Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / HI / CLOAKING WHITEPAGES EXPLAINED

क्लोकिंग और व्हाइट पेजेज़ की व्याख्या | फिशडिस्ट्रॉय

The Enablers Registry·Editorial mirror·/hi/cloaking-whitepages-explained

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

हम "व्हाइट पेजेज़" और आधिकारिक साइटों पर रीडायरेक्ट क्यों प्रतिबंधित करते हैं: क्लोकिंग की समस्या की व्याख्या

क्लोकिंग, व्हाइट पेज और टीडीएस रीडायरेक्ट्स आधुनिक फ़िशिंग इंफ्रास्ट्रक्चर की रीढ़ हैं। इनका उपयोग करने वाली हर साइट को प्रतिबंधित कर दिया जाता है। यहाँ बताया गया है कि क्यों — और जब हम पर्दे के पीछे झाँकते हैं तो हमें क्या मिलता है।

मार्च 29, 2026 फिशडिस्ट्रॉय रिसर्च ~12 मिनट में पढ़ें
फ़िशिंग इंफ्रास्ट्रक्चर में क्लोकिंग और व्हाइट पेज — तकनीकी अवलोकन
आधुनिक फ़िशिंग अवसंरचना हर स्वचालित पहचान की परत से बचने के लिए क्लोकिंग का उपयोग कैसे करती है।
50,000+
स्कैन की गई साइटें
1,565
केइतारो पैनल
0
वैध उपयोग
55+
[REDACTED] डोमेन्स
100+
एवी इंजन

वह सवाल जो हमसे बार-बार पूछा जाता है

हर हफ्ते, हमें वही अपील मिलती है: आपने मेरे डोमेन को चिह्नित किया, लेकिन जब मैं इसे जांचता हूँ, तो यह बस आधिकारिक वेबसाइट पर रीडायरेक्ट कर देता है। यहाँ कुछ भी दुर्भावनापूर्ण नहीं है।

या एक भिन्न रूप: यह पेज सिर्फ क्रिप्टोकरेंसी के बारे में एक ब्लॉग पोस्ट है। यह फिशिंग नहीं है।

हम समझते हैं कि यह भ्रमित क्यों कर रहा है। यदि आप किसी ऐसे डोमेन पर जाते हैं जिसे चिह्नित किया गया है और आपको एक पूरी तरह सामान्य पृष्ठ दिखता है — या एक वैध साइट पर स्वच्छ रीडायरेक्शन — तो यह मान लेना स्वाभाविक है कि वह फ्लैग गलत है। लेकिन वह स्वच्छ पृष्ठ हमारी पहचान प्रणाली में कोई बग नहीं है। यह हमला है।

यह लेख क्लोकिंग के पीछे की तकनीक, "व्हाइट पेजेज़" के अस्तित्व का कारण, [REDACTED] जैसे ट्रैफ़िक वितरण सिस्टम (TDS) द्वारा पीड़ितों को कैसे रूट किया जाता है, और THE ENABLERS REGISTRY इन सभी पैटर्न को बिना किसी अपवाद के पुष्टि किए गए दुर्भावनापूर्ण इन्फ्रास्ट्रक्चर के रूप में क्यों मानता है, समझाता है।

यह क्यों मायने रखता है

यदि आप इसे इसलिए पढ़ रहे हैं क्योंकि आपका डोमेन चिह्नित किया गया था और आपको लगता है कि यह एक गलती थी, तो हम आपको अंत तक पढ़ने के लिए प्रोत्साहित करते हैं। हम एक भी बनाए रखते हैं अपील प्रक्रिया वैध झूठी सकारात्मकताओं के लिए। लेकिन हमारे अनुभव में, क्लोकिंग व्यवहार प्रदर्शित करने वाले डोमेन 100% समय दुर्भावनापूर्ण होते हैं।

एंटीवायरस सिस्टम ने खेल कैसे बदला

एक दशक पहले, फ़िशिंग सरल थी। एक हमलावर एक डोमेन पंजीकृत करता, एक नकली लॉगिन पेज बनाता, और लिंक पीड़ितों को भेजता। सुरक्षा विक्रेता अंततः उस URL को क्रॉल करते, फ़िशिंग पेज को देखते, और इसे ब्लॉकलिस्ट में जोड़ देते। वह डोमेन घंटों या दिनों में निष्क्रिय हो जाता।

फिर उद्योग बेहतर हो गया। Google Safe Browsing, Microsoft SmartScreen और VirusTotal जैसे प्लेटफ़ॉर्म पर 100 से अधिक एंटीवायरस इंजन लगभग वास्तविक समय में URL स्कैन करने लगे। ब्राउज़र-स्तर की चेतावनियों ने क्लिक-थ्रू दरों को नाटकीय रूप से कम कर दिया। होस्टिंग प्रदाताओं ने स्वचालित हटाने की प्रक्रियाएँ शुरू कर दीं। एक फ़िशिंग पेज के लाइव होने और ब्लॉक होने के बीच का समय दिनों से घटकर मिनटों में आ गया।

फ़िशिंग ऑपरेटरों के सामने एक समस्या थी: उनके पेज तैनात होते ही पकड़े जा रहे थे। उन्हें एक ऐसा तरीका चाहिए था जिससे वे फ़िशिंग सामग्री असली पीड़ितों को दिखा सकें, जबकि उन्हें पकड़ने की कोशिश कर रहे सभी स्वचालित सिस्टमों के लिए वे पूरी तरह से हानिरहित दिखें।

उत्तर था छिपाव.

एंटीवायरस पहचान बनाम फ़िशिंग बचाव का विकास — तकनीकी इन्फोग्राफ़िक
हथियार की दौड़: जैसे ही AV डिटेक्शन के परिणाम आने में दिनों से मिनटों तक का समय लगने लगा, फ़िशिंग ऑपरेटरों ने स्कैनर्स और वास्तविक पीड़ितों को अलग-अलग सामग्री दिखाने वाले क्लोकिंग इंफ्रास्ट्रक्चर के साथ प्रतिक्रिया दी।
मूल समस्या

आधुनिक फ़िशिंग पकड़ी नहीं जाती क्योंकि फ़िशिंग पेज का पता लगाना मुश्किल होता है। यह इसलिए बच निकलती है क्योंकि स्कैनर को फ़िशिंग पेज बिल्कुल भी नहीं दिखता।. स्कैनर को एक ब्लॉग पोस्ट, एक रीडायरेक्ट या एक खाली पेज दिखाई देता है। पीड़ित — जो एक विशिष्ट देश से, मोबाइल डिवाइस पर, एक पेड विज्ञापन के माध्यम से आ रहा है — क्रेडेंशियल हार्वेस्टर देखता है।

क्लोकिंग वास्तव में क्या है

क्लोकिंग उस प्रथा को कहते हैं जिसमें विभिन्न आगंतुकों को उनकी पहचान के आधार पर अलग-अलग सामग्री परोसी जाती है। फ़िशिंग के संदर्भ में इसका एक ही मतलब होता है: सुरक्षा स्कैनर एक हानिरहित पेज देखते हैं, और असली पीड़ित फिशिंग पेज देखते हैं।.

फ़िल्टरिंग कई स्तरों पर हो सकती है:

  • आईपी प्रतिष्ठा — ज्ञात डेटा सेंटर IPs, VPN रेंज, और सुरक्षा विक्रेता IP ब्लॉकों को क्लीन संस्करण मिलता है। रेजिडेंशियल IPs को फ़िशिंग पेज मिलता है।
  • यूज़र-एजेंट स्ट्रिंग्स — हेडलेस ब्राउज़र, ज्ञात क्रॉलर (Googlebot, bingbot, Screaming Frog), और सुरक्षा स्कैनर की पहचान की जाती है और उन्हें फ़िल्टर कर दिया जाता है।
  • भौगोलिक स्थिति — फ़िशिंग पेज केवल लक्षित देशों के आगंतुकों को ही दिखाया जाता है। बाकी सभी को सफेद पेज दिखता है।
  • रेफरर हेडर — केवल विशिष्ट स्रोतों (एक Google विज्ञापन, एक फ़िशिंग ईमेल लिंक, एक सोशल मीडिया पोस्ट) से आने वाले आगंतुक ही वास्तविक सामग्री देख पाते हैं।
  • डिवाइस फिंगरप्रिंटिंग — जावास्क्रिप्ट स्क्रीन रिज़ॉल्यूशन, इंस्टॉल किए गए फ़ॉन्ट्स, वेबजीएल रेंडरर, बैटरी एपीआई, और अन्य संकेतों की जाँच करके असली डिवाइसों और एमुलेटरों में अंतर करता है।
  • समय-आधारित नियम — फ़िशिंग पेज केवल विशिष्ट घंटों के दौरान सक्रिय रहता है (जैसे, लक्ष्य समय क्षेत्र में व्यावसायिक घंटे), और उन समयों के बाहर यह स्वतः सफेद पेज पर वापस चला जाता है।
  • कुकी/सत्र ट्रैकिंग — पहली बार आने पर सफेद पृष्ठ दिखता है। विज्ञापन क्लिक द्वारा सेट की गई विशिष्ट कुकी वाले लौटने वाले आगंतुक फिशिंग पृष्ठ देखते हैं।
क्लोकिंग अवसंरचना संचालित करने वाले तीन खतरे पैदा करने वाले — वैचारिक चित्रण
क्लोकिंग इंफ्रास्ट्रक्चर कई परतों पर आगंतुकों को फ़िल्टर करता है। जब तक कोई असली शिकार फ़िशिंग पेज तक पहुँचता है, तब तक हर स्वचालित रक्षा प्रणाली को पहले ही एक साफ-सुथरा छलावा दिखा दिया गया होता है।

एक परिष्कृत छलावरण सेटअप इन सभी को एक साथ जोड़ता है। परिणाम एक ऐसा डोमेन है जो इंटरनेट पर हर स्कैनर को पूरी तरह से स्वच्छ दिखता है, जबकि यह लक्षित पीड़ितों से सक्रिय रूप से प्रमाण-पत्र चुराता है।

खोज में कमी

जब VirusTotal एक छिपाया गया URL स्कैन करता है, तो यह सफेद पेज देखता है। परिणाम: 0/93 पता लगावटें. Google Safe Browsing इसे क्रॉल करता है, एक ब्लॉग पोस्ट देखता है। परिणाम: कोई चेतावनी नहीं. पीड़ित Google विज्ञापन से अपने फोन पर उसी URL पर क्लिक करता है: वे एक नकली मेटामास्क लॉगिन देखते हैंयह कोई सैद्धांतिक समस्या नहीं है — यह आधुनिक फ़िशिंग के लिए मानक संचालन मॉडल है।

धोखे के पीछे के उपकरण

क्लोकिंग तत्काल तैयार नहीं की जाती है। यह एक विशेष वाणिज्यिक सॉफ़्टवेयर पर चलती है जिसे कहा जाता है यातायात वितरण प्रणालियाँ (टीडीएस)फिशिंग अभियानों में सबसे अधिक उपयोग किया जाने वाला है केइतारो.

[REDACTED] एक वैध एड-टेक उत्पाद है जिसे एफिलिएट मार्केटर्स के लिए विज़िटर की विशेषताओं के आधार पर ट्रैफ़िक रूट करने के लिए डिज़ाइन किया गया है। यह बॉक्स-आउट ऑफ़ सभी फ़िल्टरिंग मानदंडों — आईपी रेंज, भू-स्थान, डिवाइस, रेफ़रर, यूज़र-एजेंट — का समर्थन करता है। फ़िशिंग ऑपरेटर इसे बस स्कैनर को व्हाइट पेज पर और पीड़ितों को फ़िशिंग पेज पर रूट करने के लिए कॉन्फ़िगर करते हैं।

हमारी जांच, प्रकाशित हुई केइतारो टीडीएस: 1,500 पैनल उजागर, पहचाना गया १,५६५ सक्रिय केइतारो पैनल फ़िशिंग इंफ्रास्ट्रक्चर की सेवा कर रहा है। 1,565 फ़िशिंग पेज नहीं — 1,565 नियंत्रण पैनल, प्रत्येक एक साथ दर्जनों से लेकर सैकड़ों फ़िशिंग अभियानों का प्रबंधन कर रहा है।

फ़िशिंग ट्रैफ़िक वितरण के लिए उपयोग किया जाने वाला केइतारो टीडीएस पैनल अवसंरचना
[REDACTED] TDS: एक वाणिज्यिक ट्रैफ़िक वितरण प्रणाली जिसे फ़िशिंग क्लोकिंग की रीढ़ के रूप में पुनः प्रयोजित किया गया है। 1,565 से अधिक पैनल पहचाने और दस्तावेजीकृत किए गए।

हम जिन अन्य टीडीएस प्लेटफ़ॉर्म का सामना करते हैं, उनमें शामिल हैं:

  • बिनोम — सीआईएस-क्षेत्र के संचालन में लोकप्रिय स्व-होस्टेड ट्रैकर
  • बीमॉब — आईपी फ़िल्टरिंग और बॉट डिटेक्शन के साथ क्लाउड-आधारित ट्रैकर
  • कस्टम PHP राउटर — MaxMind GeoIP और आईपी ब्लॉकलिस्ट का उपयोग करके घर पर तैयार स्क्रिप्ट्स
  • क्लाउडफ्लेयर वर्कर्स — एज-आधारित राउटिंग जो अनुरोध मूल सर्वर तक पहुँचने से पहले ही विज़िटर की विशेषताओं का मूल्यांकन करती है।

साझा तत्व: ये सभी अलग-अलग आगंतुकों को अलग-अलग सामग्री दिखाने के लिए मौजूद हैं। एफिलिएट मार्केटिंग की दुनिया में इसे "ट्रैफ़िक ऑप्टिमाइज़ेशन" कहा जाता है। फ़िशिंग में इसे कहा जाता है टालमटोल.

खोज उपकरण उपलब्ध

हमने बनाया केइतारो डिटेक्शन टूल किसी भी डोमेन पर [REDACTED] TDS फिंगरप्रिंट्स की पहचान करने के लिए। यह ज्ञात पैनल पथों, प्रतिक्रिया हेडर पैटर्न, रीडायरेक्ट चेन और [REDACTED] इंस्टॉलेशन से जुड़े जावास्क्रिप्ट सिग्नेचर की जाँच करता है।

"आधिकारिक वेबसाइट पुनर्निर्देश" परिदृश्य

हम जिन सबसे आम छलावा पैटर्न का सामना करते हैं, उनमें से एक ऐसा डोमेन है जो सीधे एक आधिकारिक वेबसाइट पर रीडायरेक्ट कर देता है। आकर्षण हमेशा एक जैसा दिखता है: खुद देखिए — यह सीधे NASDAQ:COIN.com पर ही जाता है। कोई फिशिंग नहीं है।

यहाँ वास्तव में जो हो रहा है वह यह है:

स्कैनर URL पर जाता है
टीडीएस आईपी/यूए/जियो की जाँच करता है
302 → कॉइनबेस.कॉम
स्कैनर: "साफ़"
पीड़ित विज्ञापन पर क्लिक करता है।
टीडीएस आईपी/यूए/जियो की जाँच करता है
नकली कॉइनबेस लॉगिन
प्रमाण-पत्र चोरी हुए

आधिकारिक साइट पर रीडायरेक्ट होना इस बात का संकेत नहीं है कि डोमेन सुरक्षित है। यह स्वयं छुपाने की तंत्र है। टीडीएस ने निर्धारित किया कि आगंतुक एक स्कैनर है, और सबसे सुरक्षित प्रतिक्रिया — वह जो सबसे अधिक संभावना रखती है कि स्कैन स्वच्छ हो — वास्तविक वेबसाइट पर पुनर्निर्देशित करना है।

यहाँ सर्वर-साइड लॉजिक का एक सरलीकृत उदाहरण है:

// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];

function routeVisitor(req) {
  const ip = req.headers['cf-connecting-ip'];
  const ua = req.headers['user-agent'];
  const geo = req.headers['cf-ipcountry'];

  // If scanner/bot detected: redirect to official site
  if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
    return Response.redirect('https://www.NASDAQ:COIN.com', 302);
  }

  // If not in target geography: show white page
  if (!TARGET_GEO.includes(geo)) {
    return renderWhitePage(); // Innocent blog post
  }

  // Real victim from target country: show possibly phishing page
  return renderPhishingPage(); // Credential harvester
}
मुख्य अंतर्दृष्टि

कोई भी वैध वेबसाइट आगंतुकों को किसी अन्य कंपनी के डोमेन पर रीडायरेक्ट नहीं करती। यदि [REDACTED] पर पुनर्निर्देशित करता है NASDAQ:COIN.com, उस डोमेन का अस्तित्व में रहने का कोई कारण नहीं है। एक असली NASDAQ:COIN पेज होस्ट किया जाएगा NASDAQ:COIN.com. रीडायरेक्ट ही संकेत है।

सफेद पृष्ठ समस्या

"व्हाइट पेज" वह छलावा सामग्री है जिसे एक छद्म फ़िशिंग डोमेन स्कैनर्स और गैर-लक्षित आगंतुकों को दिखाता है। नाम के बावजूद, यह शायद ही कभी एक खाली सफेद पृष्ठ होता है। आधुनिक व्हाइट पेज हैं पूर्ण रूप से कार्यात्मक वेबसाइटें वैध दिखने के लिए डिज़ाइन किया गया:

  • क्रिप्टोकरेंसी, वित्त, या प्रौद्योगिकी के बारे में ब्लॉग पोस्ट
  • सामान्य SaaS उपकरणों के लिए उत्पाद लैंडिंग पेज
  • वैध प्रकाशनों से स्क्रैप किए गए समाचार लेख
  • सामान्य "जल्द आ रहा है" संदेश के साथ पार्क किए गए डोमेन पृष्ठ
  • खोज परिणामों में रैंक करने के लिए डिज़ाइन की गई SEO-अनुकूलित सामग्री

यह अंतिम बिंदु अत्यंत महत्वपूर्ण है। सफेद पन्ने केवल टालमटोल के उपकरण नहीं हैं — वे हैं एसईओ हथियार. एक फ़िशिंग डोमेन पर उच्च-गुणवत्ता वाली सामग्री होस्ट करके, ऑपरेटर एक साथ दो लक्ष्य प्राप्त करते हैं: वे पता लगाए जाने से बचते हैं और वे डोमेन अथॉरिटी बनाते हैं जो उनके फ़िशिंग लिंक को खोज परिणामों में उच्च रैंक दिलाती है।

3-चरणीय एसईओ जहरिकरण हमला

यह एक व्हाइट-पेज-संचालित फ़िशिंग अभियान का पूरा जीवनचक्र है:

चरण 1
प्राधिकरण बनाएँ
चरण 2
रैंक और सूचकांक
चरण 3
फ़िशिंग सक्रिय करें
चरण 1: प्राधिकरण निर्माण (सप्ताह 1–4)
डोमेन पंजीकृत करें। SEO-अनुकूलित सामग्री (ब्लॉग पोस्ट, लेख) के साथ व्हाइट पेज तैनात करें। बैकलिंक बनाएँ। डोमेन पुराना होता है और प्राधिकरण प्राप्त करता है। सभी स्कैनर एक स्वच्छ सामग्री वाली साइट देखते हैं। Google इसे बिना चेतावनियों के इंडेक्स करता है।
चरण 2: रैंक और इंडेक्स (सप्ताह 4–8)
डोमेन लक्षित कीवर्ड ("[REDACTED] वॉलेट कनेक्ट करें," "NASDAQ:COIN लॉगिन," "क्रिप्टो एयरड्रॉप") के लिए रैंकिंग शुरू करता है। सफेद पृष्ठ की सामग्री परोसना जारी रहता है। ऑर्गेनिक ट्रैफ़िक शुरू होता है। सभी स्कोरिंग सिस्टम में डोमेन की प्रतिष्ठा स्थापित हो जाती है।
चरण 3: फ़िशिंग सक्रिय करें (सप्ताह 8+)
टीडीएस नियम उलट दिए गए हैं। पीड़ितों की प्रोफ़ाइल (रेज़िडेंशियल आईपी, लक्षित देश, मोबाइल डिवाइस) से मेल खाने वाले आगंतुक अब सफेद पेज के बजाय फ़िशिंग पेज देखते हैं। स्कैनर अभी भी सफेद पेज ही देखते हैं। डोमेन की बनी-बनाई प्रतिष्ठा के कारण ब्राउज़र चेतावनियाँ सक्रिय होने में धीमी होती हैं। खोज परिणामों या विज्ञापनों पर क्लिक करने वाले पीड़ित उच्च अधिकार स्कोर वाले एक भरोसेमंद दिखने वाले डोमेन पर पहुँचते हैं।
व्हाइट पेज SEO पॉइजनिंग Pipeline — फ़िशिंग डोमेन सक्रिय होने से पहले अधिकार बनाता है
व्हाइट पेज निष्क्रिय टालमटोल नहीं हैं। ये सक्रिय SEO हथियार हैं जो डोमेन अथॉरिटी का निर्माण करते हैं, खोज रैंकिंग हासिल करते हैं, और फिर उस प्रतिष्ठा का इस्तेमाल करके ऑर्गेनिक खोज परिणामों के माध्यम से पीड़ितों तक फ़िशिंग पहुँचाते हैं।

यही कारण है कि हम चरण 1 में डोमेन को चिह्नित करते हैं। जब तक चरण 3 सक्रिय होता है, तब तक क्षति पहले ही हो चुकी होती है। फ़िशिंग पेज के दिखने का इंतज़ार करने का मतलब है पीड़ितों के अपने क्रेडेंशियल और अपना पैसा खोने का इंतज़ार करना।

सक्रिय ट्रैफ़िक परिदृश्य: विज्ञापन और ईमेल अभियान

सभी छद्म-भेष वाली फ़िशिंग जैविक खोज पर निर्भर नहीं करती। दो सबसे आक्रामक ट्रैफ़िक अधिग्रहण विधियाँ हैं भुगतान विज्ञापन और ईमेल अभियान, ये दोनों प्लेटफ़ॉर्म समीक्षा को बाईपास करने के लिए क्लोकिंग का फायदा उठाते हैं।

गूगल विज्ञापन क्लोकिंग

हमारी जांच में [REDACTED] ड्रेनर नेटवर्क दस्तावेजीकृत 55+ डोमेन Google Ads का उपयोग करके ट्रैफ़िक को वॉलेट ड्रेनर्स पर लाना। तंत्र:

  1. ऑपरेटर डोमेन को Google Ads समीक्षा के लिए सबमिट करता है। Google का क्रॉलर सफेद पेज (ब्लॉकचेन तकनीक के बारे में एक ब्लॉग) देखता है। विज्ञापन स्वीकृत।
  2. विज्ञापन चल रहे हैं, जो "कनेक्ट वॉलेट" और "क्रिप्टो एयरड्रॉप" कीवर्ड्स को लक्षित कर रहे हैं।
  3. Google उपयोगकर्ता विज्ञापन पर क्लिक करता है। TDS Google Ads रेफरर से आने वाले एक आवासीय IP को देखता है। पर्स खाली करने वाला परोसा गया।
  4. पीड़ित अपना वॉलेट कनेक्ट करता है। पूर्व-हस्ताक्षरित लेनदेन के माध्यम से संपत्तियाँ कुछ ही सेकंड में निकाल ली जाती हैं।

Google की विज्ञापन समीक्षा प्रणाली — हर स्वचालित स्कैनर की तरह — केवल सफेद पृष्ठ ही देखती है। विज्ञापन चलते रहते हैं, और ऑपरेटर हर पीड़ित के लिए Google को भुगतान करता रहता है।

ईमेल अभियान क्लोकिंग

ईमेल गेटवे (Microsoft Defender for Office 365, Proofpoint, Mimecast) डिलीवरी से पहले ईमेल में मौजूद लिंक को स्कैन करते हैं। क्लोकिंग इसे इसी तरह संभालता है:

  1. फ़िशिंग ईमेल में छिपे डोमेन का लिंक है।
  2. ईमेल गेटवे URL को स्कैन करता है। सर्वर-साइड TDS गेटवे की IP रेंज को पहचानता है। व्हाइट पेज दिखाता है या आधिकारिक साइट पर रीडायरेक्ट करता है। ईमेल भेज दिया गया।
  3. प्रापक अपने मेल क्लाइंट से लिंक पर क्लिक करता है। आवासीय आईपी, सही रेफरर, लक्षित भौगोलिक क्षेत्र। फ़िशिंग पेज परोसा गया।
मापमान

केवल [REDACTED] जांच में ही, Google Ads सक्रिय रूप से 55 से अधिक डोमेनों में वॉलेट ड्रेनर्स के वितरण को वित्तपोषित कर रहा था। प्रत्येक डोमेन Google की स्वचालित समीक्षा पास कर गया क्योंकि Google के क्रॉलर को सफेद पेज दिखाया गया था। यह कोई कानूनी छेद नहीं है — यह एक संरचनात्मक विफलता है कि विज्ञापन प्लेटफ़ॉर्म क्लोकिंग होने पर लैंडिंग पेजों को कैसे सत्यापित करते हैं।

यहाँ "दोष सिद्ध होने तक निर्दोष" क्यों लागू नहीं होता

कभी-कभी हम यह तर्क सुनते हैं कि क्लोकिंग इंफ्रास्ट्रक्चर के आधार पर किसी डोमेन को चिह्नित करना जल्दबाजी होगी — कि कार्रवाई करने से पहले हमें वास्तविक फ़िशिंग सामग्री के प्रकट होने का इंतज़ार करना चाहिए। यह तर्क क्लोकिंग का असल में क्या होता है, इसे समझने में चूकता है।

क्लोकिंग एक तटस्थ तकनीक नहीं है। यह प्रतिद्वंद्वी अवसंरचना विशेष रूप से पता लगाने को विफल करने के लिए डिज़ाइन किया गया। क्लोकिंग तैनात करने वाला एक डोमेन पहले ही अपनी मंशा घोषित कर चुका है: सुरक्षा प्रणालियों को एक बात दिखाना और पीड़ितों को दूसरी। यह कोई वैध उद्देश्य पूरा करने वाली कॉन्फ़िगरेशन नहीं है।

हम जिन 5 संकेतों की तलाश करते हैं

कोई भी डोमेन प्रदर्शित करता है कोई भी संयोजन इन संकेतों में से एक को दुर्भावनापूर्ण के रूप में चिह्नित किया गया है:

  1. सशर्त सामग्री परोसना — आईपी, यूए, जियो, रेफरर, या डिवाइस फिंगरप्रिंट के आधार पर अलग-अलग सामग्री
  2. टीडीएस फिंगरप्रिंट्स — कीटारो, बिनोम, बीमोब, या रिस्पॉन्स हेडर, रीडायरेक्ट चेन, या जावास्क्रिप्ट में कस्टम राउटर सिग्नेचर
  3. आधिकारिक साइटों पर पुनर्निर्देशित करें — किसी तीसरे पक्ष के वैध डोमेन (विशेष रूप से बैंकिंग, क्रिप्टो, या ईमेल प्रदाताओं) पर कोई रीडायरेक्ट
  4. असंबंधित सामग्री वाला सफेद पृष्ठ — ब्लॉग पोस्ट, समाचार लेख, या हाल ही में पंजीकृत डोमेन पर सामान्य सामग्री, जिसकी कोई स्थापित व्यावसायिक उपस्थिति नहीं है।
  5. एंटी-बॉट जावास्क्रिप्ट — यह तय करने से पहले कि क्या दिखाना है, हेडलेस ब्राउज़र, वेबड्राइवर, स्क्रीन के आयाम, या कैनवास रेंडरिंग की जाँच करने वाली स्क्रिप्ट्स की फिंगरप्रिंटिंग करना

हमारे 50,000 से अधिक स्कैन किए गए साइटों के डेटासेट में, इन संकेतों को प्रदर्शित करने वाले डोमेनों में से वैध पाए गए डोमेनों की संख्या है शून्य. "दुर्लभ" नहीं — शून्य। हमें अब तक एक भी वैध वेबसाइट नहीं मिली जिसे गैर-लक्षित आगंतुकों को किसी अन्य कंपनी के डोमेन पर रीडायरेक्ट करने या विशिष्ट आईपी रेंज से आने वाले आगंतुकों को लॉगिन फॉर्म दिखाते हुए स्कैनरों को क्रिप्टोकरेंसी के बारे में ब्लॉग दिखाने की आवश्यकता हो।

हमारी नीति

क्लोकिंग एक द्विआधारी संकेत है। यदि कोई डोमेन ऊपर वर्णित तंत्रों का उपयोग करके विभिन्न आगंतुकों को अलग-अलग सामग्री दिखाता है, तो उसे चिह्नित किया जाता है। यदि कोई ऑपरेटर मानता है कि यह एक झूठी सकारात्मक है, तो हमारा अपील प्रक्रिया यह ठीक इसी उद्देश्य के लिए मौजूद है। अब तक, किसी भी छुपाने से संबंधित झंडे के खिलाफ अपील सफल नहीं हुई है।

रजिस्ट्रार समस्या

क्लोकिंग दुरुपयोग रिपोर्टिंग के लिए एक बाद की समस्या पैदा करती है। जब हम किसी क्लोक्ड डोमेन की रिपोर्ट रजिस्ट्रार को करते हैं, तो रजिस्ट्रार की दुरुपयोग टीम उस URL पर जाती है और देखती है… एक साफ़ पेज। एक ब्लॉग पोस्ट। NASDAQ:COIN.com पर रीडायरेक्ट। उनके दृष्टिकोण से, कार्रवाई करने के लिए कुछ भी नहीं है।

यह बिल्कुल वही परिदृश्य है जो हमारे यहाँ घटा। नाइसएनआईसी जांच और हमारा नेमसाइलो जांचदोनों मामलों में, रजिस्ट्रारों ने रिपोर्ट किए गए डोमेन की जाँच की, स्वच्छ सामग्री देखी, और या तो मामला बंद कर दिया या डोमेन ऑपरेटर का सक्रिय रूप से बचाव किया।

समस्या प्रणालीगत है:

  • रजिस्ट्रार दुरुपयोग टीमें एवी विक्रेताओं की तरह ही स्कैनिंग विधियों का उपयोग करती हैं। — वे मानक ब्राउज़रों का उपयोग करके डेटा सेंटर आईपी पतों से URL पर जाते हैं। क्लोकिंग हर बार इसे विफल कर देती है।
  • किसी भी रजिस्ट्रार ने क्लोकिंग का पता लगाने में निवेश नहीं किया है। — सशर्त सामग्री परोसने का पता लगाने की तकनीक मौजूद है (हमने इसे बनाया है), लेकिन किसी भी रजिस्ट्रार ने इसे लागू नहीं किया है।
  • ICANN का दुरुपयोग ढांचा क्लोकिंग को ध्यान में नहीं रखता। — दुरुपयोग की रिपोर्टों के लिए हानिकारक सामग्री के प्रमाण की आवश्यकता होती है। यदि हानिकारक सामग्री केवल पीड़ितों को ही दिखाई जाती है, तो रजिस्ट्रार की अपनी सत्यापन प्रक्रिया इसे कभी नहीं ढूंढ पाएगी।
रजिस्ट्रार प्रतिक्रिया विफलता

हमने इस पैटर्न का व्यापक रूप से दस्तावेजीकरण किया है। हमारी रिपोर्ट जब दुर्व्यवहार की रिपोर्टों का कोई नतीजा नहीं निकलता विवरण देता है कि रजिस्ट्रार व्यवस्थित रूप से क्लोक्ड डोमेन पर कार्रवाई करने में विफल रहते हैं क्योंकि उनकी सत्यापन विधियाँ ठीक वही हैं जिन्हें हराने के लिए क्लोकिंग को डिज़ाइन किया गया है।

इसीलिए THE ENABLERS REGISTRY एक स्वतंत्र परत के रूप में मौजूद है। हम किसी एक IP से URL पर जाने और यह देखने पर निर्भर नहीं करते कि वह क्या दिखाता है। हम रीडायरेक्ट चेन, TDS फिंगरप्रिंट, जावास्क्रिप्ट व्यवहार, DNS इतिहास, प्रमाणपत्र पारदर्शिता लॉग और हजारों डोमेनों में समयगत पैटर्न का विश्लेषण करते हैं। जब हम किसी डोमेन को फ्लैग करते हैं, तो हमने पहले ही यह ध्यान में रख लिया होता है कि सामान्य तरीके से जांच करने वाले किसी भी व्यक्ति को वह डोमेन साफ-सुथरा ही दिखेगा।

सारांश: छुपाने की तकनीकें और पता लगाना

तकनीकस्कैनर क्या देखते हैंपीड़ित क्या देखते हैंपहचान विधि
आईपी-आधारित फ़िल्टरिंगसफेद पृष्ठ / पुनर्निर्देशफ़िशिंग पेजमल्टी-आईपी स्कैनिंग, रेजिडेंशियल प्रॉक्सी की तुलना
यूए-आधारित फ़िल्टरिंगसफेद पृष्ठ / 403फ़िशिंग पेजयूए रोटेशन, हेडलेस बनाम वास्तविक ब्राउज़र की तुलना
भौगोलिक-आधारित फ़िल्टरिंगसामान्य सामग्रीस्थानीय फिशिंगबहु-क्षेत्र प्रॉक्सी स्कैनिंग
रेफरर फ़िल्टरिंगसफेद पृष्ठफ़िशिंग (विज्ञापन/ईमेल से)रिफरर स्पूफिंग, विज्ञापन क्लिक सिमुलेशन
जेएस फिंगरप्रिंटिंगसफेद पृष्ठ (बॉट का पता चला)फ़िशिंग (वास्तविक डिवाइस)जावास्क्रिप्ट स्थैतिक विश्लेषण, डीऑब्फस्केशन
समय-आधारित नियमसाफ़-सफ़ाई (अनियोजित समय में)फ़िशिंग (कारोबारी समय)कालानुक्रमिक स्कैनिंग, समय-क्षेत्र-अनुरूप जाँचें
कुकी/सत्र गेटिंगसाफ (पहली मुलाकात)फ़िशिंग (कुकी के साथ वापसी विज़िट)बहु-विज़िट सत्र विश्लेषण, कुकी पुन:प्रसारण
टीडीएस (केइतारो/बिनोम)सफेद पृष्ठ या पुनर्निर्देशफ़िशिंग के लिए भेजा गयाकेइतारो डिटेक्शन टूल, हेडर/रीडायरेक्ट विश्लेषण
आधिकारिक साइट पुनर्निर्देशन302 → वैध साइटफ़िशिंग पेजलक्ष्य विश्लेषण पुनर्निर्देशित करें, डोमेन उद्देश्य सत्यापन
क्लोकिंग का पता लगाने और फ़िशिंग अवसंरचना विश्लेषण का सारांश
पूरी तस्वीर: हर छुपाने की तकनीक का पता लगाने का तरीका होता है। चुनौती तकनीक में नहीं है — चुनौती यह है कि रजिस्ट्रार, विज्ञापन प्लेटफ़ॉर्म और ईमेल गेटवे उन्हें लागू करें।

निष्कर्ष

क्लोकिंग कोई धूसर क्षेत्र नहीं है। यह है। सबसे प्रभावी पलायन तकनीक आधुनिक फ़िशिंग में, और फ़िशिंग इकोसिस्टम का हर घटक — गूगल विज्ञापनों से लेकर ईमेल गेटवे और रजिस्ट्रार दुरुपयोग टीमों तक — वर्तमान में इसे संबोधित करने में विफल हो रहा है।

जब THE ENABLERS REGISTRY किसी डोमेन को क्लोकिंग के लिए फ़्लैग करता है, तो हम कोई अनुमान नहीं लगा रहे होते। हम उस विरोधी इन्फ्रास्ट्रक्चर की मौजूदगी का दस्तावेजीकरण कर रहे होते हैं, जो एक ही उद्देश्य के लिए मौजूद है: अलग-अलग आगंतुकों को अलग-अलग सामग्री दिखाना। 50,000 से अधिक स्कैन में, इस संकेत के लिए फर्जी सकारात्मक दर शून्य है।

यदि आपका डोमेन फ़्लैग किया गया था:

  • यदि आप एक वैध ऑपरेटर हैं और आपको लगता है कि यह एक फर्जी पॉज़िटिव है, अपील जमा करेंहम हर एक की समीक्षा करते हैं।
  • अगर आप क्लोकिंग इंफ्रास्ट्रक्चर चला रहे हैं, तो हम पहले से ही जानते हैं। आपने हमारे स्कैनर को जो व्हाइट पेज दिखाया, वह आपके पीड़ितों को दिखाई देने वाला पेज नहीं है। और हमारे पास इसे साबित करने के लिए सबूत हैं।
सफेद पृष्ठ कोई रक्षा नहीं है। यह एक स्वीकारोक्ति है। यदि आपके डोमेन को विभिन्न आगंतुकों को अलग-अलग सामग्री दिखाने की आवश्यकता है, तो आपने पहले ही इस प्रश्न का उत्तर दे दिया है कि क्या यह दुर्भावनापूर्ण है।

हर छुपे हुए डोमेन को प्रतिबंधित कर दिया जाता है। कोई अपवाद नहीं। कोई अपील सफल नहीं हुई। क्योंकि 50,000 स्कैन में, इस संकेत के बारे में हम कभी गलत नहीं हुए।

संबंधित अनुसंधान एवं संसाधन

केइतारो टीडीएस: 1,500 पैनल उजागर

जांचटीडीएसछिपाव

हमने दुनिया भर में फ़िशिंग इंफ्रास्ट्रक्चर को शक्ति देने वाले 1,565 केइतारो पैनलों का नक्शा कैसे बनाया।

केइतारो डिटेक्शन टूल

उपकरणपहचानटीडीएस

किसी भी डोमेन को [REDACTED] TDS फिंगरप्रिंट्स, रीडायरेक्ट चेन और क्लोकिंग सिग्नेचर के लिए स्कैन करें।

[REDACTED]: 55 डोमेन, गूगल विज्ञापन फंडिंग

जांचनिकासकगूगल विज्ञापन

क्लोक किए गए व्हाइट पेजों का उपयोग करके गूगल एड्स समीक्षा पास करने वाला एक वॉलेट ड्रेनर नेटवर्क।

जब दुर्व्यवहार की रिपोर्टों का कोई नतीजा नहीं निकलता

रिपोर्टपंजीयकआईसीएएनएन

क्लोक किए गए डोमेन पर रजिस्ट्रार दुरुपयोग टीमें कार्रवाई क्यों नहीं कर पातीं और क्या बदलने की जरूरत है।

नाइसएनआईसी फैसला

जांचपंजीयकआईसीएएनएन

दुरुपयोग रिपोर्टों पर कार्रवाई में प्रणालीगत विफलता के लिए नाइसएनआईसी के खिलाफ आईसीएएनएन द्वारा दायर शिकायत।

नेमसाइलो जांच

जांचनेमसाइलोमोनेरो

IANA #1479 ने कैसे 2 मिलियन डॉलर के क्रिप्टो चोर की रक्षा की और एक झूठी कहानी गढ़ी।

यह लेख हमारे 50,000 से अधिक डोमेनों को स्कैन करने, सक्रिय फ़िशिंग अवसंरचना की जांच करने, और रजिस्ट्रारों तथा ICANN के पास दुरुपयोग रिपोर्ट दर्ज करने के परिचालन अनुभव पर आधारित है। वर्णित सभी तकनीकों को साक्ष्यों के साथ प्रलेखित किया गया है। हमारे शोध के दौरान किसी भी समय कोई अनधिकृत पहुँच नहीं की गई।

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings