لماذا نحظر «الصفحات البيضاء» ونقوم بإعادة التوجيه إلى المواقع الرسمية: شرح مشكلة التخفي
تعد تقنيات «الإخفاء» و«الصفحات البيضاء» و«عمليات إعادة التوجيه TDS» العمود الفقري للبنية التحتية الحديثة لعمليات التصيد الاحتيالي. ويتم حظر أي موقع يستخدمها. وإليكم السبب — وما نكتشفه عندما ننظر وراء الكواليس.

السؤال الذي يُطرح علينا باستمرار
كل أسبوع، نتلقى نفس النداء: "لقد أبلغتم عن نطاقي، لكن عندما أتحقق منه، أجد أنه يعيد التوجيه إلى الموقع الرسمي فحسب. لا يوجد أي شيء ضار هنا."
أو صيغة أخرى: "هذه الصفحة مجرد منشور مدونة عن العملات المشفرة. إنها ليست محاولة تصيد."
نحن نتفهم سبب إرباك هذا الأمر. فإذا قمت بزيارة نطاق تم الإبلاغ عنه ورأيت صفحة عادية تمامًا — أو إعادة توجيه سليمة إلى موقع شرعي — فمن الطبيعي أن تفترض أن الإبلاغ خاطئ. لكن تلك الصفحة السليمة لا تمثل خللاً في نظام الكشف لدينا. إنه الهجوم.
يشرح هذا المقال التكنولوجيا الكامنة وراء تقنية الإخفاء، وأسباب وجود «الصفحات البيضاء»، وكيفية قيام أنظمة توزيع حركة المرور (TDS) مثل Keitaro بتوجيه الضحايا، ولماذا تعامل PhishDestroy كل نمط من هذه الأنماط على أنه بنية تحتية خبيثة مؤكدة — دون أي استثناءات.
إذا كنت تقرأ هذا لأن نطاقك قد تم الإبلاغ عنه وتعتقد أن ذلك كان خطأً، فنحن نشجعك على قراءة النص حتى النهاية. كما أننا نحتفظ بـ إجراءات الاستئناف فيما يتعلق بحالات الإيجابية الكاذبة المشروعة. لكن وفقًا لتجربتنا، فإن النطاقات التي تُظهر سلوك «الإخفاء» تكون خبيثة في 100٪ من الحالات.
كيف غيرت أنظمة مكافحة الفيروسات قواعد اللعبة
قبل عقد من الزمن، كانت عمليات التصيد الاحتيالي بسيطة. كان المهاجم يسجل نطاقًا، وينشئ صفحة تسجيل دخول مزيفة، ثم يرسل الرابط إلى الضحايا. وفي نهاية المطاف، كانت شركات الأمن تقوم بفحص عنوان URL هذا، وتكتشف صفحة التصيد الاحتيالي، وتضيفها إلى قوائم الحظر. وكان النطاق يتوقف عن العمل في غضون ساعات أو أيام.
ثم تحسنت الأوضاع في هذا المجال. بدأت خدمة «Google Safe Browsing»، و«سمارت سكرين» من مايكروسوفت، وأكثر من 100 محرك مكافحة فيروسات على منصات مثل «VirusTotal» في فحص عناوين URL في الوقت الفعلي تقريبًا. وأدت التحذيرات على مستوى المتصفح إلى انخفاض معدلات النقر بشكل كبير. وبدأ مزودو خدمات الاستضافة في تطبيق إجراءات إزالة آلية. وتقلصت المدة الفاصلة بين نشر صفحة التصيد الاحتيالي وحجبها من أيام إلى دقائق.
كان مشغلو عمليات التصيد يواجهون مشكلة: فقد كانت صفحاتهم تُكتشف بسرعة أكبر من قدرتهم على نشرها. وكانوا بحاجة إلى طريقة لعرض محتوى التصيد على الضحايا الحقيقيين، مع الظهور في الوقت نفسه بمظهر غير ضار تمامًا أمام كل نظام آلي يحاول كشفهم.
وكانت الإجابة هي الإخفاء.

لا يتم الكشف عن عمليات التصيد الاحتيالي الحديثة لأن صفحة التصيد يصعب اكتشافها. وتفلت هذه العمليات من العقاب لأن لا يرى الماسح الضوئي صفحة التصيد على الإطلاق. يكتشف الماسح وجود منشور مدونة أو إعادة توجيه أو صفحة فارغة. أما الضحية — التي تزور الموقع من بلد معين، عبر جهاز محمول، من خلال إعلان مدفوع — فترى أداة جمع بيانات الاعتماد.
ما هو «التخفي» في الواقع؟
يُقصد بـ«الإخفاء» ممارسة تقديم محتوى مختلف لزوار مختلفين بناءً على هويتهم. وفي سياق التصيد الاحتيالي، فإن هذا يعني شيئًا واحدًا: ترى برامج الفحص الأمني صفحة غير ضارة، بينما يرى الضحايا الحقيقيون صفحة التصيد الاحتيالي.
يمكن أن تتم عملية التصفية على مستويات متعددة:
- سمعة عنوان IP — يتم توجيه عناوين IP المعروفة لمراكز البيانات، ونطاقات شبكات VPN، ومجموعات عناوين IP الخاصة بمزودي خدمات الأمان إلى النسخة النظيفة. أما عناوين IP السكنية، فيتم توجيهها إلى صفحة التصيد الاحتيالي.
- سلاسل "User-Agent" — يتم تحديد المتصفحات التي لا تحتوي على واجهة مستخدم، وبرامج الزحف المعروفة (Googlebot، وbingbot، وScreaming Frog)، وأدوات فحص الأمان، ثم يتم استبعادها.
- تحديد الموقع الجغرافي — لا تُعرض صفحة التصيد إلا للزوار القادمين من البلدان المستهدفة. أما البقية فيشاهدون الصفحة البيضاء.
- رؤوس الإحالة — لا يرى المحتوى الحقيقي سوى الزوار القادمين من مصادر محددة (إعلان على «جوجل»، أو رابط في رسالة بريد إلكتروني احتيالية، أو منشور على وسائل التواصل الاجتماعي).
- بصمة الجهاز — تتحقق لغة جافا سكريبت من دقة الشاشة، والخطوط المثبتة، ومُعالج WebGL، وAPI للبطارية، وإشارات أخرى لتمييز الأجهزة الحقيقية عن أجهزة المحاكاة.
- القواعد القائمة على الوقت — لا تعمل صفحة التصيد إلا خلال ساعات محددة (مثل ساعات العمل في المنطقة الزمنية المستهدفة)، وتظهر الصفحة البيضاء بشكل افتراضي خارج تلك الفترات.
- تتبع ملفات تعريف الارتباط/الجلسة — تظهر الصفحة البيضاء عند الزيارة الأولى. أما الزوار العائدون الذين لديهم ملف تعريف ارتباط معين (تم تعيينه عند النقر على الإعلان) فيشاهدون صفحة التصيد الاحتيالي.

يجمع نظام إخفاء متطور بين كل هذه العناصر. والنتيجة هي نطاق يبدو خالياً تماماً من أي شوائب أمام كل أدوات الفحص على الإنترنت، في حين يقوم في الوقت نفسه بسرقة بيانات اعتماد الضحايا المستهدفين بشكل نشط.
عندما يقوم VirusTotal بفحص عنوان URL مخفي، تظهر له الصفحة البيضاء. النتيجة: 0/93 حالة اكتشاف. يقوم نظام Google Safe Browsing بفحص الموقع، ويجد منشورًا في المدونة. النتيجة: بدون تحذير. تنقر الضحية على رابط الويب نفسه على هاتفها من إعلان على Google: يرون صفحة تسجيل دخول مزيفة لـ MetaMask. هذه ليست مشكلة نظرية — بل هي النموذج التشغيلي المعتاد لعمليات التصيد الاحتيالي الحديثة.
الأدوات المستخدمة في عملية التضليل
لا يتم تنفيذ عملية الإخفاء بشكل مرتجل. فهي تعمل باستخدام برنامج تجاري متخصص يُسمى أنظمة توزيع حركة المرور (TDS). وأكثرها استخدامًا في عمليات التصيد الاحتيالي هو كيتارو.
Keitaro هو منتج تقني إعلاني معتمد مصمم للمسوقين التابعين لتوجيه حركة المرور بناءً على خصائص الزوار. وهو يدعم جميع معايير التصفية المذكورة أعلاه — نطاقات عناوين IP، والموقع الجغرافي، والجهاز، والمصدر المُحيل، ووكيل المستخدم — بشكل افتراضي. ويكتفي مشغلو عمليات التصيد الاحتيالي بتهيئته لتوجيه المتصفحين إلى صفحة فارغة وتوجيه الضحايا إلى صفحة التصيد الاحتيالي.
تحقيقنا، الذي نُشر تحت عنوان Keitaro TDS: الكشف عن 1,500 لوحة، تم تحديده 1,565 لوحة نشطة لـ «كيتارو» البنية التحتية المستخدمة في عمليات التصيد الاحتيالي. ليس 1,565 صفحة تصيد — بل 1,565 لوحات التحكم، حيث يدير كل منها عشرات إلى مئات من حملات التصيد الاحتيالي في آن واحد.

ومن بين منصات TDS الأخرى التي نواجهها ما يلي:
- Binom — أداة تتبع ذاتية الاستضافة تحظى بشعبية في العمليات التي تُجرى في منطقة رابطة الدول المستقلة
- BeMob — أداة تتبع قائمة على السحابة مزودة بفلترة عناوين IP واكتشاف الروبوتات
- موجهات PHP المخصصة — نصوص برمجية مطورة داخليًّا تستخدم تقنية MaxMind GeoIP وقوائم حظر عناوين IP
- Cloudflare Workers — توجيه قائم على الحافة يقوم بتقييم خصائص الزائر قبل أن يصل الطلب إلى خادم المنشأ
القاسم المشترك: جميعها موجودة لعرض محتوى مختلف لزوار مختلفين. في عالم التسويق بالعمولة، يُطلق على هذا «تحسين حركة المرور». أما في عمليات التصيد الاحتيالي، فيُطلق عليه التهرب.
لقد قمنا ببناء أداة الكشف عن كيتارو لتحديد بصمات Keitaro TDS على أي نطاق. ويقوم هذا الأداة بالبحث عن مسارات لوحات التحكم المعروفة، وأنماط رؤوس الاستجابة، وسلاسل إعادة التوجيه، وتوقيعات JavaScript المرتبطة بتركيبات Keitaro.
سيناريو «إعادة التوجيه إلى الموقع الرسمي»
أحد أنماط الإخفاء الأكثر شيوعًا التي نواجهها هو نطاق يقوم ببساطة بإعادة التوجيه إلى موقع إلكتروني رسمي. وتبدو الدعوة دائمًا على النحو التالي: "تحقق بنفسك — الرابط يؤدي فقط إلى موقع coinbase.com. لا يوجد أي محاولة للتصيد الاحتيالي."
إليكم ما يحدث بالفعل:
إعادة التوجيه إلى الموقع الرسمي لا يعني أن النطاق آمن. إنها آلية الإخفاء نفسها. قرر نظام TDS أن الزائر هو برنامج مسح، وأن الاستجابة الأكثر أمانًا — والأكثر احتمالًا أن تؤدي إلى مسح خالٍ من التهديدات — هي إعادة التوجيه إلى الموقع الإلكتروني الحقيقي.
فيما يلي مثال مبسط لمنطق جانب الخادم:
// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];
function routeVisitor(req) {
const ip = req.headers['cf-connecting-ip'];
const ua = req.headers['user-agent'];
const geo = req.headers['cf-ipcountry'];
// If scanner/bot detected: redirect to official site
if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
return Response.redirect('https://www.coinbase.com', 302);
}
// If not in target geography: show white page
if (!TARGET_GEO.includes(geo)) {
return renderWhitePage(); // Innocent blog post
}
// Real victim from target country: show phishing page
return renderPhishingPage(); // Credential harvester
} لا يوجد أي موقع إلكتروني شرعي يقوم بإعادة توجيه الزوار إلى نطاق شركة أخرى. إذا crypto-wallet-app[.]com يُعيد التوجيه إلى coinbase.com، فلا داعي لوجود هذا النطاق. فصفحة «Coinbase» الحقيقية ستكون مستضافة على coinbase.com. إعادة التوجيه هي الدليل.
مشكلة «الصفحة البيضاء»
«الصفحة البيضاء» هي المحتوى الوهمي الذي يعرضه نطاق التصيد المخفي على برامج الفحص والزوار غير المستهدفين. وعلى الرغم من اسمها، فإنها نادرًا ما تكون صفحة بيضاء فارغة. فالصفحات البيضاء الحديثة هي مواقع إلكترونية تعمل بكامل وظائفها مصممة لتبدو شرعية:
- منشورات المدونة حول العملات المشفرة أو الشؤون المالية أو التكنولوجيا
- صفحات عرض المنتجات الخاصة بأدوات SaaS العامة
- مقالات إخبارية تم استخراجها من منشورات موثوقة
- صفحات النطاقات المجمدة التي تعرض رسالة عامة تفيد بأن الموقع «قريبًا»
- محتوى مُحسَّن لـ SEO ومصمم لتحقيق ترتيب جيد في نتائج البحث
هذه النقطة الأخيرة بالغة الأهمية. فالصفحات البيضاء ليست مجرد أدوات للتهرب — بل هي أدوات تحسين محركات البحث (SEO). من خلال استضافة محتوى عالي الجودة على نطاق مخصص للتصيد الاحتيالي، يحقق المشغلون هدفين في آن واحد: فهم يتجنبون الكشف عنهم و فهم يعملون على تعزيز سلطة النطاق، مما يجعل روابط التصيد الخاصة بهم تحتل مراكز أعلى في نتائج البحث.
هجوم التسميم في تحسين محركات البحث (SEO) ذو المراحل الثلاث
هذه هي الدورة الكاملة لحملة التصيد الاحتيالي التي تعتمد على «الصفحة البيضاء»:
سلطة البناء
الترتيب والمؤشر
تنشيط التصيد الاحتيالي

ولهذا السبب نقوم بوضع علامة على النطاقات في «المرحلة الأولى». فبحلول الوقت الذي يتم فيه تفعيل «المرحلة الثالثة»، يكون الضرر قد وقع بالفعل. والانتظار حتى تظهر صفحة التصيد يعني الانتظار حتى يفقد الضحايا بيانات تسجيل الدخول الخاصة بهم وأموالهم.
سيناريوهات حركة المرور النشطة: الإعلانات وحملات البريد الإلكتروني
لا تعتمد جميع عمليات التصيد الاحتيالي المقنعة على نتائج البحث العضوية. ومن بين أكثر طرق جذب الزوار عدوانيةً اثنتان هما الإعلانات المدفوعة و الحملات عبر البريد الإلكتروني، وكلاهما يستغل تقنية الإخفاء لتجاوز عملية المراجعة التي تجريها المنصة.
إخفاء الإعلانات في Google Ads
التحقيق الذي أجريناه بشأن شبكة «BUYTRX» لتصريف الأموال موثقة 55+ نطاقًا استخدام «Google Ads» لجذب الزوار إلى المواقع التي تستنزف رصيد المحفظة. الآلية هي:
- يقوم المشغل بإرسال النطاق إلى Google Ads للمراجعة. ويشاهد متتبع Google الصفحة الفارغة (مدونة عن تقنية البلوك تشين). تمت الموافقة على الإعلان.
- يتم عرض الإعلان، مستهدفًا الكلمات المفتاحية «connect wallet» و«crypto airdrop».
- ينقر مستخدم «جوجل» على الإعلان. وترصد خدمة TDS عنوان IP سكني قادمًا من مصدر إحالة تابع لـ «جوجل إعلانات». تم تقديم طبق «مُستنزف المحفظة».
- يقوم الضحية بربط محفظته. ثم يتم استنزاف أصوله في غضون ثوانٍ عبر معاملة موقعة مسبقًا.
نظام مراجعة الإعلانات لدى «جوجل» — شأنه شأن أي أداة فحص آلية — لا يرى سوى الصفحة البيضاء. ويستمر عرض الإعلان، ويستمر المشغل في دفع المال لـ«جوجل» مقابل كل ضحية يتم توجيهها إليه.
إخفاء حملات البريد الإلكتروني
تقوم بوابات البريد الإلكتروني (Microsoft Defender for Office 365، وProofpoint، وMimecast) بفحص الروابط الموجودة في رسائل البريد الإلكتروني قبل تسليمها. وتتعامل تقنية Cloaking مع هذا الأمر بنفس الطريقة:
- تحتوي رسالة البريد الإلكتروني الاحتيالية على رابط إلى نطاق مخفي.
- تقوم بوابة البريد الإلكتروني بفحص عنوان URL. ويقوم نظام TDS من جانب الخادم بالتعرف على نطاق عناوين IP الخاصة بالبوابة. ثم يعرض الصفحة البيضاء أو يقوم بإعادة التوجيه إلى الموقع الرسمي. تم تسليم البريد الإلكتروني.
- ينقر المستلم على الرابط من برنامج البريد الإلكتروني الخاص به. عنوان IP سكني، مصدر إحالة صحيح، الموقع الجغرافي المستهدف. تم عرض صفحة تصيد احتيالي.
في تحقيق «BUYTRX» وحده، كانت «Google Ads» تمول بشكل نشط توزيع برامج استنزاف المحافظ عبر أكثر من 55 نطاقًا. وقد اجتاز كل نطاق عملية المراجعة الآلية من قِبل «Google» لأن متتبع «Google» عُرضت عليه صفحة فارغة. وهذا ليس ثغرة — بل هو خلل هيكلي في الطريقة التي تتحقق بها منصات الإعلانات من صحة الصفحات المقصودة عند وجود تقنية الإخفاء.
لماذا لا ينطبق مبدأ «البراءة حتى تثبت الإدانة» في هذه الحالة
نسمع أحيانًا الحجة القائلة بأن الإبلاغ عن نطاق ما استنادًا إلى بنية «الإخفاء» (cloaking) هو إجراء سابق لأوانه — وأنه ينبغي علينا انتظار ظهور محتوى التصيد الفعلي قبل اتخاذ أي إجراء. هذه الحجة تنم عن سوء فهم لمفهوم «الإخفاء».
التخفي ليس تقنية محايدة. إنه البنية التحتية التنافسية مصمم خصيصًا للتحايل على أنظمة الكشف. إن أي نطاق يستخدم تقنية الإخفاء يكون قد أعلن بالفعل عن نيته: إظهار شيء ما لأنظمة الأمان وشيء آخر للضحايا. وهذا التكوين لا يخدم أي غرض مشروع.
أي مجال يُظهر أي تركيبة يتم تصنيف إحدى هذه الإشارات على أنها ضارة:
- عرض المحتوى المشروط — محتوى مختلف بناءً على عنوان IP أو معرّف المستخدم أو الموقع الجغرافي أو الموقع المُحيل أو بصمة الجهاز
- بصمات TDS — توقيعات Keitaro أو Binom أو BeMob أو توقيعات مخصصة للموجِّهات في رؤوس الاستجابة أو سلاسل إعادة التوجيه أو جافا سكريبت
- إعادة التوجيه إلى المواقع الرسمية — أي إعادة توجيه إلى نطاق شرعي تابع لجهة خارجية (خاصةً في مجال الخدمات المصرفية أو العملات المشفرة أو مزودي خدمات البريد الإلكتروني)
- صفحة بيضاء تحتوي على محتوى غير ذي صلة — منشورات المدونة، أو المقالات الإخبارية، أو المحتوى العام على نطاق تم تسجيله مؤخرًا دون وجود نشاط تجاري راسخ
- جافا سكريبت لمكافحة الروبوتات — تحديد البرامج النصية التي تتحقق من وجود متصفحات بدون واجهة مستخدم، أو WebDriver، أو أبعاد الشاشة، أو عرض لوحة الرسم (canvas) قبل تحديد ما سيتم عرضه
في قاعدة البيانات الخاصة بنا التي تضم أكثر من 50,000 موقع تم فحصها، فإن عدد النطاقات التي أظهرت هذه المؤشرات وتبين أنها شرعية هو صفر. ليس «نادرًا» — بل صفر. لم نصادف قط موقعًا إلكترونيًّا شرعيًّا واحدًا احتاج إلى إعادة توجيه الزوار غير المستهدفين إلى نطاق شركة أخرى، أو عرض مدونة عن العملات المشفرة على برامج المسح، مع عرض نموذج تسجيل الدخول في الوقت نفسه للزوار القادمين من نطاقات عناوين IP محددة.
يُعد «الإخفاء» إشارة ثنائية. فإذا عرض نطاق ما محتوى مختلفًا لزوار مختلفين باستخدام الآليات الموضحة أعلاه، يتم الإبلاغ عنه. وإذا اعتقد المشغل أن هذه حالة «إيجابية كاذبة»، فإن نظامنا إجراءات الاستئناف وقد تم إنشاؤه لهذا الغرض بالذات. وحتى الآن، لم يتم قبول أي استئناف ناجح ضد أي علامة تتعلق بالتخفي.
مشكلة المسجل
يؤدي إخفاء العنوان إلى مشكلة لاحقة تتعلق بالإبلاغ عن حالات إساءة الاستخدام. فعندما نبلغ مسجّل النطاقات عن نطاق مخفي، يقوم فريق مكافحة إساءة الاستخدام التابع للمسجّل بزيارة الرابط ليجد… صفحة خالية من أي محتوى مشبوه. منشورًا على مدونة. أو إعادة توجيه إلى موقع coinbase.com. ومن وجهة نظرهم، لا يوجد ما يستدعي اتخاذ أي إجراء.
هذا هو السيناريو نفسه الذي حدث في... تحقيق NiceNIC وـ تحقيق «NameSilo». وفي كلتا الحالتين، قام مسجّلو النطاقات بالتحقق من النطاقات المبلغ عنها، وتأكدوا من خلوها من أي محتوى غير لائق، فقاموا إما بإغلاق القضية أو بالدفاع بقوة عن مشغل النطاق.
المشكلة هي مشكلة نظامية:
- تستخدم فرق مكافحة إساءة استخدام خدمات التسجيل نفس أساليب الفحص التي تستخدمها شركات برامج مكافحة الفيروسات — فهم يزورون عنوان URL من عناوين IP الخاصة بمراكز البيانات باستخدام متصفحات عادية. وتقنية الإخفاء تتغلب على ذلك في كل مرة.
- لم يستثمر أي مسجل في تقنية الكشف عن إخفاء العناوين — توجد تقنية للكشف عن تقديم المحتوى المشروط (لقد قمنا بتطويرها)، لكن لم يقم أي مسجل بتطبيقها.
- لا يأخذ إطار عمل ICANN المتعلق بحالات إساءة الاستخدام في الحسبان ممارسة «التخفي» — تتطلب بلاغات الإبلاغ عن الإساءة وجود أدلة على وجود محتوى ضار. وإذا كان المحتوى الضار لا يُعرض إلا على الضحايا، فلن تتمكن عملية التحقق التي يجريها المسجل نفسه من اكتشافه أبدًا.
لقد قمنا بتوثيق هذا النمط بشكل مستفيض. تقريرنا عندما لا تُتّبع تقارير الإساءة يوضح بالتفصيل كيف يتقاعس مسجّلو النطاقات بشكل منهجي عن اتخاذ إجراءات بشأن النطاقات المخفية، لأن أساليب التحقق التي يتبعونها هي بالضبط ما صُمم «التخفي» للتغلب عليه.
ولهذا السبب يُعد PhishDestroy طبقة مستقلة. فنحن لا نعتمد على زيارة عنوان URL من عنوان IP واحد والتحقق مما يعرضه. نقوم بتحليل سلاسل إعادة التوجيه، وبصمات TDS، وسلوك جافا سكريبت، وسجلات DNS، وسجلات شفافية الشهادات، والأنماط الزمنية عبر آلاف النطاقات. وعندما نضع علامة تحذير على نطاق ما، فإننا نكون قد أخذنا في الحسبان بالفعل حقيقة أن هذا النطاق سيبدو سليمًا لأي شخص يتحقق منه بالطريقة المعتادة.
ملخص: تقنيات التخفي وكشفها
| التقنية | ما تراه أجهزة المسح الضوئي | ما تراه الضحايا | طريقة الكشف |
|---|---|---|---|
| التصفية القائمة على عناوين IP | الصفحة البيضاء / إعادة التوجيه | صفحة التصيد الاحتيالي | المسح متعدد عناوين IP، مقارنة البروكسيات السكنية |
| التصفية القائمة على UA | الصفحة البيضاء / 403 | صفحة التصيد الاحتيالي | التناوب بين UA، مقارنة بين المتصفح «بدون رأس» والمتصفح الحقيقي |
| التصفية بناءً على الموقع الجغرافي | محتوى عام | التصيد الاحتيالي المُكيَّف محليًّا | المسح بالوكيل عبر مناطق متعددة |
| تصفية المصادر المُحيلة | الصفحة البيضاء | التصيد الاحتيالي (عبر الإعلانات/البريد الإلكتروني) | تزوير مصدر الإحالة، محاكاة النقر على الإعلانات |
| تحديد بصمة JS | صفحة بيضاء (تم اكتشاف روبوت) | التصيد الاحتيالي (جهاز حقيقي) | التحليل الثابت لـ JavaScript، وإزالة التعتيم |
| القواعد القائمة على الوقت | التنظيف (خارج ساعات العمل) | التصيد الاحتيالي (خلال ساعات العمل) | المسح الزمني، عمليات الفحص المتوافقة مع المناطق الزمنية |
| التحكم في ملفات تعريف الارتباط/الجلسة | تنظيف (الزيارة الأولى) | التصيد الاحتيالي (زيارة متكررة باستخدام ملفات تعريف الارتباط) | تحليل الجلسات متعددة الزيارات، إعادة تشغيل ملفات تعريف الارتباط |
| TDS (كيتارو/بينوم) | صفحة بيضاء أو إعادة توجيه | تم توجيهه إلى موقع تصيد احتيالي | أداة الكشف عن كيتارو، تحليل العناوين/عمليات إعادة التوجيه |
| إعادة التوجيه إلى الموقع الرسمي | 302 → موقع شرعي | صفحة التصيد الاحتيالي | تحليل وجهة إعادة التوجيه، والتحقق من الغرض من النطاق |

الخلاصة
التخفي ليس منطقة رمادية. إنه أكثر تقنيات التهرب فعاليةً على الإطلاق في عمليات التصيد الاحتيالي الحديثة، ولا ينجح حالياً أي مكون من مكونات منظومة التصيد الاحتيالي — بدءاً من «Google Ads» وصولاً إلى بوابات البريد الإلكتروني وفرق مكافحة إساءة استخدام خدمات تسجيل النطاقات — في التصدي لهذه المشكلة.
عندما يقوم موقع PhishDestroy بوضع علامة على نطاق ما باعتباره يستخدم تقنية الإخفاء، فإننا لا نكتفي بالتخمين. بل إننا نوثق وجود بنية تحتية خبيثة لا تهدف إلا إلى غرض واحد: عرض محتوى مختلف لزوار مختلفين. وفي أكثر من 50,000 عملية فحص، بلغ معدل النتائج الإيجابية الخاطئة لهذه الإشارة صفرًا.
إذا تم الإبلاغ عن نطاقك:
- إذا كنت مشغلًا شرعيًّا وتعتقد أن هذه حالة إيجابية خاطئة، تقديم استئناف. نحن نراجع كل واحدة منها.
- إذا كنت تدير بنية تحتية لإخفاء الهوية، فإننا نعلم ذلك بالفعل. فالصفحة البيضاء التي عرضتها على أداة الفحص الخاصة بنا ليست هي ما يراه ضحاياك. ولدينا الأدلة التي تثبت ذلك.
الصفحة البيضاء ليست دفاعًا. إنها اعتراف. إذا كان موقعك الإلكتروني يحتاج إلى عرض محتوى مختلف لزوار مختلفين، فأنت بذلك تكون قد أجبت بالفعل على السؤال حول ما إذا كان هذا الموقع ضارًّا أم لا.
يتم حظر كل نطاق مخفي. دون استثناء. ولم تنجح أي طعون. لأننا، خلال 50,000 عملية فحص، لم نخطئ أبدًا في تقييم هذه الإشارة.
الأبحاث والموارد ذات الصلة
Keitaro TDS: الكشف عن 1,500 لوحة
كيف قمنا بتحديد مواقع 1,565 لوحة «كيتارو» التي تدعم البنية التحتية لعمليات التصيد الاحتيالي في جميع أنحاء العالم.
أداة الكشف عن كيتارو
افحص أي نطاق بحثًا عن بصمات Keitaro TDS وسلاسل إعادة التوجيه وتوقيعات الإخفاء.
BUYTRX: 55 نطاقًا، تمويل من Google Ads
شبكة لسرقة أموال المحافظ الإلكترونية تستخدم صفحات بيضاء مخفية لتجاوز مراجعة Google Ads.
عندما لا تُتّبع تقارير الإساءة
لماذا تتقاعس فرق مكافحة إساءة الاستخدام التابعة لمسجلي النطاقات عن اتخاذ إجراءات بشأن النطاقات المخفية، وما الذي يجب تغييره.
تقييم NiceNIC
تقدمت منظمة ICANN بشكوى ضد شركة NiceNIC بسبب تقاعسها المتكرر عن اتخاذ إجراءات بشأن بلاغات إساءة الاستخدام.
تحقيق «NameSilo»
كيف دافعت شركة «NameSilo» عن سارق عملات مشفرة سرق مبلغ 2 مليون دولار، وكيف اختلقت قصة لتغطية الأمر.
يستند هذا المقال إلى خبرتنا العملية في فحص أكثر من 50,000 نطاق، والتحقيق في البنية التحتية النشطة لعمليات التصيد الاحتيالي، وتقديم تقارير عن حالات إساءة الاستخدام إلى جهات التسجيل ومنظمة ICANN. وقد تم توثيق جميع التقنيات الموصوفة بالأدلة. ولم يتم إجراء أي وصول غير مصرح به في أي مرحلة من مراحل بحثنا.



