العودة إلى الأخبار
تقرير التحقيق

لماذا نحظر «الصفحات البيضاء» ونقوم بإعادة التوجيه إلى المواقع الرسمية: شرح مشكلة التخفي

تعد تقنيات «الإخفاء» و«الصفحات البيضاء» و«عمليات إعادة التوجيه TDS» العمود الفقري للبنية التحتية الحديثة لعمليات التصيد الاحتيالي. ويتم حظر أي موقع يستخدمها. وإليكم السبب — وما نكتشفه عندما ننظر وراء الكواليس.

29 مارس 2026 أبحاث PhishDestroy ~12 دقيقة للقراءة
التخفي والصفحات البيضاء في البنية التحتية لعمليات التصيد — نظرة عامة تقنية
كيف تستخدم البنية التحتية الحديثة لعمليات التصيد الاحتيالي تقنية الإخفاء للتحايل على كل طبقات الكشف الآلي.
50,000+
المواقع التي تم فحصها
1,565
لوحات كيتارو
0
الاستخدامات المشروعة
55+
نطاقات BUYTRX
100+
محركات AV

السؤال الذي يُطرح علينا باستمرار

كل أسبوع، نتلقى نفس النداء: "لقد أبلغتم عن نطاقي، لكن عندما أتحقق منه، أجد أنه يعيد التوجيه إلى الموقع الرسمي فحسب. لا يوجد أي شيء ضار هنا."

أو صيغة أخرى: "هذه الصفحة مجرد منشور مدونة عن العملات المشفرة. إنها ليست محاولة تصيد."

نحن نتفهم سبب إرباك هذا الأمر. فإذا قمت بزيارة نطاق تم الإبلاغ عنه ورأيت صفحة عادية تمامًا — أو إعادة توجيه سليمة إلى موقع شرعي — فمن الطبيعي أن تفترض أن الإبلاغ خاطئ. لكن تلك الصفحة السليمة لا تمثل خللاً في نظام الكشف لدينا. إنه الهجوم.

يشرح هذا المقال التكنولوجيا الكامنة وراء تقنية الإخفاء، وأسباب وجود «الصفحات البيضاء»، وكيفية قيام أنظمة توزيع حركة المرور (TDS) مثل Keitaro بتوجيه الضحايا، ولماذا تعامل PhishDestroy كل نمط من هذه الأنماط على أنه بنية تحتية خبيثة مؤكدة — دون أي استثناءات.

لماذا هذا الأمر مهم

إذا كنت تقرأ هذا لأن نطاقك قد تم الإبلاغ عنه وتعتقد أن ذلك كان خطأً، فنحن نشجعك على قراءة النص حتى النهاية. كما أننا نحتفظ بـ إجراءات الاستئناف فيما يتعلق بحالات الإيجابية الكاذبة المشروعة. لكن وفقًا لتجربتنا، فإن النطاقات التي تُظهر سلوك «الإخفاء» تكون خبيثة في 100٪ من الحالات.

كيف غيرت أنظمة مكافحة الفيروسات قواعد اللعبة

قبل عقد من الزمن، كانت عمليات التصيد الاحتيالي بسيطة. كان المهاجم يسجل نطاقًا، وينشئ صفحة تسجيل دخول مزيفة، ثم يرسل الرابط إلى الضحايا. وفي نهاية المطاف، كانت شركات الأمن تقوم بفحص عنوان URL هذا، وتكتشف صفحة التصيد الاحتيالي، وتضيفها إلى قوائم الحظر. وكان النطاق يتوقف عن العمل في غضون ساعات أو أيام.

ثم تحسنت الأوضاع في هذا المجال. بدأت خدمة «Google Safe Browsing»، و«سمارت سكرين» من مايكروسوفت، وأكثر من 100 محرك مكافحة فيروسات على منصات مثل «VirusTotal» في فحص عناوين URL في الوقت الفعلي تقريبًا. وأدت التحذيرات على مستوى المتصفح إلى انخفاض معدلات النقر بشكل كبير. وبدأ مزودو خدمات الاستضافة في تطبيق إجراءات إزالة آلية. وتقلصت المدة الفاصلة بين نشر صفحة التصيد الاحتيالي وحجبها من أيام إلى دقائق.

كان مشغلو عمليات التصيد يواجهون مشكلة: فقد كانت صفحاتهم تُكتشف بسرعة أكبر من قدرتهم على نشرها. وكانوا بحاجة إلى طريقة لعرض محتوى التصيد على الضحايا الحقيقيين، مع الظهور في الوقت نفسه بمظهر غير ضار تمامًا أمام كل نظام آلي يحاول كشفهم.

وكانت الإجابة هي الإخفاء.

تطور قدرات الكشف عن الفيروسات مقابل أساليب التهرب من التصيد الاحتيالي — رسم بياني تقني
سباق التسلح: مع تحسن كفاءة برامج الكشف عن البرامج الضارة من أيام إلى دقائق، رد مشغلو عمليات التصيد الاحتيالي باستخدام بنية تحتية للتخفي تعرض محتوى مختلفًا لبرامج الفحص مقارنةً بالضحايا الفعليين.
المشكلة الأساسية

لا يتم الكشف عن عمليات التصيد الاحتيالي الحديثة لأن صفحة التصيد يصعب اكتشافها. وتفلت هذه العمليات من العقاب لأن لا يرى الماسح الضوئي صفحة التصيد على الإطلاق. يكتشف الماسح وجود منشور مدونة أو إعادة توجيه أو صفحة فارغة. أما الضحية — التي تزور الموقع من بلد معين، عبر جهاز محمول، من خلال إعلان مدفوع — فترى أداة جمع بيانات الاعتماد.

ما هو «التخفي» في الواقع؟

يُقصد بـ«الإخفاء» ممارسة تقديم محتوى مختلف لزوار مختلفين بناءً على هويتهم. وفي سياق التصيد الاحتيالي، فإن هذا يعني شيئًا واحدًا: ترى برامج الفحص الأمني صفحة غير ضارة، بينما يرى الضحايا الحقيقيون صفحة التصيد الاحتيالي.

يمكن أن تتم عملية التصفية على مستويات متعددة:

  • سمعة عنوان IP — يتم توجيه عناوين IP المعروفة لمراكز البيانات، ونطاقات شبكات VPN، ومجموعات عناوين IP الخاصة بمزودي خدمات الأمان إلى النسخة النظيفة. أما عناوين IP السكنية، فيتم توجيهها إلى صفحة التصيد الاحتيالي.
  • سلاسل "User-Agent" — يتم تحديد المتصفحات التي لا تحتوي على واجهة مستخدم، وبرامج الزحف المعروفة (Googlebot، وbingbot، وScreaming Frog)، وأدوات فحص الأمان، ثم يتم استبعادها.
  • تحديد الموقع الجغرافي — لا تُعرض صفحة التصيد إلا للزوار القادمين من البلدان المستهدفة. أما البقية فيشاهدون الصفحة البيضاء.
  • رؤوس الإحالة — لا يرى المحتوى الحقيقي سوى الزوار القادمين من مصادر محددة (إعلان على «جوجل»، أو رابط في رسالة بريد إلكتروني احتيالية، أو منشور على وسائل التواصل الاجتماعي).
  • بصمة الجهاز — تتحقق لغة جافا سكريبت من دقة الشاشة، والخطوط المثبتة، ومُعالج WebGL، وAPI للبطارية، وإشارات أخرى لتمييز الأجهزة الحقيقية عن أجهزة المحاكاة.
  • القواعد القائمة على الوقت — لا تعمل صفحة التصيد إلا خلال ساعات محددة (مثل ساعات العمل في المنطقة الزمنية المستهدفة)، وتظهر الصفحة البيضاء بشكل افتراضي خارج تلك الفترات.
  • تتبع ملفات تعريف الارتباط/الجلسة — تظهر الصفحة البيضاء عند الزيارة الأولى. أما الزوار العائدون الذين لديهم ملف تعريف ارتباط معين (تم تعيينه عند النقر على الإعلان) فيشاهدون صفحة التصيد الاحتيالي.
ثلاثة جهات خبيثة تدير بنية تحتية للتخفي — رسم توضيحي مفاهيمي
تقوم البنية التحتية للتخفي بتصفية الزوار على مستويات متعددة. وبحلول الوقت الذي يصل فيه الضحية الحقيقية إلى صفحة التصيد، تكون جميع أنظمة الدفاع الآلية قد تعرضت بالفعل لهدف خادع غير ضار.

يجمع نظام إخفاء متطور بين كل هذه العناصر. والنتيجة هي نطاق يبدو خالياً تماماً من أي شوائب أمام كل أدوات الفحص على الإنترنت، في حين يقوم في الوقت نفسه بسرقة بيانات اعتماد الضحايا المستهدفين بشكل نشط.

فجوة الكشف

عندما يقوم VirusTotal بفحص عنوان URL مخفي، تظهر له الصفحة البيضاء. النتيجة: 0/93 حالة اكتشاف. يقوم نظام Google Safe Browsing بفحص الموقع، ويجد منشورًا في المدونة. النتيجة: بدون تحذير. تنقر الضحية على رابط الويب نفسه على هاتفها من إعلان على Google: يرون صفحة تسجيل دخول مزيفة لـ MetaMask. هذه ليست مشكلة نظرية — بل هي النموذج التشغيلي المعتاد لعمليات التصيد الاحتيالي الحديثة.

الأدوات المستخدمة في عملية التضليل

لا يتم تنفيذ عملية الإخفاء بشكل مرتجل. فهي تعمل باستخدام برنامج تجاري متخصص يُسمى أنظمة توزيع حركة المرور (TDS). وأكثرها استخدامًا في عمليات التصيد الاحتيالي هو كيتارو.

Keitaro هو منتج تقني إعلاني معتمد مصمم للمسوقين التابعين لتوجيه حركة المرور بناءً على خصائص الزوار. وهو يدعم جميع معايير التصفية المذكورة أعلاه — نطاقات عناوين IP، والموقع الجغرافي، والجهاز، والمصدر المُحيل، ووكيل المستخدم — بشكل افتراضي. ويكتفي مشغلو عمليات التصيد الاحتيالي بتهيئته لتوجيه المتصفحين إلى صفحة فارغة وتوجيه الضحايا إلى صفحة التصيد الاحتيالي.

تحقيقنا، الذي نُشر تحت عنوان Keitaro TDS: الكشف عن 1,500 لوحة، تم تحديده 1,565 لوحة نشطة لـ «كيتارو» البنية التحتية المستخدمة في عمليات التصيد الاحتيالي. ليس 1,565 صفحة تصيد — بل 1,565 لوحات التحكم، حيث يدير كل منها عشرات إلى مئات من حملات التصيد الاحتيالي في آن واحد.

البنية التحتية للوحات TDS الخاصة بـ «كيتارو» المستخدمة لتوزيع حركة مرور التصيد الاحتيالي
Keitaro TDS: نظام تجاري لتوزيع حركة المرور تم إعادة توظيفه ليصبح العمود الفقري لعمليات إخفاء هجمات التصيد الاحتيالي. تم تحديد وتوثيق أكثر من 1,565 لوحة.

ومن بين منصات TDS الأخرى التي نواجهها ما يلي:

  • Binom — أداة تتبع ذاتية الاستضافة تحظى بشعبية في العمليات التي تُجرى في منطقة رابطة الدول المستقلة
  • BeMob — أداة تتبع قائمة على السحابة مزودة بفلترة عناوين IP واكتشاف الروبوتات
  • موجهات PHP المخصصة — نصوص برمجية مطورة داخليًّا تستخدم تقنية MaxMind GeoIP وقوائم حظر عناوين IP
  • Cloudflare Workers — توجيه قائم على الحافة يقوم بتقييم خصائص الزائر قبل أن يصل الطلب إلى خادم المنشأ

القاسم المشترك: جميعها موجودة لعرض محتوى مختلف لزوار مختلفين. في عالم التسويق بالعمولة، يُطلق على هذا «تحسين حركة المرور». أما في عمليات التصيد الاحتيالي، فيُطلق عليه التهرب.

أداة الكشف متاحة

لقد قمنا ببناء أداة الكشف عن كيتارو لتحديد بصمات Keitaro TDS على أي نطاق. ويقوم هذا الأداة بالبحث عن مسارات لوحات التحكم المعروفة، وأنماط رؤوس الاستجابة، وسلاسل إعادة التوجيه، وتوقيعات JavaScript المرتبطة بتركيبات Keitaro.

سيناريو «إعادة التوجيه إلى الموقع الرسمي»

أحد أنماط الإخفاء الأكثر شيوعًا التي نواجهها هو نطاق يقوم ببساطة بإعادة التوجيه إلى موقع إلكتروني رسمي. وتبدو الدعوة دائمًا على النحو التالي: "تحقق بنفسك — الرابط يؤدي فقط إلى موقع coinbase.com. لا يوجد أي محاولة للتصيد الاحتيالي."

إليكم ما يحدث بالفعل:

يقوم الماسح الضوئي بزيارة عنوان URL
يقوم TDS بالتحقق من عنوان IP/UA/الموقع الجغرافي
302 → coinbase.com
جهاز المسح الضوئي: «نظيف»
الضحية تنقر على الإعلان
يقوم TDS بالتحقق من عنوان IP/UA/الموقع الجغرافي
صفحة تسجيل دخول مزيفة لموقع Coinbase
سرقة بيانات الاعتماد

إعادة التوجيه إلى الموقع الرسمي لا يعني أن النطاق آمن. إنها آلية الإخفاء نفسها. قرر نظام TDS أن الزائر هو برنامج مسح، وأن الاستجابة الأكثر أمانًا — والأكثر احتمالًا أن تؤدي إلى مسح خالٍ من التهديدات — هي إعادة التوجيه إلى الموقع الإلكتروني الحقيقي.

فيما يلي مثال مبسط لمنطق جانب الخادم:

// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];

function routeVisitor(req) {
  const ip = req.headers['cf-connecting-ip'];
  const ua = req.headers['user-agent'];
  const geo = req.headers['cf-ipcountry'];

  // If scanner/bot detected: redirect to official site
  if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
    return Response.redirect('https://www.coinbase.com', 302);
  }

  // If not in target geography: show white page
  if (!TARGET_GEO.includes(geo)) {
    return renderWhitePage(); // Innocent blog post
  }

  // Real victim from target country: show phishing page
  return renderPhishingPage(); // Credential harvester
}
النقطة الأساسية

لا يوجد أي موقع إلكتروني شرعي يقوم بإعادة توجيه الزوار إلى نطاق شركة أخرى. إذا crypto-wallet-app[.]com يُعيد التوجيه إلى coinbase.com، فلا داعي لوجود هذا النطاق. فصفحة «Coinbase» الحقيقية ستكون مستضافة على coinbase.com. إعادة التوجيه هي الدليل.

مشكلة «الصفحة البيضاء»

«الصفحة البيضاء» هي المحتوى الوهمي الذي يعرضه نطاق التصيد المخفي على برامج الفحص والزوار غير المستهدفين. وعلى الرغم من اسمها، فإنها نادرًا ما تكون صفحة بيضاء فارغة. فالصفحات البيضاء الحديثة هي مواقع إلكترونية تعمل بكامل وظائفها مصممة لتبدو شرعية:

  • منشورات المدونة حول العملات المشفرة أو الشؤون المالية أو التكنولوجيا
  • صفحات عرض المنتجات الخاصة بأدوات SaaS العامة
  • مقالات إخبارية تم استخراجها من منشورات موثوقة
  • صفحات النطاقات المجمدة التي تعرض رسالة عامة تفيد بأن الموقع «قريبًا»
  • محتوى مُحسَّن لـ SEO ومصمم لتحقيق ترتيب جيد في نتائج البحث

هذه النقطة الأخيرة بالغة الأهمية. فالصفحات البيضاء ليست مجرد أدوات للتهرب — بل هي أدوات تحسين محركات البحث (SEO). من خلال استضافة محتوى عالي الجودة على نطاق مخصص للتصيد الاحتيالي، يحقق المشغلون هدفين في آن واحد: فهم يتجنبون الكشف عنهم و فهم يعملون على تعزيز سلطة النطاق، مما يجعل روابط التصيد الخاصة بهم تحتل مراكز أعلى في نتائج البحث.

هجوم التسميم في تحسين محركات البحث (SEO) ذو المراحل الثلاث

هذه هي الدورة الكاملة لحملة التصيد الاحتيالي التي تعتمد على «الصفحة البيضاء»:

المرحلة الأولى
سلطة البناء
المرحلة الثانية
الترتيب والمؤشر
المرحلة الثالثة
تنشيط التصيد الاحتيالي
المرحلة الأولى: بناء المصداقية (الأسابيع 1–4)
تسجيل النطاق. نشر صفحة بيضاء تحتوي على محتوى مُحسَّن لـ SEO (منشورات مدونة، مقالات). إنشاء روابط خارجية. يزداد عمر النطاق وتزداد مصداقيته. ترى جميع أدوات الفحص موقعًا يحتوي على محتوى نظيف. وتقوم جوجل بفهرسته دون أي تحذيرات.
المرحلة الثانية: التصنيف والفهرسة (الأسابيع 4–8)
يبدأ النطاق في الظهور في نتائج البحث عن الكلمات المفتاحية المستهدفة («ربط محفظة MetaMask»، «تسجيل الدخول إلى Coinbase»، «توزيع العملات المشفرة مجانًا»). ويستمر عرض محتوى الصفحة البيضاء. وتبدأ حركة الزيارة العضوية. وتترسخ سمعة النطاق عبر جميع أنظمة التقييم.
المرحلة الثالثة: تفعيل عملية التصيد الاحتيالي (الأسبوع الثامن فصاعدًا)
تم عكس قواعد TDS. أصبح الزوار الذين تتطابق سماتهم مع سمات الضحايا (عنوان IP السكني، البلد المستهدف، الجهاز المحمول) يشاهدون الآن صفحة التصيد الاحتيالي بدلاً من الصفحة الفارغة. أما برامج الفحص، فلا تزال ترى الصفحة الفارغة. ونظرًا للسمعة التي اكتسبها النطاق، فإن تحذيرات المتصفح تتأخر في الظهور. وعندما ينقر الضحايا على نتائج البحث أو الإعلانات، يتم توجيههم إلى نطاق يبدو موثوقًا ويتمتع بدرجة مصداقية عالية.
Pipeline «تسميم محركات البحث للصفحات البيضاء» — نطاق التصيد الاحتيالي يبني مصداقيته قبل تفعيله
الصفحات البيضاء ليست وسيلة تهرب سلبية. بل هي أدوات فعالة لتحسين محركات البحث (SEO) تعمل على بناء مصداقية النطاق، وتحقيق مراكز متقدمة في نتائج البحث، ثم تستغل تلك السمعة كسلاح لتوجيه هجمات التصيد الاحتيالي إلى الضحايا عبر نتائج البحث العضوية.

ولهذا السبب نقوم بوضع علامة على النطاقات في «المرحلة الأولى». فبحلول الوقت الذي يتم فيه تفعيل «المرحلة الثالثة»، يكون الضرر قد وقع بالفعل. والانتظار حتى تظهر صفحة التصيد يعني الانتظار حتى يفقد الضحايا بيانات تسجيل الدخول الخاصة بهم وأموالهم.

سيناريوهات حركة المرور النشطة: الإعلانات وحملات البريد الإلكتروني

لا تعتمد جميع عمليات التصيد الاحتيالي المقنعة على نتائج البحث العضوية. ومن بين أكثر طرق جذب الزوار عدوانيةً اثنتان هما الإعلانات المدفوعة و الحملات عبر البريد الإلكتروني، وكلاهما يستغل تقنية الإخفاء لتجاوز عملية المراجعة التي تجريها المنصة.

إخفاء الإعلانات في Google Ads

التحقيق الذي أجريناه بشأن شبكة «BUYTRX» لتصريف الأموال موثقة 55+ نطاقًا استخدام «Google Ads» لجذب الزوار إلى المواقع التي تستنزف رصيد المحفظة. الآلية هي:

  1. يقوم المشغل بإرسال النطاق إلى Google Ads للمراجعة. ويشاهد متتبع Google الصفحة الفارغة (مدونة عن تقنية البلوك تشين). تمت الموافقة على الإعلان.
  2. يتم عرض الإعلان، مستهدفًا الكلمات المفتاحية «connect wallet» و«crypto airdrop».
  3. ينقر مستخدم «جوجل» على الإعلان. وترصد خدمة TDS عنوان IP سكني قادمًا من مصدر إحالة تابع لـ «جوجل إعلانات». تم تقديم طبق «مُستنزف المحفظة».
  4. يقوم الضحية بربط محفظته. ثم يتم استنزاف أصوله في غضون ثوانٍ عبر معاملة موقعة مسبقًا.

نظام مراجعة الإعلانات لدى «جوجل» — شأنه شأن أي أداة فحص آلية — لا يرى سوى الصفحة البيضاء. ويستمر عرض الإعلان، ويستمر المشغل في دفع المال لـ«جوجل» مقابل كل ضحية يتم توجيهها إليه.

إخفاء حملات البريد الإلكتروني

تقوم بوابات البريد الإلكتروني (Microsoft Defender for Office 365، وProofpoint، وMimecast) بفحص الروابط الموجودة في رسائل البريد الإلكتروني قبل تسليمها. وتتعامل تقنية Cloaking مع هذا الأمر بنفس الطريقة:

  1. تحتوي رسالة البريد الإلكتروني الاحتيالية على رابط إلى نطاق مخفي.
  2. تقوم بوابة البريد الإلكتروني بفحص عنوان URL. ويقوم نظام TDS من جانب الخادم بالتعرف على نطاق عناوين IP الخاصة بالبوابة. ثم يعرض الصفحة البيضاء أو يقوم بإعادة التوجيه إلى الموقع الرسمي. تم تسليم البريد الإلكتروني.
  3. ينقر المستلم على الرابط من برنامج البريد الإلكتروني الخاص به. عنوان IP سكني، مصدر إحالة صحيح، الموقع الجغرافي المستهدف. تم عرض صفحة تصيد احتيالي.
المقياس

في تحقيق «BUYTRX» وحده، كانت «Google Ads» تمول بشكل نشط توزيع برامج استنزاف المحافظ عبر أكثر من 55 نطاقًا. وقد اجتاز كل نطاق عملية المراجعة الآلية من قِبل «Google» لأن متتبع «Google» عُرضت عليه صفحة فارغة. وهذا ليس ثغرة — بل هو خلل هيكلي في الطريقة التي تتحقق بها منصات الإعلانات من صحة الصفحات المقصودة عند وجود تقنية الإخفاء.

لماذا لا ينطبق مبدأ «البراءة حتى تثبت الإدانة» في هذه الحالة

نسمع أحيانًا الحجة القائلة بأن الإبلاغ عن نطاق ما استنادًا إلى بنية «الإخفاء» (cloaking) هو إجراء سابق لأوانه — وأنه ينبغي علينا انتظار ظهور محتوى التصيد الفعلي قبل اتخاذ أي إجراء. هذه الحجة تنم عن سوء فهم لمفهوم «الإخفاء».

التخفي ليس تقنية محايدة. إنه البنية التحتية التنافسية مصمم خصيصًا للتحايل على أنظمة الكشف. إن أي نطاق يستخدم تقنية الإخفاء يكون قد أعلن بالفعل عن نيته: إظهار شيء ما لأنظمة الأمان وشيء آخر للضحايا. وهذا التكوين لا يخدم أي غرض مشروع.

الإشارات الخمس التي نبحث عنها

أي مجال يُظهر أي تركيبة يتم تصنيف إحدى هذه الإشارات على أنها ضارة:

  1. عرض المحتوى المشروط — محتوى مختلف بناءً على عنوان IP أو معرّف المستخدم أو الموقع الجغرافي أو الموقع المُحيل أو بصمة الجهاز
  2. بصمات TDS — توقيعات Keitaro أو Binom أو BeMob أو توقيعات مخصصة للموجِّهات في رؤوس الاستجابة أو سلاسل إعادة التوجيه أو جافا سكريبت
  3. إعادة التوجيه إلى المواقع الرسمية — أي إعادة توجيه إلى نطاق شرعي تابع لجهة خارجية (خاصةً في مجال الخدمات المصرفية أو العملات المشفرة أو مزودي خدمات البريد الإلكتروني)
  4. صفحة بيضاء تحتوي على محتوى غير ذي صلة — منشورات المدونة، أو المقالات الإخبارية، أو المحتوى العام على نطاق تم تسجيله مؤخرًا دون وجود نشاط تجاري راسخ
  5. جافا سكريبت لمكافحة الروبوتات — تحديد البرامج النصية التي تتحقق من وجود متصفحات بدون واجهة مستخدم، أو WebDriver، أو أبعاد الشاشة، أو عرض لوحة الرسم (canvas) قبل تحديد ما سيتم عرضه

في قاعدة البيانات الخاصة بنا التي تضم أكثر من 50,000 موقع تم فحصها، فإن عدد النطاقات التي أظهرت هذه المؤشرات وتبين أنها شرعية هو صفر. ليس «نادرًا» — بل صفر. لم نصادف قط موقعًا إلكترونيًّا شرعيًّا واحدًا احتاج إلى إعادة توجيه الزوار غير المستهدفين إلى نطاق شركة أخرى، أو عرض مدونة عن العملات المشفرة على برامج المسح، مع عرض نموذج تسجيل الدخول في الوقت نفسه للزوار القادمين من نطاقات عناوين IP محددة.

سياستنا

يُعد «الإخفاء» إشارة ثنائية. فإذا عرض نطاق ما محتوى مختلفًا لزوار مختلفين باستخدام الآليات الموضحة أعلاه، يتم الإبلاغ عنه. وإذا اعتقد المشغل أن هذه حالة «إيجابية كاذبة»، فإن نظامنا إجراءات الاستئناف وقد تم إنشاؤه لهذا الغرض بالذات. وحتى الآن، لم يتم قبول أي استئناف ناجح ضد أي علامة تتعلق بالتخفي.

مشكلة المسجل

يؤدي إخفاء العنوان إلى مشكلة لاحقة تتعلق بالإبلاغ عن حالات إساءة الاستخدام. فعندما نبلغ مسجّل النطاقات عن نطاق مخفي، يقوم فريق مكافحة إساءة الاستخدام التابع للمسجّل بزيارة الرابط ليجد… صفحة خالية من أي محتوى مشبوه. منشورًا على مدونة. أو إعادة توجيه إلى موقع coinbase.com. ومن وجهة نظرهم، لا يوجد ما يستدعي اتخاذ أي إجراء.

هذا هو السيناريو نفسه الذي حدث في... تحقيق NiceNIC وـ تحقيق «NameSilo». وفي كلتا الحالتين، قام مسجّلو النطاقات بالتحقق من النطاقات المبلغ عنها، وتأكدوا من خلوها من أي محتوى غير لائق، فقاموا إما بإغلاق القضية أو بالدفاع بقوة عن مشغل النطاق.

المشكلة هي مشكلة نظامية:

  • تستخدم فرق مكافحة إساءة استخدام خدمات التسجيل نفس أساليب الفحص التي تستخدمها شركات برامج مكافحة الفيروسات — فهم يزورون عنوان URL من عناوين IP الخاصة بمراكز البيانات باستخدام متصفحات عادية. وتقنية الإخفاء تتغلب على ذلك في كل مرة.
  • لم يستثمر أي مسجل في تقنية الكشف عن إخفاء العناوين — توجد تقنية للكشف عن تقديم المحتوى المشروط (لقد قمنا بتطويرها)، لكن لم يقم أي مسجل بتطبيقها.
  • لا يأخذ إطار عمل ICANN المتعلق بحالات إساءة الاستخدام في الحسبان ممارسة «التخفي» — تتطلب بلاغات الإبلاغ عن الإساءة وجود أدلة على وجود محتوى ضار. وإذا كان المحتوى الضار لا يُعرض إلا على الضحايا، فلن تتمكن عملية التحقق التي يجريها المسجل نفسه من اكتشافه أبدًا.
فشل استجابة المسجل

لقد قمنا بتوثيق هذا النمط بشكل مستفيض. تقريرنا عندما لا تُتّبع تقارير الإساءة يوضح بالتفصيل كيف يتقاعس مسجّلو النطاقات بشكل منهجي عن اتخاذ إجراءات بشأن النطاقات المخفية، لأن أساليب التحقق التي يتبعونها هي بالضبط ما صُمم «التخفي» للتغلب عليه.

ولهذا السبب يُعد PhishDestroy طبقة مستقلة. فنحن لا نعتمد على زيارة عنوان URL من عنوان IP واحد والتحقق مما يعرضه. نقوم بتحليل سلاسل إعادة التوجيه، وبصمات TDS، وسلوك جافا سكريبت، وسجلات DNS، وسجلات شفافية الشهادات، والأنماط الزمنية عبر آلاف النطاقات. وعندما نضع علامة تحذير على نطاق ما، فإننا نكون قد أخذنا في الحسبان بالفعل حقيقة أن هذا النطاق سيبدو سليمًا لأي شخص يتحقق منه بالطريقة المعتادة.

ملخص: تقنيات التخفي وكشفها

التقنيةما تراه أجهزة المسح الضوئيما تراه الضحاياطريقة الكشف
التصفية القائمة على عناوين IPالصفحة البيضاء / إعادة التوجيهصفحة التصيد الاحتياليالمسح متعدد عناوين IP، مقارنة البروكسيات السكنية
التصفية القائمة على UAالصفحة البيضاء / 403صفحة التصيد الاحتياليالتناوب بين UA، مقارنة بين المتصفح «بدون رأس» والمتصفح الحقيقي
التصفية بناءً على الموقع الجغرافيمحتوى عامالتصيد الاحتيالي المُكيَّف محليًّاالمسح بالوكيل عبر مناطق متعددة
تصفية المصادر المُحيلةالصفحة البيضاءالتصيد الاحتيالي (عبر الإعلانات/البريد الإلكتروني)تزوير مصدر الإحالة، محاكاة النقر على الإعلانات
تحديد بصمة JSصفحة بيضاء (تم اكتشاف روبوت)التصيد الاحتيالي (جهاز حقيقي)التحليل الثابت لـ JavaScript، وإزالة التعتيم
القواعد القائمة على الوقتالتنظيف (خارج ساعات العمل)التصيد الاحتيالي (خلال ساعات العمل)المسح الزمني، عمليات الفحص المتوافقة مع المناطق الزمنية
التحكم في ملفات تعريف الارتباط/الجلسةتنظيف (الزيارة الأولى)التصيد الاحتيالي (زيارة متكررة باستخدام ملفات تعريف الارتباط)تحليل الجلسات متعددة الزيارات، إعادة تشغيل ملفات تعريف الارتباط
TDS (كيتارو/بينوم)صفحة بيضاء أو إعادة توجيهتم توجيهه إلى موقع تصيد احتياليأداة الكشف عن كيتارو، تحليل العناوين/عمليات إعادة التوجيه
إعادة التوجيه إلى الموقع الرسمي302 → موقع شرعيصفحة التصيد الاحتياليتحليل وجهة إعادة التوجيه، والتحقق من الغرض من النطاق
ملخص حول الكشف عن تقنيات التخفي وتحليل البنية التحتية لعمليات التصيد الاحتيالي
الصورة الكاملة: لكل تقنية إخفاء طريقة للكشف عنها. والتحدي لا يكمن في التكنولوجيا، بل في حث مسجلي النطاقات ومنصات الإعلانات وبوابات البريد الإلكتروني على تطبيق هذه الطرق.

الخلاصة

التخفي ليس منطقة رمادية. إنه أكثر تقنيات التهرب فعاليةً على الإطلاق في عمليات التصيد الاحتيالي الحديثة، ولا ينجح حالياً أي مكون من مكونات منظومة التصيد الاحتيالي — بدءاً من «Google Ads» وصولاً إلى بوابات البريد الإلكتروني وفرق مكافحة إساءة استخدام خدمات تسجيل النطاقات — في التصدي لهذه المشكلة.

عندما يقوم موقع PhishDestroy بوضع علامة على نطاق ما باعتباره يستخدم تقنية الإخفاء، فإننا لا نكتفي بالتخمين. بل إننا نوثق وجود بنية تحتية خبيثة لا تهدف إلا إلى غرض واحد: عرض محتوى مختلف لزوار مختلفين. وفي أكثر من 50,000 عملية فحص، بلغ معدل النتائج الإيجابية الخاطئة لهذه الإشارة صفرًا.

إذا تم الإبلاغ عن نطاقك:

  • إذا كنت مشغلًا شرعيًّا وتعتقد أن هذه حالة إيجابية خاطئة، تقديم استئناف. نحن نراجع كل واحدة منها.
  • إذا كنت تدير بنية تحتية لإخفاء الهوية، فإننا نعلم ذلك بالفعل. فالصفحة البيضاء التي عرضتها على أداة الفحص الخاصة بنا ليست هي ما يراه ضحاياك. ولدينا الأدلة التي تثبت ذلك.
الصفحة البيضاء ليست دفاعًا. إنها اعتراف. إذا كان موقعك الإلكتروني يحتاج إلى عرض محتوى مختلف لزوار مختلفين، فأنت بذلك تكون قد أجبت بالفعل على السؤال حول ما إذا كان هذا الموقع ضارًّا أم لا.

يتم حظر كل نطاق مخفي. دون استثناء. ولم تنجح أي طعون. لأننا، خلال 50,000 عملية فحص، لم نخطئ أبدًا في تقييم هذه الإشارة.

الأبحاث والموارد ذات الصلة

Keitaro TDS: الكشف عن 1,500 لوحة

التحقيقTDSالإخفاء

كيف قمنا بتحديد مواقع 1,565 لوحة «كيتارو» التي تدعم البنية التحتية لعمليات التصيد الاحتيالي في جميع أنحاء العالم.

أداة الكشف عن كيتارو

أداةالكشفTDS

افحص أي نطاق بحثًا عن بصمات Keitaro TDS وسلاسل إعادة التوجيه وتوقيعات الإخفاء.

BUYTRX: 55 نطاقًا، تمويل من Google Ads

التحقيقمصرف المياهإعلانات جوجل

شبكة لسرقة أموال المحافظ الإلكترونية تستخدم صفحات بيضاء مخفية لتجاوز مراجعة Google Ads.

عندما لا تُتّبع تقارير الإساءة

تقريرمسجلICANN

لماذا تتقاعس فرق مكافحة إساءة الاستخدام التابعة لمسجلي النطاقات عن اتخاذ إجراءات بشأن النطاقات المخفية، وما الذي يجب تغييره.

تقييم NiceNIC

التحقيقمسجلICANN

تقدمت منظمة ICANN بشكوى ضد شركة NiceNIC بسبب تقاعسها المتكرر عن اتخاذ إجراءات بشأن بلاغات إساءة الاستخدام.

تحقيق «NameSilo»

التحقيقNameSiloمونيرو

كيف دافعت شركة «NameSilo» عن سارق عملات مشفرة سرق مبلغ 2 مليون دولار، وكيف اختلقت قصة لتغطية الأمر.

يستند هذا المقال إلى خبرتنا العملية في فحص أكثر من 50,000 نطاق، والتحقيق في البنية التحتية النشطة لعمليات التصيد الاحتيالي، وتقديم تقارير عن حالات إساءة الاستخدام إلى جهات التسجيل ومنظمة ICANN. وقد تم توثيق جميع التقنيات الموصوفة بالأدلة. ولم يتم إجراء أي وصول غير مصرح به في أي مرحلة من مراحل بحثنا.

شارك هذا التحقيق

X / Twitter Telegram Reddit لينكدإن

التحقيقات ذات الصلة

Keitaro TDS: تسرب 1,500 لوحة، ولا توجد أي استخدامات مشروعة
التحقيق
Keitaro TDS: تسرب 1,500 لوحة، ولا توجد أي استخدامات مشروعة
الكشف عن BUYTRX: 55 نطاقًا ومستنزف موافقات TRON
التحقيق
الكشف عن BUYTRX: 55 نطاقًا ومستنزف موافقات TRON
الكشف عن المحتالين: تحليل 4 أنظمة خلفية لعمليات الاحتيال
التحقيق
الكشف عن المحتالين: تحليل 4 أنظمة خلفية لعمليات الاحتيال