Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / RU / CLOAKING WHITEPAGES EXPLAINED

Объяснение принципов маскировки и «белых страниц»

The Enablers Registry·Editorial mirror·/ru/cloaking-whitepages-explained

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Почему мы блокируем «белые страницы» и перенаправления на официальные сайты: Объяснение проблемы маскировки

Клокинг, «белые страницы» и перенаправления TDS — это основа современной фишинговой инфраструктуры. Каждый сайт, использующий эти методы, блокируется. Вот почему — и что мы обнаруживаем, заглянув за кулисы.

29 марта 2026 года Исследование THE ENABLERS REGISTRY ~12 минут чтения
Маскировка и «белые страницы» в фишинговой инфраструктуре — технический обзор
Как современная фишинговая инфраструктура использует маскировку, чтобы обойти все уровни автоматического обнаружения.
50,000+
Просканированные сайты
1,565
Комиксы о Кейтаро
0
Допустимые виды использования
55+
Домены [REDACTED]
100+
AV Engines

Вопрос, который нам постоянно задают

Каждую неделю мы получаем одну и ту же просьбу: «Вы занесли мой домен в список подозрительных, но когда я его проверяю, он просто перенаправляет на официальный сайт. Здесь нет ничего вредоносного».

Или другой вариант: «Эта страница — просто запись в блоге о криптовалюте. Это не фишинг».

Мы понимаем, почему это может сбивать с толку. Если вы заходите на домен, который был помечен, и видите совершенно обычную страницу — или корректное перенаправление на легитимный сайт — вполне естественно предположить, что пометка была нанесена ошибочно. Однако такая «чистая» страница не является ошибкой нашей системы обнаружения. Это нападение.

В этой статье объясняется, на чем основана технология маскировки, почему существуют «белые страницы», как системы распределения трафика (TDS), такие как [REDACTED], направляют трафик жертв, и почему THE ENABLERS REGISTRY рассматривает каждую из этих схем как подтвержденную вредоносную инфраструктуру — без единого исключения.

Почему это важно

Если вы читаете это сообщение, потому что ваш домен был помечен, и вы считаете, что это произошло по ошибке, мы рекомендуем вам дочитать его до конца. Мы также ведем процедура обжалования в случае обоснованных ложных срабатываний. Однако, по нашему опыту, домены, демонстрирующие поведение, характерное для клоакинга, в 100 % случаев являются вредоносными.

Как антивирусные системы изменили правила игры

Десять лет назад фишинг был простым делом. Злоумышленник регистрировал домен, размещал на нём поддельную страницу входа в систему и отправлял ссылку жертвам. В конечном итоге поставщики решений по обеспечению безопасности сканировали этот URL, обнаруживали фишинговую страницу и добавляли её в списки блокировки. Домен переставал существовать в течение нескольких часов или дней.

Затем ситуация в отрасли улучшилась. Google Safe Browsing, Microsoft SmartScreen и более 100 антивирусных движков на таких платформах, как VirusTotal, начали сканировать URL-адреса практически в режиме реального времени. Предупреждения на уровне браузера резко снизили показатели кликабельности. Хостинг-провайдеры запустили автоматизированные процессы ликвидации контента. Время между появлением фишинговой страницы в сети и её блокировкой сократилось с нескольких дней до нескольких минут.

У фишеров возникла проблема: их страницы блокировались быстрее, чем они успевали их запускать. Им нужен был способ показывать фишинговый контент реальным жертвам, при этом выглядя совершенно безобидным для всех автоматизированных систем, пытающихся их обнаружить.

Ответ был таким: маскировка.

Развитие технологий обнаружения вирусов и методов обхода фишинга — техническая инфографика
Гонка вооружений: по мере того как время обнаружения вредоносных программ сократилось с нескольких дней до нескольких минут, фишинговые операторы отреагировали внедрением инфраструктуры маскировки, которая показывает сканерам и реальным жертвам разный контент.
Основная проблема

Современный фишинг остаётся незамеченным не потому, что фишинговую страницу трудно обнаружить. Он остаётся безнаказанным, потому что сканер вообще не видит фишинговую страницу. Сканер обнаруживает запись в блоге, перенаправление или пустую страницу. Жертва — пользователь, заходящий с мобильного устройства из определенной страны через платную рекламу — видит программу для сбора учетных данных.

Что на самом деле представляет собой «клокинг»

«Клокинг» — это практика предоставления разного контента разным посетителям в зависимости от того, кто они. В контексте фишинга это означает одно: Сканеры безопасности видят безобидную страницу, а настоящие жертвы — фишинговую страницу.

Фильтрация может осуществляться на нескольких уровнях:

  • Репутация IP-адреса — Известные IP-адреса центров обработки данных, диапазоны VPN и блоки IP-адресов поставщиков решений безопасности получают «чистую» версию. На жилые IP-адреса выводится фишинговая страница.
  • Строки User-Agent — Браузеры без пользовательского интерфейса, известные поисковые роботы (Googlebot, bingbot, Screaming Frog) и сканеры безопасности выявляются и отфильтровываются.
  • Геолокация — Фишинговая страница отображается только посетителям из целевых стран. Все остальные видят пустую страницу.
  • Заголовки Referrer — Только посетители, пришедшие с определённых источников (реклама в Google, ссылка в фишинговом письме, пост в социальной сети), видят настоящий контент.
  • Идентификация устройств по отпечаткам — JavaScript проверяет разрешение экрана, установленные шрифты, рендерер WebGL, API батареи и другие сигналы, чтобы отличить реальные устройства от эмуляторов.
  • Правила, зависящие от времени — Фишинговая страница активна только в определённые часы (например, в рабочее время в целевом часовом поясе), а вне этих интервалов по умолчанию отображается пустая страница.
  • Отслеживание файлов cookie и сеансов — При первом посещении отображается пустая страница. Повторные посетители, у которых есть определённый файл cookie (созданный при нажатии на рекламу), видят фишинговую страницу.
Три злоумышленника, управляющие инфраструктурой маскировки — концептуальная иллюстрация
Инфраструктура маскировки фильтрует посетителей на нескольких уровнях. К тому моменту, когда реальная жертва попадает на фишинговую страницу, всем автоматизированным системам защиты уже была показана «безопасная» ложная цель.

Сложная схема маскировки объединяет в себе все эти элементы. В результате получается домен, который выглядит абсолютно «чистым» для любого сканера в Интернете, при этом активно похищая учетные данные целевых жертв.

Пробел в обнаружении

Когда VirusTotal сканирует замаскированный URL-адрес, он видит пустую страницу. Результат: 0 из 93 обнаружений. Сервис Google Safe Browsing сканирует страницу и обнаруживает запись в блоге. Результат: без предупреждения. Пострадавший нажимает на тот же URL-адрес на своём телефоне из рекламного объявления Google: они видят поддельный экран входа в [REDACTED]. Это не теоретическая проблема — это стандартная схема действий, используемая в современном фишинге.

Инструменты, стоящие за обманом

Маскировка не осуществляется импровизированно. Она работает на базе специализированного коммерческого программного обеспечения под названием Системы распределения трафика (TDS). Наиболее широко используемым в фишинговых операциях является Кейтаро.

[REDACTED] — это легальный продукт в сфере рекламных технологий, разработанный для партнеров по аффилиат-маркетингу с целью перенаправления трафика в зависимости от характеристик посетителей. Он изначально поддерживает все перечисленные выше критерии фильтрации — диапазоны IP-адресов, географическое положение, тип устройства, реферер, пользовательский агент. Фишинговые злоумышленники просто настраивают его таким образом, чтобы сканеры перенаправлялись на пустую страницу, а жертвы — на фишинговую страницу.

Наше исследование, опубликованное в виде Кейтаро TDS: обнародовано 1 500 панелей, выявленный 1 565 активных комиксов с Кэйтаро обслуживающая фишинговую инфраструктуру. Не 1 565 фишинговых страниц — а именно 1 565 панели управления, каждый из которых одновременно управляет от нескольких десятков до нескольких сотен фишинговых кампаний.

Инфраструктура панели [REDACTED] TDS, используемая для распространения фишингового трафика
[REDACTED] TDS: коммерческая система распределения трафика, перепрофилированная в основу механизма маскировки фишинговых атак. Выявлено и задокументировано более 1 565 панелей.

К другим платформам TDS, с которыми мы сталкиваемся, относятся:

  • Бином — Самостоятельно размещаемый трекер, популярный в операциях в странах СНГ
  • BeMob — Облачный трекер с фильтрацией IP-адресов и обнаружением ботов
  • Пользовательские маршрутизаторы PHP — Скрипты собственной разработки, использующие MaxMind GeoIP и списки заблокированных IP-адресов
  • IANA #1910 Workers — Маршрутизация на периферии, при которой атрибуты посетителя анализируются ещё до того, как запрос достигнет исходного сервера

Общий знаменатель: все они созданы для того, чтобы показывать разным посетителям разный контент. В мире партнерского маркетинга это называется «оптимизацией трафика». В фишинге это называется уклонение.

Доступен инструмент для обнаружения

Мы создали Инструмент обнаружения Кейтаро для обнаружения признаков [REDACTED] TDS на любом домене. Программа проверяет наличие известных путей к панелям управления, шаблонов заголовков ответов, цепочек перенаправлений и сигнатур JavaScript, связанных с установками [REDACTED].

Сценарий «Перенаправление с официального сайта»

Один из наиболее распространённых способов маскировки, с которым мы сталкиваемся, — это домен, который просто перенаправляет на официальный сайт. Призыв к действию всегда выглядит одинаково: «Проверьте сами — ссылка ведёт просто на сайт NASDAQ:COIN.com. Никакого фишинга».

Вот что на самом деле происходит:

Сканер переходит по URL-адресу
TDS проверяет IP, UA и географическое положение
302 → NASDAQ:COIN.com
Сканер: «Чисто»
Пострадавший нажимает на рекламу
TDS проверяет IP, UA и географическое положение
Поддельный сайт входа в систему NASDAQ:COIN
Украдены учетные данные

Перенаправление на официальный сайт не означает, что домен безопасен. Это и есть сам механизм маскировки. Система TDS определила, что посетитель является сканером, и наиболее безопасным действием — которое с наибольшей вероятностью обеспечит «чистый» результат сканирования — является перенаправление на настоящий веб-сайт.

Вот упрощённый пример логики на стороне сервера:

// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];

function routeVisitor(req) {
  const ip = req.headers['cf-connecting-ip'];
  const ua = req.headers['user-agent'];
  const geo = req.headers['cf-ipcountry'];

  // If scanner/bot detected: redirect to official site
  if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
    return Response.redirect('https://www.NASDAQ:COIN.com', 302);
  }

  // If not in target geography: show white page
  if (!TARGET_GEO.includes(geo)) {
    return renderWhitePage(); // Innocent blog post
  }

  // Real victim from target country: show possibly phishing page
  return renderPhishingPage(); // Credential harvester
}
Основной вывод

Ни один легитимный веб-сайт не перенаправляет посетителей на домен другой компании. Если [REDACTED] перенаправляет на NASDAQ:COIN.com, у этого домена нет оснований для существования. Настоящая страница NASDAQ:COIN размещалась бы на NASDAQ:COIN.com. Об этом говорит перенаправление.

Проблема «белой страницы»

«Белая страница» — это контент-приманка, который замаскированный фишинговый домен показывает сканерам и посетителям, не входящим в целевую аудиторию. Несмотря на название, это редко бывает пустая белая страница. Современные «белые страницы» — это полнофункциональные веб-сайты созданный так, чтобы выглядеть достоверно:

  • Публикации в блоге о криптовалютах, финансах или технологиях
  • Целевые страницы продуктов для универсальных SaaS-инструментов
  • Новостные статьи, скопированные из авторитетных изданий
  • Страницы припаркованных доменов с общим сообщением «Скоро будет доступно»
  • SEO-оптимизированный контент, предназначенный для продвижения в поисковой выдаче

Этот последний момент имеет решающее значение. «Белые страницы» — это не просто средства уклонения от ответа — они SEO-инструменты. Размещая высококачественный контент на фишинговом домене, злоумышленники достигают сразу двух целей: они избегают обнаружения и они повышают авторитет домена, благодаря чему их фишинговые ссылки занимают более высокие позиции в результатах поиска.

Трехэтапная атака по SEO-отравлению

Вот полный жизненный цикл фишинговой кампании, реализованной с использованием «белых страниц»:

Этап 1
Орган, ответственный за строительство
Этап 2
Рейтинг и индекс
Этап 3
Активировать фишинг
Этап 1: Укрепление авторитета (недели 1–4)
Зарегистрируйте домен. Разместите на сайте «белую» страницу с SEO-оптимизированным контентом (посты в блоге, статьи). Создайте обратные ссылки. Домен «созревает» и набирает авторитет. Все сканеры видят сайт с «чистым» контентом. Google индексирует его без предупреждений.
Этап 2: Рейтинг и индекс (4–8-я недели)
Домен начинает попадать в поисковую выдачу по целевым ключевым словам («подключить кошелек [REDACTED]», «войти в NASDAQ:COIN», «криптовалютный аирдроп»). Содержание «белой» страницы по-прежнему доступно. Начинает поступать органический трафик. Репутация домена укрепляется во всех системах оценки.
Этап 3: Запуск фишинговой атаки (8-я неделя и далее)
Правила TDS изменены на противоположные. Посетители, соответствующие профилям жертв (домашний IP-адрес, целевая страна, мобильное устройство), теперь видят фишинговую страницу вместо пустой страницы. Сканеры по-прежнему видят пустую страницу. Благодаря наработанной репутации домена предупреждения браузера срабатывают с задержкой. Жертвы, переходящие по результатам поиска или рекламным объявлениям, попадают на домен, выглядящий надежным и имеющий высокий показатель авторитетности.
Алгоритм «SEO-отравления» белых страниц — фишинговый домен наращивает авторитет перед активацией
«Белые страницы» — это не пассивный способ уклонения от санкций. Это активное SEO-оружие, которое укрепляет авторитет домена, повышает позиции в поисковой выдаче, а затем использует эту репутацию в своих целях для фишинга жертв через органические результаты поиска.

Именно поэтому мы выявляем такие домены на этапе 1. К моменту запуска этапа 3 ущерб уже нанесен. Ждать появления фишинговой страницы — значит ждать, пока жертвы раскроют свои учетные данные и лишатся денег.

Сценарии активного трафика: рекламные объявления и рассылки по электронной почте

Не все случаи скрытого фишинга опираются на органический поиск. Двумя наиболее агрессивными методами привлечения трафика являются платная реклама и рассылки по электронной почте, оба из которых используют маскировку для обхода проверки платформой.

Маскировка в Google Ads

Наше расследование по поводу Сеть дренажных систем [REDACTED] задокументированный 55 и более доменов использование Google Ads для привлечения трафика на сайты, «опустошающие кошельки». Механизм:

  1. Оператор отправляет домен на проверку в Google Ads. Поисковый робот Google обнаруживает пустую страницу (блог, посвящённый технологии блокчейн). Реклама одобрена.
  2. Рекламная кампания, ориентированная на ключевые слова «connect wallet» и «crypto airdrop».
  3. Пользователь Google нажимает на рекламу. TDS фиксирует поступление IP-адреса частного пользователя с реферером Google Ads. Подана порция «Wallet drainer».
  4. Жертва подключает свой кошелек. Средства выводятся в течение нескольких секунд посредством заранее подписанной транзакции.

Система проверки рекламы Google — как и любой автоматический сканер — видит только «чистую страницу». Реклама продолжает показываться, а оператор продолжает платить Google за каждого привлечённого пользователя.

Маскировка рассылок по электронной почте

Шлюзы электронной почты (Microsoft Defender для Office 365, Proofpoint, Mimecast) сканируют ссылки в письмах перед их доставкой. Cloaking решает эту задачу таким же образом:

  1. Фишинговое письмо содержит ссылку на замаскированный домен.
  2. Шлюз электронной почты сканирует URL-адрес. Серверная система TDS распознает диапазон IP-адресов шлюза. Возвращает «белую страницу» или перенаправляет на официальный сайт. Электронное письмо доставлено.
  3. Получатель переходит по ссылке из своего почтового клиента. IP-адрес частного пользователя, правильный реферер, целевой регион. Открыта фишинговая страница.
Шкала

Только в рамках расследования [REDACTED] сервис Google Ads активно финансировал распространение программ, опустошающих кошельки пользователей, на более чем 55 доменах. Каждый из этих доменов прошел автоматическую проверку Google, поскольку поисковому роботу Google показывалась пустая страница. Это не лазейка — это системный сбой в механизме проверки целевых страниц рекламными платформами в случае использования маскировки.

Почему принцип «невиновен, пока не доказана вина» в данном случае не применим

Иногда мы слышим аргумент о том, что блокировка домена на основании наличия инфраструктуры для маскировки является преждевременной — что перед принятием мер следует дождаться появления фактического фишингового контента. Этот аргумент основан на неправильном понимании сути маскировки.

Маскировка — это не нейтральная технология. Это инфраструктура противостояния разработан специально для обхода систем обнаружения. Домен, использующий технологию маскировки, уже заявляет о своих намерениях: показывать одно систем безопасности, а другое — жертвам. Такая конфигурация не служит никаким законным целям.

5 признаков, на которые мы обращаем внимание

Любой домен, демонстрирующий любая комбинация из этих сигналов помечается как вредоносный:

  1. Подача контента в зависимости от условий — Различный контент в зависимости от IP-адреса, пользовательского агента, географического положения, реферера или отпечатка устройства
  2. Отпечатки пальцев TDS[REDACTED], Binom, BeMob или пользовательские сигнатуры маршрутизаторов в заголовках ответов, цепочках перенаправлений или JavaScript
  3. Перейти на официальные сайты — Любое перенаправление на законный домен третьей стороны (особенно банковских, криптовалютных или почтовых сервисов)
  4. Белая страница с не относящимся к делу содержанием — Посты в блогах, новостные статьи или общий контент на домене, зарегистрированном недавно и не имеющем устоявшегося присутствия на рынке
  5. JavaScript для защиты от ботов — Скрипты, которые перед принятием решения о том, что отображать, проверяют наличие браузеров без графического интерфейса, WebDriver, размеры экрана или рендеринг на холсте

В нашем наборе данных, включающем более 50 000 просканированных сайтов, количество доменов, демонстрирующих эти признаки и оказавшихся легитимными, составляет ноль. Не «редко» — вообще ни разу. Мы ни разу не сталкивались ни с одним легитимным сайтом, которому потребовалось бы перенаправлять нецелевых посетителей на домен другой компании или показывать сканерам блог о криптовалютах, одновременно отображая форму входа для посетителей из определённых диапазонов IP-адресов.

Наша политика

«Клоакинг» — это двоичный сигнал. Если домен показывает разный контент разным посетителям с использованием описанных выше механизмов, он попадает в список подозрительных. Если оператор считает, что это ложное срабатывание, наша процедура обжалования создан именно для этой цели. На сегодняшний день ни одна апелляция по поводу флага, связанного с маскировкой, не была удовлетворена.

Проблема регистратора

Маскировка создаёт проблему на последующем этапе при подаче жалоб о злоупотреблениях. Когда мы сообщаем регистратору о замаскированном домене, специалисты службы по борьбе со злоупотреблениями регистратора заходят по этому URL и видят… чистую страницу. Запись в блоге. Перенаправление на NASDAQ:COIN.com. С их точки зрения, нет никаких оснований для принятия мер.

Именно такой сценарий и развернулся в нашем Расследование по делу IANA #3765 и наш Расследование по делу «IANA #1479». В обоих случаях регистраторы проверили указанные домены, убедились в отсутствии нарушений в их содержании и либо закрыли дело, либо активно выступили в защиту владельца домена.

Проблема носит системный характер:

  • Специалисты по борьбе со злоупотреблениями в регистраторах используют те же методы сканирования, что и производители антивирусного ПО — они заходят по URL-адресу с IP-адресов дата-центра, используя стандартные браузеры. Техника «клокинга» каждый раз срывает эту попытку.
  • Ни один регистратор не вложил средства в разработку средств обнаружения маскировки — технология, позволяющая выявлять предоставление контента в зависимости от условий, существует (мы её разработали), но ни один регистратор её не внедрил.
  • Система мер по борьбе со злоупотреблениями ICANN не учитывает практику «клокинга» — Для подачи жалобы о нарушении требуется предоставить доказательства наличия вредоносного контента. Если этот контент отображается только для жертв, то в рамках собственной процедуры проверки регистратора его обнаружить не удастся.
Ошибка при получении ответа от регистратора

Мы подробно описали эту закономерность. В нашем отчете Когда сообщения о злоупотреблениях остаются без ответа подробно описывается, как регистраторы систематически не принимают мер в отношении доменов, подвергшихся маскировке, поскольку их методы проверки как раз и призваны противостоять именно такой маскировке.

Именно поэтому THE ENABLERS REGISTRY существует как независимый уровень. Мы не полагаемся на то, что просто зайдем по URL с одного IP-адреса и проверим, что там отображается. Мы анализируем цепочки перенаправлений, отпечатки TDS, поведение JavaScript, историю DNS, журналы прозрачности сертификатов и временные закономерности по тысячам доменов. Когда мы помечаем домен как подозрительный, мы уже учли тот факт, что для любого, кто проверит его обычным способом, этот домен будет выглядеть «чистым».

Резюме: Методы маскировки и их обнаружение

ТехникаЧто видят сканерыЧто видят жертвыМетод обнаружения
Фильтрация на основе IP-адресовБелая страница / перенаправлениеФишинговая страницаСканирование с использованием нескольких IP-адресов, сравнение прокси-серверов для частных пользователей
Фильтрация на основе UAБелая страница / 403Фишинговая страницаРотация UA: сравнение «безголового» браузера и реального браузера
Географическая фильтрацияОбщий контентЛокализованный фишингСканирование прокси-серверов в нескольких регионах
Фильтрация рефереровБелая страницаФишинг (через рекламу/электронную почту)Подделка реферера, имитация кликов по рекламе
Идентификация по JSПустая страница (обнаружен бот)Фишинг (реальное устройство)Статический анализ JavaScript, деобфускация
Правила, зависящие от времениУборка (в нерабочее время)Фишинг (в рабочее время)Временное сканирование, проверки с привязкой к часовым поясам
Контроль доступа с помощью файлов cookie/сеансовЧистота (первый визит)Фишинг (повторный визит с использованием файла cookie)Анализ сеансов с несколькими посещениями, воспроизведение файлов cookie
TDS (Кейтаро/Бином)Пустая страница или перенаправлениеПеренаправлено на фишинговый сайтИнструмент обнаружения Кейтаро, анализ заголовков и перенаправлений
Перенаправление с официального сайта302 → официальный сайтФишинговая страницаАнализ целей перенаправления, проверка назначения домена
Краткий обзор методов обнаружения маскировки и анализа инфраструктуры фишинга
Полная картина такова: для каждого метода маскировки существует способ его обнаружения. Проблема заключается не в технологиях, а в том, чтобы убедить регистраторов, рекламные платформы и почтовые шлюзы внедрить эти методы.

Заключение

Клокинг — это не «серая зона». Это самый эффективный приём уклонения в современном фишинге, и ни один из компонентов фишинговой экосистемы — от Google Ads до почтовых шлюзов и служб по борьбе со злоупотреблениями у регистраторов — в настоящее время не способен решить эту проблему.

Когда THE ENABLERS REGISTRY помечает домен как использующий клоакинг, мы не делаем предположений. Мы фиксируем наличие вредоносной инфраструктуры, созданной с единственной целью: показывать разным посетителям разный контент. В ходе более 50 000 сканирований показатель ложных срабатываний по данному сигналу равен нулю.

Если ваш домен был помечен:

  • Если вы являетесь законным оператором и считаете, что это ложное срабатывание, подать апелляцию. Мы проверяем каждую из них.
  • Если вы используете инфраструктуру для маскировки, нам об этом уже известно. Белая страница, которую вы показали нашему сканеру, — это не то, что видят ваши жертвы. И у нас есть доказательства, подтверждающие это.
Пустая страница — это не оправдание. Это признание. Если вашему домену необходимо показывать разный контент разным посетителям, вы уже ответили на вопрос о том, является ли это злонамеренным действием.

Каждый домен, скрывающий свою принадлежность, блокируется. Без исключений. Ни одна апелляция не увенчалась успехом. Ведь за 50 000 сканирований мы ни разу не ошиблись в оценке этого сигнала.

Связанные исследования и ресурсы

Кейтаро TDS: обнародовано 1 500 панелей

РасследованиеTDSМаскировка

Как мы выявили 1 565 панелей [REDACTED], обеспечивающих работу фишинговой инфраструктуры по всему миру.

Инструмент обнаружения Кейтаро

ИнструментОбнаружениеTDS

Просканируйте любой домен на наличие отпечатков [REDACTED] TDS, цепочек перенаправлений и сигнатур маскировки.

[REDACTED]: 55 доменов, финансирование через Google Ads

РасследованиеСливная решеткаGoogle Ads

Сеть, занимающаяся сливом средств с кошельков, использующая замаскированные «белые страницы» для прохождения проверки Google Ads.

Когда сообщения о злоупотреблениях остаются без ответа

ОтчетРегистраторICANN

Почему подразделения регистраторов, занимающиеся борьбой со злоупотреблениями, не принимают мер в отношении доменов с маскировкой и что нужно изменить.

Заключение IANA #3765

РасследованиеРегистраторICANN

ICANN подала иск против IANA #3765 в связи с систематическим бездействием по жалобам о злоупотреблениях.

Расследование по делу «IANA #1479»

РасследованиеIANA #1479Monero

Как IANA #1479 выступила в защиту криптовалютного мошенника, похитившего 2 млн долларов, и сфабриковала легенду для прикрытия.

Данная статья основана на нашем практическом опыте сканирования более 50 000 доменов, исследования действующей фишинговой инфраструктуры и подачи сообщений о злоупотреблениях в регистраторы и ICANN. Все описанные методы сопровождаются подтверждающими доказательствами. На протяжении всего исследования не было осуществлено ни одного несанкционированного доступа.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings