Warum wir „White Pages“ und Weiterleitungen auf offizielle Websites sperren: Das Cloaking-Problem erklärt
Cloaking, White Pages und TDS-Weiterleitungen bilden das Rückgrat moderner Phishing-Infrastrukturen. Jede Website, die diese Techniken nutzt, wird gesperrt. Hier erfahren Sie, warum – und was wir entdecken, wenn wir hinter die Kulissen blicken.
Die Frage, die uns immer wieder gestellt wird
Jede Woche erreichen uns dieselben Bitten: „Sie haben meine Domain als verdächtig markiert, aber wenn ich sie überprüfe, leitet sie einfach auf die offizielle Website weiter. Hier ist nichts Bösartiges.“
Oder eine Variante: „Die Seite ist nur ein Blogbeitrag über Kryptowährungen. Es handelt sich nicht um Phishing.“
Wir verstehen, warum das verwirrend ist. Wenn Sie eine Domain besuchen, die als verdächtig markiert wurde, und eine völlig normale Seite sehen – oder eine saubere Weiterleitung zu einer legitimen Website –, ist es nur natürlich anzunehmen, dass die Markierung falsch ist. Diese saubere Seite ist jedoch kein Fehler in unserer Erkennung. Es ist der Angriff.
Dieser Artikel erläutert die Technologie hinter Cloaking, warum es „White Pages“ gibt, wie Traffic-Distribution-Systeme (TDS) wie Keitaro die Opfer weiterleiten und warum PhishDestroy jedes einzelne dieser Muster als bestätigte bösartige Infrastruktur behandelt – ohne jede Ausnahme.
Falls Sie dies lesen, weil Ihre Domain markiert wurde und Sie glauben, dass es sich um einen Fehler handelt, empfehlen wir Ihnen, den Text bis zum Ende zu lesen. Wir führen außerdem ein Berufungsverfahren für berechtigte Fehlalarme. Unserer Erfahrung nach sind Domains, die Cloaking-Verhalten zeigen, jedoch in 100 % der Fälle bösartig.
Wie Antivirenprogramme die Spielregeln verändert haben
Vor zehn Jahren war Phishing noch ganz einfach. Ein Angreifer registrierte eine Domain, richtete eine gefälschte Anmeldeseite ein und schickte den Link an die Opfer. Sicherheitsanbieter durchsuchten diese URL schließlich, entdeckten die Phishing-Seite und fügten sie ihren Sperrlisten hinzu. Die Domain wurde innerhalb von Stunden oder Tagen stillgelegt.
Dann verbesserte sich die Situation in der Branche. Google Safe Browsing, Microsoft SmartScreen und über 100 Antiviren-Engines auf Plattformen wie VirusTotal begannen, URLs nahezu in Echtzeit zu scannen. Warnmeldungen auf Browserebene senkten die Klickraten drastisch. Hosting-Anbieter richteten automatisierte Verfahren zur Entfernung solcher Seiten ein. Der Zeitraum zwischen der Veröffentlichung einer Phishing-Seite und ihrer Sperrung verkürzte sich von Tagen auf Minuten.
Die Phishing-Betreiber hatten ein Problem: Ihre Seiten wurden schneller entdeckt, als sie sie online stellen konnten. Sie suchten nach einer Möglichkeit, die Phishing-Inhalte echten Opfern anzuzeigen, während sie für alle automatisierten Systeme, die versuchten, sie zu erkennen, völlig harmlos wirkten.
Die Antwort lautete Tarnung.
Modernes Phishing fliegt nicht auf, weil die Phishing-Seite schwer zu erkennen ist. Es bleibt unentdeckt, weil Der Scanner sieht die Phishing-Seite überhaupt nicht. Der Scanner erkennt einen Blogbeitrag, eine Weiterleitung oder eine leere Seite. Das Opfer – das aus einem bestimmten Land, über ein Mobilgerät und über eine bezahlte Anzeige auf die Seite gelangt – sieht den Anmeldedaten-Harvester.
Was Cloaking eigentlich ist
Cloaking bezeichnet die Praxis, verschiedenen Besuchern je nach ihrer Identität unterschiedliche Inhalte anzuzeigen. Im Zusammenhang mit Phishing bedeutet dies vor allem eines: Sicherheitsscanner erkennen eine harmlose Seite, während echte Opfer die Phishing-Seite sehen.
Die Filterung kann auf mehreren Ebenen erfolgen:
- IP-Reputation — Bekannte IP-Adressen von Rechenzentren, VPN-Bereiche und IP-Blöcke von Sicherheitsanbietern erhalten die saubere Version. Privatanwender-IPs werden auf die Phishing-Seite weitergeleitet.
- User-Agent-Zeichenfolgen — Headless-Browser, bekannte Crawler (Googlebot, Bingbot, Screaming Frog) und Sicherheitsscanner werden erkannt und herausgefiltert.
- Standortbestimmung — Die Phishing-Seite wird nur Besuchern aus den Zielländern angezeigt. Alle anderen sehen die leere Seite.
- Referrer-Header — Nur Besucher, die über bestimmte Quellen (eine Google-Anzeige, einen Link in einer Phishing-E-Mail, einen Beitrag in den sozialen Medien) auf die Seite gelangen, sehen den eigentlichen Inhalt.
- Geräte-Fingerabdruck — JavaScript überprüft die Bildschirmauflösung, installierte Schriftarten, den WebGL-Renderer, die Akku-API und andere Signale, um echte Geräte von Emulatoren zu unterscheiden.
- Zeitabhängige Regeln — Die Phishing-Seite ist nur zu bestimmten Zeiten aktiv (z. B. während der Geschäftszeiten in der Zielzeitzone) und wird außerhalb dieser Zeitfenster standardmäßig als leere Seite angezeigt.
- Cookie-/Sitzungs-Tracking — Beim ersten Besuch wird die weiße Seite angezeigt. Wiederkehrende Besucher mit einem bestimmten Cookie (das durch den Klick auf die Anzeige gesetzt wurde) sehen die Phishing-Seite.
Eine ausgeklügelte Tarnvorrichtung vereint all diese Elemente. Das Ergebnis ist eine Domain, die für jeden Scanner im Internet völlig harmlos erscheint, während sie gleichzeitig aktiv Zugangsdaten von den betroffenen Opfern stiehlt.
Wenn VirusTotal eine verschleierte URL scannt, wird eine leere Seite angezeigt. Ergebnis: 0 von 93 Erkennungen. Google Safe Browsing durchsucht die Seite und findet einen Blogbeitrag. Ergebnis: keine Warnung. Das Opfer klickt auf seinem Smartphone auf dieselbe URL, die in einer Google-Anzeige angezeigt wird: sie sehen eine gefälschte MetaMask-Anmeldeseite. Das ist kein theoretisches Problem – es ist das Standardverfahren beim modernen Phishing.
Die Werkzeuge hinter der Täuschung
Cloaking ist keine improvisierte Angelegenheit. Es läuft auf einer speziellen kommerziellen Software namens Verkehrsverteilungssysteme (TDS). Am häufigsten wird bei Phishing-Angriffen Keitaro.
Keitaro ist ein seriöses Ad-Tech-Produkt, das für Affiliate-Vermarkter entwickelt wurde, um den Traffic anhand von Besuchermerkmalen weiterzuleiten. Es unterstützt standardmäßig alle oben aufgeführten Filterkriterien – IP-Bereiche, Standort, Gerät, Referrer, User-Agent. Phishing-Betreiber konfigurieren es einfach so, dass Scanner auf eine leere Seite und Opfer auf die Phishing-Seite weitergeleitet werden.
Unsere Untersuchung, veröffentlicht als Keitaro TDS: 1.500 belichtete Platten, identifiziert 1.565 aktive Keitaro-Panels die Phishing-Infrastruktur bereitstellt. Nicht 1.565 Phishing-Seiten – 1.565 Bedienfelder, von denen jede Dutzende bis Hunderte von Phishing-Kampagnen gleichzeitig durchführt.
Weitere TDS-Plattformen, auf die wir stoßen, sind unter anderem:
- Binom — Selbst gehosteter Tracker, der bei Operationen in der GUS-Region beliebt ist
- Bleib in Bewegung — Cloud-basierter Tracker mit IP-Filterung und Bot-Erkennung
- Benutzerdefinierte PHP-Router — Eigenentwickelte Skripte unter Verwendung von MaxMind GeoIP und IP-Sperrlisten
- Cloudflare Workers — Edge-basiertes Routing, bei dem die Besucherattribute ausgewertet werden, noch bevor die Anfrage den Ursprungsserver erreicht
Der gemeinsame Nenner: Sie alle dienen dazu, verschiedenen Besuchern unterschiedliche Inhalte anzuzeigen. In der Welt des Affiliate-Marketings wird dies als „Traffic-Optimierung“ bezeichnet. Beim Phishing spricht man von Hinterziehung.
Wir haben die Keitaro-Erkennungsprogramm um Keitaro-TDS-Spuren auf beliebigen Domains zu identifizieren. Dabei wird nach bekannten Panel-Pfaden, Mustern in Antwort-Headern, Weiterleitungsketten und JavaScript-Signaturen gesucht, die mit Keitaro-Installationen in Verbindung stehen.
Das Szenario „Weiterleitung zur offiziellen Website“
Eines der häufigsten Cloaking-Muster, auf das wir stoßen, ist eine Domain, die einfach auf eine offizielle Website weiterleitet. Der Aufruf sieht immer gleich aus: „Überzeug dich selbst – du wirst einfach zu coinbase.com weitergeleitet. Es handelt sich nicht um Phishing.“
Das ist es, was tatsächlich passiert:
Die Weiterleitung auf die offizielle Website bedeutet nicht, dass die Domain unbedenklich ist. Es ist der Tarnmechanismus selbst. Das TDS hat festgestellt, dass es sich bei dem Besucher um einen Scanner handelt, und die sicherste Reaktion – diejenige, die am ehesten zu einem einwandfreien Scan führt – besteht darin, auf die echte Website weiterzuleiten.
Hier ist ein vereinfachtes Beispiel für die serverseitige Logik:
// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];
function routeVisitor(req) {
const ip = req.headers['cf-connecting-ip'];
const ua = req.headers['user-agent'];
const geo = req.headers['cf-ipcountry'];
// If scanner/bot detected: redirect to official site
if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
return Response.redirect('https://www.coinbase.com', 302);
}
// If not in target geography: show white page
if (!TARGET_GEO.includes(geo)) {
return renderWhitePage(); // Innocent blog post
}
// Real victim from target country: show phishing page
return renderPhishingPage(); // Credential harvester
}Keine seriöse Website leitet Besucher auf die Domain eines anderen Unternehmens weiter. Wenn crypto-wallet-app[.]com leitet weiter zu coinbase.com, dann hat diese Domain keinen Daseinsgrund. Eine echte Coinbase-Seite würde auf coinbase.com. Die Weiterleitung verrät es.
Das Problem mit den weißen Seiten
Eine „White Page“ ist der Scheininhalt, den eine getarnte Phishing-Domain Scannern und nicht zur Zielgruppe gehörenden Besuchern anzeigt. Trotz des Namens handelt es sich dabei selten um eine leere, weiße Seite. Moderne White Pages sind voll funktionsfähige Websites so gestaltet, dass sie seriös wirkt:
- Blogbeiträge zu Kryptowährungen, Finanzen oder Technologie
- Produkt-Landingpages für allgemeine SaaS-Tools
- Nachrichtenartikel, die aus seriösen Publikationen zusammengetragen wurden
- Parked-Domain-Seiten mit allgemeinen „Coming soon“-Meldungen
- SEO-optimierte Inhalte, die darauf ausgelegt sind, in den Suchergebnissen ganz oben zu erscheinen
Dieser letzte Punkt ist entscheidend. Weiße Seiten sind nicht nur Mittel zur Ausflucht – sie sind SEO-Werkzeuge. Indem sie hochwertige Inhalte auf einer Phishing-Domain hosten, erreichen die Betreiber zwei Ziele gleichzeitig: Sie entgehen der Aufdeckung und Sie bauen eine Domain-Autorität auf, die dazu führt, dass ihre Phishing-Links in den Suchergebnissen weiter oben erscheinen.
Der dreistufige SEO-Poisoning-Angriff
Dies ist der gesamte Ablauf einer Phishing-Kampagne, die auf White-Page basiert:
Bauaufsichtsbehörde
Rang & Index
Phishing aktivieren
Aus diesem Grund kennzeichnen wir Domains bereits in Phase 1. Wenn Phase 3 einsetzt, ist der Schaden bereits angerichtet. Auf das Erscheinen der Phishing-Seite zu warten, bedeutet, darauf zu warten, dass Opfer ihre Zugangsdaten und ihr Geld verlieren.
Aktuelle Traffic-Szenarien: Anzeigen und E-Mail-Kampagnen
Nicht alle verdeckten Phishing-Angriffe stützen sich auf organische Suchergebnisse. Zwei der aggressivsten Methoden zur Traffic-Gewinnung sind bezahlte Werbung und E-Mail-Kampagnen, die beide Cloaking nutzen, um die Plattformprüfung zu umgehen.
Google Ads Cloaking
Unsere Untersuchung zu dem BUYTRX-Drainer-Netzwerk dokumentiert über 55 Domains Google Ads nutzen, um Besucher auf Websites zu leiten, die das Portemonnaie leeren. Der Mechanismus:
- Der Betreiber reicht die Domain zur Überprüfung bei Google Ads ein. Der Crawler von Google findet eine leere Seite vor (ein Blog über Blockchain-Technologie). Anzeige genehmigt.
- Die Anzeige wird geschaltet und zielt auf die Suchbegriffe „Connect Wallet“ und „Crypto Airdrop“ ab.
- Ein Google-Nutzer klickt auf die Anzeige. TDS erkennt eine private IP-Adresse, die von einem Google-Ads-Referrer stammt. Der Geldbeutel ist leer.
- Das Opfer verbindet seine Wallet. Das Guthaben wird innerhalb von Sekunden über eine vorab signierte Transaktion abgezogen.
Das Anzeigenprüfungssystem von Google sieht – wie jeder automatisierte Scanner – nur die leere Seite. Die Anzeige wird weiterhin geschaltet, und der Betreiber zahlt Google weiterhin für jedes gelieferte Opfer.
Verschleierung von E-Mail-Kampagnen
E-Mail-Gateways (Microsoft Defender für Office 365, Proofpoint, Mimecast) überprüfen Links in E-Mails vor der Zustellung. Cloaking funktioniert auf dieselbe Weise:
- Die Phishing-E-Mail enthält einen Link zu einer getarnten Domain.
- Das E-Mail-Gateway überprüft die URL. Das serverseitige TDS erkennt den IP-Bereich des Gateways. Es wird entweder eine leere Seite oder eine Weiterleitung zur offiziellen Website angezeigt. E-Mail zugestellt.
- Der Empfänger klickt auf den Link in seinem E-Mail-Programm. Private IP-Adresse, korrekter Referrer, Zielregion. Phishing-Seite aufgerufen.
Allein im Rahmen der BUYTRX-Untersuchung finanzierte Google Ads aktiv die Verbreitung von Wallet-Drainern über mehr als 55 Domains hinweg. Jede dieser Domains durchlief die automatisierte Überprüfung von Google, da dem Crawler von Google eine leere Seite angezeigt wurde. Dies ist keine Lücke im System – es handelt sich um einen strukturellen Fehler in der Art und Weise, wie Werbeplattformen Landingpages überprüfen, wenn Cloaking zum Einsatz kommt.
Warum der Grundsatz „Unschuldig, bis die Schuld bewiesen ist“ hier nicht gilt
Manchmal wird argumentiert, dass es verfrüht sei, eine Domain aufgrund einer Cloaking-Infrastruktur zu kennzeichnen – man solle vielmehr abwarten, bis tatsächlich Phishing-Inhalte erscheinen, bevor man Maßnahmen ergreift. Dieses Argument geht jedoch am Wesen des Cloaking vorbei.
Cloaking ist keine neutrale Technologie. Es ist konfrontative Infrastruktur speziell darauf ausgelegt, einer Erkennung zu entgehen. Eine Domain, die Cloaking einsetzt, hat ihre Absicht bereits offenbart: Sicherheitssystemen das eine und den Opfern das andere zu zeigen. Dies ist keine Konfiguration, die einem legitimen Zweck dient.
Jede Domäne, die jede beliebige Kombination Von diesen Signalen wird eines als bösartig markiert:
- Bereitstellung bedingter Inhalte — Unterschiedliche Inhalte je nach IP-Adresse, User-Agent, Standort, Referrer oder Geräte-Fingerabdruck
- TDS-Fingerabdrücke — Keitaro, Binom, BeMob oder benutzerdefinierte Router-Signaturen in Antwort-Headern, Weiterleitungsketten oder JavaScript
- Weiterleitung zu den offiziellen Websites — Jede Weiterleitung zu einer legitimen Domain eines Drittanbieters (insbesondere von Banken, Krypto- oder E-Mail-Anbietern)
- Leere Seite mit irrelevanten Inhalten — Blogbeiträge, Nachrichtenartikel oder allgemeine Inhalte auf einer Domain, die erst kürzlich registriert wurde und über keine etablierte geschäftliche Präsenz verfügt
- JavaScript-Botschutz — Skripte, die vor der Entscheidung über die Anzeige zunächst prüfen, ob es sich um einen Headless-Browser, WebDriver, bestimmte Bildschirmabmessungen oder eine Canvas-Darstellung handelt
In unserem Datensatz mit über 50.000 gescannten Websites beträgt die Anzahl der Domains, die diese Anzeichen aufwiesen und sich als legitim herausstellten, Null. Nicht „selten“ – sondern gar nicht. Wir sind noch nie auf eine einzige seriöse Website gestoßen, die nicht zielgerichtete Besucher auf die Domain eines anderen Unternehmens umleiten musste oder die Scannern einen Blog über Kryptowährungen anzeigte, während Besuchern aus bestimmten IP-Bereichen ein Anmeldeformular angezeigt wurde.
Cloaking ist ein binäres Signal. Wenn eine Domain verschiedenen Besuchern mithilfe der oben beschriebenen Mechanismen unterschiedliche Inhalte anzeigt, wird sie markiert. Wenn ein Betreiber der Ansicht ist, dass es sich um einen Fehlalarm handelt, wird unser Berufungsverfahren genau zu diesem Zweck eingerichtet wurde. Bislang wurde noch kein Einspruch gegen eine Markierung wegen Cloaking erfolgreich durchgesetzt.
Das Registrar-Problem
Cloaking führt zu einem Problem bei der Meldung von Missbrauch. Wenn wir eine cloaked Domain bei einem Registrar melden, ruft das Missbrauchsteam des Registrars die URL auf und sieht … eine saubere Seite. Einen Blogbeitrag. Eine Weiterleitung zu coinbase.com. Aus ihrer Sicht gibt es keinen Anlass zum Handeln.
Genau dieses Szenario hat sich bei uns abgespielt Untersuchung zu NiceNIC und unser Untersuchung im Fall „NameSilo“. In beiden Fällen überprüften die Registrare die gemeldeten Domains, stellten fest, dass die Inhalte unbedenklich waren, und schlossen den Fall entweder ab oder setzten sich aktiv für den Domainbetreiber ein.
Das Problem ist systemisch:
- Teams zur Bekämpfung von Missbrauch bei Registrierstellen wenden dieselben Scan-Methoden an wie Antiviren-Anbieter — sie rufen die URL über IP-Adressen des Rechenzentrums mit Standard-Browsern auf. Cloaking macht dies jedes Mal zunichte.
- Kein Registrar hat in die Erkennung von Cloaking investiert — Die Technologie zur Erkennung der bedingten Bereitstellung von Inhalten existiert (wir haben sie entwickelt), aber kein Registrar hat sie implementiert.
- Das Missbrauchsbekämpfungssystem der ICANN berücksichtigt Cloaking nicht — Bei Missbrauchsmeldungen sind Nachweise für schädliche Inhalte erforderlich. Wenn die schädlichen Inhalte nur den Opfern angezeigt werden, wird der Registrierungsstelle diese im Rahmen ihres eigenen Überprüfungsprozesses niemals auffallen.
Wir haben dieses Muster ausführlich dokumentiert. Unser Bericht Wenn Meldungen über Missbrauch ins Leere laufen erläutert, warum Registrare bei Cloaking-Domains systematisch untätig bleiben, da ihre Überprüfungsmethoden genau das sind, was Cloaking eigentlich umgehen soll.
Aus diesem Grund fungiert PhishDestroy als eigenständige Ebene. Wir verlassen uns nicht darauf, die URL von einer einzigen IP-Adresse aus aufzurufen und zu prüfen, was dort angezeigt wird. Wir analysieren Weiterleitungsketten, TDS-Fingerabdrücke, JavaScript-Verhalten, DNS-Verlaufsdaten, Zertifikatstransparenzprotokolle und zeitliche Muster über Tausende von Domains hinweg. Wenn wir eine Domain markieren, haben wir bereits berücksichtigt, dass die Domain für jeden, der sie auf die naheliegende Weise überprüft, harmlos erscheint.
Zusammenfassung: Cloaking-Techniken und deren Erkennung
| Technik | Was Scanner sehen | Was die Opfer sehen | Nachweismethode |
|---|---|---|---|
| IP-basierte Filterung | Leere Seite / Weiterleitung | Phishing-Seite | Multi-IP-Scan, Vergleich von Residential-Proxys |
| UA-basierte Filterung | Weiße Seite / 403 | Phishing-Seite | UA-Rotation, Vergleich zwischen Headless- und echtem Browser |
| Standortbasierte Filterung | Allgemeiner Inhalt | Lokalisiertes Phishing | Proxy-Scan für mehrere Regionen |
| Referrer-Filterung | Weiße Seite | Phishing (über Werbung/E-Mail) | Fälschung der Referrer-Adresse, Simulation von Anzeigenklicks |
| JS-Fingerprinting | Leere Seite (Bot erkannt) | Phishing (auf einem echten Gerät) | Statische Analyse von JavaScript, Entschleierung |
| Zeitabhängige Regeln | Reinigung (außerhalb der Öffnungszeiten) | Phishing (während der Geschäftszeiten) | Zeitliche Überprüfung, zeitlich abgestimmte Kontrollen |
| Cookie-/Sitzungs-Gating | Sauber (erster Besuch) | Phishing (Wiederholungsbesuch mit Cookie) | Analyse von Sitzungen mit mehreren Besuchen, Cookie-Wiedergabe |
| TDS (Keitaro/Binom) | Leere Seite oder Weiterleitung | Weiterleitung zu einer Phishing-Seite | Keitaro-Erkennungsprogramm, Analyse von Headern und Weiterleitungen |
| Weiterleitung zur offiziellen Website | 302 → legitime Website | Phishing-Seite | Analyse der Weiterleitungsziele, Überprüfung des Domainzwecks |
Fazit
Cloaking ist keine Grauzone. Es ist die die wirksamste Ausweichtechnik im modernen Phishing, und jede Komponente des Phishing-Ökosystems – von Google Ads über E-Mail-Gateways bis hin zu den Teams für den Missbrauch von Domain-Registraren – versagt derzeit bei der Bekämpfung dieses Problems.
Wenn PhishDestroy eine Domain wegen Cloaking markiert, handelt es sich dabei nicht um eine Vermutung. Wir dokumentieren das Vorhandensein einer böswilligen Infrastruktur, die nur einem einzigen Zweck dient: verschiedenen Besuchern unterschiedliche Inhalte anzuzeigen. Bei über 50.000 Scans liegt die Falsch-Positiv-Rate für dieses Signal bei null.
Falls Ihre Domain markiert wurde:
- Wenn Sie ein seriöser Betreiber sind und der Meinung sind, dass es sich um einen Fehlalarm handelt, Einspruch einlegen. Wir prüfen jede einzelne.
- Falls Sie eine Cloaking-Infrastruktur betreiben, wissen wir bereits davon. Die leere Seite, die Sie unserem Scanner angezeigt haben, ist nicht das, was Ihre Opfer sehen. Und wir haben die Beweise dafür.
Eine leere Seite ist kein Schutz. Sie ist ein Geständnis. Wenn Ihre Website unterschiedlichen Besuchern unterschiedliche Inhalte anzeigen muss, haben Sie die Frage, ob sie bösartig ist, bereits beantwortet.
Jede getarnte Domain wird gesperrt. Es gibt keine Ausnahmen. Bislang war noch kein Einspruch erfolgreich. Denn bei 50.000 Scans haben wir uns bei diesem Signal noch nie geirrt.
Verwandte Forschungsergebnisse und Ressourcen
Keitaro TDS: 1.500 belichtete Platten
Wie wir 1.565 Keitaro-Knoten kartiert haben, die weltweit Phishing-Infrastrukturen betreiben.
Keitaro-Erkennungsprogramm
Überprüfen Sie beliebige Domains auf Keitaro-TDS-Fingerabdrücke, Weiterleitungsketten und Cloaking-Signaturen.
BUYTRX: 55 Domains, Finanzierung durch Google Ads
Ein Wallet-Drainer-Netzwerk, das getarnte White-Pages nutzt, um die Überprüfung durch Google Ads zu bestehen.
Wenn Meldungen über Missbrauch ins Leere laufen
Warum Teams zur Bekämpfung von Missbrauch bei Registrierstellen nicht gegen getarnte Domains vorgehen und was sich ändern muss.
Fazit zu NiceNIC
ICANN reicht Klage gegen NiceNIC wegen systematischer Untätigkeit bei der Bearbeitung von Missbrauchsmeldungen ein.
Untersuchung im Fall „NameSilo“
Wie NameSilo einen Krypto-Dieb, der 2 Millionen Dollar erbeutet hatte, verteidigte und eine Ausrede erfand.
Dieser Artikel basiert auf unseren praktischen Erfahrungen, die wir beim Scannen von über 50.000 Domains, bei der Untersuchung aktiver Phishing-Infrastrukturen und bei der Einreichung von Missbrauchsmeldungen bei Registrierstellen und der ICANN gesammelt haben. Alle beschriebenen Techniken sind mit Belegen dokumentiert. Zu keinem Zeitpunkt unserer Untersuchungen wurde unbefugter Zugriff erlangt.
