हम "व्हाइट पेजेज़" और आधिकारिक साइटों पर रीडायरेक्ट क्यों प्रतिबंधित करते हैं: क्लोकिंग की समस्या की व्याख्या
क्लोकिंग, व्हाइट पेज और टीडीएस रीडायरेक्ट्स आधुनिक फ़िशिंग इंफ्रास्ट्रक्चर की रीढ़ हैं। इनका उपयोग करने वाली हर साइट को प्रतिबंधित कर दिया जाता है। यहाँ बताया गया है कि क्यों — और जब हम पर्दे के पीछे झाँकते हैं तो हमें क्या मिलता है।

वह सवाल जो हमसे बार-बार पूछा जाता है
हर हफ्ते, हमें वही अपील मिलती है: आपने मेरे डोमेन को चिह्नित किया, लेकिन जब मैं इसे जांचता हूँ, तो यह बस आधिकारिक वेबसाइट पर रीडायरेक्ट कर देता है। यहाँ कुछ भी दुर्भावनापूर्ण नहीं है।
या एक भिन्न रूप: यह पेज सिर्फ क्रिप्टोकरेंसी के बारे में एक ब्लॉग पोस्ट है। यह फिशिंग नहीं है।
हम समझते हैं कि यह भ्रमित क्यों कर रहा है। यदि आप किसी ऐसे डोमेन पर जाते हैं जिसे चिह्नित किया गया है और आपको एक पूरी तरह सामान्य पृष्ठ दिखता है — या एक वैध साइट पर स्वच्छ रीडायरेक्शन — तो यह मान लेना स्वाभाविक है कि वह फ्लैग गलत है। लेकिन वह स्वच्छ पृष्ठ हमारी पहचान प्रणाली में कोई बग नहीं है। यह हमला है।
यह लेख क्लोकिंग के पीछे की तकनीक, "व्हाइट पेजेज़" के अस्तित्व का कारण, Keitaro जैसे ट्रैफ़िक वितरण सिस्टम (TDS) द्वारा पीड़ितों को कैसे रूट किया जाता है, और PhishDestroy इन सभी पैटर्न को बिना किसी अपवाद के पुष्टि किए गए दुर्भावनापूर्ण इन्फ्रास्ट्रक्चर के रूप में क्यों मानता है, समझाता है।
यदि आप इसे इसलिए पढ़ रहे हैं क्योंकि आपका डोमेन चिह्नित किया गया था और आपको लगता है कि यह एक गलती थी, तो हम आपको अंत तक पढ़ने के लिए प्रोत्साहित करते हैं। हम एक भी बनाए रखते हैं अपील प्रक्रिया वैध झूठी सकारात्मकताओं के लिए। लेकिन हमारे अनुभव में, क्लोकिंग व्यवहार प्रदर्शित करने वाले डोमेन 100% समय दुर्भावनापूर्ण होते हैं।
एंटीवायरस सिस्टम ने खेल कैसे बदला
एक दशक पहले, फ़िशिंग सरल थी। एक हमलावर एक डोमेन पंजीकृत करता, एक नकली लॉगिन पेज बनाता, और लिंक पीड़ितों को भेजता। सुरक्षा विक्रेता अंततः उस URL को क्रॉल करते, फ़िशिंग पेज को देखते, और इसे ब्लॉकलिस्ट में जोड़ देते। वह डोमेन घंटों या दिनों में निष्क्रिय हो जाता।
फिर उद्योग बेहतर हो गया। Google Safe Browsing, Microsoft SmartScreen और VirusTotal जैसे प्लेटफ़ॉर्म पर 100 से अधिक एंटीवायरस इंजन लगभग वास्तविक समय में URL स्कैन करने लगे। ब्राउज़र-स्तर की चेतावनियों ने क्लिक-थ्रू दरों को नाटकीय रूप से कम कर दिया। होस्टिंग प्रदाताओं ने स्वचालित हटाने की प्रक्रियाएँ शुरू कर दीं। एक फ़िशिंग पेज के लाइव होने और ब्लॉक होने के बीच का समय दिनों से घटकर मिनटों में आ गया।
फ़िशिंग ऑपरेटरों के सामने एक समस्या थी: उनके पेज तैनात होते ही पकड़े जा रहे थे। उन्हें एक ऐसा तरीका चाहिए था जिससे वे फ़िशिंग सामग्री असली पीड़ितों को दिखा सकें, जबकि उन्हें पकड़ने की कोशिश कर रहे सभी स्वचालित सिस्टमों के लिए वे पूरी तरह से हानिरहित दिखें।
उत्तर था छिपाव.

आधुनिक फ़िशिंग पकड़ी नहीं जाती क्योंकि फ़िशिंग पेज का पता लगाना मुश्किल होता है। यह इसलिए बच निकलती है क्योंकि स्कैनर को फ़िशिंग पेज बिल्कुल भी नहीं दिखता।. स्कैनर को एक ब्लॉग पोस्ट, एक रीडायरेक्ट या एक खाली पेज दिखाई देता है। पीड़ित — जो एक विशिष्ट देश से, मोबाइल डिवाइस पर, एक पेड विज्ञापन के माध्यम से आ रहा है — क्रेडेंशियल हार्वेस्टर देखता है।
क्लोकिंग वास्तव में क्या है
क्लोकिंग उस प्रथा को कहते हैं जिसमें विभिन्न आगंतुकों को उनकी पहचान के आधार पर अलग-अलग सामग्री परोसी जाती है। फ़िशिंग के संदर्भ में इसका एक ही मतलब होता है: सुरक्षा स्कैनर एक हानिरहित पेज देखते हैं, और असली पीड़ित फिशिंग पेज देखते हैं।.
फ़िल्टरिंग कई स्तरों पर हो सकती है:
- आईपी प्रतिष्ठा — ज्ञात डेटा सेंटर IPs, VPN रेंज, और सुरक्षा विक्रेता IP ब्लॉकों को क्लीन संस्करण मिलता है। रेजिडेंशियल IPs को फ़िशिंग पेज मिलता है।
- यूज़र-एजेंट स्ट्रिंग्स — हेडलेस ब्राउज़र, ज्ञात क्रॉलर (Googlebot, bingbot, Screaming Frog), और सुरक्षा स्कैनर की पहचान की जाती है और उन्हें फ़िल्टर कर दिया जाता है।
- भौगोलिक स्थिति — फ़िशिंग पेज केवल लक्षित देशों के आगंतुकों को ही दिखाया जाता है। बाकी सभी को सफेद पेज दिखता है।
- रेफरर हेडर — केवल विशिष्ट स्रोतों (एक Google विज्ञापन, एक फ़िशिंग ईमेल लिंक, एक सोशल मीडिया पोस्ट) से आने वाले आगंतुक ही वास्तविक सामग्री देख पाते हैं।
- डिवाइस फिंगरप्रिंटिंग — जावास्क्रिप्ट स्क्रीन रिज़ॉल्यूशन, इंस्टॉल किए गए फ़ॉन्ट्स, वेबजीएल रेंडरर, बैटरी एपीआई, और अन्य संकेतों की जाँच करके असली डिवाइसों और एमुलेटरों में अंतर करता है।
- समय-आधारित नियम — फ़िशिंग पेज केवल विशिष्ट घंटों के दौरान सक्रिय रहता है (जैसे, लक्ष्य समय क्षेत्र में व्यावसायिक घंटे), और उन समयों के बाहर यह स्वतः सफेद पेज पर वापस चला जाता है।
- कुकी/सत्र ट्रैकिंग — पहली बार आने पर सफेद पृष्ठ दिखता है। विज्ञापन क्लिक द्वारा सेट की गई विशिष्ट कुकी वाले लौटने वाले आगंतुक फिशिंग पृष्ठ देखते हैं।

एक परिष्कृत छलावरण सेटअप इन सभी को एक साथ जोड़ता है। परिणाम एक ऐसा डोमेन है जो इंटरनेट पर हर स्कैनर को पूरी तरह से स्वच्छ दिखता है, जबकि यह लक्षित पीड़ितों से सक्रिय रूप से प्रमाण-पत्र चुराता है।
जब VirusTotal एक छिपाया गया URL स्कैन करता है, तो यह सफेद पेज देखता है। परिणाम: 0/93 पता लगावटें. Google Safe Browsing इसे क्रॉल करता है, एक ब्लॉग पोस्ट देखता है। परिणाम: कोई चेतावनी नहीं. पीड़ित Google विज्ञापन से अपने फोन पर उसी URL पर क्लिक करता है: वे एक नकली मेटामास्क लॉगिन देखते हैंयह कोई सैद्धांतिक समस्या नहीं है — यह आधुनिक फ़िशिंग के लिए मानक संचालन मॉडल है।
धोखे के पीछे के उपकरण
क्लोकिंग तत्काल तैयार नहीं की जाती है। यह एक विशेष वाणिज्यिक सॉफ़्टवेयर पर चलती है जिसे कहा जाता है यातायात वितरण प्रणालियाँ (टीडीएस)फिशिंग अभियानों में सबसे अधिक उपयोग किया जाने वाला है केइतारो.
Keitaro एक वैध एड-टेक उत्पाद है जिसे एफिलिएट मार्केटर्स के लिए विज़िटर की विशेषताओं के आधार पर ट्रैफ़िक रूट करने के लिए डिज़ाइन किया गया है। यह बॉक्स-आउट ऑफ़ सभी फ़िल्टरिंग मानदंडों — आईपी रेंज, भू-स्थान, डिवाइस, रेफ़रर, यूज़र-एजेंट — का समर्थन करता है। फ़िशिंग ऑपरेटर इसे बस स्कैनर को व्हाइट पेज पर और पीड़ितों को फ़िशिंग पेज पर रूट करने के लिए कॉन्फ़िगर करते हैं।
हमारी जांच, प्रकाशित हुई केइतारो टीडीएस: 1,500 पैनल उजागर, पहचाना गया १,५६५ सक्रिय केइतारो पैनल फ़िशिंग इंफ्रास्ट्रक्चर की सेवा कर रहा है। 1,565 फ़िशिंग पेज नहीं — 1,565 नियंत्रण पैनल, प्रत्येक एक साथ दर्जनों से लेकर सैकड़ों फ़िशिंग अभियानों का प्रबंधन कर रहा है।

हम जिन अन्य टीडीएस प्लेटफ़ॉर्म का सामना करते हैं, उनमें शामिल हैं:
- बिनोम — सीआईएस-क्षेत्र के संचालन में लोकप्रिय स्व-होस्टेड ट्रैकर
- बीमॉब — आईपी फ़िल्टरिंग और बॉट डिटेक्शन के साथ क्लाउड-आधारित ट्रैकर
- कस्टम PHP राउटर — MaxMind GeoIP और आईपी ब्लॉकलिस्ट का उपयोग करके घर पर तैयार स्क्रिप्ट्स
- क्लाउडफ्लेयर वर्कर्स — एज-आधारित राउटिंग जो अनुरोध मूल सर्वर तक पहुँचने से पहले ही विज़िटर की विशेषताओं का मूल्यांकन करती है।
साझा तत्व: ये सभी अलग-अलग आगंतुकों को अलग-अलग सामग्री दिखाने के लिए मौजूद हैं। एफिलिएट मार्केटिंग की दुनिया में इसे "ट्रैफ़िक ऑप्टिमाइज़ेशन" कहा जाता है। फ़िशिंग में इसे कहा जाता है टालमटोल.
हमने बनाया केइतारो डिटेक्शन टूल किसी भी डोमेन पर Keitaro TDS फिंगरप्रिंट्स की पहचान करने के लिए। यह ज्ञात पैनल पथों, प्रतिक्रिया हेडर पैटर्न, रीडायरेक्ट चेन और Keitaro इंस्टॉलेशन से जुड़े जावास्क्रिप्ट सिग्नेचर की जाँच करता है।
"आधिकारिक वेबसाइट पुनर्निर्देश" परिदृश्य
हम जिन सबसे आम छलावा पैटर्न का सामना करते हैं, उनमें से एक ऐसा डोमेन है जो सीधे एक आधिकारिक वेबसाइट पर रीडायरेक्ट कर देता है। आकर्षण हमेशा एक जैसा दिखता है: खुद देखिए — यह सीधे coinbase.com पर ही जाता है। कोई फिशिंग नहीं है।
यहाँ वास्तव में जो हो रहा है वह यह है:
आधिकारिक साइट पर रीडायरेक्ट होना इस बात का संकेत नहीं है कि डोमेन सुरक्षित है। यह स्वयं छुपाने की तंत्र है। टीडीएस ने निर्धारित किया कि आगंतुक एक स्कैनर है, और सबसे सुरक्षित प्रतिक्रिया — वह जो सबसे अधिक संभावना रखती है कि स्कैन स्वच्छ हो — वास्तविक वेबसाइट पर पुनर्निर्देशित करना है।
यहाँ सर्वर-साइड लॉजिक का एक सरलीकृत उदाहरण है:
// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];
function routeVisitor(req) {
const ip = req.headers['cf-connecting-ip'];
const ua = req.headers['user-agent'];
const geo = req.headers['cf-ipcountry'];
// If scanner/bot detected: redirect to official site
if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
return Response.redirect('https://www.coinbase.com', 302);
}
// If not in target geography: show white page
if (!TARGET_GEO.includes(geo)) {
return renderWhitePage(); // Innocent blog post
}
// Real victim from target country: show phishing page
return renderPhishingPage(); // Credential harvester
} कोई भी वैध वेबसाइट आगंतुकों को किसी अन्य कंपनी के डोमेन पर रीडायरेक्ट नहीं करती। यदि crypto-wallet-app[.]com पर पुनर्निर्देशित करता है coinbase.com, उस डोमेन का अस्तित्व में रहने का कोई कारण नहीं है। एक असली Coinbase पेज होस्ट किया जाएगा coinbase.com. रीडायरेक्ट ही संकेत है।
सफेद पृष्ठ समस्या
"व्हाइट पेज" वह छलावा सामग्री है जिसे एक छद्म फ़िशिंग डोमेन स्कैनर्स और गैर-लक्षित आगंतुकों को दिखाता है। नाम के बावजूद, यह शायद ही कभी एक खाली सफेद पृष्ठ होता है। आधुनिक व्हाइट पेज हैं पूर्ण रूप से कार्यात्मक वेबसाइटें वैध दिखने के लिए डिज़ाइन किया गया:
- क्रिप्टोकरेंसी, वित्त, या प्रौद्योगिकी के बारे में ब्लॉग पोस्ट
- सामान्य SaaS उपकरणों के लिए उत्पाद लैंडिंग पेज
- वैध प्रकाशनों से स्क्रैप किए गए समाचार लेख
- सामान्य "जल्द आ रहा है" संदेश के साथ पार्क किए गए डोमेन पृष्ठ
- खोज परिणामों में रैंक करने के लिए डिज़ाइन की गई SEO-अनुकूलित सामग्री
यह अंतिम बिंदु अत्यंत महत्वपूर्ण है। सफेद पन्ने केवल टालमटोल के उपकरण नहीं हैं — वे हैं एसईओ हथियार. एक फ़िशिंग डोमेन पर उच्च-गुणवत्ता वाली सामग्री होस्ट करके, ऑपरेटर एक साथ दो लक्ष्य प्राप्त करते हैं: वे पता लगाए जाने से बचते हैं और वे डोमेन अथॉरिटी बनाते हैं जो उनके फ़िशिंग लिंक को खोज परिणामों में उच्च रैंक दिलाती है।
3-चरणीय एसईओ जहरिकरण हमला
यह एक व्हाइट-पेज-संचालित फ़िशिंग अभियान का पूरा जीवनचक्र है:
प्राधिकरण बनाएँ
रैंक और सूचकांक
फ़िशिंग सक्रिय करें

यही कारण है कि हम चरण 1 में डोमेन को चिह्नित करते हैं। जब तक चरण 3 सक्रिय होता है, तब तक क्षति पहले ही हो चुकी होती है। फ़िशिंग पेज के दिखने का इंतज़ार करने का मतलब है पीड़ितों के अपने क्रेडेंशियल और अपना पैसा खोने का इंतज़ार करना।
सक्रिय ट्रैफ़िक परिदृश्य: विज्ञापन और ईमेल अभियान
सभी छद्म-भेष वाली फ़िशिंग जैविक खोज पर निर्भर नहीं करती। दो सबसे आक्रामक ट्रैफ़िक अधिग्रहण विधियाँ हैं भुगतान विज्ञापन और ईमेल अभियान, ये दोनों प्लेटफ़ॉर्म समीक्षा को बाईपास करने के लिए क्लोकिंग का फायदा उठाते हैं।
गूगल विज्ञापन क्लोकिंग
हमारी जांच में BUYTRX ड्रेनर नेटवर्क दस्तावेजीकृत 55+ डोमेन Google Ads का उपयोग करके ट्रैफ़िक को वॉलेट ड्रेनर्स पर लाना। तंत्र:
- ऑपरेटर डोमेन को Google Ads समीक्षा के लिए सबमिट करता है। Google का क्रॉलर सफेद पेज (ब्लॉकचेन तकनीक के बारे में एक ब्लॉग) देखता है। विज्ञापन स्वीकृत।
- विज्ञापन चल रहे हैं, जो "कनेक्ट वॉलेट" और "क्रिप्टो एयरड्रॉप" कीवर्ड्स को लक्षित कर रहे हैं।
- Google उपयोगकर्ता विज्ञापन पर क्लिक करता है। TDS Google Ads रेफरर से आने वाले एक आवासीय IP को देखता है। पर्स खाली करने वाला परोसा गया।
- पीड़ित अपना वॉलेट कनेक्ट करता है। पूर्व-हस्ताक्षरित लेनदेन के माध्यम से संपत्तियाँ कुछ ही सेकंड में निकाल ली जाती हैं।
Google की विज्ञापन समीक्षा प्रणाली — हर स्वचालित स्कैनर की तरह — केवल सफेद पृष्ठ ही देखती है। विज्ञापन चलते रहते हैं, और ऑपरेटर हर पीड़ित के लिए Google को भुगतान करता रहता है।
ईमेल अभियान क्लोकिंग
ईमेल गेटवे (Microsoft Defender for Office 365, Proofpoint, Mimecast) डिलीवरी से पहले ईमेल में मौजूद लिंक को स्कैन करते हैं। क्लोकिंग इसे इसी तरह संभालता है:
- फ़िशिंग ईमेल में छिपे डोमेन का लिंक है।
- ईमेल गेटवे URL को स्कैन करता है। सर्वर-साइड TDS गेटवे की IP रेंज को पहचानता है। व्हाइट पेज दिखाता है या आधिकारिक साइट पर रीडायरेक्ट करता है। ईमेल भेज दिया गया।
- प्रापक अपने मेल क्लाइंट से लिंक पर क्लिक करता है। आवासीय आईपी, सही रेफरर, लक्षित भौगोलिक क्षेत्र। फ़िशिंग पेज परोसा गया।
केवल BUYTRX जांच में ही, Google Ads सक्रिय रूप से 55 से अधिक डोमेनों में वॉलेट ड्रेनर्स के वितरण को वित्तपोषित कर रहा था। प्रत्येक डोमेन Google की स्वचालित समीक्षा पास कर गया क्योंकि Google के क्रॉलर को सफेद पेज दिखाया गया था। यह कोई कानूनी छेद नहीं है — यह एक संरचनात्मक विफलता है कि विज्ञापन प्लेटफ़ॉर्म क्लोकिंग होने पर लैंडिंग पेजों को कैसे सत्यापित करते हैं।
यहाँ "दोष सिद्ध होने तक निर्दोष" क्यों लागू नहीं होता
कभी-कभी हम यह तर्क सुनते हैं कि क्लोकिंग इंफ्रास्ट्रक्चर के आधार पर किसी डोमेन को चिह्नित करना जल्दबाजी होगी — कि कार्रवाई करने से पहले हमें वास्तविक फ़िशिंग सामग्री के प्रकट होने का इंतज़ार करना चाहिए। यह तर्क क्लोकिंग का असल में क्या होता है, इसे समझने में चूकता है।
क्लोकिंग एक तटस्थ तकनीक नहीं है। यह प्रतिद्वंद्वी अवसंरचना विशेष रूप से पता लगाने को विफल करने के लिए डिज़ाइन किया गया। क्लोकिंग तैनात करने वाला एक डोमेन पहले ही अपनी मंशा घोषित कर चुका है: सुरक्षा प्रणालियों को एक बात दिखाना और पीड़ितों को दूसरी। यह कोई वैध उद्देश्य पूरा करने वाली कॉन्फ़िगरेशन नहीं है।
कोई भी डोमेन प्रदर्शित करता है कोई भी संयोजन इन संकेतों में से एक को दुर्भावनापूर्ण के रूप में चिह्नित किया गया है:
- सशर्त सामग्री परोसना — आईपी, यूए, जियो, रेफरर, या डिवाइस फिंगरप्रिंट के आधार पर अलग-अलग सामग्री
- टीडीएस फिंगरप्रिंट्स — कीटारो, बिनोम, बीमोब, या रिस्पॉन्स हेडर, रीडायरेक्ट चेन, या जावास्क्रिप्ट में कस्टम राउटर सिग्नेचर
- आधिकारिक साइटों पर पुनर्निर्देशित करें — किसी तीसरे पक्ष के वैध डोमेन (विशेष रूप से बैंकिंग, क्रिप्टो, या ईमेल प्रदाताओं) पर कोई रीडायरेक्ट
- असंबंधित सामग्री वाला सफेद पृष्ठ — ब्लॉग पोस्ट, समाचार लेख, या हाल ही में पंजीकृत डोमेन पर सामान्य सामग्री, जिसकी कोई स्थापित व्यावसायिक उपस्थिति नहीं है।
- एंटी-बॉट जावास्क्रिप्ट — यह तय करने से पहले कि क्या दिखाना है, हेडलेस ब्राउज़र, वेबड्राइवर, स्क्रीन के आयाम, या कैनवास रेंडरिंग की जाँच करने वाली स्क्रिप्ट्स की फिंगरप्रिंटिंग करना
हमारे 50,000 से अधिक स्कैन किए गए साइटों के डेटासेट में, इन संकेतों को प्रदर्शित करने वाले डोमेनों में से वैध पाए गए डोमेनों की संख्या है शून्य. "दुर्लभ" नहीं — शून्य। हमें अब तक एक भी वैध वेबसाइट नहीं मिली जिसे गैर-लक्षित आगंतुकों को किसी अन्य कंपनी के डोमेन पर रीडायरेक्ट करने या विशिष्ट आईपी रेंज से आने वाले आगंतुकों को लॉगिन फॉर्म दिखाते हुए स्कैनरों को क्रिप्टोकरेंसी के बारे में ब्लॉग दिखाने की आवश्यकता हो।
क्लोकिंग एक द्विआधारी संकेत है। यदि कोई डोमेन ऊपर वर्णित तंत्रों का उपयोग करके विभिन्न आगंतुकों को अलग-अलग सामग्री दिखाता है, तो उसे चिह्नित किया जाता है। यदि कोई ऑपरेटर मानता है कि यह एक झूठी सकारात्मक है, तो हमारा अपील प्रक्रिया यह ठीक इसी उद्देश्य के लिए मौजूद है। अब तक, किसी भी छुपाने से संबंधित झंडे के खिलाफ अपील सफल नहीं हुई है।
रजिस्ट्रार समस्या
क्लोकिंग दुरुपयोग रिपोर्टिंग के लिए एक बाद की समस्या पैदा करती है। जब हम किसी क्लोक्ड डोमेन की रिपोर्ट रजिस्ट्रार को करते हैं, तो रजिस्ट्रार की दुरुपयोग टीम उस URL पर जाती है और देखती है… एक साफ़ पेज। एक ब्लॉग पोस्ट। coinbase.com पर रीडायरेक्ट। उनके दृष्टिकोण से, कार्रवाई करने के लिए कुछ भी नहीं है।
यह बिल्कुल वही परिदृश्य है जो हमारे यहाँ घटा। नाइसएनआईसी जांच और हमारा नेमसाइलो जांचदोनों मामलों में, रजिस्ट्रारों ने रिपोर्ट किए गए डोमेन की जाँच की, स्वच्छ सामग्री देखी, और या तो मामला बंद कर दिया या डोमेन ऑपरेटर का सक्रिय रूप से बचाव किया।
समस्या प्रणालीगत है:
- रजिस्ट्रार दुरुपयोग टीमें एवी विक्रेताओं की तरह ही स्कैनिंग विधियों का उपयोग करती हैं। — वे मानक ब्राउज़रों का उपयोग करके डेटा सेंटर आईपी पतों से URL पर जाते हैं। क्लोकिंग हर बार इसे विफल कर देती है।
- किसी भी रजिस्ट्रार ने क्लोकिंग का पता लगाने में निवेश नहीं किया है। — सशर्त सामग्री परोसने का पता लगाने की तकनीक मौजूद है (हमने इसे बनाया है), लेकिन किसी भी रजिस्ट्रार ने इसे लागू नहीं किया है।
- ICANN का दुरुपयोग ढांचा क्लोकिंग को ध्यान में नहीं रखता। — दुरुपयोग की रिपोर्टों के लिए हानिकारक सामग्री के प्रमाण की आवश्यकता होती है। यदि हानिकारक सामग्री केवल पीड़ितों को ही दिखाई जाती है, तो रजिस्ट्रार की अपनी सत्यापन प्रक्रिया इसे कभी नहीं ढूंढ पाएगी।
हमने इस पैटर्न का व्यापक रूप से दस्तावेजीकरण किया है। हमारी रिपोर्ट जब दुर्व्यवहार की रिपोर्टों का कोई नतीजा नहीं निकलता विवरण देता है कि रजिस्ट्रार व्यवस्थित रूप से क्लोक्ड डोमेन पर कार्रवाई करने में विफल रहते हैं क्योंकि उनकी सत्यापन विधियाँ ठीक वही हैं जिन्हें हराने के लिए क्लोकिंग को डिज़ाइन किया गया है।
इसीलिए PhishDestroy एक स्वतंत्र परत के रूप में मौजूद है। हम किसी एक IP से URL पर जाने और यह देखने पर निर्भर नहीं करते कि वह क्या दिखाता है। हम रीडायरेक्ट चेन, TDS फिंगरप्रिंट, जावास्क्रिप्ट व्यवहार, DNS इतिहास, प्रमाणपत्र पारदर्शिता लॉग और हजारों डोमेनों में समयगत पैटर्न का विश्लेषण करते हैं। जब हम किसी डोमेन को फ्लैग करते हैं, तो हमने पहले ही यह ध्यान में रख लिया होता है कि सामान्य तरीके से जांच करने वाले किसी भी व्यक्ति को वह डोमेन साफ-सुथरा ही दिखेगा।
सारांश: छुपाने की तकनीकें और पता लगाना
| तकनीक | स्कैनर क्या देखते हैं | पीड़ित क्या देखते हैं | पहचान विधि |
|---|---|---|---|
| आईपी-आधारित फ़िल्टरिंग | सफेद पृष्ठ / पुनर्निर्देश | फ़िशिंग पेज | मल्टी-आईपी स्कैनिंग, रेजिडेंशियल प्रॉक्सी की तुलना |
| यूए-आधारित फ़िल्टरिंग | सफेद पृष्ठ / 403 | फ़िशिंग पेज | यूए रोटेशन, हेडलेस बनाम वास्तविक ब्राउज़र की तुलना |
| भौगोलिक-आधारित फ़िल्टरिंग | सामान्य सामग्री | स्थानीय फिशिंग | बहु-क्षेत्र प्रॉक्सी स्कैनिंग |
| रेफरर फ़िल्टरिंग | सफेद पृष्ठ | फ़िशिंग (विज्ञापन/ईमेल से) | रिफरर स्पूफिंग, विज्ञापन क्लिक सिमुलेशन |
| जेएस फिंगरप्रिंटिंग | सफेद पृष्ठ (बॉट का पता चला) | फ़िशिंग (वास्तविक डिवाइस) | जावास्क्रिप्ट स्थैतिक विश्लेषण, डीऑब्फस्केशन |
| समय-आधारित नियम | साफ़-सफ़ाई (अनियोजित समय में) | फ़िशिंग (कारोबारी समय) | कालानुक्रमिक स्कैनिंग, समय-क्षेत्र-अनुरूप जाँचें |
| कुकी/सत्र गेटिंग | साफ (पहली मुलाकात) | फ़िशिंग (कुकी के साथ वापसी विज़िट) | बहु-विज़िट सत्र विश्लेषण, कुकी पुन:प्रसारण |
| टीडीएस (केइतारो/बिनोम) | सफेद पृष्ठ या पुनर्निर्देश | फ़िशिंग के लिए भेजा गया | केइतारो डिटेक्शन टूल, हेडर/रीडायरेक्ट विश्लेषण |
| आधिकारिक साइट पुनर्निर्देशन | 302 → वैध साइट | फ़िशिंग पेज | लक्ष्य विश्लेषण पुनर्निर्देशित करें, डोमेन उद्देश्य सत्यापन |

निष्कर्ष
क्लोकिंग कोई धूसर क्षेत्र नहीं है। यह है। सबसे प्रभावी पलायन तकनीक आधुनिक फ़िशिंग में, और फ़िशिंग इकोसिस्टम का हर घटक — गूगल विज्ञापनों से लेकर ईमेल गेटवे और रजिस्ट्रार दुरुपयोग टीमों तक — वर्तमान में इसे संबोधित करने में विफल हो रहा है।
जब PhishDestroy किसी डोमेन को क्लोकिंग के लिए फ़्लैग करता है, तो हम कोई अनुमान नहीं लगा रहे होते। हम उस विरोधी इन्फ्रास्ट्रक्चर की मौजूदगी का दस्तावेजीकरण कर रहे होते हैं, जो एक ही उद्देश्य के लिए मौजूद है: अलग-अलग आगंतुकों को अलग-अलग सामग्री दिखाना। 50,000 से अधिक स्कैन में, इस संकेत के लिए फर्जी सकारात्मक दर शून्य है।
यदि आपका डोमेन फ़्लैग किया गया था:
- यदि आप एक वैध ऑपरेटर हैं और आपको लगता है कि यह एक फर्जी पॉज़िटिव है, अपील जमा करेंहम हर एक की समीक्षा करते हैं।
- अगर आप क्लोकिंग इंफ्रास्ट्रक्चर चला रहे हैं, तो हम पहले से ही जानते हैं। आपने हमारे स्कैनर को जो व्हाइट पेज दिखाया, वह आपके पीड़ितों को दिखाई देने वाला पेज नहीं है। और हमारे पास इसे साबित करने के लिए सबूत हैं।
सफेद पृष्ठ कोई रक्षा नहीं है। यह एक स्वीकारोक्ति है। यदि आपके डोमेन को विभिन्न आगंतुकों को अलग-अलग सामग्री दिखाने की आवश्यकता है, तो आपने पहले ही इस प्रश्न का उत्तर दे दिया है कि क्या यह दुर्भावनापूर्ण है।
हर छुपे हुए डोमेन को प्रतिबंधित कर दिया जाता है। कोई अपवाद नहीं। कोई अपील सफल नहीं हुई। क्योंकि 50,000 स्कैन में, इस संकेत के बारे में हम कभी गलत नहीं हुए।
संबंधित अनुसंधान एवं संसाधन
केइतारो टीडीएस: 1,500 पैनल उजागर
हमने दुनिया भर में फ़िशिंग इंफ्रास्ट्रक्चर को शक्ति देने वाले 1,565 केइतारो पैनलों का नक्शा कैसे बनाया।
केइतारो डिटेक्शन टूल
किसी भी डोमेन को Keitaro TDS फिंगरप्रिंट्स, रीडायरेक्ट चेन और क्लोकिंग सिग्नेचर के लिए स्कैन करें।
BUYTRX: 55 डोमेन, गूगल विज्ञापन फंडिंग
क्लोक किए गए व्हाइट पेजों का उपयोग करके गूगल एड्स समीक्षा पास करने वाला एक वॉलेट ड्रेनर नेटवर्क।
जब दुर्व्यवहार की रिपोर्टों का कोई नतीजा नहीं निकलता
क्लोक किए गए डोमेन पर रजिस्ट्रार दुरुपयोग टीमें कार्रवाई क्यों नहीं कर पातीं और क्या बदलने की जरूरत है।
नाइसएनआईसी फैसला
दुरुपयोग रिपोर्टों पर कार्रवाई में प्रणालीगत विफलता के लिए नाइसएनआईसी के खिलाफ आईसीएएनएन द्वारा दायर शिकायत।
नेमसाइलो जांच
NameSilo ने कैसे 2 मिलियन डॉलर के क्रिप्टो चोर की रक्षा की और एक झूठी कहानी गढ़ी।
यह लेख हमारे 50,000 से अधिक डोमेनों को स्कैन करने, सक्रिय फ़िशिंग अवसंरचना की जांच करने, और रजिस्ट्रारों तथा ICANN के पास दुरुपयोग रिपोर्ट दर्ज करने के परिचालन अनुभव पर आधारित है। वर्णित सभी तकनीकों को साक्ष्यों के साथ प्रलेखित किया गया है। हमारे शोध के दौरान किसी भी समय कोई अनधिकृत पहुँच नहीं की गई।



