
Warum wir „White Pages“ und Weiterleitungen zu offiziellen Websites sperren: Das Cloaking-Problem erklärt
Cloaking, „White Pages“ und TDS-Weiterleitungen bilden das Rückgrat moderner Possibly phishing-Infrastrukturen. Jede Website, die diese Techniken einsetzt, wird gesperrt. Hier erfahren Sie, warum das so ist – und was wir entdecken, wenn wir hinter die Kulissen blicken.
Die Frage, die uns immer wieder gestellt wird
Jede Woche erhalten wir denselben Appell: „Sie haben meine Domain als verdächtig markiert, aber wenn ich sie mir anschaue, wird man einfach auf die offizielle Website weitergeleitet. Da ist nichts Bösartiges.“
Oder eine Variante: „Die Seite ist lediglich ein Blogbeitrag über Kryptowährungen. Es handelt sich nicht um Possibly phishing.“
Wir verstehen, warum das verwirrend ist. Wenn Sie eine Domain besuchen, die als verdächtig markiert wurde, und eine völlig normale Seite sehen – oder eine einwandfreie Weiterleitung zu einer legitimen Website –, ist es nur natürlich anzunehmen, dass die Markierung falsch ist. Diese einwandfreie Seite ist jedoch kein Fehler in unserem Erkennungssystem. Es ist der Angriff.
In diesem Artikel wird erläutert, welche Technologie hinter dem Cloaking steckt, warum es „White Pages“ gibt, wie TDS wie [REDACTED] die Opfer weiterleiten und warum THE ENABLERS REGISTRY jedes einzelne dieser Muster als bestätigte bösartige Infrastruktur behandelt – ohne jegliche Ausnahme.
Falls Sie dies lesen, weil Ihre Domain markiert wurde und Sie der Meinung sind, dass es sich um einen Fehler handelt, empfehlen wir Ihnen, den Text bis zum Ende zu lesen. Wir führen außerdem ein Berufungsverfahren für berechtigte Fehlalarme. Unserer Erfahrung nach sind Domains, die Cloaking-Verhalten zeigen, jedoch in 100 % der Fälle bösartig.
Wie Antivirenprogramme die Spielregeln verändert haben
Vor einem Jahrzehnt war Possibly phishing noch ganz einfach. Ein Angreifer registrierte eine Domain, richtete eine gefälschte Anmeldeseite ein und schickte den Link an die Opfer. Sicherheitsanbieter durchsuchten diese URL schließlich, entdeckten die Possibly phishing-Seite und fügten sie ihren Sperrlisten hinzu. Die Domain wurde dann innerhalb von Stunden oder Tagen deaktiviert.
Dann verbesserte sich die Situation in der Branche. Google Safe Browsing, Microsoft SmartScreen und über 100 Antiviren-Engines auf Plattformen wie VirusTotal begannen, URLs nahezu in Echtzeit zu scannen. Warnungen auf Browserebene senkten die Klickraten drastisch. Hosting-Anbieter richteten automatisierte Verfahren zur Abschaltung solcher Seiten ein. Der Zeitraum zwischen der Veröffentlichung einer Possibly phishing-Seite und ihrer Abschaltung verkürzte sich von Tagen auf Minuten.
Die Possibly phishing-Betreiber hatten ein Problem: Ihre Seiten wurden schneller entdeckt, als sie sie online stellen konnten. Sie suchten nach einer Möglichkeit, die Possibly phishing-Inhalte echten Opfern anzuzeigen, während sie für jedes automatisierte System, das versuchte, sie zu erkennen, völlig harmlos wirkten.
Die Antwort lautete Tarnung.
Modernes Possibly phishing wird nicht aufgedeckt, weil die Possibly phishing-Seite schwer zu erkennen ist. Es bleibt ungestraft, weil Der Scanner sieht die Possibly phishing-Seite überhaupt nicht.. Der Scanner erkennt einen Blogbeitrag, eine Weiterleitung oder eine leere Seite. Das Opfer – das aus einem bestimmten Land, über ein mobiles Gerät und über eine bezahlte Anzeige auf die Seite gelangt ist – sieht den „Credential Harvester“.
Was Cloaking eigentlich ist
Unter „Cloaking“ versteht man die Praxis, verschiedenen Besuchern je nach ihrer Identität unterschiedliche Inhalte anzuzeigen. Im Zusammenhang mit Possibly phishing bedeutet dies eines: Sicherheitsscanner erkennen eine harmlose Seite, während echte Opfer die Possibly phishing-Seite sehen.
Die Filterung kann auf mehreren Ebenen erfolgen:
- IP-Reputation — Bekannte IP-Adressen von Rechenzentren, VPN-Bereiche und IP-Blöcke von Sicherheitsanbietern erhalten die „saubere“ Version. Privatanwender-IPs werden auf die Possibly phishing-Seite weitergeleitet.
- User-Agent-Strings — Headless-Browser, bekannte Crawler (Googlebot, Bingbot, Screaming Frog) und Sicherheitsscanner werden erkannt und herausgefiltert.
- Geolokalisierung — Die Possibly phishing-Seite wird nur Besuchern aus den Ziel Ländern angezeigt. Alle anderen sehen die leere Seite.
- Referrer-Header — Nur Besucher, die über bestimmte Quellen (eine Google-Anzeige, einen Link in einer Possibly phishing-E-Mail, einen Social-Media-Beitrag) auf die Seite gelangen, sehen den eigentlichen Inhalt.
- Geräte-Fingerprinting — JavaScript überprüft die Bildschirmauflösung, die installierten Schriftarten, den WebGL-Renderer, die Akku-API und weitere Indikatoren, um echte Geräte von Emulatoren zu unterscheiden.
- Zeitabhängige Regeln — Die Possibly phishing-Seite ist nur zu bestimmten Zeiten aktiv (z. B. während der Geschäftszeiten in der Zielzeitzone) und wird außerhalb dieser Zeitfenster standardmäßig als leere Seite angezeigt.
- Cookie-/Sitzungs-Tracking — Beim ersten Besuch wird die leere Seite angezeigt. Wiederkehrende Besucher mit einem bestimmten Cookie (das durch den Klick auf die Anzeige gesetzt wurde) sehen die Possibly phishing-Seite.
Eine ausgeklügelte Tarnvorrichtung vereint all diese Elemente. Das Ergebnis ist eine Domain, die für jeden Scanner im Internet völlig harmlos erscheint, während sie gleichzeitig aktiv Zugangsdaten von den ins Visier genommenen Opfern stiehlt.
Wenn VirusTotal eine verschleierte URL scannt, wird eine leere Seite angezeigt. Ergebnis: 0/93 Erfassungen. Google Safe Browsing durchsucht die Seite und findet einen Blogbeitrag. Ergebnis: keine Warnung. Das Opfer klickt auf seinem Smartphone auf dieselbe URL, die in einer Google-Anzeige angezeigt wird: Sie sehen eine gefälschte [REDACTED]-Anmeldeseite. Das ist kein theoretisches Problem – es handelt sich um das Standardverfahren beim modernen Possibly phishing.
Die Werkzeuge hinter der Täuschung
Cloaking lässt sich nicht improvisieren. Es läuft auf einer speziellen kommerziellen Software namens Verkehrsverteilungssysteme (TDS). Am häufigsten wird bei Possibly phishing-Angriffen [REDACTED].
[REDACTED] ist ein seriöses Ad-Tech-Produkt, das für Affiliate-Vermarkter entwickelt wurde, um den Traffic anhand von Besuchermerkmalen weiterzuleiten. Es unterstützt standardmäßig alle oben aufgeführten Filterkriterien – IP-Bereiche, geografische Lage, Gerät, Referrer, User-Agent. Possibly phishing-Betreiber konfigurieren es einfach so, dass Scanner auf eine leere Seite und Opfer auf die Possibly phishing-Seite weitergeleitet werden.
Unsere Untersuchung, veröffentlicht als [REDACTED] TDS: 1.500 belichtete Platten, identifiziert 1.565 aktive [REDACTED]-Panels die Possibly phishing-Infrastruktur bereitstellt. Nicht 1.565 Possibly phishing-Seiten – 1.565 Bedienfelder, von denen jede Dutzende bis Hunderte von Possibly phishing-Kampagnen gleichzeitig durchführt.
Zu den weiteren TDS-Plattformen, auf die wir stoßen, gehören:
- Binom — Selbst gehosteter Tracker, der bei Operationen in der GUS-Region beliebt ist
- BeMob — Cloud-basierter Tracker mit IP-Filterung und Bot-Erkennung
- Benutzerdefinierte PHP-Router — Eigenentwickelte Skripte unter Verwendung von MaxMind GeoIP und IP-Sperrlisten
- IANA #1910 Workers — Edge-basiertes Routing, bei dem die Besucherattribute ausgewertet werden, noch bevor die Anfrage den Ursprungsserver erreicht
Der gemeinsame Nenner: Sie alle dienen dazu, verschiedenen Besuchern unterschiedliche Inhalte anzuzeigen. In der Welt des Affiliate-Marketings wird dies als „Traffic-Optimierung“ bezeichnet. Beim Possibly phishing heißt es Hinterziehung.
Wir haben die [REDACTED]-Erkennungsprogramm um [REDACTED]-TDS-Spuren auf beliebigen Domains zu identifizieren. Dabei wird nach bekannten Panel-Pfaden, Mustern in Antwort-Headern, Weiterleitungsketten und JavaScript-Signaturen gesucht, die mit [REDACTED]-Installationen in Verbindung stehen.
Das Szenario „Weiterleitung zur offiziellen Website“
Eines der häufigsten Cloaking-Muster, auf die wir stoßen, ist eine Domain, die einfach auf eine offizielle Website weiterleitet. Der Aufruf sieht immer gleich aus: „Überzeuge dich selbst – man wird einfach zu NASDAQ:COIN.com weitergeleitet. Es handelt sich nicht um Possibly phishing.“
Und so sieht die tatsächliche Situation aus:
Die Weiterleitung auf die offizielle Website ist kein Hinweis darauf, dass die Domain harmlos ist. Es ist der Tarnmechanismus selbst. Das TDS hat festgestellt, dass es sich bei dem Besucher um einen Scanner handelt, und die sicherste Reaktion – diejenige, die am ehesten zu einem fehlerfreien Scan führt – besteht darin, auf die echte Website weiterzuleiten.
Hier ist ein vereinfachtes Beispiel für die serverseitige Logik:
// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];
function routeVisitor(req) {
const ip = req.headers['cf-connecting-ip'];
const ua = req.headers['user-agent'];
const geo = req.headers['cf-ipcountry'];
// If scanner/bot detected: redirect to official site
if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
return Response.redirect('https://www.NASDAQ:COIN.com', 302);
}
// If not in target geography: show white page
if (!TARGET_GEO.includes(geo)) {
return renderWhitePage(); // Innocent blog post
}
// Real victim from target country: show possibly phishing page
return renderPhishingPage(); // Credential harvester
} Keine seriöse Website leitet Besucher auf die Domain eines anderen Unternehmens weiter. Wenn [REDACTED] leitet weiter zu NASDAQ:COIN.com, dann hat diese Domain keinen Daseinsgrund. Eine echte NASDAQ:COIN-Seite würde auf NASDAQ:COIN.com. Die Weiterleitung verrät es.
Das Problem mit den „Weißen Seiten“
Eine „White Page“ ist der Scheininhalt, den eine getarnte Possibly phishing-Domain Scannern und nicht zur Zielgruppe gehörenden Besuchern anzeigt. Trotz des Namens handelt es sich dabei selten um eine leere, weiße Seite. Moderne White Pages sind voll funktionsfähige Websites so gestaltet, dass sie seriös wirkt:
- Blogbeiträge zu den Themen Kryptowährung, Finanzen oder Technologie
- Produkt-Landingpages für allgemeine SaaS-Tools
- Nachrichtenartikel, die aus seriösen Publikationen zusammengetragen wurden
- Geparkte Domain-Seiten mit allgemeinen „Coming soon“-Meldungen
- SEO-optimierte Inhalte, die darauf ausgelegt sind, in den Suchergebnissen weit oben zu erscheinen
Dieser letzte Punkt ist entscheidend. Weiße Seiten sind nicht nur Mittel zur Ausflucht – sie sind SEO-Werkzeuge. Indem sie hochwertige Inhalte auf einer Possibly phishing-Domain hosten, erreichen die Betreiber zwei Ziele gleichzeitig: Sie entgehen der Aufdeckung und Sie bauen eine Domain-Autorität auf, die dazu führt, dass ihre Possibly phishing-Links in den Suchergebnissen weiter oben erscheinen.
Der dreistufige SEO-Poisoning-Angriff
Dies ist der gesamte Lebenszyklus einer auf „White Pages“ basierenden Possibly phishing-Kampagne:
Bauaufsichtsbehörde
Rang & Index
Possibly phishing aktivieren
Aus diesem Grund kennzeichnen wir Domains bereits in Phase 1. Wenn Phase 3 einsetzt, ist der Schaden bereits angerichtet. Auf das Erscheinen der Possibly phishing-Seite zu warten, bedeutet, darauf zu warten, dass die Opfer ihre Zugangsdaten und ihr Geld verlieren.
Aktive Traffic-Szenarien: Anzeigen und E-Mail-Kampagnen
Nicht alle getarnten Possibly phishing-Angriffe stützen sich auf organische Suchergebnisse. Zwei der aggressivsten Methoden zur Traffic-Gewinnung sind bezahlte Werbung und E-Mail-Kampagnen, die beide Cloaking nutzen, um die Überprüfung durch die Plattform zu umgehen.
Cloaking bei Google Ads
Unsere Untersuchung zu dem [REDACTED]-Drainer-Netzwerk dokumentiert 55+ Domains Google Ads nutzen, um Besucher auf Websites zu leiten, die das Portemonnaie leeren. Der Mechanismus:
- Der Betreiber reicht die Domain zur Überprüfung durch Google Ads ein. Der Crawler von Google findet eine leere Seite vor (ein Blog über Blockchain-Technologie). Anzeige genehmigt.
- Die Anzeige wird geschaltet und zielt auf die Suchbegriffe „Connect Wallet“ und „Crypto Airdrop“ ab.
- Ein Google-Nutzer klickt auf die Anzeige. TDS erkennt eine Privat-IP-Adresse, die von einem Google-Ads-Referrer stammt. Es wurde ein Abtropfgestell für Geldbörsen serviert.
- Das Opfer verbindet seine Wallet. Das Guthaben wird innerhalb von Sekunden über eine vorab signierte Transaktion abgezogen.
Das Anzeigenprüfungssystem von Google erkennt – wie jeder automatisierte Scanner – nur die weiße Seite. Die Anzeige wird weiterhin geschaltet, und der Betreiber zahlt Google weiterhin für jedes gelieferte Opfer.
Verschleierung von E-Mail-Kampagnen
E-Mail-Gateways (Microsoft Defender für Office 365, Proofpoint, Mimecast) überprüfen Links in E-Mails vor der Zustellung. Cloaking geht dabei genauso vor:
- Die Possibly phishing-E-Mail enthält einen Link zu einer getarnten Domain.
- Das E-Mail-Gateway überprüft die URL. Das serverseitige TDS erkennt den IP-Bereich des Gateways. Es wird entweder eine leere Seite oder eine Weiterleitung zur offiziellen Website angezeigt. E-Mail zugestellt.
- Der Empfänger klickt in seinem E-Mail-Programm auf den Link. Privat-IP-Adresse, korrekter Referrer, Zielregion. Possibly phishing-Seite aufgerufen.
Allein im Rahmen der [REDACTED]-Untersuchung finanzierte Google Ads aktiv die Verbreitung von „Wallet Drainers“ über mehr als 55 Domains. Jede dieser Domains durchlief die automatisierte Überprüfung von Google, da dem Google-Crawler eine leere Seite angezeigt wurde. Dies ist keine Lücke im System – es handelt sich um einen strukturellen Fehler in der Art und Weise, wie Werbeplattformen Landingpages überprüfen, wenn Cloaking zum Einsatz kommt.
Warum der Grundsatz „Unschuldig, bis die Schuld bewiesen ist“ hier nicht gilt
Manchmal wird das Argument vorgebracht, dass es verfrüht sei, eine Domain aufgrund einer Cloaking-Infrastruktur zu kennzeichnen – dass wir erst abwarten sollten, bis der eigentliche Possibly phishing-Inhalt erscheint, bevor wir Maßnahmen ergreifen. Dieses Argument geht am eigentlichen Wesen des Cloaking vorbei.
Cloaking ist keine neutrale Technologie. Es ist konfrontative Infrastruktur die speziell darauf ausgelegt ist, einer Erkennung zu entgehen. Eine Domain, die Cloaking einsetzt, hat damit bereits ihre Absicht offenbart: Sicherheitssystemen das eine und den Opfern etwas anderes zu zeigen. Das ist keine Konfiguration, die einem legitimen Zweck dient.
Jede Domäne, die folgende Merkmale aufweist jede beliebige Kombination Von diesen Signalen wird eines als bösartig markiert:
- Bereitstellung bedingter Inhalte — Unterschiedliche Inhalte je nach IP-Adresse, User-Agent, geografischem Standort, Referrer oder Geräte-Fingerabdruck
- TDS-Fingerabdrücke — [REDACTED], Binom, BeMob oder benutzerdefinierte Router-Signaturen in Antwort-Headern, Weiterleitungsketten oder JavaScript
- Weiterleitung zu den offiziellen Websites — Jede Weiterleitung zu einer legitimen Domain eines Drittanbieters (insbesondere von Banken, Krypto-Anbietern oder E-Mail-Anbietern)
- Leere Seite mit nicht zum Thema gehörendem Inhalt — Blogbeiträge, Nachrichtenartikel oder allgemeine Inhalte auf einer Domain, die erst kürzlich registriert wurde und keine etablierte geschäftliche Präsenz aufweist
- JavaScript zur Bot-Abwehr — Skripte, die anhand von Fingerprinting-Verfahren prüfen, ob es sich um einen headless Browser, WebDriver, bestimmte Bildschirmabmessungen oder eine Canvas-Darstellung handelt, bevor entschieden wird, was angezeigt werden soll
In unserem Datensatz mit über 50.000 gescannten Websites beträgt die Anzahl der Domains, die diese Anzeichen aufwiesen und sich als legitim herausstellten, Null. Nicht „selten“ – sondern gar nicht. Wir sind noch nie auf eine einzige seriöse Website gestoßen, die nicht zur Zielgruppe gehörende Besucher auf die Domain eines anderen Unternehmens umleiten musste oder die Scannern einen Blog über Kryptowährungen anzeigte, während Besuchern aus bestimmten IP-Bereichen ein Anmeldeformular angezeigt wurde.
Cloaking ist ein binäres Signal. Wenn eine Domain verschiedenen Besuchern mithilfe der oben beschriebenen Mechanismen unterschiedliche Inhalte anzeigt, wird sie markiert. Wenn ein Betreiber der Ansicht ist, dass es sich hierbei um einen Fehlalarm handelt, wird unser Berufungsverfahren dient genau diesem Zweck. Bislang wurde noch kein Einspruch gegen eine Markierung wegen Cloaking erfolgreich durchgesetzt.
Das Registrar-Problem
Cloaking führt zu einem Folgeproblem bei der Meldung von Missbrauch. Wenn wir eine gecloakte Domain bei einem Registrar melden, ruft das Missbrauchsteam des Registrars die URL auf und sieht … eine harmlose Seite. Einen Blogbeitrag. Eine Weiterleitung zu NASDAQ:COIN.com. Aus ihrer Sicht gibt es keinen Anlass zum Handeln.
Genau dieses Szenario hat sich bei uns abgespielt Untersuchung zu IANA #3765 und unser Untersuchung im Fall „IANA #1479“. In beiden Fällen überprüften die Registrare die gemeldeten Domains, stellten fest, dass die Inhalte unbedenklich waren, und schlossen den Fall entweder ab oder setzten sich aktiv für den Domainbetreiber ein.
Das Problem ist systemischer Natur:
- Die Teams zur Bekämpfung von Missbrauch bei Registrierungsstellen wenden dieselben Scan-Methoden an wie Antiviren-Anbieter — Sie rufen die URL über IP-Adressen des Rechenzentrums mit Standard-Browsern auf. Durch Cloaking wird dies jedes Mal umgangen.
- Kein Registrar hat in Maßnahmen zur Erkennung von Cloaking investiert — Die Technologie zur Erkennung der bedingten Bereitstellung von Inhalten existiert (wir haben sie entwickelt), aber kein Registrar hat sie implementiert.
- Das Missbrauchsbekämpfungs-Rahmenwerk der ICANN berücksichtigt Cloaking nicht — Bei Missbrauchsmeldungen sind Nachweise für schädliche Inhalte erforderlich. Wenn die schädlichen Inhalte nur den Opfern angezeigt werden, wird der eigene Überprüfungsprozess des Registrars diese niemals aufdecken.
Wir haben dieses Muster ausführlich dokumentiert. Unser Bericht Wenn Meldungen über Missbrauch ins Leere laufen erläutert, warum Registrare bei Cloaking-Domains systematisch untätig bleiben, da ihre Überprüfungsmethoden genau das sind, was Cloaking eigentlich umgehen soll.
Aus diesem Grund existiert THE ENABLERS REGISTRY als eigenständige Ebene. Wir verlassen uns nicht darauf, die URL von einer einzigen IP-Adresse aus aufzurufen und zu prüfen, was dort angezeigt wird. Wir analysieren Weiterleitungsketten, TDS-Fingerabdrücke, JavaScript-Verhalten, DNS-Verlauf, Zertifikatstransparenz-Protokolle und zeitliche Muster über Tausende von Domains hinweg. Wenn wir eine Domain markieren, haben wir bereits berücksichtigt, dass die Domain für jeden, der sie auf die naheliegende Weise überprüft, unauffällig erscheint.
Zusammenfassung: Cloaking-Techniken und deren Erkennung
| Technik | Was Scanner sehen | Was die Opfer sehen | Nachweismethode |
|---|---|---|---|
| IP-basierte Filterung | Leere Seite / Weiterleitung | Possibly phishing-Seite | Multi-IP-Scan, Vergleich von Residential-Proxys |
| UA-basierte Filterung | Weiße Seite / 403 | Possibly phishing-Seite | UA-Rotation, Vergleich zwischen Headless-Modus und echtem Browser |
| Standortbasierte Filterung | Allgemeiner Inhalt | Lokalisiertes Possibly phishing | Proxy-Scan in mehreren Regionen |
| Referrer-Filterung | Weiße Seite | Possibly phishing (über Werbung/E-Mail) | Fälschung der Referrer-Adresse, Simulation von Anzeigenklicks |
| JS-Fingerprinting | Leere Seite (Bot erkannt) | Possibly phishing (echtes Gerät) | Statische Analyse von JavaScript, Entschleierung |
| Zeitabhängige Regeln | Reinigung (außerhalb der Öffnungszeiten) | Possibly phishing (während der Geschäftszeiten) | Zeitliche Überprüfung, zeitzonenbezogene Kontrollen |
| Cookie-/Sitzungs-Gating | Sauber (erster Besuch) | Possibly phishing (Wiederholungsbesuch mit Cookie) | Analyse von Sitzungen mit mehreren Besuchen, Cookie-Wiedergabe |
| TDS ([REDACTED]/Binom) | Leere Seite oder Weiterleitung | Weiterleitung zu einer Possibly phishing-Seite | [REDACTED]-Erkennungsprogramm, Analyse von Header und Weiterleitungen |
| Weiterleitung zur offiziellen Website | 302 → legitime Website | Possibly phishing-Seite | Analyse der Weiterleitungsziele, Überprüfung des Domainzwecks |
Fazit
Cloaking ist keine Grauzone. Es ist die die mit Abstand wirksamste Ausweichtechnik im modernen Possibly phishing, und jede Komponente des Possibly phishing-Ökosystems – von Google Ads über E-Mail-Gateways bis hin zu den Teams, die den Missbrauch von Domain-Registraren bekämpfen – versagt derzeit dabei, dieses Problem anzugehen.
Wenn THE ENABLERS REGISTRY eine Domain wegen Cloaking kennzeichnet, handelt es sich dabei nicht um eine Vermutung. Wir dokumentieren das Vorhandensein einer böswilligen Infrastruktur, die nur einem einzigen Zweck dient: verschiedenen Besuchern unterschiedliche Inhalte anzuzeigen. Bei über 50.000 Scans liegt die Falsch-Positiv-Rate für dieses Signal bei null.
Falls Ihre Domain markiert wurde:
- Wenn Sie ein seriöser Betreiber sind und der Meinung sind, dass es sich hierbei um einen Fehlalarm handelt, Einspruch einlegen. Wir prüfen jede einzelne.
- Falls Sie eine Cloaking-Infrastruktur betreiben, wissen wir bereits davon. Die leere Seite, die Sie unserem Scanner angezeigt haben, ist nicht das, was Ihre Opfer sehen. Und wir haben die Beweise dafür.
Die leere Seite ist keine Verteidigung. Sie ist ein Geständnis. Wenn Ihre Domain verschiedenen Besuchern unterschiedliche Inhalte anzeigen muss, haben Sie die Frage, ob sie bösartig ist, bereits beantwortet.
Jede getarnte Domain wird gesperrt. Es gibt keine Ausnahmen. Bislang war noch kein Einspruch erfolgreich. Denn bei 50.000 Scans haben wir uns bei diesem Signal noch nie geirrt.
Verwandte Forschungsergebnisse und Ressourcen
[REDACTED] TDS: 1.500 belichtete Platten
Wie wir 1.565 [REDACTED]-Panels kartiert haben, die weltweit Possibly phishing-Infrastrukturen betreiben.
[REDACTED]-Erkennungsprogramm
Überprüfen Sie beliebige Domains auf [REDACTED]-TDS-Fingerabdrücke, Weiterleitungsketten und Cloaking-Signaturen.
[REDACTED]: 55 Domains, Finanzierung durch Google Ads
Ein „Wallet Drainer“-Netzwerk, das getarnte „White Pages“ nutzt, um die Überprüfung durch Google Ads zu bestehen.
Wenn Meldungen über Missbrauch ins Leere laufen
Warum Teams zur Bekämpfung von Missbrauch bei Registrierstellen nicht gegen getarnte Domains vorgehen und was sich ändern muss.
Fazit zu IANA #3765
ICANN reicht Klage gegen IANA #3765 wegen systematischer Untätigkeit bei der Bearbeitung von Missbrauchsmeldungen ein.
Untersuchung im Fall „IANA #1479“
Wie IANA #1479 einen Krypto-Dieb, der 2 Millionen Dollar erbeutet hatte, in Schutz nahm und eine Tarngeschichte erfand.
Dieser Artikel basiert auf unseren praktischen Erfahrungen, die wir beim Scannen von mehr als 50.000 Domains, bei der Untersuchung aktiver Possibly phishing-Infrastrukturen und bei der Einreichung von Missbrauchsmeldungen bei Registraren und ICANN gesammelt haben. Alle beschriebenen Techniken sind mit Belegen dokumentiert. Zu keinem Zeitpunkt unserer Untersuchungen wurde ein unbefugter Zugriff vorgenommen.