Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ID / CLOAKING WHITEPAGES EXPLAINED

Penjelasan tentang Cloaking & White Pages

The Enablers Registry·Editorial mirror·/id/cloaking-whitepages-explained

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Alasan Kami Melarang “White Pages” dan Pengalihan ke Situs Resmi: Penjelasan Mengenai Masalah Cloaking

Cloaking, halaman putih, dan pengalihan TDS merupakan tulang punggung infrastruktur possibly phishing modern. Setiap situs yang menggunakannya akan diblokir. Inilah alasannya — dan apa yang kami temukan saat mengintip di balik layar.

29 Maret 2026 Penelitian THE ENABLERS REGISTRY ~12 menit waktu baca
Teknik Cloaking dan White Pages dalam Infrastruktur Phishing — Gambaran Teknis
Bagaimana infrastruktur possibly phishing modern memanfaatkan teknik penyamaran untuk menghindari setiap lapisan deteksi otomatis.
50,000+
Situs yang Telah Diperiksa
1,565
0
Penggunaan yang Sah
55+
Beli Domain [REDACTED]
100+
Mesin AV

Pertanyaan yang Terus-Menerus Diajukan kepada Kami

Setiap minggu, kami menerima permohonan yang sama: “Kamu telah menandai domain saya, tapi ketika saya memeriksanya, domain itu hanya dialihkan ke situs web resminya. Tidak ada hal berbahaya di sini.”

Atau variasi lainnya: “Halaman itu hanyalah sebuah postingan blog tentang mata uang kripto. Itu bukan possibly phishing.”

Kami memahami mengapa hal ini membingungkan. Jika Anda mengunjungi sebuah domain yang telah ditandai dan melihat halaman yang tampak normal — atau pengalihan yang wajar ke situs yang sah — wajar jika Anda menganggap penandaan tersebut salah. Namun, halaman yang tampak normal itu bukanlah kesalahan dalam sistem deteksi kami. Itulah serangannya.

Artikel ini menjelaskan teknologi di balik teknik cloaking, mengapa “white pages” ada, bagaimana TDS seperti [REDACTED] mengarahkan korban, dan mengapa THE ENABLERS REGISTRY menganggap setiap pola ini sebagai infrastruktur berbahaya yang telah dikonfirmasi — tanpa pengecualian sama sekali.

Mengapa Hal Ini Penting

Jika Anda membaca ini karena domain Anda ditandai dan Anda yakin itu adalah kesalahan, kami mengimbau Anda untuk membaca sampai akhir. Kami juga menyediakan sebuah proses banding untuk hasil positif palsu yang sah. Namun, berdasarkan pengalaman kami, domain yang menunjukkan perilaku cloaking selalu bersifat berbahaya.

Bagaimana Sistem Antivirus Mengubah Pola Permainan

Sepuluh tahun yang lalu, serangan possibly phishing masih sederhana. Seorang penyerang mendaftarkan sebuah domain, membuat halaman login palsu, dan mengirimkan tautannya kepada para korban. Penyedia layanan keamanan pada akhirnya akan merayapi URL tersebut, mendeteksi halaman possibly phishing itu, dan menambahkannya ke daftar blokir. Domain tersebut akan tidak aktif dalam hitungan jam atau hari.

Kemudian, industri ini mengalami kemajuan. Google Safe Browsing, Microsoft SmartScreen, dan lebih dari 100 mesin antivirus di platform seperti VirusTotal mulai memindai URL secara nyaris real-time. Peringatan di tingkat peramban berhasil menekan tingkat klik secara drastis. Penyedia layanan hosting mulai menerapkan Pipeline penghapusan otomatis. Jangka waktu antara saat halaman possibly phishing mulai aktif hingga diblokir menyusut dari hitungan hari menjadi hitungan menit.

Para pelaku possibly phishing menghadapi masalah: halaman-halaman mereka terdeteksi lebih cepat daripada kecepatan mereka dalam meluncurkannya. Mereka membutuhkan cara untuk menampilkan konten possibly phishing kepada korban sungguhan, sekaligus tetap tampak sepenuhnya tidak berbahaya bagi setiap sistem otomatis yang berusaha mendeteksinya.

Jawabannya adalah penyamaran.

Perkembangan deteksi antivirus versus taktik pengelakan phishing — infografik teknis
Perlombaan senjata: seiring dengan meningkatnya kemampuan deteksi AV dari hitungan hari menjadi hitungan menit, para pelaku possibly phishing merespons dengan infrastruktur penyamaran yang menampilkan konten berbeda kepada pemindai dibandingkan kepada korban yang sebenarnya.
Masalah Pokok

Possibly phishing modern tidak terdeteksi karena halaman phishingnya sulit dikenali. Tindakan tersebut lolos begitu saja karena Pemindai sama sekali tidak pernah mendeteksi halaman possibly phishing tersebut. Pemindai mendeteksi sebuah postingan blog, pengalihan tautan, atau halaman kosong. Korban — yang mengakses situs tersebut dari negara tertentu, menggunakan perangkat seluler, melalui iklan berbayar — melihat program pengumpul kredensial.

Apa Itu Cloaking Sebenarnya

Cloaking adalah praktik menampilkan konten yang berbeda kepada pengunjung yang berbeda berdasarkan identitas mereka. Dalam konteks possibly phishing, hal ini berarti satu hal: Pemindai keamanan mendeteksi halaman yang tidak berbahaya, sedangkan korban yang sebenarnya melihat halaman possibly phishing.

Proses penyaringan dapat dilakukan pada beberapa tingkatan:

  • Reputasi IP — Alamat IP pusat data yang terdaftar, rentang alamat IP VPN, dan blok alamat IP penyedia layanan keamanan akan diarahkan ke versi yang aman. Sedangkan alamat IP perumahan akan diarahkan ke halaman possibly phishing.
  • String User-Agent — Browser tanpa antarmuka pengguna, crawler yang dikenal (Googlebot, Bingbot, Screaming Frog), dan pemindai keamanan diidentifikasi dan disaring.
  • Geolokasi — Halaman possibly phishing tersebut hanya ditampilkan kepada pengunjung dari negara-negara yang menjadi sasaran. Pengunjung lainnya akan melihat halaman kosong.
  • Header referrer — Hanya pengunjung yang datang dari sumber-sumber tertentu (iklan Google, tautan dalam email possibly phishing, postingan di media sosial) yang dapat melihat konten aslinya.
  • Identifikasi perangkat berdasarkan sidik jari — JavaScript memeriksa resolusi layar, font yang terpasang, renderer WebGL, API baterai, dan sinyal-sinyal lainnya untuk membedakan perangkat asli dari emulator.
  • Aturan berdasarkan waktu — Halaman possibly phishing tersebut hanya aktif pada jam-jam tertentu (misalnya, jam kerja di zona waktu sasaran), dan secara default akan menampilkan halaman kosong di luar rentang waktu tersebut.
  • Pelacakan cookie/sesi — Pada kunjungan pertama, halaman yang ditampilkan adalah halaman kosong. Pengunjung yang kembali dengan cookie tertentu (yang disetel saat mengklik iklan) akan melihat halaman possibly phishing.
Tiga pelaku ancaman yang mengoperasikan infrastruktur penyamaran — ilustrasi konseptual
Infrastruktur penyamaran menyaring pengunjung di berbagai lapisan. Pada saat korban yang sebenarnya sampai di halaman possibly phishing, setiap sistem pertahanan otomatis telah diperlihatkan umpan palsu yang tidak mencurigakan.

Sistem penyamaran yang canggih menggabungkan semua hal tersebut. Hasilnya adalah sebuah domain yang tampak sepenuhnya bersih di mata setiap pemindai di internet, sementara secara aktif mencuri kredensial dari korban yang menjadi sasaran.

Kesenjangan Deteksi

Saat VirusTotal memindai URL yang disamarkan, ia menampilkan halaman kosong. Hasil: 0 dari 93 deteksi. Google Safe Browsing menjelajahinya, lalu menemukan sebuah postingan blog. Hasilnya: tanpa peringatan. Korban mengklik URL yang sama di ponselnya dari sebuah iklan Google: mereka melihat halaman login [REDACTED] palsu. Ini bukanlah masalah teoretis — ini adalah model operasi standar dalam praktik possibly phishing modern.

Alat-alat di Balik Penipuan Itu

Cloaking bukanlah sesuatu yang dilakukan secara sembarangan. Fitur ini dijalankan menggunakan perangkat lunak komersial khusus yang disebut Sistem Distribusi Lalu Lintas (TDS). Yang paling banyak digunakan dalam operasi possibly phishing adalah [REDACTED].

[REDACTED] adalah produk teknologi periklanan (ad-tech) yang sah, dirancang bagi pemasar afiliasi untuk mengarahkan lalu lintas berdasarkan atribut pengunjung. Produk ini secara bawaan mendukung semua kriteria penyaringan yang tercantum di atas — rentang IP, lokasi geografis, perangkat, sumber rujukan, dan user-agent. Pelaku possibly phishing cukup mengonfigurasinya untuk mengarahkan pemindai ke halaman kosong dan korban ke halaman possibly phishing.

Penelitian kami, yang diterbitkan sebagai [REDACTED] TDS: 1.500 Panel Terpapar, teridentifikasi 1.565 panel [REDACTED] yang aktif yang mengoperasikan infrastruktur possibly phishing. Bukan 1.565 halaman possibly phishing — melainkan 1.565 panel kontrol, masing-masing mengelola puluhan hingga ratusan kampanye possibly phishing secara bersamaan.

Infrastruktur panel TDS [REDACTED] yang digunakan untuk mendistribusikan lalu lintas phishing
[REDACTED] TDS: sistem distribusi lalu lintas komersial yang dimanfaatkan kembali sebagai tulang punggung teknik penyamaran possibly phishing. Lebih dari 1.565 panel telah diidentifikasi dan didokumentasikan.

Platform TDS lain yang kami temui antara lain:

  • Binom — Pelacak yang dihosting sendiri yang populer dalam operasi di kawasan CIS
  • BeMob — Pelacak berbasis cloud dengan penyaringan IP dan deteksi bot
  • Router PHP khusus — Skrip buatan sendiri yang menggunakan MaxMind GeoIP dan daftar blokir IP
  • IANA #1910 Workers — Perutean berbasis edge yang mengevaluasi atribut pengunjung bahkan sebelum permintaan tersebut sampai ke server asal

Poin kesamaannya: semuanya ada untuk menampilkan konten yang berbeda kepada pengunjung yang berbeda. Di dunia pemasaran afiliasi, hal ini disebut “optimasi lalu lintas.” Dalam possibly phishing, hal ini disebut penghindaran.

Alat Deteksi Tersedia

Kami membangun Alat Pendeteksi [REDACTED] untuk mengidentifikasi jejak TDS [REDACTED] pada domain mana pun. Alat ini memeriksa jalur panel yang diketahui, pola header respons, rantai pengalihan, dan tanda tangan JavaScript yang terkait dengan instalasi [REDACTED].

Skenario “Pengalihan Situs Web Resmi”

Salah satu pola cloaking yang paling umum kami temui adalah domain yang sekadar mengalihkan ke situs web resmi. Pesan ajakannya selalu sama: “Coba periksa sendiri — situsnya memang NASDAQ:COIN.com. Tidak ada upaya possibly phishing.”

Inilah yang sebenarnya terjadi:

Pemindai mengunjungi URL
TDS memeriksa IP/UA/lokasi geografis
302 → NASDAQ:COIN.com
Pemindai: “Bersih”
Korban mengklik iklan
TDS memeriksa IP/UA/lokasi geografis
Halaman login NASDAQ:COIN palsu
Kredensial dicuri

Pengalihan ke situs resmi bukanlah pertanda bahwa domain tersebut aman. Itulah mekanisme penyamaran itu sendiri. TDS telah menentukan bahwa pengunjung tersebut adalah program pemindai, dan tindakan yang paling aman — yang paling mungkin menghasilkan hasil pemindaian yang bersih — adalah mengalihkan pengunjung ke situs web yang sebenarnya.

Berikut ini adalah contoh sederhana dari logika sisi server:

// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];

function routeVisitor(req) {
  const ip = req.headers['cf-connecting-ip'];
  const ua = req.headers['user-agent'];
  const geo = req.headers['cf-ipcountry'];

  // If scanner/bot detected: redirect to official site
  if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
    return Response.redirect('https://www.NASDAQ:COIN.com', 302);
  }

  // If not in target geography: show white page
  if (!TARGET_GEO.includes(geo)) {
    return renderWhitePage(); // Innocent blog post
  }

  // Real victim from target country: show possibly phishing page
  return renderPhishingPage(); // Credential harvester
}
Wawasan Utama

Tidak ada situs web resmi yang mengalihkan pengunjung ke domain perusahaan lain. Jika [REDACTED] mengalihkan ke NASDAQ:COIN.com, domain tersebut tidak memiliki alasan untuk ada. Halaman NASDAQ:COIN yang asli akan dihosting di NASDAQ:COIN.com. Pengalihan itu yang menjadi petunjuknya.

Masalah Halaman Putih

“Halaman putih” adalah konten umpan yang ditampilkan oleh domain possibly phishing yang disamarkan kepada pemindai dan pengunjung yang bukan sasaran. Terlepas dari namanya, halaman ini jarang berupa halaman kosong berwarna putih. Halaman putih modern adalah situs web yang berfungsi sepenuhnya dirancang agar terlihat sah:

  • Postingan blog tentang mata uang kripto, keuangan, atau teknologi
  • Halaman arahan produk untuk alat SaaS umum
  • Artikel berita yang diambil dari publikasi resmi
  • Halaman domain yang tidak aktif dengan pesan umum “segera hadir”
  • Konten yang dioptimalkan untuk SEO dan dirancang agar muncul di hasil pencarian

Poin terakhir ini sangat penting. Halaman putih bukan sekadar alat untuk mengelak — melainkan Senjata SEO. Dengan menampilkan konten berkualitas tinggi di domain possibly phishing, para pelaku berhasil mencapai dua tujuan sekaligus: mereka lolos dari deteksi dan Mereka membangun otoritas domain yang membuat tautan possibly phishing mereka muncul di peringkat lebih tinggi dalam hasil pencarian.

Serangan SEO Poisoning Tiga Tahap

Inilah siklus hidup lengkap dari sebuah kampanye possibly phishing yang didukung oleh white page:

Fase 1
Membangun Otoritas
Fase 2
Peringkat & Indeks
Fase 3
Aktifkan Possibly phishing
Fase 1: Membangun Otoritas (Minggu 1–4)
Daftarkan domain. Luncurkan halaman kosong dengan konten yang dioptimalkan untuk SEO (posting blog, artikel). Bangun tautan balik. Domain semakin matang dan memperoleh otoritas. Semua mesin pencari melihat situs dengan konten yang bersih. Google mengindeksnya tanpa peringatan.
Fase 2: Peringkat & Indeks (Minggu ke-4–8)
Domain mulai muncul di peringkat untuk kata kunci target (“menghubungkan dompet [REDACTED],” “login NASDAQ:COIN,” “airdrop kripto”). Konten halaman kosong tetap ditampilkan. Lalu lintas organik mulai mengalir. Reputasi domain terbentuk di seluruh sistem penilaian.
Fase 3: Melancarkan Serangan Possibly phishing (Minggu ke-8 ke atas)
Aturan TDS dibalik. Pengunjung yang sesuai dengan profil korban (alamat IP rumah, negara sasaran, perangkat seluler) kini melihat halaman possibly phishing, bukan halaman kosong. Pemindai masih melihat halaman kosong. Reputasi domain yang telah terbangun membuat peringatan browser lambat muncul. Korban yang mengklik hasil pencarian atau iklan akan diarahkan ke domain yang tampak tepercaya dengan skor otoritas tinggi.
Pipeline “SEO poisoning” pada halaman putih — domain phishing membangun otoritas sebelum diaktifkan
Halaman putih bukanlah taktik penghindaran pasif. Halaman-halaman tersebut merupakan senjata SEO aktif yang membangun otoritas domain, meraih peringkat pencarian, dan kemudian memanfaatkan reputasi tersebut untuk menyebarkan serangan possibly phishing kepada korban melalui hasil pencarian organik.

Inilah sebabnya mengapa kami menandai domain pada Fase 1. Saat Fase 3 diaktifkan, kerusakan sudah terjadi. Menunggu hingga halaman possibly phishing muncul berarti menunggu para korban kehilangan kredensial dan uang mereka.

Skenario Lalu Lintas Aktif: Iklan dan Kampanye Email

Tidak semua serangan possibly phishing terselubung mengandalkan hasil pencarian organik. Dua metode perolehan lalu lintas yang paling agresif adalah iklan berbayar dan kampanye email, yang keduanya memanfaatkan teknik penyamaran untuk menghindari proses peninjauan platform.

Penyamaran Iklan Google

Penyelidikan kami mengenai Jaringan drainer [REDACTED] tercatat 55+ domain menggunakan Google Ads untuk mengarahkan lalu lintas ke situs-situs yang menguras dompet. Mekanismenya:

  1. Operator mengirimkan domain tersebut untuk ditinjau oleh Google Ads. Crawler Google mendeteksi halaman kosong (sebuah blog tentang teknologi blockchain). Iklan telah disetujui.
  2. Iklan ditayangkan, dengan menargetkan kata kunci “connect wallet” dan “crypto airdrop”.
  3. Pengguna Google mengklik iklan tersebut. TDS mendeteksi alamat IP perumahan yang berasal dari sumber rujukan Google Ads. Hidangan penguras dompet telah disajikan.
  4. Korban menghubungkan dompetnya. Asetnya habis dalam hitungan detik melalui transaksi yang telah ditandatangani sebelumnya.

Sistem peninjauan iklan Google — seperti halnya setiap pemindai otomatis — hanya melihat halaman kosong. Iklan tersebut tetap tayang, sementara operator terus membayar Google untuk setiap korban yang berhasil diarahkan.

Penyamaran Kampanye Email

Gerbang email (Microsoft Defender for Office 365, Proofpoint, Mimecast) memindai tautan dalam email sebelum dikirim. Cloaking menangani hal ini dengan cara yang sama:

  1. Email possibly phishing berisi tautan ke domain yang disamarkan.
  2. Gerbang email memindai URL tersebut. TDS sisi server mengenali rentang IP gerbang tersebut. Kemudian menampilkan halaman kosong atau mengalihkan pengguna ke situs resmi. Email telah terkirim.
  3. Penerima mengklik tautan dari klien emailnya. Alamat IP perumahan, referrer yang benar, lokasi geografis tujuan. Halaman possibly phishing telah ditampilkan.
Skala

Dalam penyelidikan [REDACTED] saja, Google Ads secara aktif mendanai penyebaran program penguras dompet di lebih dari 55 domain. Setiap domain tersebut lolos dari tinjauan otomatis Google karena crawler Google hanya menampilkan halaman kosong. Ini bukanlah celah — melainkan kegagalan struktural dalam cara platform iklan memvalidasi halaman arahan ketika terjadi praktik cloaking.

Mengapa Prinsip “Tidak Bersalah Sampai Terbukti Bersalah” Tidak Berlaku di Sini

Kita terkadang mendengar argumen bahwa menandai sebuah domain berdasarkan infrastruktur cloaking masih terlalu dini — bahwa kita sebaiknya menunggu hingga konten possibly phishing yang sebenarnya muncul sebelum mengambil tindakan. Argumen ini salah memahami apa itu cloaking.

Teknologi penyamaran bukanlah teknologi yang netral. Teknologi ini adalah infrastruktur adversarial dirancang khusus untuk menghindari deteksi. Sebuah domain yang menerapkan teknik penyamaran telah menyatakan niatnya: menampilkan hal yang berbeda kepada sistem keamanan dan kepada korban. Konfigurasi semacam itu tidak memiliki tujuan yang sah.

5 Tanda yang Kami Perhatikan

Setiap domain yang menunjukkan kombinasi apa pun Di antara sinyal-sinyal ini, ada yang ditandai sebagai berbahaya:

  1. Penyajian konten bersyarat — Konten yang berbeda berdasarkan alamat IP, User-Agent, lokasi geografis, sumber rujukan, atau sidik jari perangkat
  2. Sidik jari TDS[REDACTED], Binom, BeMob, atau tanda tangan router khusus dalam header respons, rantai pengalihan, atau JavaScript
  3. Alihkan ke situs resmi — Setiap pengalihan ke domain pihak ketiga yang sah (terutama situs perbankan, kripto, atau penyedia layanan email)
  4. Halaman kosong dengan konten yang tidak relevan — Postingan blog, artikel berita, atau konten umum di domain yang baru saja didaftarkan dan belum memiliki jejak bisnis yang jelas
  5. JavaScript Anti-bot — Skrip yang mendeteksi browser tanpa antarmuka pengguna, WebDriver, dimensi layar, atau rendering kanvas sebelum menentukan apa yang akan ditampilkan

Dalam kumpulan data kami yang mencakup lebih dari 50.000 situs yang telah dipindai, jumlah domain yang menunjukkan tanda-tanda tersebut namun ternyata sah adalah nol. Bukan “jarang” — sama sekali tidak ada. Kami belum pernah menemukan satu pun situs web resmi yang perlu mengalihkan pengunjung yang tidak menjadi target ke domain perusahaan lain, atau menampilkan blog tentang mata uang kripto kepada pemindai (scanner) sambil menampilkan formulir login kepada pengunjung dari rentang IP tertentu.

Kebijakan Kami

Cloaking merupakan sinyal biner. Jika sebuah domain menampilkan konten yang berbeda kepada pengunjung yang berbeda dengan menggunakan mekanisme yang dijelaskan di atas, domain tersebut akan ditandai. Jika seorang operator meyakini bahwa ini merupakan hasil positif palsu, kami proses banding Dibuat khusus untuk tujuan ini. Hingga saat ini, belum ada banding atas bendera yang terkait dengan cloaking yang berhasil.

Masalah Panitera

Teknik cloaking menimbulkan masalah lanjutan dalam pelaporan penyalahgunaan. Ketika kami melaporkan domain yang disamarkan kepada registrar, tim penanggulangan penyalahgunaan dari registrar tersebut mengunjungi URL tersebut dan melihat … halaman yang tampak normal. Sebuah postingan blog. Pengalihan ke NASDAQ:COIN.com. Dari sudut pandang mereka, tidak ada tindakan yang perlu diambil.

Inilah skenario persis yang terjadi di tempat kami Penyelidikan IANA #3765 dan kami Penyelidikan IANA #1479. Dalam kedua kasus tersebut, pihak pendaftar memeriksa domain yang dilaporkan, menemukan bahwa isinya tidak bermasalah, dan kemudian menutup kasus tersebut atau secara aktif membela operator domain tersebut.

Masalahnya bersifat sistemik:

  • Tim penanggulangan penyalahgunaan di registrar menggunakan metode pemindaian yang sama dengan vendor antivirus — mereka mengakses URL tersebut dari alamat IP pusat data menggunakan peramban standar. Teknik cloaking selalu berhasil mengelabui cara ini.
  • Belum ada penyedia layanan pendaftaran domain yang berinvestasi dalam teknologi pendeteksi cloaking — Teknologi untuk mendeteksi penyajian konten bersyarat memang sudah ada (kami yang mengembangkannya), tetapi belum ada pendaftar domain yang menerapkannya.
  • Kerangka kerja penanggulangan penyalahgunaan ICANN tidak memperhitungkan praktik cloaking — Laporan penyalahgunaan memerlukan bukti adanya konten yang merugikan. Jika konten yang merugikan tersebut hanya ditampilkan kepada para korban, proses verifikasi yang dilakukan oleh pihak pendaftar sendiri tidak akan pernah menemukannya.
Kegagalan Respons Pendaftar

Kami telah mendokumentasikan pola ini secara mendalam. Laporan kami Ketika Laporan Kekerasan Tak Ditindaklanjuti menjelaskan bagaimana penyedia layanan pendaftaran domain secara sistematis gagal menindaklanjuti domain yang disamarkan karena metode verifikasi yang mereka gunakan justru dirancang untuk dikalahkan oleh teknik penyamaran tersebut.

Inilah alasan mengapa THE ENABLERS REGISTRY hadir sebagai lapisan independen. Kami tidak hanya mengandalkan kunjungan ke URL dari satu alamat IP saja dan memeriksa apa yang ditampilkannya. Kami menganalisis rantai pengalihan, sidik jari TDS, perilaku JavaScript, riwayat DNS, log transparansi sertifikat, dan pola temporal di ribuan domain. Saat kami menandai sebuah domain, kami telah memperhitungkan fakta bahwa domain tersebut akan terlihat bersih bagi siapa pun yang memeriksanya dengan cara yang biasa.

Ringkasan: Teknik Penyamaran dan Deteksi

TeknikApa yang Dilihat oleh PemindaiApa yang Dilihat Para KorbanMetode Deteksi
Penyaringan berbasis IPHalaman kosong / pengalihanHalaman possibly phishingPemindaian multi-IP, perbandingan proxy perumahan
Penyaringan berbasis UAHalaman kosong / 403Halaman possibly phishingRotasi UA, perbandingan antara headless dan browser sungguhan
Penyaringan berdasarkan lokasiKonten umumPossibly phishing yang disesuaikan dengan kondisi lokalPemindaian proxy multi-wilayah
Penyaringan sumber rujukanHalaman putihPossibly phishing (melalui iklan/email)Pemalsuan sumber rujukan, simulasi klik iklan
Identifikasi JSHalaman kosong (terdeteksi bot)Possibly phishing (perangkat asli)Analisis statis JavaScript, deobfuscation
Aturan berdasarkan waktuPembersihan (di luar jam kerja)Possibly phishing (jam kerja)Pemindaian temporal, pemeriksaan yang diselaraskan dengan zona waktu
Pembatasan akses berdasarkan cookie/sesiPembersihan (kunjungan pertama)Possibly phishing (kunjungan ulang dengan cookie)Analisis sesi multi-kunjungan, pemutaran ulang cookie
TDS ([REDACTED]/Binom)Halaman kosong atau pengalihanDiarahkan ke situs possibly phishingAlat Pendeteksi [REDACTED], analisis header/pengalihan
Pengalihan situs resmi302 → situs resmiHalaman possibly phishingAnalisis tujuan pengalihan, validasi tujuan domain
Ringkasan deteksi teknik penyamaran dan analisis infrastruktur phishing
Gambaran selengkapnya: setiap teknik penyamaran memiliki metode pendeteksiannya sendiri. Tantangannya bukanlah pada teknologi — melainkan bagaimana meyakinkan penyedia layanan pendaftaran domain, platform iklan, dan gerbang email untuk menerapkannya.

Kesimpulan

Cloaking bukanlah wilayah abu-abu. Ini adalah teknik pengelakan yang paling efektif dalam praktik possibly phishing modern, dan setiap komponen ekosistem possibly phishing — mulai dari Google Ads hingga gerbang email hingga tim penanggulangan penyalahgunaan di penyedia nama domain — saat ini gagal menangani masalah tersebut.

Ketika THE ENABLERS REGISTRY menandai sebuah domain sebagai domain yang melakukan cloaking, kami tidak sekadar menebak-nebak. Kami mendokumentasikan keberadaan infrastruktur berbahaya yang dibuat untuk satu tujuan: menampilkan konten yang berbeda kepada pengunjung yang berbeda. Dalam lebih dari 50.000 pemindaian, tingkat false positive untuk sinyal ini adalah nol.

Jika domain Anda ditandai:

  • Jika Anda adalah operator yang sah dan yakin bahwa ini merupakan hasil positif palsu, mengajukan banding. Kami memeriksa semuanya satu per satu.
  • Jika Anda mengoperasikan infrastruktur cloaking, kami sudah mengetahuinya. Halaman kosong yang Anda tunjukkan kepada pemindai kami bukanlah yang dilihat oleh korban-korban Anda. Dan kami memiliki bukti untuk membuktikannya.
Halaman kosong bukanlah pembelaan. Itu adalah pengakuan. Jika domain Anda perlu menampilkan konten yang berbeda kepada pengunjung yang berbeda, Anda sudah menjawab pertanyaan apakah hal itu bersifat berbahaya.

Setiap domain yang disamarkan akan diblokir. Tanpa kecuali. Belum pernah ada banding yang berhasil. Sebab, dari 50.000 pemindaian, kami belum pernah salah dalam mendeteksi sinyal ini.

Penelitian dan Sumber Daya Terkait

Artikel ini disusun berdasarkan pengalaman operasional kami dalam memindai lebih dari 50.000 domain, menyelidiki infrastruktur possibly phishing yang aktif, serta mengajukan laporan penyalahgunaan kepada pendaftar domain dan ICANN. Semua teknik yang dijelaskan didokumentasikan dengan bukti. Tidak ada akses tanpa izin yang dilakukan pada tahap mana pun selama penelitian kami.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings