
Por que bloqueamos as “páginas em branco” e redirecionamos para sites oficiais: O problema do cloaking explicado
Cloaking, páginas em branco e redirecionamentos TDS são a espinha dorsal da infraestrutura moderna de possibly phishing. Todo site que os utiliza é banido. Veja a seguir o motivo — e o que descobrimos quando olhamos por trás das cortinas.
A pergunta que sempre nos fazem
Todas as semanas, recebemos o mesmo apelo: “Vocês sinalizaram meu domínio, mas, quando eu verifico, ele simplesmente redireciona para o site oficial. Não há nada malicioso aqui.”
Ou uma variação: “A página é apenas uma postagem de blog sobre criptomoedas. Não é possibly phishing.”
Entendemos por que isso pode causar confusão. Se você acessar um domínio que foi sinalizado e encontrar uma página perfeitamente normal — ou um redirecionamento correto para um site legítimo —, é natural supor que a sinalização esteja errada. Mas essa página correta não é um erro em nossa detecção. É o ataque.
Este artigo explica a tecnologia por trás do cloaking, por que existem as “páginas brancas”, como os TDS, como o [REDACTED], direcionam as vítimas e por que THE ENABLERS REGISTRY trata cada um desses padrões como infraestrutura maliciosa confirmada — sem nenhuma exceção.
Se você está lendo isto porque seu domínio foi sinalizado e acredita que se trata de um erro, recomendamos que leia até o fim. Também mantemos um processo de recurso para falsos positivos legítimos. Mas, segundo nossa experiência, os domínios que apresentam comportamento de cloaking são maliciosos em 100% dos casos.
Como os sistemas antivírus mudaram o jogo
Há uma década, o possibly phishing era simples. Um invasor registrava um domínio, criava uma página de login falsa e enviava o link às vítimas. As empresas de segurança acabavam rastreando essa URL, identificavam a página de possibly phishing e a adicionavam às listas de bloqueio. O domínio era desativado em questão de horas ou dias.
Então, o setor melhorou. O Google Safe Browsing, o Microsoft SmartScreen e mais de 100 mecanismos antivírus em plataformas como o VirusTotal passaram a verificar URLs quase em tempo real. Os alertas no próprio navegador reduziram drasticamente as taxas de cliques. Os provedores de hospedagem implementaram Pipeline automatizados de remoção. O intervalo de tempo entre o momento em que uma página de possibly phishing era publicada e o momento em que era bloqueada diminuiu de dias para minutos.
Os autores de golpes de possibly phishing enfrentavam um problema: suas páginas estavam sendo detectadas mais rapidamente do que conseguiam colocá-las no ar. Eles precisavam de uma maneira de exibir o conteúdo do golpe às vítimas reais, ao mesmo tempo em que parecessem completamente inofensivos para todos os sistemas automatizados que tentavam detectá-los.
A resposta foi camuflagem.
O possibly phishing moderno não é descoberto porque a página de possibly phishing é difícil de detectar. Ele consegue passar despercebido porque o scanner nem sequer detecta a página de possibly phishing. O scanner detecta uma postagem de blog, um redirecionamento ou uma página em branco. A vítima — que está acessando a partir de um país específico, em um dispositivo móvel, por meio de um anúncio pago — vê o programa de coleta de credenciais.
O que é, na verdade, o cloaking
O cloaking é a prática de apresentar conteúdos diferentes a visitantes distintos, dependendo de quem eles são. No contexto do possibly phishing, isso significa uma coisa: Os scanners de segurança veem uma página inofensiva, enquanto as vítimas reais veem a página de possibly phishing.
A filtragem pode ocorrer em vários níveis:
- Reputação de IP — Os endereços IP conhecidos de data centers, intervalos de VPN e blocos de IP de fornecedores de segurança recebem a versão limpa. Os endereços IP residenciais recebem a página de possibly phishing.
- Strings de User-Agent — Navegadores sem interface gráfica, rastreadores conhecidos (Googlebot, bingbot, Screaming Frog) e scanners de segurança são identificados e filtrados.
- Geolocalização — A página de possibly phishing é exibida apenas para visitantes dos países-alvo. Todos os demais veem a página em branco.
- Cabeçalhos de Referrer — Somente os visitantes que chegam por meio de fontes específicas (um anúncio do Google, um link em um e-mail de possibly phishing, uma postagem nas redes sociais) veem o conteúdo real.
- Identificação de dispositivos — O JavaScript verifica a resolução da tela, as fontes instaladas, o renderizador WebGL, a API da bateria e outros sinais para distinguir dispositivos reais de emuladores.
- Regras baseadas no tempo — A página de possibly phishing fica ativa apenas durante horários específicos (por exemplo, horário comercial no fuso horário de destino) e, fora desses horários, exibe por padrão a página em branco.
- Rastreamento por cookies/sessões — Na primeira visita, é exibida a página em branco. Visitantes recorrentes com um cookie específico (definido ao clicar no anúncio) veem a página de possibly phishing.
Uma configuração sofisticada de camuflagem combina todos esses elementos. O resultado é um domínio que parece totalmente limpo para todos os scanners da internet, ao mesmo tempo em que rouba ativamente credenciais das vítimas visadas.
Quando o VirusTotal analisa uma URL mascarada, ele exibe uma página em branco. Resultado: 0/93 detecções. O Google Safe Browsing rastreia o site e encontra uma postagem no blog. Resultado: sem aviso prévio. A vítima clica no mesmo URL no celular a partir de um anúncio do Google: eles veem uma página falsa de login do [REDACTED]. Não se trata de um problema teórico — é o modelo operacional padrão do possibly phishing moderno.
As ferramentas por trás do engano
O cloaking não é improvisado. Ele funciona por meio de um software comercial especializado chamado Sistemas de Distribuição de Tráfego (TDS). O mais utilizado em operações de possibly phishing é [REDACTED].
O [REDACTED] é um produto legítimo de tecnologia de publicidade, desenvolvido para profissionais de marketing de afiliados direcionarem o tráfego com base nas características dos visitantes. Ele oferece suporte a todos os critérios de filtragem listados acima — intervalos de IP, localização geográfica, dispositivo, referenciador e user-agent — de forma pronta para uso. Os operadores de possibly phishing simplesmente o configuram para direcionar os scanners para uma página em branco e as vítimas para a página de possibly phishing.
Nossa investigação, publicada como [REDACTED] TDS: 1.500 painéis expostos, identificado 1.565 painéis ativos do [REDACTED] que hospeda uma infraestrutura de possibly phishing. Não são 1.565 páginas de possibly phishing — são 1.565 painéis de controle, cada um deles gerenciando dezenas a centenas de campanhas de possibly phishing simultaneamente.
Outras plataformas de TDS que encontramos incluem:
- Binom — Rastreador auto-hospedado popular em operações na região da CEI
- BeMob — Rastreador baseado na nuvem com filtragem de IP e detecção de bots
- Roteadores PHP personalizados — Scripts desenvolvidos internamente que utilizam o MaxMind GeoIP e listas de bloqueio de IPs
- IANA #1910 Workers — Roteamento baseado em edge que avalia os atributos do visitante antes mesmo que a solicitação chegue ao servidor de origem
O denominador comum: todos eles existem para exibir conteúdos diferentes para visitantes diferentes. No mundo do marketing de afiliados, isso é chamado de “otimização de tráfego”. No possibly phishing, é chamado de evasão.
Nós construímos o Ferramenta de Detecção [REDACTED] para identificar indícios do [REDACTED] TDS em qualquer domínio. Ele verifica caminhos de painéis conhecidos, padrões de cabeçalhos de resposta, cadeias de redirecionamento e assinaturas de JavaScript associadas a instalações do [REDACTED].
O cenário do “redirecionamento do site oficial”
Um dos padrões de cloaking mais comuns que encontramos é um domínio que simplesmente redireciona para um site oficial. O apelo é sempre o mesmo: “Confira você mesmo — o link leva diretamente ao site NASDAQ:COIN.com. Não é nenhum golpe de possibly phishing.”
Eis o que está realmente acontecendo:
O redirecionamento para o site oficial não significa que o domínio seja inofensivo. É o próprio mecanismo de camuflagem. O TDS determinou que o visitante é um scanner, e a resposta mais segura — aquela com maior probabilidade de resultar em uma verificação sem problemas — é redirecioná-lo para o site verdadeiro.
Aqui está um exemplo simplificado da lógica do lado do servidor:
// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];
function routeVisitor(req) {
const ip = req.headers['cf-connecting-ip'];
const ua = req.headers['user-agent'];
const geo = req.headers['cf-ipcountry'];
// If scanner/bot detected: redirect to official site
if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
return Response.redirect('https://www.NASDAQ:COIN.com', 302);
}
// If not in target geography: show white page
if (!TARGET_GEO.includes(geo)) {
return renderWhitePage(); // Innocent blog post
}
// Real victim from target country: show possibly phishing page
return renderPhishingPage(); // Credential harvester
} Nenhum site legítimo redireciona os visitantes para o domínio de outra empresa. Se [REDACTED] redireciona para NASDAQ:COIN.com, esse domínio não tem motivo para existir. Uma página verdadeira da NASDAQ:COIN estaria hospedada em NASDAQ:COIN.com. O redirecionamento é o indício.
O Problema da Página Branca
Uma “página em branco” é o conteúdo falso que um domínio de possibly phishing camuflado exibe para scanners e visitantes que não são o público-alvo. Apesar do nome, raramente se trata de uma página branca em branco. As páginas em branco modernas são sites totalmente funcionais criado para parecer legítimo:
- Postagens de blog sobre criptomoedas, finanças ou tecnologia
- Páginas de destino de produtos para ferramentas SaaS genéricas
- Artigos de notícias extraídos de publicações confiáveis
- Páginas de domínios em espera com mensagens genéricas do tipo “em breve”
- Conteúdo otimizado para SEO, projetado para aparecer nos resultados de busca
Esse último ponto é fundamental. As páginas em branco não são apenas ferramentas de evasão — elas são Armas de SEO. Ao hospedar conteúdo de alta qualidade em um domínio de possibly phishing, os operadores alcançam dois objetivos ao mesmo tempo: eles evitam a detecção e eles criam autoridade de domínio, o que faz com que seus links de possibly phishing apareçam em posições mais altas nos resultados de busca.
O ataque de envenenamento de SEO em três fases
Este é o ciclo de vida completo de uma campanha de possibly phishing baseada em “white page”:
Autoridade de Construção
Classificação e Índice
Ativar possibly phishing
É por isso que sinalizamos os domínios na Fase 1. Quando a Fase 3 é ativada, o dano já está feito. Esperar que a página de possibly phishing apareça significa esperar que as vítimas percam suas credenciais e seu dinheiro.
Cenários de tráfego ativo: anúncios e campanhas por e-mail
Nem todo possibly phishing dissimulado depende da pesquisa orgânica. Dois dos métodos mais agressivos de aquisição de tráfego são publicidade paga e campanhas por e-mail, sendo que ambas utilizam técnicas de camuflagem para contornar a revisão da plataforma.
Ocultação no Google Ads
Nossa investigação sobre o Rede de drainer [REDACTED] documentado Mais de 55 domínios usar o Google Ads para direcionar tráfego para sites que esvaziam a carteira. O mecanismo:
- O operador envia o domínio para análise no Google Ads. O rastreador do Google encontra a página em branco (um blog sobre tecnologia blockchain). Anúncio aprovado.
- A campanha publicitária é veiculada com foco nas palavras-chave “connect wallet” e “crypto airdrop”.
- Um usuário do Google clica no anúncio. A TDS detecta um endereço IP residencial proveniente de um referenciador do Google Ads. Servido o prato que esvazia a carteira.
- A vítima conecta sua carteira. Os ativos são desviados em questão de segundos por meio de uma transação pré-assinada.
O sistema de revisão de anúncios do Google — assim como qualquer scanner automatizado — vê apenas a página em branco. O anúncio continua sendo exibido, e o operador continua pagando ao Google por cada vítima direcionada.
Ocultação de campanhas por e-mail
Os gateways de e-mail (Microsoft Defender para Office 365, Proofpoint, Mimecast) verificam os links nos e-mails antes da entrega. O Cloaking faz isso da mesma maneira:
- O e-mail de possibly phishing contém um link para um domínio oculto.
- O gateway de e-mail verifica a URL. O TDS do lado do servidor reconhece o intervalo de IPs do gateway. Retorna a página em branco ou um redirecionamento para o site oficial. E-mail enviado.
- O destinatário clica no link a partir do seu cliente de e-mail. IP residencial, referenciador correto, localização geográfica do destino. Página de possibly phishing exibida.
Somente na investigação [REDACTED], o Google Ads estava financiando ativamente a distribuição de programas que esvaziam carteiras em mais de 55 domínios. Cada domínio foi aprovado na análise automatizada do Google porque o rastreador do Google visualizou uma página em branco. Isso não é uma brecha — é uma falha estrutural na forma como as plataformas de publicidade validam as páginas de destino quando há cloaking.
Por que o princípio de “inocente até que se prove o contrário” não se aplica neste caso
Às vezes ouvimos o argumento de que sinalizar um domínio com base em uma infraestrutura de cloaking é prematuro — que deveríamos esperar que o conteúdo de possibly phishing propriamente dito apareça antes de tomar medidas. Esse argumento interpreta erroneamente o que é cloaking.
A camuflagem não é uma tecnologia neutra. É infraestrutura adversária projetado especificamente para burlar a detecção. Um domínio que utiliza técnicas de camuflagem já declarou sua intenção: mostrar uma coisa aos sistemas de segurança e outra às vítimas. Essa não é uma configuração que atenda a qualquer finalidade legítima.
Qualquer domínio que apresente qualquer combinação destes sinais é sinalizado como malicioso:
- Exibição condicional de conteúdo — Conteúdo diferente com base no endereço IP, no UA, na localização geográfica, na página de origem ou na impressão digital do dispositivo
- Impressões digitais do TDS — [REDACTED], Binom, BeMob ou assinaturas personalizadas de roteadores nos cabeçalhos de resposta, cadeias de redirecionamento ou JavaScript
- Redirecionar para os sites oficiais — Qualquer redirecionamento para um domínio legítimo de terceiros (especialmente bancos, plataformas de criptomoedas ou provedores de e-mail)
- Página em branco com conteúdo não relacionado — Postagens em blogs, artigos de notícias ou conteúdo genérico em um domínio registrado recentemente, sem presença comercial comprovada
- JavaScript anti-bot — Identificação de scripts que verificam a presença de navegadores sem interface gráfica, WebDriver, dimensões da tela ou renderização em canvas antes de decidir o que exibir
Em nosso conjunto de dados com mais de 50.000 sites analisados, o número de domínios que apresentavam esses sinais e que se revelaram legítimos é zero. Não é “raro” — é zero. Nunca encontramos um único site legítimo que precisasse redirecionar visitantes não-alvo para o domínio de outra empresa, ou exibir um blog sobre criptomoedas para scanners enquanto exibia um formulário de login para visitantes de faixas de IP específicas.
O cloaking é um sinal binário. Se um domínio exibir conteúdo diferente para visitantes distintos utilizando os mecanismos descritos acima, ele será sinalizado. Se um operador acreditar que se trata de um falso positivo, nosso processo de recurso existe exatamente para esse fim. Até o momento, nenhum recurso contra uma marcação relacionada à ocultação foi deferido.
O Problema do Registrador
O cloaking gera um problema a jusante para as denúncias de abuso. Quando denunciamos um domínio com cloaking a um registrador, a equipe de abuso do registrador acessa a URL e vê… uma página limpa. Uma postagem de blog. Um redirecionamento para NASDAQ:COIN.com. Do ponto de vista deles, não há nada que justifique uma ação.
Esse é exatamente o cenário que se desenrolou em nosso Investigação sobre a IANA #3765 e o nosso Investigação do IANA #1479. Em ambos os casos, os registradores verificaram os domínios denunciados, constataram que o conteúdo era adequado e, então, encerraram o caso ou defenderam ativamente o operador do domínio.
O problema é sistêmico:
- As equipes de combate a abusos dos registradores utilizam os mesmos métodos de varredura que os fornecedores de antivírus — eles acessam a URL a partir de endereços IP do data center usando navegadores comuns. O cloaking sempre contorna isso.
- Nenhum registrador investiu em sistemas de detecção de cloaking — a tecnologia para detectar a veiculação de conteúdo condicional existe (fomos nós que a desenvolvemos), mas nenhum registrador a implementou.
- A estrutura de combate a abusos da ICANN não leva em conta o cloaking — as denúncias de abuso exigem provas da existência de conteúdo prejudicial. Se o conteúdo prejudicial for exibido apenas às vítimas, o próprio processo de verificação do registrador nunca o detectará.
Documentamos esse padrão de forma detalhada. Nosso relatório Quando as denúncias de abuso não dão em nada explica como os registradores sistematicamente deixam de tomar medidas em relação a domínios ocultos, pois seus métodos de verificação são exatamente o que a técnica de ocultação foi projetada para contornar.
É por isso que o THE ENABLERS REGISTRY existe como uma camada independente. Não nos limitamos a acessar a URL a partir de um único IP e verificar o que ela exibe. Analisamos cadeias de redirecionamento, impressões digitais TDS, comportamento de JavaScript, histórico de DNS, registros de transparência de certificados e padrões temporais em milhares de domínios. Quando sinalizamos um domínio, já levamos em conta o fato de que ele parecerá limpo para qualquer pessoa que o verifique da maneira óbvia.
Resumo: Técnicas de camuflagem e detecção
| Técnica | O que os scanners veem | O que as vítimas veem | Método de detecção |
|---|---|---|---|
| Filtragem baseada em IP | Página em branco / redirecionamento | Página de possibly phishing | Varredura com vários endereços IP, comparação de proxies residenciais |
| Filtragem baseada em UA | Página em branco / 403 | Página de possibly phishing | Rotação de UA: comparação entre modo headless e navegador real |
| Filtragem baseada na localização | Conteúdo genérico | Possibly phishing localizado | Varredura de proxies em várias regiões |
| Filtragem de referenciadores | Página em branco | Possibly phishing (por meio de anúncios/e-mails) | Falsificação de referenciador, simulação de cliques em anúncios |
| Identificação por impressão digital em JavaScript | Página em branco (bot detectado) | Possibly phishing (dispositivo real) | Análise estática de JavaScript, desofuscação |
| Regras baseadas no tempo | Limpeza (fora do horário comercial) | Possibly phishing (horário comercial) | Varredura temporal, verificações alinhadas ao fuso horário |
| Controle de acesso por cookies/sessão | Limpo (primeira visita) | Possibly phishing (nova visita com cookie) | Análise de sessões com múltiplas visitas, reprodução de cookies |
| TDS ([REDACTED]/Binom) | Página em branco ou redirecionamento | Redirecionado para um site de possibly phishing | Ferramenta de Detecção [REDACTED], análise de cabeçalhos/redirecionamentos |
| Redirecionamento do site oficial | 302 → site legítimo | Página de possibly phishing | Análise do destino do redirecionamento, validação da finalidade do domínio |
Conclusão
O cloaking não é uma área cinzenta. É o a técnica de evasão mais eficaz de todas no possibly phishing moderno, e todos os componentes do ecossistema de possibly phishing — desde o Google Ads até os gateways de e-mail e as equipes de combate a abusos dos registradores — estão, atualmente, falhando em lidar com isso.
Quando o THE ENABLERS REGISTRY sinaliza um domínio por cloaking, não estamos fazendo suposições. Estamos documentando a presença de uma infraestrutura maliciosa que existe com um único objetivo: exibir conteúdos diferentes para visitantes diferentes. Em mais de 50.000 varreduras, a taxa de falsos positivos para esse sinal é zero.
Se o seu domínio foi sinalizado:
- Se você é um operador legítimo e acredita que se trata de um falso positivo, apresentar um recurso. Analisamos cada um deles.
- Se você estiver operando uma infraestrutura de cloaking, nós já sabemos disso. A página em branco que você mostrou ao nosso scanner não é o que suas vítimas veem. E temos as provas para comprovar isso.
A página em branco não é uma defesa. É uma confissão. Se o seu domínio precisa exibir conteúdos diferentes para visitantes diferentes, você já respondeu à pergunta sobre se ele é malicioso.
Todo domínio camuflado é banido. Sem exceções. Nenhum recurso foi aceito. Pois, em 50.000 varreduras, nunca nos equivocamos quanto a esse sinal.
Pesquisas e recursos relacionados
[REDACTED] TDS: 1.500 painéis expostos
Como mapeamos 1.565 painéis [REDACTED] que alimentam a infraestrutura de possibly phishing em todo o mundo.
Ferramenta de Detecção [REDACTED]
Verifique qualquer domínio em busca de marcas de identificação do [REDACTED] TDS, cadeias de redirecionamento e assinaturas de camuflagem.
[REDACTED]: 55 domínios, financiamento do Google Ads
Uma rede de drenagem de carteiras que utiliza páginas brancas camufladas para passar pela análise do Google Ads.
Quando as denúncias de abuso não dão em nada
Por que as equipes de combate a abusos dos registradores não tomam medidas em relação aos domínios ocultos e o que precisa mudar.
Veredicto da IANA #3765
Ação movida pela ICANN contra a IANA #3765 por omissão sistemática em tomar medidas em relação a denúncias de abuso.
Investigação do IANA #1479
Como a IANA #1479 defendeu um ladrão de criptomoedas que roubou US$ 2 milhões e inventou uma história para encobrir o caso.
Este artigo baseia-se em nossa experiência operacional na análise de mais de 50.000 domínios, na investigação de infraestruturas ativas de possibly phishing e na apresentação de denúncias de abuso junto a registradores e à ICANN. Todas as técnicas descritas estão documentadas com evidências. Não foi realizado nenhum acesso não autorizado em nenhum momento durante nossa pesquisa.