Kembali ke Berita
Laporan Investigasi

Alasan Kami Melarang “White Pages” dan Pengalihan ke Situs Resmi: Penjelasan Mengenai Masalah Cloaking

Cloaking, halaman putih, dan pengalihan TDS merupakan tulang punggung infrastruktur phishing modern. Setiap situs yang menggunakannya akan diblokir. Inilah alasannya — dan apa yang kami temukan saat mengintip di balik layar.

29 Maret 2026 Penelitian PhishDestroy ~12 menit waktu baca
Teknik Cloaking dan White Pages dalam Infrastruktur Phishing — Gambaran Teknis
Bagaimana infrastruktur phishing modern memanfaatkan teknik penyamaran untuk menghindari setiap lapisan deteksi otomatis.
50,000+
Situs yang Telah Diperiksa
1,565
Panel Keitaro
0
Penggunaan yang Sah
55+
Beli Domain BUYTRX
100+
Mesin AV

Pertanyaan yang Terus-Menerus Diajukan kepada Kami

Setiap minggu, kami menerima permohonan yang sama: “Kamu telah menandai domain saya, tapi ketika saya memeriksanya, domain itu hanya dialihkan ke situs web resminya. Tidak ada hal berbahaya di sini.”

Atau variasi lainnya: “Halaman itu hanyalah sebuah postingan blog tentang mata uang kripto. Itu bukan phishing.”

Kami memahami mengapa hal ini membingungkan. Jika Anda mengunjungi sebuah domain yang telah ditandai dan melihat halaman yang tampak normal — atau pengalihan yang wajar ke situs yang sah — wajar jika Anda menganggap penandaan tersebut salah. Namun, halaman yang tampak normal itu bukanlah kesalahan dalam sistem deteksi kami. Itulah serangannya.

Artikel ini menjelaskan teknologi di balik teknik cloaking, mengapa “white pages” ada, bagaimana TDS seperti Keitaro mengarahkan korban, dan mengapa PhishDestroy menganggap setiap pola ini sebagai infrastruktur berbahaya yang telah dikonfirmasi — tanpa pengecualian sama sekali.

Mengapa Hal Ini Penting

Jika Anda membaca ini karena domain Anda ditandai dan Anda yakin itu adalah kesalahan, kami mengimbau Anda untuk membaca sampai akhir. Kami juga menyediakan sebuah proses banding untuk hasil positif palsu yang sah. Namun, berdasarkan pengalaman kami, domain yang menunjukkan perilaku cloaking selalu bersifat berbahaya.

Bagaimana Sistem Antivirus Mengubah Pola Permainan

Sepuluh tahun yang lalu, serangan phishing masih sederhana. Seorang penyerang mendaftarkan sebuah domain, membuat halaman login palsu, dan mengirimkan tautannya kepada para korban. Penyedia layanan keamanan pada akhirnya akan merayapi URL tersebut, mendeteksi halaman phishing itu, dan menambahkannya ke daftar blokir. Domain tersebut akan tidak aktif dalam hitungan jam atau hari.

Kemudian, industri ini mengalami kemajuan. Google Safe Browsing, Microsoft SmartScreen, dan lebih dari 100 mesin antivirus di platform seperti VirusTotal mulai memindai URL secara nyaris real-time. Peringatan di tingkat peramban berhasil menekan tingkat klik secara drastis. Penyedia layanan hosting mulai menerapkan Pipeline penghapusan otomatis. Jangka waktu antara saat halaman phishing mulai aktif hingga diblokir menyusut dari hitungan hari menjadi hitungan menit.

Para pelaku phishing menghadapi masalah: halaman-halaman mereka terdeteksi lebih cepat daripada kecepatan mereka dalam meluncurkannya. Mereka membutuhkan cara untuk menampilkan konten phishing kepada korban sungguhan, sekaligus tetap tampak sepenuhnya tidak berbahaya bagi setiap sistem otomatis yang berusaha mendeteksinya.

Jawabannya adalah penyamaran.

Perkembangan deteksi antivirus versus taktik pengelakan phishing — infografik teknis
Perlombaan senjata: seiring dengan meningkatnya kemampuan deteksi AV dari hitungan hari menjadi hitungan menit, para pelaku phishing merespons dengan infrastruktur penyamaran yang menampilkan konten berbeda kepada pemindai dibandingkan kepada korban yang sebenarnya.
Masalah Pokok

Phishing modern tidak terdeteksi karena halaman phishingnya sulit dikenali. Tindakan tersebut lolos begitu saja karena Pemindai sama sekali tidak pernah mendeteksi halaman phishing tersebut. Pemindai mendeteksi sebuah postingan blog, pengalihan tautan, atau halaman kosong. Korban — yang mengakses situs tersebut dari negara tertentu, menggunakan perangkat seluler, melalui iklan berbayar — melihat program pengumpul kredensial.

Apa Itu Cloaking Sebenarnya

Cloaking adalah praktik menampilkan konten yang berbeda kepada pengunjung yang berbeda berdasarkan identitas mereka. Dalam konteks phishing, hal ini berarti satu hal: Pemindai keamanan mendeteksi halaman yang tidak berbahaya, sedangkan korban yang sebenarnya melihat halaman phishing.

Proses penyaringan dapat dilakukan pada beberapa tingkatan:

  • Reputasi IP — Alamat IP pusat data yang terdaftar, rentang alamat IP VPN, dan blok alamat IP penyedia layanan keamanan akan diarahkan ke versi yang aman. Sedangkan alamat IP perumahan akan diarahkan ke halaman phishing.
  • String User-Agent — Browser tanpa antarmuka pengguna, crawler yang dikenal (Googlebot, Bingbot, Screaming Frog), dan pemindai keamanan diidentifikasi dan disaring.
  • Geolokasi — Halaman phishing tersebut hanya ditampilkan kepada pengunjung dari negara-negara yang menjadi sasaran. Pengunjung lainnya akan melihat halaman kosong.
  • Header referrer — Hanya pengunjung yang datang dari sumber-sumber tertentu (iklan Google, tautan dalam email phishing, postingan di media sosial) yang dapat melihat konten aslinya.
  • Identifikasi perangkat berdasarkan sidik jari — JavaScript memeriksa resolusi layar, font yang terpasang, renderer WebGL, API baterai, dan sinyal-sinyal lainnya untuk membedakan perangkat asli dari emulator.
  • Aturan berdasarkan waktu — Halaman phishing tersebut hanya aktif pada jam-jam tertentu (misalnya, jam kerja di zona waktu sasaran), dan secara default akan menampilkan halaman kosong di luar rentang waktu tersebut.
  • Pelacakan cookie/sesi — Pada kunjungan pertama, halaman yang ditampilkan adalah halaman kosong. Pengunjung yang kembali dengan cookie tertentu (yang disetel saat mengklik iklan) akan melihat halaman phishing.
Tiga pelaku ancaman yang mengoperasikan infrastruktur penyamaran — ilustrasi konseptual
Infrastruktur penyamaran menyaring pengunjung di berbagai lapisan. Pada saat korban yang sebenarnya sampai di halaman phishing, setiap sistem pertahanan otomatis telah diperlihatkan umpan palsu yang tidak mencurigakan.

Sistem penyamaran yang canggih menggabungkan semua hal tersebut. Hasilnya adalah sebuah domain yang tampak sepenuhnya bersih di mata setiap pemindai di internet, sementara secara aktif mencuri kredensial dari korban yang menjadi sasaran.

Kesenjangan Deteksi

Saat VirusTotal memindai URL yang disamarkan, ia menampilkan halaman kosong. Hasil: 0 dari 93 deteksi. Google Safe Browsing menjelajahinya, lalu menemukan sebuah postingan blog. Hasilnya: tanpa peringatan. Korban mengklik URL yang sama di ponselnya dari sebuah iklan Google: mereka melihat halaman login MetaMask palsu. Ini bukanlah masalah teoretis — ini adalah model operasi standar dalam praktik phishing modern.

Alat-alat di Balik Penipuan Itu

Cloaking bukanlah sesuatu yang dilakukan secara sembarangan. Fitur ini dijalankan menggunakan perangkat lunak komersial khusus yang disebut Sistem Distribusi Lalu Lintas (TDS). Yang paling banyak digunakan dalam operasi phishing adalah Keitaro.

Keitaro adalah produk teknologi periklanan (ad-tech) yang sah, dirancang bagi pemasar afiliasi untuk mengarahkan lalu lintas berdasarkan atribut pengunjung. Produk ini secara bawaan mendukung semua kriteria penyaringan yang tercantum di atas — rentang IP, lokasi geografis, perangkat, sumber rujukan, dan user-agent. Pelaku phishing cukup mengonfigurasinya untuk mengarahkan pemindai ke halaman kosong dan korban ke halaman phishing.

Penelitian kami, yang diterbitkan sebagai Keitaro TDS: 1.500 Panel Terpapar, teridentifikasi 1.565 panel Keitaro yang aktif yang mengoperasikan infrastruktur phishing. Bukan 1.565 halaman phishing — melainkan 1.565 panel kontrol, masing-masing mengelola puluhan hingga ratusan kampanye phishing secara bersamaan.

Infrastruktur panel TDS Keitaro yang digunakan untuk mendistribusikan lalu lintas phishing
Keitaro TDS: sistem distribusi lalu lintas komersial yang dimanfaatkan kembali sebagai tulang punggung teknik penyamaran phishing. Lebih dari 1.565 panel telah diidentifikasi dan didokumentasikan.

Platform TDS lain yang kami temui antara lain:

  • Binom — Pelacak yang dihosting sendiri yang populer dalam operasi di kawasan CIS
  • BeMob — Pelacak berbasis cloud dengan penyaringan IP dan deteksi bot
  • Router PHP khusus — Skrip buatan sendiri yang menggunakan MaxMind GeoIP dan daftar blokir IP
  • Cloudflare Workers — Perutean berbasis edge yang mengevaluasi atribut pengunjung bahkan sebelum permintaan tersebut sampai ke server asal

Poin kesamaannya: semuanya ada untuk menampilkan konten yang berbeda kepada pengunjung yang berbeda. Di dunia pemasaran afiliasi, hal ini disebut “optimasi lalu lintas.” Dalam phishing, hal ini disebut penghindaran.

Alat Deteksi Tersedia

Kami membangun Alat Pendeteksi Keitaro untuk mengidentifikasi jejak TDS Keitaro pada domain mana pun. Alat ini memeriksa jalur panel yang diketahui, pola header respons, rantai pengalihan, dan tanda tangan JavaScript yang terkait dengan instalasi Keitaro.

Skenario “Pengalihan Situs Web Resmi”

Salah satu pola cloaking yang paling umum kami temui adalah domain yang sekadar mengalihkan ke situs web resmi. Pesan ajakannya selalu sama: “Coba periksa sendiri — situsnya memang coinbase.com. Tidak ada upaya phishing.”

Inilah yang sebenarnya terjadi:

Pemindai mengunjungi URL
TDS memeriksa IP/UA/lokasi geografis
302 → coinbase.com
Pemindai: “Bersih”
Korban mengklik iklan
TDS memeriksa IP/UA/lokasi geografis
Halaman login Coinbase palsu
Kredensial dicuri

Pengalihan ke situs resmi bukanlah pertanda bahwa domain tersebut aman. Itulah mekanisme penyamaran itu sendiri. TDS telah menentukan bahwa pengunjung tersebut adalah program pemindai, dan tindakan yang paling aman — yang paling mungkin menghasilkan hasil pemindaian yang bersih — adalah mengalihkan pengunjung ke situs web yang sebenarnya.

Berikut ini adalah contoh sederhana dari logika sisi server:

// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];

function routeVisitor(req) {
  const ip = req.headers['cf-connecting-ip'];
  const ua = req.headers['user-agent'];
  const geo = req.headers['cf-ipcountry'];

  // If scanner/bot detected: redirect to official site
  if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
    return Response.redirect('https://www.coinbase.com', 302);
  }

  // If not in target geography: show white page
  if (!TARGET_GEO.includes(geo)) {
    return renderWhitePage(); // Innocent blog post
  }

  // Real victim from target country: show phishing page
  return renderPhishingPage(); // Credential harvester
}
Wawasan Utama

Tidak ada situs web resmi yang mengalihkan pengunjung ke domain perusahaan lain. Jika crypto-wallet-app[.]com mengalihkan ke coinbase.com, domain tersebut tidak memiliki alasan untuk ada. Halaman Coinbase yang asli akan dihosting di coinbase.com. Pengalihan itu yang menjadi petunjuknya.

Masalah Halaman Putih

“Halaman putih” adalah konten umpan yang ditampilkan oleh domain phishing yang disamarkan kepada pemindai dan pengunjung yang bukan sasaran. Terlepas dari namanya, halaman ini jarang berupa halaman kosong berwarna putih. Halaman putih modern adalah situs web yang berfungsi sepenuhnya dirancang agar terlihat sah:

  • Postingan blog tentang mata uang kripto, keuangan, atau teknologi
  • Halaman arahan produk untuk alat SaaS umum
  • Artikel berita yang diambil dari publikasi resmi
  • Halaman domain yang tidak aktif dengan pesan umum “segera hadir”
  • Konten yang dioptimalkan untuk SEO dan dirancang agar muncul di hasil pencarian

Poin terakhir ini sangat penting. Halaman putih bukan sekadar alat untuk mengelak — melainkan Senjata SEO. Dengan menampilkan konten berkualitas tinggi di domain phishing, para pelaku berhasil mencapai dua tujuan sekaligus: mereka lolos dari deteksi dan Mereka membangun otoritas domain yang membuat tautan phishing mereka muncul di peringkat lebih tinggi dalam hasil pencarian.

Serangan SEO Poisoning Tiga Tahap

Inilah siklus hidup lengkap dari sebuah kampanye phishing yang didukung oleh white page:

Fase 1
Membangun Otoritas
Fase 2
Peringkat & Indeks
Fase 3
Aktifkan Phishing
Fase 1: Membangun Otoritas (Minggu 1–4)
Daftarkan domain. Luncurkan halaman kosong dengan konten yang dioptimalkan untuk SEO (posting blog, artikel). Bangun tautan balik. Domain semakin matang dan memperoleh otoritas. Semua mesin pencari melihat situs dengan konten yang bersih. Google mengindeksnya tanpa peringatan.
Fase 2: Peringkat & Indeks (Minggu ke-4–8)
Domain mulai muncul di peringkat untuk kata kunci target (“menghubungkan dompet MetaMask,” “login Coinbase,” “airdrop kripto”). Konten halaman kosong tetap ditampilkan. Lalu lintas organik mulai mengalir. Reputasi domain terbentuk di seluruh sistem penilaian.
Fase 3: Melancarkan Serangan Phishing (Minggu ke-8 ke atas)
Aturan TDS dibalik. Pengunjung yang sesuai dengan profil korban (alamat IP rumah, negara sasaran, perangkat seluler) kini melihat halaman phishing, bukan halaman kosong. Pemindai masih melihat halaman kosong. Reputasi domain yang telah terbangun membuat peringatan browser lambat muncul. Korban yang mengklik hasil pencarian atau iklan akan diarahkan ke domain yang tampak tepercaya dengan skor otoritas tinggi.
Pipeline “SEO poisoning” pada halaman putih — domain phishing membangun otoritas sebelum diaktifkan
Halaman putih bukanlah taktik penghindaran pasif. Halaman-halaman tersebut merupakan senjata SEO aktif yang membangun otoritas domain, meraih peringkat pencarian, dan kemudian memanfaatkan reputasi tersebut untuk menyebarkan serangan phishing kepada korban melalui hasil pencarian organik.

Inilah sebabnya mengapa kami menandai domain pada Fase 1. Saat Fase 3 diaktifkan, kerusakan sudah terjadi. Menunggu hingga halaman phishing muncul berarti menunggu para korban kehilangan kredensial dan uang mereka.

Skenario Lalu Lintas Aktif: Iklan dan Kampanye Email

Tidak semua serangan phishing terselubung mengandalkan hasil pencarian organik. Dua metode perolehan lalu lintas yang paling agresif adalah iklan berbayar dan kampanye email, yang keduanya memanfaatkan teknik penyamaran untuk menghindari proses peninjauan platform.

Penyamaran Iklan Google

Penyelidikan kami mengenai Jaringan drainer BUYTRX tercatat 55+ domain menggunakan Google Ads untuk mengarahkan lalu lintas ke situs-situs yang menguras dompet. Mekanismenya:

  1. Operator mengirimkan domain tersebut untuk ditinjau oleh Google Ads. Crawler Google mendeteksi halaman kosong (sebuah blog tentang teknologi blockchain). Iklan telah disetujui.
  2. Iklan ditayangkan, dengan menargetkan kata kunci “connect wallet” dan “crypto airdrop”.
  3. Pengguna Google mengklik iklan tersebut. TDS mendeteksi alamat IP perumahan yang berasal dari sumber rujukan Google Ads. Hidangan penguras dompet telah disajikan.
  4. Korban menghubungkan dompetnya. Asetnya habis dalam hitungan detik melalui transaksi yang telah ditandatangani sebelumnya.

Sistem peninjauan iklan Google — seperti halnya setiap pemindai otomatis — hanya melihat halaman kosong. Iklan tersebut tetap tayang, sementara operator terus membayar Google untuk setiap korban yang berhasil diarahkan.

Penyamaran Kampanye Email

Gerbang email (Microsoft Defender for Office 365, Proofpoint, Mimecast) memindai tautan dalam email sebelum dikirim. Cloaking menangani hal ini dengan cara yang sama:

  1. Email phishing berisi tautan ke domain yang disamarkan.
  2. Gerbang email memindai URL tersebut. TDS sisi server mengenali rentang IP gerbang tersebut. Kemudian menampilkan halaman kosong atau mengalihkan pengguna ke situs resmi. Email telah terkirim.
  3. Penerima mengklik tautan dari klien emailnya. Alamat IP perumahan, referrer yang benar, lokasi geografis tujuan. Halaman phishing telah ditampilkan.
Skala

Dalam penyelidikan BUYTRX saja, Google Ads secara aktif mendanai penyebaran program penguras dompet di lebih dari 55 domain. Setiap domain tersebut lolos dari tinjauan otomatis Google karena crawler Google hanya menampilkan halaman kosong. Ini bukanlah celah — melainkan kegagalan struktural dalam cara platform iklan memvalidasi halaman arahan ketika terjadi praktik cloaking.

Mengapa Prinsip “Tidak Bersalah Sampai Terbukti Bersalah” Tidak Berlaku di Sini

Kita terkadang mendengar argumen bahwa menandai sebuah domain berdasarkan infrastruktur cloaking masih terlalu dini — bahwa kita sebaiknya menunggu hingga konten phishing yang sebenarnya muncul sebelum mengambil tindakan. Argumen ini salah memahami apa itu cloaking.

Teknologi penyamaran bukanlah teknologi yang netral. Teknologi ini adalah infrastruktur adversarial dirancang khusus untuk menghindari deteksi. Sebuah domain yang menerapkan teknik penyamaran telah menyatakan niatnya: menampilkan hal yang berbeda kepada sistem keamanan dan kepada korban. Konfigurasi semacam itu tidak memiliki tujuan yang sah.

5 Tanda yang Kami Perhatikan

Setiap domain yang menunjukkan kombinasi apa pun Di antara sinyal-sinyal ini, ada yang ditandai sebagai berbahaya:

  1. Penyajian konten bersyarat — Konten yang berbeda berdasarkan alamat IP, User-Agent, lokasi geografis, sumber rujukan, atau sidik jari perangkat
  2. Sidik jari TDS — Keitaro, Binom, BeMob, atau tanda tangan router khusus dalam header respons, rantai pengalihan, atau JavaScript
  3. Alihkan ke situs resmi — Setiap pengalihan ke domain pihak ketiga yang sah (terutama situs perbankan, kripto, atau penyedia layanan email)
  4. Halaman kosong dengan konten yang tidak relevan — Postingan blog, artikel berita, atau konten umum di domain yang baru saja didaftarkan dan belum memiliki jejak bisnis yang jelas
  5. JavaScript Anti-bot — Skrip yang mendeteksi browser tanpa antarmuka pengguna, WebDriver, dimensi layar, atau rendering kanvas sebelum menentukan apa yang akan ditampilkan

Dalam kumpulan data kami yang mencakup lebih dari 50.000 situs yang telah dipindai, jumlah domain yang menunjukkan tanda-tanda tersebut namun ternyata sah adalah nol. Bukan “jarang” — sama sekali tidak ada. Kami belum pernah menemukan satu pun situs web resmi yang perlu mengalihkan pengunjung yang tidak menjadi target ke domain perusahaan lain, atau menampilkan blog tentang mata uang kripto kepada pemindai (scanner) sambil menampilkan formulir login kepada pengunjung dari rentang IP tertentu.

Kebijakan Kami

Cloaking merupakan sinyal biner. Jika sebuah domain menampilkan konten yang berbeda kepada pengunjung yang berbeda dengan menggunakan mekanisme yang dijelaskan di atas, domain tersebut akan ditandai. Jika seorang operator meyakini bahwa ini merupakan hasil positif palsu, kami proses banding Dibuat khusus untuk tujuan ini. Hingga saat ini, belum ada banding atas bendera yang terkait dengan cloaking yang berhasil.

Masalah Panitera

Teknik cloaking menimbulkan masalah lanjutan dalam pelaporan penyalahgunaan. Ketika kami melaporkan domain yang disamarkan kepada registrar, tim penanggulangan penyalahgunaan dari registrar tersebut mengunjungi URL tersebut dan melihat … halaman yang tampak normal. Sebuah postingan blog. Pengalihan ke coinbase.com. Dari sudut pandang mereka, tidak ada tindakan yang perlu diambil.

Inilah skenario persis yang terjadi di tempat kami Penyelidikan NiceNIC dan kami Penyelidikan NameSilo. Dalam kedua kasus tersebut, pihak pendaftar memeriksa domain yang dilaporkan, menemukan bahwa isinya tidak bermasalah, dan kemudian menutup kasus tersebut atau secara aktif membela operator domain tersebut.

Masalahnya bersifat sistemik:

  • Tim penanggulangan penyalahgunaan di registrar menggunakan metode pemindaian yang sama dengan vendor antivirus — mereka mengakses URL tersebut dari alamat IP pusat data menggunakan peramban standar. Teknik cloaking selalu berhasil mengelabui cara ini.
  • Belum ada penyedia layanan pendaftaran domain yang berinvestasi dalam teknologi pendeteksi cloaking — Teknologi untuk mendeteksi penyajian konten bersyarat memang sudah ada (kami yang mengembangkannya), tetapi belum ada pendaftar domain yang menerapkannya.
  • Kerangka kerja penanggulangan penyalahgunaan ICANN tidak memperhitungkan praktik cloaking — Laporan penyalahgunaan memerlukan bukti adanya konten yang merugikan. Jika konten yang merugikan tersebut hanya ditampilkan kepada para korban, proses verifikasi yang dilakukan oleh pihak pendaftar sendiri tidak akan pernah menemukannya.
Kegagalan Respons Pendaftar

Kami telah mendokumentasikan pola ini secara mendalam. Laporan kami Ketika Laporan Kekerasan Tak Ditindaklanjuti menjelaskan bagaimana penyedia layanan pendaftaran domain secara sistematis gagal menindaklanjuti domain yang disamarkan karena metode verifikasi yang mereka gunakan justru dirancang untuk dikalahkan oleh teknik penyamaran tersebut.

Inilah alasan mengapa PhishDestroy hadir sebagai lapisan independen. Kami tidak hanya mengandalkan kunjungan ke URL dari satu alamat IP saja dan memeriksa apa yang ditampilkannya. Kami menganalisis rantai pengalihan, sidik jari TDS, perilaku JavaScript, riwayat DNS, log transparansi sertifikat, dan pola temporal di ribuan domain. Saat kami menandai sebuah domain, kami telah memperhitungkan fakta bahwa domain tersebut akan terlihat bersih bagi siapa pun yang memeriksanya dengan cara yang biasa.

Ringkasan: Teknik Penyamaran dan Deteksi

TeknikApa yang Dilihat oleh PemindaiApa yang Dilihat Para KorbanMetode Deteksi
Penyaringan berbasis IPHalaman kosong / pengalihanHalaman phishingPemindaian multi-IP, perbandingan proxy perumahan
Penyaringan berbasis UAHalaman kosong / 403Halaman phishingRotasi UA, perbandingan antara headless dan browser sungguhan
Penyaringan berdasarkan lokasiKonten umumPhishing yang disesuaikan dengan kondisi lokalPemindaian proxy multi-wilayah
Penyaringan sumber rujukanHalaman putihPhishing (melalui iklan/email)Pemalsuan sumber rujukan, simulasi klik iklan
Identifikasi JSHalaman kosong (terdeteksi bot)Phishing (perangkat asli)Analisis statis JavaScript, deobfuscation
Aturan berdasarkan waktuPembersihan (di luar jam kerja)Phishing (jam kerja)Pemindaian temporal, pemeriksaan yang diselaraskan dengan zona waktu
Pembatasan akses berdasarkan cookie/sesiPembersihan (kunjungan pertama)Phishing (kunjungan ulang dengan cookie)Analisis sesi multi-kunjungan, pemutaran ulang cookie
TDS (Keitaro/Binom)Halaman kosong atau pengalihanDiarahkan ke situs phishingAlat Pendeteksi Keitaro, analisis header/pengalihan
Pengalihan situs resmi302 → situs resmiHalaman phishingAnalisis tujuan pengalihan, validasi tujuan domain
Ringkasan deteksi teknik penyamaran dan analisis infrastruktur phishing
Gambaran selengkapnya: setiap teknik penyamaran memiliki metode pendeteksiannya sendiri. Tantangannya bukanlah pada teknologi — melainkan bagaimana meyakinkan penyedia layanan pendaftaran domain, platform iklan, dan gerbang email untuk menerapkannya.

Kesimpulan

Cloaking bukanlah wilayah abu-abu. Ini adalah teknik pengelakan yang paling efektif dalam praktik phishing modern, dan setiap komponen ekosistem phishing — mulai dari Google Ads hingga gerbang email hingga tim penanggulangan penyalahgunaan di penyedia nama domain — saat ini gagal menangani masalah tersebut.

Ketika PhishDestroy menandai sebuah domain sebagai domain yang melakukan cloaking, kami tidak sekadar menebak-nebak. Kami mendokumentasikan keberadaan infrastruktur berbahaya yang dibuat untuk satu tujuan: menampilkan konten yang berbeda kepada pengunjung yang berbeda. Dalam lebih dari 50.000 pemindaian, tingkat false positive untuk sinyal ini adalah nol.

Jika domain Anda ditandai:

  • Jika Anda adalah operator yang sah dan yakin bahwa ini merupakan hasil positif palsu, mengajukan banding. Kami memeriksa semuanya satu per satu.
  • Jika Anda mengoperasikan infrastruktur cloaking, kami sudah mengetahuinya. Halaman kosong yang Anda tunjukkan kepada pemindai kami bukanlah yang dilihat oleh korban-korban Anda. Dan kami memiliki bukti untuk membuktikannya.
Halaman kosong bukanlah pembelaan. Itu adalah pengakuan. Jika domain Anda perlu menampilkan konten yang berbeda kepada pengunjung yang berbeda, Anda sudah menjawab pertanyaan apakah hal itu bersifat berbahaya.

Setiap domain yang disamarkan akan diblokir. Tanpa kecuali. Belum pernah ada banding yang berhasil. Sebab, dari 50.000 pemindaian, kami belum pernah salah dalam mendeteksi sinyal ini.

Penelitian dan Sumber Daya Terkait

Artikel ini disusun berdasarkan pengalaman operasional kami dalam memindai lebih dari 50.000 domain, menyelidiki infrastruktur phishing yang aktif, serta mengajukan laporan penyalahgunaan kepada pendaftar domain dan ICANN. Semua teknik yang dijelaskan didokumentasikan dengan bukti. Tidak ada akses tanpa izin yang dilakukan pada tahap mana pun selama penelitian kami.

Bagikan Investigasi Ini

X / Twitter Telegram Reddit LinkedIn

Penyelidikan Terkait

Keitaro TDS: 1.500 Panel Terungkap, Tak Ada Penggunaan yang Sah
PENYELIDIKAN
Keitaro TDS: 1.500 Panel Terungkap, Tak Ada Penggunaan yang Sah
BUYTRX Terbongkar: 55 Domain & Penipu yang Menyalahgunakan Persetujuan TRON
PENYELIDIKAN
BUYTRX Terbongkar: 55 Domain & Penipu yang Menyalahgunakan Persetujuan TRON
Penipu Terbongkar: 4 Sistem Belakang Penipuan Dibedah
PENYELIDIKAN
Penipu Terbongkar: 4 Sistem Belakang Penipuan Dibedah