite oder WeiterleitungWeiterleitung zu einer Possibly phishing-Seite[REDACTED]-Erkennungsprogramm, Analyse von Header und Weiterleitungen
Weiterleitung zur offiziellen Website302 → legitime WebsitePossibly phishing-SeiteAnalyse der Weiterleitungsziele, Überprüfung des Domainzwecks
Zusammenfassung zur Erkennung von Cloaking und zur Analyse der Phishing-Infrastruktur
Das Gesamtbild: Für jede Cloaking-Technik gibt es eine Erkennungsmethode. Die Herausforderung liegt nicht in der Technologie – sondern darin, Registrare, Werbeplattformen und E-Mail-Gateways dazu zu bewegen, diese Methoden auch umzusetzen.

Fazit

Cloaking ist keine Grauzone. Es ist die die mit Abstand wirksamste Ausweichtechnik im modernen Possibly phishing, und jede Komponente des Possibly phishing-Ökosystems – von Google Ads über E-Mail-Gateways bis hin zu den Teams, die den Missbrauch von Domain-Registraren bekämpfen – versagt derzeit dabei, dieses Problem anzugehen.

Wenn THE ENABLERS REGISTRY eine Domain wegen Cloaking kennzeichnet, handelt es sich dabei nicht um eine Vermutung. Wir dokumentieren das Vorhandensein einer böswilligen Infrastruktur, die nur einem einzigen Zweck dient: verschiedenen Besuchern unterschiedliche Inhalte anzuzeigen. Bei über 50.000 Scans liegt die Falsch-Positiv-Rate für dieses Signal bei null.

Falls Ihre Domain markiert wurde:

  • Wenn Sie ein seriöser Betreiber sind und der Meinung sind, dass es sich hierbei um einen Fehlalarm handelt, Einspruch einlegen. Wir prüfen jede einzelne.
  • Falls Sie eine Cloaking-Infrastruktur betreiben, wissen wir bereits davon. Die leere Seite, die Sie unserem Scanner angezeigt haben, ist nicht das, was Ihre Opfer sehen. Und wir haben die Beweise dafür.
Die leere Seite ist keine Verteidigung. Sie ist ein Geständnis. Wenn Ihre Domain verschiedenen Besuchern unterschiedliche Inhalte anzeigen muss, haben Sie die Frage, ob sie bösartig ist, bereits beantwortet.

Jede getarnte Domain wird gesperrt. Es gibt keine Ausnahmen. Bislang war noch kein Einspruch erfolgreich. Denn bei 50.000 Scans haben wir uns bei diesem Signal noch nie geirrt.

Verwandte Forschungsergebnisse und Ressourcen

Dieser Artikel basiert auf unseren praktischen Erfahrungen, die wir beim Scannen von mehr als 50.000 Domains, bei der Untersuchung aktiver Possibly phishing-Infrastrukturen und bei der Einreichung von Missbrauchsmeldungen bei Registraren und ICANN gesammelt haben. Alle beschriebenen Techniken sind mit Belegen dokumentiert. Zu keinem Zeitpunkt unserer Untersuchungen wurde ein unbefugter Zugriff vorgenommen.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings