
Почему мы блокируем «белые страницы» и перенаправления на официальные сайты: Объяснение проблемы маскировки
Клокинг, «белые страницы» и перенаправления TDS — это основа современной фишинговой инфраструктуры. Каждый сайт, использующий эти методы, блокируется. Вот почему — и что мы обнаруживаем, заглянув за кулисы.
Вопрос, который нам постоянно задают
Каждую неделю мы получаем одну и ту же просьбу: «Вы занесли мой домен в список подозрительных, но когда я его проверяю, он просто перенаправляет на официальный сайт. Здесь нет ничего вредоносного».
Или другой вариант: «Эта страница — просто запись в блоге о криптовалюте. Это не фишинг».
Мы понимаем, почему это может сбивать с толку. Если вы заходите на домен, который был помечен, и видите совершенно обычную страницу — или корректное перенаправление на легитимный сайт — вполне естественно предположить, что пометка была нанесена ошибочно. Однако такая «чистая» страница не является ошибкой нашей системы обнаружения. Это нападение.
В этой статье объясняется, на чем основана технология маскировки, почему существуют «белые страницы», как системы распределения трафика (TDS), такие как [REDACTED], направляют трафик жертв, и почему THE ENABLERS REGISTRY рассматривает каждую из этих схем как подтвержденную вредоносную инфраструктуру — без единого исключения.
Если вы читаете это сообщение, потому что ваш домен был помечен, и вы считаете, что это произошло по ошибке, мы рекомендуем вам дочитать его до конца. Мы также ведем процедура обжалования в случае обоснованных ложных срабатываний. Однако, по нашему опыту, домены, демонстрирующие поведение, характерное для клоакинга, в 100 % случаев являются вредоносными.
Как антивирусные системы изменили правила игры
Десять лет назад фишинг был простым делом. Злоумышленник регистрировал домен, размещал на нём поддельную страницу входа в систему и отправлял ссылку жертвам. В конечном итоге поставщики решений по обеспечению безопасности сканировали этот URL, обнаруживали фишинговую страницу и добавляли её в списки блокировки. Домен переставал существовать в течение нескольких часов или дней.
Затем ситуация в отрасли улучшилась. Google Safe Browsing, Microsoft SmartScreen и более 100 антивирусных движков на таких платформах, как VirusTotal, начали сканировать URL-адреса практически в режиме реального времени. Предупреждения на уровне браузера резко снизили показатели кликабельности. Хостинг-провайдеры запустили автоматизированные процессы ликвидации контента. Время между появлением фишинговой страницы в сети и её блокировкой сократилось с нескольких дней до нескольких минут.
У фишеров возникла проблема: их страницы блокировались быстрее, чем они успевали их запускать. Им нужен был способ показывать фишинговый контент реальным жертвам, при этом выглядя совершенно безобидным для всех автоматизированных систем, пытающихся их обнаружить.
Ответ был таким: маскировка.
Современный фишинг остаётся незамеченным не потому, что фишинговую страницу трудно обнаружить. Он остаётся безнаказанным, потому что сканер вообще не видит фишинговую страницу. Сканер обнаруживает запись в блоге, перенаправление или пустую страницу. Жертва — пользователь, заходящий с мобильного устройства из определенной страны через платную рекламу — видит программу для сбора учетных данных.
Что на самом деле представляет собой «клокинг»
«Клокинг» — это практика предоставления разного контента разным посетителям в зависимости от того, кто они. В контексте фишинга это означает одно: Сканеры безопасности видят безобидную страницу, а настоящие жертвы — фишинговую страницу.
Фильтрация может осуществляться на нескольких уровнях:
- Репутация IP-адреса — Известные IP-адреса центров обработки данных, диапазоны VPN и блоки IP-адресов поставщиков решений безопасности получают «чистую» версию. На жилые IP-адреса выводится фишинговая страница.
- Строки User-Agent — Браузеры без пользовательского интерфейса, известные поисковые роботы (Googlebot, bingbot, Screaming Frog) и сканеры безопасности выявляются и отфильтровываются.
- Геолокация — Фишинговая страница отображается только посетителям из целевых стран. Все остальные видят пустую страницу.
- Заголовки Referrer — Только посетители, пришедшие с определённых источников (реклама в Google, ссылка в фишинговом письме, пост в социальной сети), видят настоящий контент.
- Идентификация устройств по отпечаткам — JavaScript проверяет разрешение экрана, установленные шрифты, рендерер WebGL, API батареи и другие сигналы, чтобы отличить реальные устройства от эмуляторов.
- Правила, зависящие от времени — Фишинговая страница активна только в определённые часы (например, в рабочее время в целевом часовом поясе), а вне этих интервалов по умолчанию отображается пустая страница.
- Отслеживание файлов cookie и сеансов — При первом посещении отображается пустая страница. Повторные посетители, у которых есть определённый файл cookie (созданный при нажатии на рекламу), видят фишинговую страницу.
Сложная схема маскировки объединяет в себе все эти элементы. В результате получается домен, который выглядит абсолютно «чистым» для любого сканера в Интернете, при этом активно похищая учетные данные целевых жертв.
Когда VirusTotal сканирует замаскированный URL-адрес, он видит пустую страницу. Результат: 0 из 93 обнаружений. Сервис Google Safe Browsing сканирует страницу и обнаруживает запись в блоге. Результат: без предупреждения. Пострадавший нажимает на тот же URL-адрес на своём телефоне из рекламного объявления Google: они видят поддельный экран входа в [REDACTED]. Это не теоретическая проблема — это стандартная схема действий, используемая в современном фишинге.
Инструменты, стоящие за обманом
Маскировка не осуществляется импровизированно. Она работает на базе специализированного коммерческого программного обеспечения под названием Системы распределения трафика (TDS). Наиболее широко используемым в фишинговых операциях является Кейтаро.
[REDACTED] — это легальный продукт в сфере рекламных технологий, разработанный для партнеров по аффилиат-маркетингу с целью перенаправления трафика в зависимости от характеристик посетителей. Он изначально поддерживает все перечисленные выше критерии фильтрации — диапазоны IP-адресов, географическое положение, тип устройства, реферер, пользовательский агент. Фишинговые злоумышленники просто настраивают его таким образом, чтобы сканеры перенаправлялись на пустую страницу, а жертвы — на фишинговую страницу.
Наше исследование, опубликованное в виде Кейтаро TDS: обнародовано 1 500 панелей, выявленный 1 565 активных комиксов с Кэйтаро обслуживающая фишинговую инфраструктуру. Не 1 565 фишинговых страниц — а именно 1 565 панели управления, каждый из которых одновременно управляет от нескольких десятков до нескольких сотен фишинговых кампаний.
К другим платформам TDS, с которыми мы сталкиваемся, относятся:
- Бином — Самостоятельно размещаемый трекер, популярный в операциях в странах СНГ
- BeMob — Облачный трекер с фильтрацией IP-адресов и обнаружением ботов
- Пользовательские маршрутизаторы PHP — Скрипты собственной разработки, использующие MaxMind GeoIP и списки заблокированных IP-адресов
- IANA #1910 Workers — Маршрутизация на периферии, при которой атрибуты посетителя анализируются ещё до того, как запрос достигнет исходного сервера
Общий знаменатель: все они созданы для того, чтобы показывать разным посетителям разный контент. В мире партнерского маркетинга это называется «оптимизацией трафика». В фишинге это называется уклонение.
Мы создали Инструмент обнаружения Кейтаро для обнаружения признаков [REDACTED] TDS на любом домене. Программа проверяет наличие известных путей к панелям управления, шаблонов заголовков ответов, цепочек перенаправлений и сигнатур JavaScript, связанных с установками [REDACTED].
Сценарий «Перенаправление с официального сайта»
Один из наиболее распространённых способов маскировки, с которым мы сталкиваемся, — это домен, который просто перенаправляет на официальный сайт. Призыв к действию всегда выглядит одинаково: «Проверьте сами — ссылка ведёт просто на сайт NASDAQ:COIN.com. Никакого фишинга».
Вот что на самом деле происходит:
Перенаправление на официальный сайт не означает, что домен безопасен. Это и есть сам механизм маскировки. Система TDS определила, что посетитель является сканером, и наиболее безопасным действием — которое с наибольшей вероятностью обеспечит «чистый» результат сканирования — является перенаправление на настоящий веб-сайт.
Вот упрощённый пример логики на стороне сервера:
// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];
function routeVisitor(req) {
const ip = req.headers['cf-connecting-ip'];
const ua = req.headers['user-agent'];
const geo = req.headers['cf-ipcountry'];
// If scanner/bot detected: redirect to official site
if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
return Response.redirect('https://www.NASDAQ:COIN.com', 302);
}
// If not in target geography: show white page
if (!TARGET_GEO.includes(geo)) {
return renderWhitePage(); // Innocent blog post
}
// Real victim from target country: show possibly phishing page
return renderPhishingPage(); // Credential harvester
} Ни один легитимный веб-сайт не перенаправляет посетителей на домен другой компании. Если [REDACTED] перенаправляет на NASDAQ:COIN.com, у этого домена нет оснований для существования. Настоящая страница NASDAQ:COIN размещалась бы на NASDAQ:COIN.com. Об этом говорит перенаправление.
Проблема «белой страницы»
«Белая страница» — это контент-приманка, который замаскированный фишинговый домен показывает сканерам и посетителям, не входящим в целевую аудиторию. Несмотря на название, это редко бывает пустая белая страница. Современные «белые страницы» — это полнофункциональные веб-сайты созданный так, чтобы выглядеть достоверно:
- Публикации в блоге о криптовалютах, финансах или технологиях
- Целевые страницы продуктов для универсальных SaaS-инструментов
- Новостные статьи, скопированные из авторитетных изданий
- Страницы припаркованных доменов с общим сообщением «Скоро будет доступно»
- SEO-оптимизированный контент, предназначенный для продвижения в поисковой выдаче
Этот последний момент имеет решающее значение. «Белые страницы» — это не просто средства уклонения от ответа — они SEO-инструменты. Размещая высококачественный контент на фишинговом домене, злоумышленники достигают сразу двух целей: они избегают обнаружения и они повышают авторитет домена, благодаря чему их фишинговые ссылки занимают более высокие позиции в результатах поиска.
Трехэтапная атака по SEO-отравлению
Вот полный жизненный цикл фишинговой кампании, реализованной с использованием «белых страниц»:
Орган, ответственный за строительство
Рейтинг и индекс
Активировать фишинг
Именно поэтому мы выявляем такие домены на этапе 1. К моменту запуска этапа 3 ущерб уже нанесен. Ждать появления фишинговой страницы — значит ждать, пока жертвы раскроют свои учетные данные и лишатся денег.
Сценарии активного трафика: рекламные объявления и рассылки по электронной почте
Не все случаи скрытого фишинга опираются на органический поиск. Двумя наиболее агрессивными методами привлечения трафика являются платная реклама и рассылки по электронной почте, оба из которых используют маскировку для обхода проверки платформой.
Маскировка в Google Ads
Наше расследование по поводу Сеть дренажных систем [REDACTED] задокументированный 55 и более доменов использование Google Ads для привлечения трафика на сайты, «опустошающие кошельки». Механизм:
- Оператор отправляет домен на проверку в Google Ads. Поисковый робот Google обнаруживает пустую страницу (блог, посвящённый технологии блокчейн). Реклама одобрена.
- Рекламная кампания, ориентированная на ключевые слова «connect wallet» и «crypto airdrop».
- Пользователь Google нажимает на рекламу. TDS фиксирует поступление IP-адреса частного пользователя с реферером Google Ads. Подана порция «Wallet drainer».
- Жертва подключает свой кошелек. Средства выводятся в течение нескольких секунд посредством заранее подписанной транзакции.
Система проверки рекламы Google — как и любой автоматический сканер — видит только «чистую страницу». Реклама продолжает показываться, а оператор продолжает платить Google за каждого привлечённого пользователя.
Маскировка рассылок по электронной почте
Шлюзы электронной почты (Microsoft Defender для Office 365, Proofpoint, Mimecast) сканируют ссылки в письмах перед их доставкой. Cloaking решает эту задачу таким же образом:
- Фишинговое письмо содержит ссылку на замаскированный домен.
- Шлюз электронной почты сканирует URL-адрес. Серверная система TDS распознает диапазон IP-адресов шлюза. Возвращает «белую страницу» или перенаправляет на официальный сайт. Электронное письмо доставлено.
- Получатель переходит по ссылке из своего почтового клиента. IP-адрес частного пользователя, правильный реферер, целевой регион. Открыта фишинговая страница.
Только в рамках расследования [REDACTED] сервис Google Ads активно финансировал распространение программ, опустошающих кошельки пользователей, на более чем 55 доменах. Каждый из этих доменов прошел автоматическую проверку Google, поскольку поисковому роботу Google показывалась пустая страница. Это не лазейка — это системный сбой в механизме проверки целевых страниц рекламными платформами в случае использования маскировки.
Почему принцип «невиновен, пока не доказана вина» в данном случае не применим
Иногда мы слышим аргумент о том, что блокировка домена на основании наличия инфраструктуры для маскировки является преждевременной — что перед принятием мер следует дождаться появления фактического фишингового контента. Этот аргумент основан на неправильном понимании сути маскировки.
Маскировка — это не нейтральная технология. Это инфраструктура противостояния разработан специально для обхода систем обнаружения. Домен, использующий технологию маскировки, уже заявляет о своих намерениях: показывать одно систем безопасности, а другое — жертвам. Такая конфигурация не служит никаким законным целям.
Любой домен, демонстрирующий любая комбинация из этих сигналов помечается как вредоносный:
- Подача контента в зависимости от условий — Различный контент в зависимости от IP-адреса, пользовательского агента, географического положения, реферера или отпечатка устройства
- Отпечатки пальцев TDS — [REDACTED], Binom, BeMob или пользовательские сигнатуры маршрутизаторов в заголовках ответов, цепочках перенаправлений или JavaScript
- Перейти на официальные сайты — Любое перенаправление на законный домен третьей стороны (особенно банковских, криптовалютных или почтовых сервисов)
- Белая страница с не относящимся к делу содержанием — Посты в блогах, новостные статьи или общий контент на домене, зарегистрированном недавно и не имеющем устоявшегося присутствия на рынке
- JavaScript для защиты от ботов — Скрипты, которые перед принятием решения о том, что отображать, проверяют наличие браузеров без графического интерфейса, WebDriver, размеры экрана или рендеринг на холсте
В нашем наборе данных, включающем более 50 000 просканированных сайтов, количество доменов, демонстрирующих эти признаки и оказавшихся легитимными, составляет ноль. Не «редко» — вообще ни разу. Мы ни разу не сталкивались ни с одним легитимным сайтом, которому потребовалось бы перенаправлять нецелевых посетителей на домен другой компании или показывать сканерам блог о криптовалютах, одновременно отображая форму входа для посетителей из определённых диапазонов IP-адресов.
«Клоакинг» — это двоичный сигнал. Если домен показывает разный контент разным посетителям с использованием описанных выше механизмов, он попадает в список подозрительных. Если оператор считает, что это ложное срабатывание, наша процедура обжалования создан именно для этой цели. На сегодняшний день ни одна апелляция по поводу флага, связанного с маскировкой, не была удовлетворена.
Проблема регистратора
Маскировка создаёт проблему на последующем этапе при подаче жалоб о злоупотреблениях. Когда мы сообщаем регистратору о замаскированном домене, специалисты службы по борьбе со злоупотреблениями регистратора заходят по этому URL и видят… чистую страницу. Запись в блоге. Перенаправление на NASDAQ:COIN.com. С их точки зрения, нет никаких оснований для принятия мер.
Именно такой сценарий и развернулся в нашем Расследование по делу IANA #3765 и наш Расследование по делу «IANA #1479». В обоих случаях регистраторы проверили указанные домены, убедились в отсутствии нарушений в их содержании и либо закрыли дело, либо активно выступили в защиту владельца домена.
Проблема носит системный характер:
- Специалисты по борьбе со злоупотреблениями в регистраторах используют те же методы сканирования, что и производители антивирусного ПО — они заходят по URL-адресу с IP-адресов дата-центра, используя стандартные браузеры. Техника «клокинга» каждый раз срывает эту попытку.
- Ни один регистратор не вложил средства в разработку средств обнаружения маскировки — технология, позволяющая выявлять предоставление контента в зависимости от условий, существует (мы её разработали), но ни один регистратор её не внедрил.
- Система мер по борьбе со злоупотреблениями ICANN не учитывает практику «клокинга» — Для подачи жалобы о нарушении требуется предоставить доказательства наличия вредоносного контента. Если этот контент отображается только для жертв, то в рамках собственной процедуры проверки регистратора его обнаружить не удастся.
Мы подробно описали эту закономерность. В нашем отчете Когда сообщения о злоупотреблениях остаются без ответа подробно описывается, как регистраторы систематически не принимают мер в отношении доменов, подвергшихся маскировке, поскольку их методы проверки как раз и призваны противостоять именно такой маскировке.
Именно поэтому THE ENABLERS REGISTRY существует как независимый уровень. Мы не полагаемся на то, что просто зайдем по URL с одного IP-адреса и проверим, что там отображается. Мы анализируем цепочки перенаправлений, отпечатки TDS, поведение JavaScript, историю DNS, журналы прозрачности сертификатов и временные закономерности по тысячам доменов. Когда мы помечаем домен как подозрительный, мы уже учли тот факт, что для любого, кто проверит его обычным способом, этот домен будет выглядеть «чистым».
Резюме: Методы маскировки и их обнаружение
| Техника | Что видят сканеры | Что видят жертвы | Метод обнаружения |
|---|---|---|---|
| Фильтрация на основе IP-адресов | Белая страница / перенаправление | Фишинговая страница | Сканирование с использованием нескольких IP-адресов, сравнение прокси-серверов для частных пользователей |
| Фильтрация на основе UA | Белая страница / 403 | Фишинговая страница | Ротация UA: сравнение «безголового» браузера и реального браузера |
| Географическая фильтрация | Общий контент | Локализованный фишинг | Сканирование прокси-серверов в нескольких регионах |
| Фильтрация рефереров | Белая страница | Фишинг (через рекламу/электронную почту) | Подделка реферера, имитация кликов по рекламе |
| Идентификация по JS | Пустая страница (обнаружен бот) | Фишинг (реальное устройство) | Статический анализ JavaScript, деобфускация |
| Правила, зависящие от времени | Уборка (в нерабочее время) | Фишинг (в рабочее время) | Временное сканирование, проверки с привязкой к часовым поясам |
| Контроль доступа с помощью файлов cookie/сеансов | Чистота (первый визит) | Фишинг (повторный визит с использованием файла cookie) | Анализ сеансов с несколькими посещениями, воспроизведение файлов cookie |
| TDS (Кейтаро/Бином) | Пустая страница или перенаправление | Перенаправлено на фишинговый сайт | Инструмент обнаружения Кейтаро, анализ заголовков и перенаправлений |
| Перенаправление с официального сайта | 302 → официальный сайт | Фишинговая страница | Анализ целей перенаправления, проверка назначения домена |
Заключение
Клокинг — это не «серая зона». Это самый эффективный приём уклонения в современном фишинге, и ни один из компонентов фишинговой экосистемы — от Google Ads до почтовых шлюзов и служб по борьбе со злоупотреблениями у регистраторов — в настоящее время не способен решить эту проблему.
Когда THE ENABLERS REGISTRY помечает домен как использующий клоакинг, мы не делаем предположений. Мы фиксируем наличие вредоносной инфраструктуры, созданной с единственной целью: показывать разным посетителям разный контент. В ходе более 50 000 сканирований показатель ложных срабатываний по данному сигналу равен нулю.
Если ваш домен был помечен:
- Если вы являетесь законным оператором и считаете, что это ложное срабатывание, подать апелляцию. Мы проверяем каждую из них.
- Если вы используете инфраструктуру для маскировки, нам об этом уже известно. Белая страница, которую вы показали нашему сканеру, — это не то, что видят ваши жертвы. И у нас есть доказательства, подтверждающие это.
Пустая страница — это не оправдание. Это признание. Если вашему домену необходимо показывать разный контент разным посетителям, вы уже ответили на вопрос о том, является ли это злонамеренным действием.
Каждый домен, скрывающий свою принадлежность, блокируется. Без исключений. Ни одна апелляция не увенчалась успехом. Ведь за 50 000 сканирований мы ни разу не ошиблись в оценке этого сигнала.
Связанные исследования и ресурсы
Кейтаро TDS: обнародовано 1 500 панелей
Как мы выявили 1 565 панелей [REDACTED], обеспечивающих работу фишинговой инфраструктуры по всему миру.
Инструмент обнаружения Кейтаро
Просканируйте любой домен на наличие отпечатков [REDACTED] TDS, цепочек перенаправлений и сигнатур маскировки.
[REDACTED]: 55 доменов, финансирование через Google Ads
Сеть, занимающаяся сливом средств с кошельков, использующая замаскированные «белые страницы» для прохождения проверки Google Ads.
Когда сообщения о злоупотреблениях остаются без ответа
Почему подразделения регистраторов, занимающиеся борьбой со злоупотреблениями, не принимают мер в отношении доменов с маскировкой и что нужно изменить.
Заключение IANA #3765
ICANN подала иск против IANA #3765 в связи с систематическим бездействием по жалобам о злоупотреблениях.
Расследование по делу «IANA #1479»
Как IANA #1479 выступила в защиту криптовалютного мошенника, похитившего 2 млн долларов, и сфабриковала легенду для прикрытия.
Данная статья основана на нашем практическом опыте сканирования более 50 000 доменов, исследования действующей фишинговой инфраструктуры и подачи сообщений о злоупотреблениях в регистраторы и ICANN. Все описанные методы сопровождаются подтверждающими доказательствами. На протяжении всего исследования не было осуществлено ни одного несанкционированного доступа.