समाचार पर वापस
जांच रिपोर्ट

हम "व्हाइट पेजेज़" और आधिकारिक साइटों पर रीडायरेक्ट क्यों प्रतिबंधित करते हैं: क्लोकिंग की समस्या की व्याख्या

क्लोकिंग, व्हाइट पेज और टीडीएस रीडायरेक्ट्स आधुनिक फ़िशिंग इंफ्रास्ट्रक्चर की रीढ़ हैं। इनका उपयोग करने वाली हर साइट को प्रतिबंधित कर दिया जाता है। यहाँ बताया गया है कि क्यों — और जब हम पर्दे के पीछे झाँकते हैं तो हमें क्या मिलता है।

मार्च 29, 2026 फिशडिस्ट्रॉय रिसर्च ~12 मिनट में पढ़ें
फ़िशिंग इंफ्रास्ट्रक्चर में क्लोकिंग और व्हाइट पेज — तकनीकी अवलोकन
आधुनिक फ़िशिंग अवसंरचना हर स्वचालित पहचान की परत से बचने के लिए क्लोकिंग का उपयोग कैसे करती है।
50,000+
स्कैन की गई साइटें
1,565
केइतारो पैनल
0
वैध उपयोग
55+
BUYTRX डोमेन्स
100+
एवी इंजन

वह सवाल जो हमसे बार-बार पूछा जाता है

हर हफ्ते, हमें वही अपील मिलती है: आपने मेरे डोमेन को चिह्नित किया, लेकिन जब मैं इसे जांचता हूँ, तो यह बस आधिकारिक वेबसाइट पर रीडायरेक्ट कर देता है। यहाँ कुछ भी दुर्भावनापूर्ण नहीं है।

या एक भिन्न रूप: यह पेज सिर्फ क्रिप्टोकरेंसी के बारे में एक ब्लॉग पोस्ट है। यह फिशिंग नहीं है।

हम समझते हैं कि यह भ्रमित क्यों कर रहा है। यदि आप किसी ऐसे डोमेन पर जाते हैं जिसे चिह्नित किया गया है और आपको एक पूरी तरह सामान्य पृष्ठ दिखता है — या एक वैध साइट पर स्वच्छ रीडायरेक्शन — तो यह मान लेना स्वाभाविक है कि वह फ्लैग गलत है। लेकिन वह स्वच्छ पृष्ठ हमारी पहचान प्रणाली में कोई बग नहीं है। यह हमला है।

यह लेख क्लोकिंग के पीछे की तकनीक, "व्हाइट पेजेज़" के अस्तित्व का कारण, Keitaro जैसे ट्रैफ़िक वितरण सिस्टम (TDS) द्वारा पीड़ितों को कैसे रूट किया जाता है, और PhishDestroy इन सभी पैटर्न को बिना किसी अपवाद के पुष्टि किए गए दुर्भावनापूर्ण इन्फ्रास्ट्रक्चर के रूप में क्यों मानता है, समझाता है।

यह क्यों मायने रखता है

यदि आप इसे इसलिए पढ़ रहे हैं क्योंकि आपका डोमेन चिह्नित किया गया था और आपको लगता है कि यह एक गलती थी, तो हम आपको अंत तक पढ़ने के लिए प्रोत्साहित करते हैं। हम एक भी बनाए रखते हैं अपील प्रक्रिया वैध झूठी सकारात्मकताओं के लिए। लेकिन हमारे अनुभव में, क्लोकिंग व्यवहार प्रदर्शित करने वाले डोमेन 100% समय दुर्भावनापूर्ण होते हैं।

एंटीवायरस सिस्टम ने खेल कैसे बदला

एक दशक पहले, फ़िशिंग सरल थी। एक हमलावर एक डोमेन पंजीकृत करता, एक नकली लॉगिन पेज बनाता, और लिंक पीड़ितों को भेजता। सुरक्षा विक्रेता अंततः उस URL को क्रॉल करते, फ़िशिंग पेज को देखते, और इसे ब्लॉकलिस्ट में जोड़ देते। वह डोमेन घंटों या दिनों में निष्क्रिय हो जाता।

फिर उद्योग बेहतर हो गया। Google Safe Browsing, Microsoft SmartScreen और VirusTotal जैसे प्लेटफ़ॉर्म पर 100 से अधिक एंटीवायरस इंजन लगभग वास्तविक समय में URL स्कैन करने लगे। ब्राउज़र-स्तर की चेतावनियों ने क्लिक-थ्रू दरों को नाटकीय रूप से कम कर दिया। होस्टिंग प्रदाताओं ने स्वचालित हटाने की प्रक्रियाएँ शुरू कर दीं। एक फ़िशिंग पेज के लाइव होने और ब्लॉक होने के बीच का समय दिनों से घटकर मिनटों में आ गया।

फ़िशिंग ऑपरेटरों के सामने एक समस्या थी: उनके पेज तैनात होते ही पकड़े जा रहे थे। उन्हें एक ऐसा तरीका चाहिए था जिससे वे फ़िशिंग सामग्री असली पीड़ितों को दिखा सकें, जबकि उन्हें पकड़ने की कोशिश कर रहे सभी स्वचालित सिस्टमों के लिए वे पूरी तरह से हानिरहित दिखें।

उत्तर था छिपाव.

एंटीवायरस पहचान बनाम फ़िशिंग बचाव का विकास — तकनीकी इन्फोग्राफ़िक
हथियार की दौड़: जैसे ही AV डिटेक्शन के परिणाम आने में दिनों से मिनटों तक का समय लगने लगा, फ़िशिंग ऑपरेटरों ने स्कैनर्स और वास्तविक पीड़ितों को अलग-अलग सामग्री दिखाने वाले क्लोकिंग इंफ्रास्ट्रक्चर के साथ प्रतिक्रिया दी।
मूल समस्या

आधुनिक फ़िशिंग पकड़ी नहीं जाती क्योंकि फ़िशिंग पेज का पता लगाना मुश्किल होता है। यह इसलिए बच निकलती है क्योंकि स्कैनर को फ़िशिंग पेज बिल्कुल भी नहीं दिखता।. स्कैनर को एक ब्लॉग पोस्ट, एक रीडायरेक्ट या एक खाली पेज दिखाई देता है। पीड़ित — जो एक विशिष्ट देश से, मोबाइल डिवाइस पर, एक पेड विज्ञापन के माध्यम से आ रहा है — क्रेडेंशियल हार्वेस्टर देखता है।

क्लोकिंग वास्तव में क्या है

क्लोकिंग उस प्रथा को कहते हैं जिसमें विभिन्न आगंतुकों को उनकी पहचान के आधार पर अलग-अलग सामग्री परोसी जाती है। फ़िशिंग के संदर्भ में इसका एक ही मतलब होता है: सुरक्षा स्कैनर एक हानिरहित पेज देखते हैं, और असली पीड़ित फिशिंग पेज देखते हैं।.

फ़िल्टरिंग कई स्तरों पर हो सकती है:

  • आईपी प्रतिष्ठा — ज्ञात डेटा सेंटर IPs, VPN रेंज, और सुरक्षा विक्रेता IP ब्लॉकों को क्लीन संस्करण मिलता है। रेजिडेंशियल IPs को फ़िशिंग पेज मिलता है।
  • यूज़र-एजेंट स्ट्रिंग्स — हेडलेस ब्राउज़र, ज्ञात क्रॉलर (Googlebot, bingbot, Screaming Frog), और सुरक्षा स्कैनर की पहचान की जाती है और उन्हें फ़िल्टर कर दिया जाता है।
  • भौगोलिक स्थिति — फ़िशिंग पेज केवल लक्षित देशों के आगंतुकों को ही दिखाया जाता है। बाकी सभी को सफेद पेज दिखता है।
  • रेफरर हेडर — केवल विशिष्ट स्रोतों (एक Google विज्ञापन, एक फ़िशिंग ईमेल लिंक, एक सोशल मीडिया पोस्ट) से आने वाले आगंतुक ही वास्तविक सामग्री देख पाते हैं।
  • डिवाइस फिंगरप्रिंटिंग — जावास्क्रिप्ट स्क्रीन रिज़ॉल्यूशन, इंस्टॉल किए गए फ़ॉन्ट्स, वेबजीएल रेंडरर, बैटरी एपीआई, और अन्य संकेतों की जाँच करके असली डिवाइसों और एमुलेटरों में अंतर करता है।
  • समय-आधारित नियम — फ़िशिंग पेज केवल विशिष्ट घंटों के दौरान सक्रिय रहता है (जैसे, लक्ष्य समय क्षेत्र में व्यावसायिक घंटे), और उन समयों के बाहर यह स्वतः सफेद पेज पर वापस चला जाता है।
  • कुकी/सत्र ट्रैकिंग — पहली बार आने पर सफेद पृष्ठ दिखता है। विज्ञापन क्लिक द्वारा सेट की गई विशिष्ट कुकी वाले लौटने वाले आगंतुक फिशिंग पृष्ठ देखते हैं।
क्लोकिंग अवसंरचना संचालित करने वाले तीन खतरे पैदा करने वाले — वैचारिक चित्रण
क्लोकिंग इंफ्रास्ट्रक्चर कई परतों पर आगंतुकों को फ़िल्टर करता है। जब तक कोई असली शिकार फ़िशिंग पेज तक पहुँचता है, तब तक हर स्वचालित रक्षा प्रणाली को पहले ही एक साफ-सुथरा छलावा दिखा दिया गया होता है।

एक परिष्कृत छलावरण सेटअप इन सभी को एक साथ जोड़ता है। परिणाम एक ऐसा डोमेन है जो इंटरनेट पर हर स्कैनर को पूरी तरह से स्वच्छ दिखता है, जबकि यह लक्षित पीड़ितों से सक्रिय रूप से प्रमाण-पत्र चुराता है।

खोज में कमी

जब VirusTotal एक छिपाया गया URL स्कैन करता है, तो यह सफेद पेज देखता है। परिणाम: 0/93 पता लगावटें. Google Safe Browsing इसे क्रॉल करता है, एक ब्लॉग पोस्ट देखता है। परिणाम: कोई चेतावनी नहीं. पीड़ित Google विज्ञापन से अपने फोन पर उसी URL पर क्लिक करता है: वे एक नकली मेटामास्क लॉगिन देखते हैंयह कोई सैद्धांतिक समस्या नहीं है — यह आधुनिक फ़िशिंग के लिए मानक संचालन मॉडल है।

धोखे के पीछे के उपकरण

क्लोकिंग तत्काल तैयार नहीं की जाती है। यह एक विशेष वाणिज्यिक सॉफ़्टवेयर पर चलती है जिसे कहा जाता है यातायात वितरण प्रणालियाँ (टीडीएस)फिशिंग अभियानों में सबसे अधिक उपयोग किया जाने वाला है केइतारो.

Keitaro एक वैध एड-टेक उत्पाद है जिसे एफिलिएट मार्केटर्स के लिए विज़िटर की विशेषताओं के आधार पर ट्रैफ़िक रूट करने के लिए डिज़ाइन किया गया है। यह बॉक्स-आउट ऑफ़ सभी फ़िल्टरिंग मानदंडों — आईपी रेंज, भू-स्थान, डिवाइस, रेफ़रर, यूज़र-एजेंट — का समर्थन करता है। फ़िशिंग ऑपरेटर इसे बस स्कैनर को व्हाइट पेज पर और पीड़ितों को फ़िशिंग पेज पर रूट करने के लिए कॉन्फ़िगर करते हैं।

हमारी जांच, प्रकाशित हुई केइतारो टीडीएस: 1,500 पैनल उजागर, पहचाना गया १,५६५ सक्रिय केइतारो पैनल फ़िशिंग इंफ्रास्ट्रक्चर की सेवा कर रहा है। 1,565 फ़िशिंग पेज नहीं — 1,565 नियंत्रण पैनल, प्रत्येक एक साथ दर्जनों से लेकर सैकड़ों फ़िशिंग अभियानों का प्रबंधन कर रहा है।

फ़िशिंग ट्रैफ़िक वितरण के लिए उपयोग किया जाने वाला केइतारो टीडीएस पैनल अवसंरचना
Keitaro TDS: एक वाणिज्यिक ट्रैफ़िक वितरण प्रणाली जिसे फ़िशिंग क्लोकिंग की रीढ़ के रूप में पुनः प्रयोजित किया गया है। 1,565 से अधिक पैनल पहचाने और दस्तावेजीकृत किए गए।

हम जिन अन्य टीडीएस प्लेटफ़ॉर्म का सामना करते हैं, उनमें शामिल हैं:

  • बिनोम — सीआईएस-क्षेत्र के संचालन में लोकप्रिय स्व-होस्टेड ट्रैकर
  • बीमॉब — आईपी फ़िल्टरिंग और बॉट डिटेक्शन के साथ क्लाउड-आधारित ट्रैकर
  • कस्टम PHP राउटर — MaxMind GeoIP और आईपी ब्लॉकलिस्ट का उपयोग करके घर पर तैयार स्क्रिप्ट्स
  • क्लाउडफ्लेयर वर्कर्स — एज-आधारित राउटिंग जो अनुरोध मूल सर्वर तक पहुँचने से पहले ही विज़िटर की विशेषताओं का मूल्यांकन करती है।

साझा तत्व: ये सभी अलग-अलग आगंतुकों को अलग-अलग सामग्री दिखाने के लिए मौजूद हैं। एफिलिएट मार्केटिंग की दुनिया में इसे "ट्रैफ़िक ऑप्टिमाइज़ेशन" कहा जाता है। फ़िशिंग में इसे कहा जाता है टालमटोल.

खोज उपकरण उपलब्ध

हमने बनाया केइतारो डिटेक्शन टूल किसी भी डोमेन पर Keitaro TDS फिंगरप्रिंट्स की पहचान करने के लिए। यह ज्ञात पैनल पथों, प्रतिक्रिया हेडर पैटर्न, रीडायरेक्ट चेन और Keitaro इंस्टॉलेशन से जुड़े जावास्क्रिप्ट सिग्नेचर की जाँच करता है।

"आधिकारिक वेबसाइट पुनर्निर्देश" परिदृश्य

हम जिन सबसे आम छलावा पैटर्न का सामना करते हैं, उनमें से एक ऐसा डोमेन है जो सीधे एक आधिकारिक वेबसाइट पर रीडायरेक्ट कर देता है। आकर्षण हमेशा एक जैसा दिखता है: खुद देखिए — यह सीधे coinbase.com पर ही जाता है। कोई फिशिंग नहीं है।

यहाँ वास्तव में जो हो रहा है वह यह है:

स्कैनर URL पर जाता है
टीडीएस आईपी/यूए/जियो की जाँच करता है
302 → कॉइनबेस.कॉम
स्कैनर: "साफ़"
पीड़ित विज्ञापन पर क्लिक करता है।
टीडीएस आईपी/यूए/जियो की जाँच करता है
नकली कॉइनबेस लॉगिन
प्रमाण-पत्र चोरी हुए

आधिकारिक साइट पर रीडायरेक्ट होना इस बात का संकेत नहीं है कि डोमेन सुरक्षित है। यह स्वयं छुपाने की तंत्र है। टीडीएस ने निर्धारित किया कि आगंतुक एक स्कैनर है, और सबसे सुरक्षित प्रतिक्रिया — वह जो सबसे अधिक संभावना रखती है कि स्कैन स्वच्छ हो — वास्तविक वेबसाइट पर पुनर्निर्देशित करना है।

यहाँ सर्वर-साइड लॉजिक का एक सरलीकृत उदाहरण है:

// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];

function routeVisitor(req) {
  const ip = req.headers['cf-connecting-ip'];
  const ua = req.headers['user-agent'];
  const geo = req.headers['cf-ipcountry'];

  // If scanner/bot detected: redirect to official site
  if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
    return Response.redirect('https://www.coinbase.com', 302);
  }

  // If not in target geography: show white page
  if (!TARGET_GEO.includes(geo)) {
    return renderWhitePage(); // Innocent blog post
  }

  // Real victim from target country: show phishing page
  return renderPhishingPage(); // Credential harvester
}
मुख्य अंतर्दृष्टि

कोई भी वैध वेबसाइट आगंतुकों को किसी अन्य कंपनी के डोमेन पर रीडायरेक्ट नहीं करती। यदि crypto-wallet-app[.]com पर पुनर्निर्देशित करता है coinbase.com, उस डोमेन का अस्तित्व में रहने का कोई कारण नहीं है। एक असली Coinbase पेज होस्ट किया जाएगा coinbase.com. रीडायरेक्ट ही संकेत है।

सफेद पृष्ठ समस्या

"व्हाइट पेज" वह छलावा सामग्री है जिसे एक छद्म फ़िशिंग डोमेन स्कैनर्स और गैर-लक्षित आगंतुकों को दिखाता है। नाम के बावजूद, यह शायद ही कभी एक खाली सफेद पृष्ठ होता है। आधुनिक व्हाइट पेज हैं पूर्ण रूप से कार्यात्मक वेबसाइटें वैध दिखने के लिए डिज़ाइन किया गया:

  • क्रिप्टोकरेंसी, वित्त, या प्रौद्योगिकी के बारे में ब्लॉग पोस्ट
  • सामान्य SaaS उपकरणों के लिए उत्पाद लैंडिंग पेज
  • वैध प्रकाशनों से स्क्रैप किए गए समाचार लेख
  • सामान्य "जल्द आ रहा है" संदेश के साथ पार्क किए गए डोमेन पृष्ठ
  • खोज परिणामों में रैंक करने के लिए डिज़ाइन की गई SEO-अनुकूलित सामग्री

यह अंतिम बिंदु अत्यंत महत्वपूर्ण है। सफेद पन्ने केवल टालमटोल के उपकरण नहीं हैं — वे हैं एसईओ हथियार. एक फ़िशिंग डोमेन पर उच्च-गुणवत्ता वाली सामग्री होस्ट करके, ऑपरेटर एक साथ दो लक्ष्य प्राप्त करते हैं: वे पता लगाए जाने से बचते हैं और वे डोमेन अथॉरिटी बनाते हैं जो उनके फ़िशिंग लिंक को खोज परिणामों में उच्च रैंक दिलाती है।

3-चरणीय एसईओ जहरिकरण हमला

यह एक व्हाइट-पेज-संचालित फ़िशिंग अभियान का पूरा जीवनचक्र है:

चरण 1
प्राधिकरण बनाएँ
चरण 2
रैंक और सूचकांक
चरण 3
फ़िशिंग सक्रिय करें
चरण 1: प्राधिकरण निर्माण (सप्ताह 1–4)
डोमेन पंजीकृत करें। SEO-अनुकूलित सामग्री (ब्लॉग पोस्ट, लेख) के साथ व्हाइट पेज तैनात करें। बैकलिंक बनाएँ। डोमेन पुराना होता है और प्राधिकरण प्राप्त करता है। सभी स्कैनर एक स्वच्छ सामग्री वाली साइट देखते हैं। Google इसे बिना चेतावनियों के इंडेक्स करता है।
चरण 2: रैंक और इंडेक्स (सप्ताह 4–8)
डोमेन लक्षित कीवर्ड ("MetaMask वॉलेट कनेक्ट करें," "Coinbase लॉगिन," "क्रिप्टो एयरड्रॉप") के लिए रैंकिंग शुरू करता है। सफेद पृष्ठ की सामग्री परोसना जारी रहता है। ऑर्गेनिक ट्रैफ़िक शुरू होता है। सभी स्कोरिंग सिस्टम में डोमेन की प्रतिष्ठा स्थापित हो जाती है।
चरण 3: फ़िशिंग सक्रिय करें (सप्ताह 8+)
टीडीएस नियम उलट दिए गए हैं। पीड़ितों की प्रोफ़ाइल (रेज़िडेंशियल आईपी, लक्षित देश, मोबाइल डिवाइस) से मेल खाने वाले आगंतुक अब सफेद पेज के बजाय फ़िशिंग पेज देखते हैं। स्कैनर अभी भी सफेद पेज ही देखते हैं। डोमेन की बनी-बनाई प्रतिष्ठा के कारण ब्राउज़र चेतावनियाँ सक्रिय होने में धीमी होती हैं। खोज परिणामों या विज्ञापनों पर क्लिक करने वाले पीड़ित उच्च अधिकार स्कोर वाले एक भरोसेमंद दिखने वाले डोमेन पर पहुँचते हैं।
व्हाइट पेज SEO पॉइजनिंग Pipeline — फ़िशिंग डोमेन सक्रिय होने से पहले अधिकार बनाता है
व्हाइट पेज निष्क्रिय टालमटोल नहीं हैं। ये सक्रिय SEO हथियार हैं जो डोमेन अथॉरिटी का निर्माण करते हैं, खोज रैंकिंग हासिल करते हैं, और फिर उस प्रतिष्ठा का इस्तेमाल करके ऑर्गेनिक खोज परिणामों के माध्यम से पीड़ितों तक फ़िशिंग पहुँचाते हैं।

यही कारण है कि हम चरण 1 में डोमेन को चिह्नित करते हैं। जब तक चरण 3 सक्रिय होता है, तब तक क्षति पहले ही हो चुकी होती है। फ़िशिंग पेज के दिखने का इंतज़ार करने का मतलब है पीड़ितों के अपने क्रेडेंशियल और अपना पैसा खोने का इंतज़ार करना।

सक्रिय ट्रैफ़िक परिदृश्य: विज्ञापन और ईमेल अभियान

सभी छद्म-भेष वाली फ़िशिंग जैविक खोज पर निर्भर नहीं करती। दो सबसे आक्रामक ट्रैफ़िक अधिग्रहण विधियाँ हैं भुगतान विज्ञापन और ईमेल अभियान, ये दोनों प्लेटफ़ॉर्म समीक्षा को बाईपास करने के लिए क्लोकिंग का फायदा उठाते हैं।

गूगल विज्ञापन क्लोकिंग

हमारी जांच में BUYTRX ड्रेनर नेटवर्क दस्तावेजीकृत 55+ डोमेन Google Ads का उपयोग करके ट्रैफ़िक को वॉलेट ड्रेनर्स पर लाना। तंत्र:

  1. ऑपरेटर डोमेन को Google Ads समीक्षा के लिए सबमिट करता है। Google का क्रॉलर सफेद पेज (ब्लॉकचेन तकनीक के बारे में एक ब्लॉग) देखता है। विज्ञापन स्वीकृत।
  2. विज्ञापन चल रहे हैं, जो "कनेक्ट वॉलेट" और "क्रिप्टो एयरड्रॉप" कीवर्ड्स को लक्षित कर रहे हैं।
  3. Google उपयोगकर्ता विज्ञापन पर क्लिक करता है। TDS Google Ads रेफरर से आने वाले एक आवासीय IP को देखता है। पर्स खाली करने वाला परोसा गया।
  4. पीड़ित अपना वॉलेट कनेक्ट करता है। पूर्व-हस्ताक्षरित लेनदेन के माध्यम से संपत्तियाँ कुछ ही सेकंड में निकाल ली जाती हैं।

Google की विज्ञापन समीक्षा प्रणाली — हर स्वचालित स्कैनर की तरह — केवल सफेद पृष्ठ ही देखती है। विज्ञापन चलते रहते हैं, और ऑपरेटर हर पीड़ित के लिए Google को भुगतान करता रहता है।

ईमेल अभियान क्लोकिंग

ईमेल गेटवे (Microsoft Defender for Office 365, Proofpoint, Mimecast) डिलीवरी से पहले ईमेल में मौजूद लिंक को स्कैन करते हैं। क्लोकिंग इसे इसी तरह संभालता है:

  1. फ़िशिंग ईमेल में छिपे डोमेन का लिंक है।
  2. ईमेल गेटवे URL को स्कैन करता है। सर्वर-साइड TDS गेटवे की IP रेंज को पहचानता है। व्हाइट पेज दिखाता है या आधिकारिक साइट पर रीडायरेक्ट करता है। ईमेल भेज दिया गया।
  3. प्रापक अपने मेल क्लाइंट से लिंक पर क्लिक करता है। आवासीय आईपी, सही रेफरर, लक्षित भौगोलिक क्षेत्र। फ़िशिंग पेज परोसा गया।
मापमान

केवल BUYTRX जांच में ही, Google Ads सक्रिय रूप से 55 से अधिक डोमेनों में वॉलेट ड्रेनर्स के वितरण को वित्तपोषित कर रहा था। प्रत्येक डोमेन Google की स्वचालित समीक्षा पास कर गया क्योंकि Google के क्रॉलर को सफेद पेज दिखाया गया था। यह कोई कानूनी छेद नहीं है — यह एक संरचनात्मक विफलता है कि विज्ञापन प्लेटफ़ॉर्म क्लोकिंग होने पर लैंडिंग पेजों को कैसे सत्यापित करते हैं।

यहाँ "दोष सिद्ध होने तक निर्दोष" क्यों लागू नहीं होता

कभी-कभी हम यह तर्क सुनते हैं कि क्लोकिंग इंफ्रास्ट्रक्चर के आधार पर किसी डोमेन को चिह्नित करना जल्दबाजी होगी — कि कार्रवाई करने से पहले हमें वास्तविक फ़िशिंग सामग्री के प्रकट होने का इंतज़ार करना चाहिए। यह तर्क क्लोकिंग का असल में क्या होता है, इसे समझने में चूकता है।

क्लोकिंग एक तटस्थ तकनीक नहीं है। यह प्रतिद्वंद्वी अवसंरचना विशेष रूप से पता लगाने को विफल करने के लिए डिज़ाइन किया गया। क्लोकिंग तैनात करने वाला एक डोमेन पहले ही अपनी मंशा घोषित कर चुका है: सुरक्षा प्रणालियों को एक बात दिखाना और पीड़ितों को दूसरी। यह कोई वैध उद्देश्य पूरा करने वाली कॉन्फ़िगरेशन नहीं है।

हम जिन 5 संकेतों की तलाश करते हैं

कोई भी डोमेन प्रदर्शित करता है कोई भी संयोजन इन संकेतों में से एक को दुर्भावनापूर्ण के रूप में चिह्नित किया गया है:

  1. सशर्त सामग्री परोसना — आईपी, यूए, जियो, रेफरर, या डिवाइस फिंगरप्रिंट के आधार पर अलग-अलग सामग्री
  2. टीडीएस फिंगरप्रिंट्स — कीटारो, बिनोम, बीमोब, या रिस्पॉन्स हेडर, रीडायरेक्ट चेन, या जावास्क्रिप्ट में कस्टम राउटर सिग्नेचर
  3. आधिकारिक साइटों पर पुनर्निर्देशित करें — किसी तीसरे पक्ष के वैध डोमेन (विशेष रूप से बैंकिंग, क्रिप्टो, या ईमेल प्रदाताओं) पर कोई रीडायरेक्ट
  4. असंबंधित सामग्री वाला सफेद पृष्ठ — ब्लॉग पोस्ट, समाचार लेख, या हाल ही में पंजीकृत डोमेन पर सामान्य सामग्री, जिसकी कोई स्थापित व्यावसायिक उपस्थिति नहीं है।
  5. एंटी-बॉट जावास्क्रिप्ट — यह तय करने से पहले कि क्या दिखाना है, हेडलेस ब्राउज़र, वेबड्राइवर, स्क्रीन के आयाम, या कैनवास रेंडरिंग की जाँच करने वाली स्क्रिप्ट्स की फिंगरप्रिंटिंग करना

हमारे 50,000 से अधिक स्कैन किए गए साइटों के डेटासेट में, इन संकेतों को प्रदर्शित करने वाले डोमेनों में से वैध पाए गए डोमेनों की संख्या है शून्य. "दुर्लभ" नहीं — शून्य। हमें अब तक एक भी वैध वेबसाइट नहीं मिली जिसे गैर-लक्षित आगंतुकों को किसी अन्य कंपनी के डोमेन पर रीडायरेक्ट करने या विशिष्ट आईपी रेंज से आने वाले आगंतुकों को लॉगिन फॉर्म दिखाते हुए स्कैनरों को क्रिप्टोकरेंसी के बारे में ब्लॉग दिखाने की आवश्यकता हो।

हमारी नीति

क्लोकिंग एक द्विआधारी संकेत है। यदि कोई डोमेन ऊपर वर्णित तंत्रों का उपयोग करके विभिन्न आगंतुकों को अलग-अलग सामग्री दिखाता है, तो उसे चिह्नित किया जाता है। यदि कोई ऑपरेटर मानता है कि यह एक झूठी सकारात्मक है, तो हमारा अपील प्रक्रिया यह ठीक इसी उद्देश्य के लिए मौजूद है। अब तक, किसी भी छुपाने से संबंधित झंडे के खिलाफ अपील सफल नहीं हुई है।

रजिस्ट्रार समस्या

क्लोकिंग दुरुपयोग रिपोर्टिंग के लिए एक बाद की समस्या पैदा करती है। जब हम किसी क्लोक्ड डोमेन की रिपोर्ट रजिस्ट्रार को करते हैं, तो रजिस्ट्रार की दुरुपयोग टीम उस URL पर जाती है और देखती है… एक साफ़ पेज। एक ब्लॉग पोस्ट। coinbase.com पर रीडायरेक्ट। उनके दृष्टिकोण से, कार्रवाई करने के लिए कुछ भी नहीं है।

यह बिल्कुल वही परिदृश्य है जो हमारे यहाँ घटा। नाइसएनआईसी जांच और हमारा नेमसाइलो जांचदोनों मामलों में, रजिस्ट्रारों ने रिपोर्ट किए गए डोमेन की जाँच की, स्वच्छ सामग्री देखी, और या तो मामला बंद कर दिया या डोमेन ऑपरेटर का सक्रिय रूप से बचाव किया।

समस्या प्रणालीगत है:

  • रजिस्ट्रार दुरुपयोग टीमें एवी विक्रेताओं की तरह ही स्कैनिंग विधियों का उपयोग करती हैं। — वे मानक ब्राउज़रों का उपयोग करके डेटा सेंटर आईपी पतों से URL पर जाते हैं। क्लोकिंग हर बार इसे विफल कर देती है।
  • किसी भी रजिस्ट्रार ने क्लोकिंग का पता लगाने में निवेश नहीं किया है। — सशर्त सामग्री परोसने का पता लगाने की तकनीक मौजूद है (हमने इसे बनाया है), लेकिन किसी भी रजिस्ट्रार ने इसे लागू नहीं किया है।
  • ICANN का दुरुपयोग ढांचा क्लोकिंग को ध्यान में नहीं रखता। — दुरुपयोग की रिपोर्टों के लिए हानिकारक सामग्री के प्रमाण की आवश्यकता होती है। यदि हानिकारक सामग्री केवल पीड़ितों को ही दिखाई जाती है, तो रजिस्ट्रार की अपनी सत्यापन प्रक्रिया इसे कभी नहीं ढूंढ पाएगी।
रजिस्ट्रार प्रतिक्रिया विफलता

हमने इस पैटर्न का व्यापक रूप से दस्तावेजीकरण किया है। हमारी रिपोर्ट जब दुर्व्यवहार की रिपोर्टों का कोई नतीजा नहीं निकलता विवरण देता है कि रजिस्ट्रार व्यवस्थित रूप से क्लोक्ड डोमेन पर कार्रवाई करने में विफल रहते हैं क्योंकि उनकी सत्यापन विधियाँ ठीक वही हैं जिन्हें हराने के लिए क्लोकिंग को डिज़ाइन किया गया है।

इसीलिए PhishDestroy एक स्वतंत्र परत के रूप में मौजूद है। हम किसी एक IP से URL पर जाने और यह देखने पर निर्भर नहीं करते कि वह क्या दिखाता है। हम रीडायरेक्ट चेन, TDS फिंगरप्रिंट, जावास्क्रिप्ट व्यवहार, DNS इतिहास, प्रमाणपत्र पारदर्शिता लॉग और हजारों डोमेनों में समयगत पैटर्न का विश्लेषण करते हैं। जब हम किसी डोमेन को फ्लैग करते हैं, तो हमने पहले ही यह ध्यान में रख लिया होता है कि सामान्य तरीके से जांच करने वाले किसी भी व्यक्ति को वह डोमेन साफ-सुथरा ही दिखेगा।

सारांश: छुपाने की तकनीकें और पता लगाना

तकनीकस्कैनर क्या देखते हैंपीड़ित क्या देखते हैंपहचान विधि
आईपी-आधारित फ़िल्टरिंगसफेद पृष्ठ / पुनर्निर्देशफ़िशिंग पेजमल्टी-आईपी स्कैनिंग, रेजिडेंशियल प्रॉक्सी की तुलना
यूए-आधारित फ़िल्टरिंगसफेद पृष्ठ / 403फ़िशिंग पेजयूए रोटेशन, हेडलेस बनाम वास्तविक ब्राउज़र की तुलना
भौगोलिक-आधारित फ़िल्टरिंगसामान्य सामग्रीस्थानीय फिशिंगबहु-क्षेत्र प्रॉक्सी स्कैनिंग
रेफरर फ़िल्टरिंगसफेद पृष्ठफ़िशिंग (विज्ञापन/ईमेल से)रिफरर स्पूफिंग, विज्ञापन क्लिक सिमुलेशन
जेएस फिंगरप्रिंटिंगसफेद पृष्ठ (बॉट का पता चला)फ़िशिंग (वास्तविक डिवाइस)जावास्क्रिप्ट स्थैतिक विश्लेषण, डीऑब्फस्केशन
समय-आधारित नियमसाफ़-सफ़ाई (अनियोजित समय में)फ़िशिंग (कारोबारी समय)कालानुक्रमिक स्कैनिंग, समय-क्षेत्र-अनुरूप जाँचें
कुकी/सत्र गेटिंगसाफ (पहली मुलाकात)फ़िशिंग (कुकी के साथ वापसी विज़िट)बहु-विज़िट सत्र विश्लेषण, कुकी पुन:प्रसारण
टीडीएस (केइतारो/बिनोम)सफेद पृष्ठ या पुनर्निर्देशफ़िशिंग के लिए भेजा गयाकेइतारो डिटेक्शन टूल, हेडर/रीडायरेक्ट विश्लेषण
आधिकारिक साइट पुनर्निर्देशन302 → वैध साइटफ़िशिंग पेजलक्ष्य विश्लेषण पुनर्निर्देशित करें, डोमेन उद्देश्य सत्यापन
क्लोकिंग का पता लगाने और फ़िशिंग अवसंरचना विश्लेषण का सारांश
पूरी तस्वीर: हर छुपाने की तकनीक का पता लगाने का तरीका होता है। चुनौती तकनीक में नहीं है — चुनौती यह है कि रजिस्ट्रार, विज्ञापन प्लेटफ़ॉर्म और ईमेल गेटवे उन्हें लागू करें।

निष्कर्ष

क्लोकिंग कोई धूसर क्षेत्र नहीं है। यह है। सबसे प्रभावी पलायन तकनीक आधुनिक फ़िशिंग में, और फ़िशिंग इकोसिस्टम का हर घटक — गूगल विज्ञापनों से लेकर ईमेल गेटवे और रजिस्ट्रार दुरुपयोग टीमों तक — वर्तमान में इसे संबोधित करने में विफल हो रहा है।

जब PhishDestroy किसी डोमेन को क्लोकिंग के लिए फ़्लैग करता है, तो हम कोई अनुमान नहीं लगा रहे होते। हम उस विरोधी इन्फ्रास्ट्रक्चर की मौजूदगी का दस्तावेजीकरण कर रहे होते हैं, जो एक ही उद्देश्य के लिए मौजूद है: अलग-अलग आगंतुकों को अलग-अलग सामग्री दिखाना। 50,000 से अधिक स्कैन में, इस संकेत के लिए फर्जी सकारात्मक दर शून्य है।

यदि आपका डोमेन फ़्लैग किया गया था:

  • यदि आप एक वैध ऑपरेटर हैं और आपको लगता है कि यह एक फर्जी पॉज़िटिव है, अपील जमा करेंहम हर एक की समीक्षा करते हैं।
  • अगर आप क्लोकिंग इंफ्रास्ट्रक्चर चला रहे हैं, तो हम पहले से ही जानते हैं। आपने हमारे स्कैनर को जो व्हाइट पेज दिखाया, वह आपके पीड़ितों को दिखाई देने वाला पेज नहीं है। और हमारे पास इसे साबित करने के लिए सबूत हैं।
सफेद पृष्ठ कोई रक्षा नहीं है। यह एक स्वीकारोक्ति है। यदि आपके डोमेन को विभिन्न आगंतुकों को अलग-अलग सामग्री दिखाने की आवश्यकता है, तो आपने पहले ही इस प्रश्न का उत्तर दे दिया है कि क्या यह दुर्भावनापूर्ण है।

हर छुपे हुए डोमेन को प्रतिबंधित कर दिया जाता है। कोई अपवाद नहीं। कोई अपील सफल नहीं हुई। क्योंकि 50,000 स्कैन में, इस संकेत के बारे में हम कभी गलत नहीं हुए।

संबंधित अनुसंधान एवं संसाधन

केइतारो टीडीएस: 1,500 पैनल उजागर

जांचटीडीएसछिपाव

हमने दुनिया भर में फ़िशिंग इंफ्रास्ट्रक्चर को शक्ति देने वाले 1,565 केइतारो पैनलों का नक्शा कैसे बनाया।

केइतारो डिटेक्शन टूल

उपकरणपहचानटीडीएस

किसी भी डोमेन को Keitaro TDS फिंगरप्रिंट्स, रीडायरेक्ट चेन और क्लोकिंग सिग्नेचर के लिए स्कैन करें।

BUYTRX: 55 डोमेन, गूगल विज्ञापन फंडिंग

जांचनिकासकगूगल विज्ञापन

क्लोक किए गए व्हाइट पेजों का उपयोग करके गूगल एड्स समीक्षा पास करने वाला एक वॉलेट ड्रेनर नेटवर्क।

जब दुर्व्यवहार की रिपोर्टों का कोई नतीजा नहीं निकलता

रिपोर्टपंजीयकआईसीएएनएन

क्लोक किए गए डोमेन पर रजिस्ट्रार दुरुपयोग टीमें कार्रवाई क्यों नहीं कर पातीं और क्या बदलने की जरूरत है।

नाइसएनआईसी फैसला

जांचपंजीयकआईसीएएनएन

दुरुपयोग रिपोर्टों पर कार्रवाई में प्रणालीगत विफलता के लिए नाइसएनआईसी के खिलाफ आईसीएएनएन द्वारा दायर शिकायत।

नेमसाइलो जांच

जांचनेमसाइलोमोनेरो

NameSilo ने कैसे 2 मिलियन डॉलर के क्रिप्टो चोर की रक्षा की और एक झूठी कहानी गढ़ी।

यह लेख हमारे 50,000 से अधिक डोमेनों को स्कैन करने, सक्रिय फ़िशिंग अवसंरचना की जांच करने, और रजिस्ट्रारों तथा ICANN के पास दुरुपयोग रिपोर्ट दर्ज करने के परिचालन अनुभव पर आधारित है। वर्णित सभी तकनीकों को साक्ष्यों के साथ प्रलेखित किया गया है। हमारे शोध के दौरान किसी भी समय कोई अनधिकृत पहुँच नहीं की गई।

इस जांच को साझा करें

एक्स / ट्विटर टेलीग्राम रेडिट लिंक्डइन

संबंधित जांचें

केइतारो टीडीएस: 1,500 पैनल उजागर, कोई वैध उपयोग नहीं
जांच
केइतारो टीडीएस: 1,500 पैनल उजागर, कोई वैध उपयोग नहीं
BUYTRX बेनकाब: 55 डोमेन और ट्रॉन अप्रूवल ड्रेनर
जांच
BUYTRX बेनकाब: 55 डोमेन और ट्रॉन अप्रूवल ड्रेनर
ठग बेनकाब: 4 घोटाला बैकएंड्स का विश्लेषण
जांच
ठग बेनकाब: 4 घोटाला बैकएंड्स का विश्लेषण