Perché vietiamo le “pagine bianche” e reindirizziamo agli siti ufficiali: Il problema del cloaking spiegato
Il cloaking, le "pagine bianche" e i reindirizzamenti TDS costituiscono la spina dorsale delle moderne infrastrutture di phishing. Ogni sito che li utilizza viene bloccato. Ecco perché — e cosa scopriamo quando guardiamo dietro le quinte.

La domanda che ci viene posta continuamente
Ogni settimana riceviamo la stessa richiesta: «Avete segnalato il mio dominio, ma quando lo controllo vedo che reindirizza semplicemente al sito ufficiale. Non c’è nulla di dannoso qui.»
Oppure una variante: «Quella pagina è solo un post di blog sulle criptovalute. Non si tratta di phishing.»
Capiamo perché la situazione possa creare confusione. Se visiti un dominio che è stato segnalato e vedi una pagina perfettamente normale — o un reindirizzamento corretto verso un sito legittimo — è naturale pensare che la segnalazione sia errata. Ma quella pagina corretta non è un errore nel nostro sistema di rilevamento. È l'attacco.
Questo articolo spiega la tecnologia alla base del cloaking, perché esistono le “pagine bianche”, come i sistemi di distribuzione del traffico (TDS) come Keitaro indirizzano le vittime e perché PhishDestroy considera ciascuno di questi modelli come un’infrastruttura dannosa confermata — senza alcuna eccezione.
Se stai leggendo questo messaggio perché il tuo dominio è stato segnalato e ritieni che si tratti di un errore, ti invitiamo a leggere fino alla fine. Inoltre, gestiamo un procedura di ricorso per i falsi positivi legittimi. Tuttavia, in base alla nostra esperienza, i domini che mostrano comportamenti di cloaking sono dannosi nel 100% dei casi.
Come i sistemi antivirus hanno rivoluzionato il settore
Dieci anni fa, il phishing era semplice. Un hacker registrava un dominio, creava una pagina di accesso fasulla e inviava il link alle vittime. I fornitori di soluzioni di sicurezza finivano per scansionare quell’URL, individuare la pagina di phishing e aggiungerla alle liste di blocco. Il dominio veniva disattivato nel giro di poche ore o giorni.
Poi il settore ha fatto passi avanti. Google Safe Browsing, Microsoft SmartScreen e oltre 100 motori antivirus su piattaforme come VirusTotal hanno iniziato a scansionare gli URL quasi in tempo reale. Gli avvisi a livello di browser hanno ridotto drasticamente i tassi di clic. I provider di hosting hanno avviato procedure automatizzate di rimozione. Il lasso di tempo tra la messa online di una pagina di phishing e il suo blocco si è ridotto da giorni a minuti.
Gli autori degli attacchi di phishing si trovavano di fronte a un problema: le loro pagine venivano individuate più velocemente di quanto riuscissero a pubblicarle. Avevano bisogno di un modo per mostrare i contenuti di phishing alle vittime reali, pur apparendo del tutto innocui a tutti i sistemi automatizzati che cercavano di individuarli.
La risposta era occultamento.

Il phishing moderno non viene scoperto perché la pagina di phishing è difficile da individuare. Riesce a passare inosservato perché lo scanner non rileva affatto la pagina di phishing. Lo scanner rileva un post sul blog, un reindirizzamento o una pagina vuota. La vittima — che visita il sito da un determinato Paese, da un dispositivo mobile, tramite un annuncio a pagamento — vede il programma di raccolta delle credenziali.
Che cos’è in realtà il cloaking
Il "cloaking" è la pratica che consiste nel proporre contenuti diversi a visitatori diversi a seconda di chi siano. Nel contesto del phishing, significa una cosa sola: I programmi di sicurezza rilevano una pagina innocua, mentre le vittime reali vedono la pagina di phishing.
Il filtraggio può avvenire a diversi livelli:
- Reputazione IP — Gli indirizzi IP noti dei data center, gli intervalli VPN e i blocchi di indirizzi IP dei fornitori di soluzioni di sicurezza visualizzano la versione pulita. Gli indirizzi IP residenziali visualizzano la pagina di phishing.
- Stringhe User-Agent — I browser senza interfaccia grafica, i crawler noti (Googlebot, Bingbot, Screaming Frog) e gli scanner di sicurezza vengono identificati ed esclusi.
- Geolocalizzazione — La pagina di phishing viene mostrata solo ai visitatori provenienti dai paesi presi di mira. Tutti gli altri vedono la pagina bianca.
- Intestazioni Referrer — Solo i visitatori provenienti da fonti specifiche (un annuncio su Google, un link contenuto in un’e-mail di phishing, un post sui social media) vedono il contenuto reale.
- Identificazione dei dispositivi tramite impronta digitale — JavaScript verifica la risoluzione dello schermo, i font installati, il renderer WebGL, l'API della batteria e altri segnali per distinguere i dispositivi reali dagli emulatori.
- Regole basate sul tempo — La pagina di phishing è attiva solo in determinati orari (ad esempio, durante l'orario di lavoro nel fuso orario di destinazione) e, al di fuori di tali fasce orarie, viene visualizzata per impostazione predefinita la pagina bianca.
- Tracciamento dei cookie e delle sessioni — Alla prima visita viene visualizzata la pagina bianca. I visitatori che tornano sul sito con un cookie specifico (impostato dal clic sull'annuncio) vedono la pagina di phishing.

Un sofisticato sistema di occultamento combina tutte queste caratteristiche. Il risultato è un dominio che appare del tutto pulito a qualsiasi scanner su Internet, mentre sottrae attivamente le credenziali delle vittime prese di mira.
Quando VirusTotal esegue la scansione di un URL mascherato, visualizza una pagina bianca. Risultato: 0/93 rilevamenti. Google Safe Browsing esegue la scansione del sito e rileva un post sul blog. Risultato: senza preavviso. La vittima clicca sullo stesso URL sul proprio telefono da un annuncio di Google: vedono una pagina di accesso falsa a MetaMask. Non si tratta di un problema teorico: è il modello operativo standard del phishing moderno.
Gli strumenti alla base dell'inganno
Il cloaking non si improvvisa. Funziona grazie a un software commerciale specializzato chiamato Sistemi di distribuzione del traffico (TDS). Il più diffuso nelle operazioni di phishing è Keitaro.
Keitaro è un prodotto ad-tech a tutti gli effetti, progettato per consentire agli operatori di marketing di affiliazione di indirizzare il traffico in base alle caratteristiche dei visitatori. Supporta immediatamente tutti i criteri di filtraggio sopra elencati — intervalli IP, posizione geografica, dispositivo, referrer, user-agent. Gli autori di attacchi di phishing devono semplicemente configurarlo in modo da reindirizzare gli scanner verso una pagina vuota e le vittime verso la pagina di phishing.
La nostra ricerca, pubblicata come Keitaro TDS: 1.500 pannelli esposti, identificato 1.565 vignette di Keitaro attive che ospita un'infrastruttura di phishing. Non 1.565 pagine di phishing — 1.565 pannelli di controllo, ciascuno dei quali gestisce contemporaneamente da decine a centinaia di campagne di phishing.

Altre piattaforme TDS che incontriamo includono:
- Binom — Tracker self-hosted molto diffuso nelle operazioni nella regione della CSI
- BeMob — Strumento di monitoraggio basato su cloud con filtraggio degli indirizzi IP e rilevamento dei bot
- Router PHP personalizzati — Script sviluppati internamente che utilizzano MaxMind GeoIP e liste di blocchi di indirizzi IP
- Cloudflare Workers — Routing basato sull’edge che valuta le caratteristiche dei visitatori prima ancora che la richiesta raggiunga il server di origine
Il denominatore comune: tutti questi siti esistono per mostrare contenuti diversi a visitatori diversi. Nel mondo del marketing di affiliazione, questo fenomeno viene definito “ottimizzazione del traffico”. Nel phishing, invece, viene chiamato evasione.
Abbiamo realizzato il Strumento di rilevamento Keitaro per individuare tracce di Keitaro TDS su qualsiasi dominio. Verifica la presenza di percorsi di pannelli noti, modelli di intestazioni di risposta, catene di reindirizzamenti e firme JavaScript associate alle installazioni di Keitaro.
Lo scenario del “reindirizzamento al sito web ufficiale”
Uno degli schemi di cloaking più comuni che riscontriamo è quello di un dominio che si limita a reindirizzare verso un sito web ufficiale. L'invito è sempre lo stesso: «Controlla tu stesso: rimanda semplicemente a coinbase.com. Non c'è nessun tentativo di phishing.»
Ecco cosa sta succedendo in realtà:
Il reindirizzamento al sito ufficiale non significa che il dominio sia innocuo. È proprio il meccanismo di occultamento stesso. Il TDS ha stabilito che il visitatore è uno scanner e che la risposta più sicura — quella che con maggiore probabilità garantirà una scansione pulita — consiste nel reindirizzarlo al sito web originale.
Ecco un esempio semplificato della logica lato server:
// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];
function routeVisitor(req) {
const ip = req.headers['cf-connecting-ip'];
const ua = req.headers['user-agent'];
const geo = req.headers['cf-ipcountry'];
// If scanner/bot detected: redirect to official site
if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
return Response.redirect('https://www.coinbase.com', 302);
}
// If not in target geography: show white page
if (!TARGET_GEO.includes(geo)) {
return renderWhitePage(); // Innocent blog post
}
// Real victim from target country: show phishing page
return renderPhishingPage(); // Credential harvester
} Nessun sito web legittimo reindirizza i visitatori verso il dominio di un'altra azienda. Se crypto-wallet-app[.]com reindirizza a coinbase.com, quel dominio non ha motivo di esistere. Una vera pagina di Coinbase sarebbe ospitata su coinbase.com. Il reindirizzamento è l'indizio.
Il problema delle pagine bianche
Una “pagina bianca” è il contenuto di copertura che un dominio di phishing camuffato mostra agli scanner e ai visitatori non mirati. Nonostante il nome, raramente si tratta di una pagina bianca vuota. Le pagine bianche moderne sono siti web perfettamente funzionanti progettato per sembrare autentico:
- Post sul blog riguardanti le criptovalute, la finanza o la tecnologia
- Pagine di destinazione dei prodotti per strumenti SaaS generici
- Articoli di cronaca tratti da testate autorevoli
- Pagine di domini inattivi con messaggi generici del tipo “presto disponibile”
- Contenuti ottimizzati per la SEO, pensati per posizionarsi nei risultati di ricerca
Quest'ultimo punto è fondamentale. Le "pagine bianche" non sono solo strumenti di evasione: sono Armi SEO. Ospitando contenuti di alta qualità su un dominio di phishing, gli operatori raggiungono due obiettivi contemporaneamente: eludono il rilevamento e così fanno in modo che l'autorità del dominio faccia sì che i loro link di phishing ottengano un posizionamento migliore nei risultati di ricerca.
L'attacco di avvelenamento SEO in tre fasi
Ecco il ciclo di vita completo di una campagna di phishing basata su "white page":
Autorità di costruzione
Classifica e indice
Attiva il phishing

Ecco perché segnaliamo i domini già nella Fase 1. Quando la Fase 3 entra in azione, il danno è già stato fatto. Aspettare che compaia la pagina di phishing significa aspettare che le vittime perdano le proprie credenziali e il proprio denaro.
Scenari di traffico attivo: annunci pubblicitari e campagne e-mail
Non tutte le tecniche di phishing mascherato si basano sulla ricerca organica. Due dei metodi più aggressivi per l'acquisizione di traffico sono pubblicità a pagamento e campagne via e-mail, che sfruttano entrambi la tecnica del cloaking per aggirare il controllo della piattaforma.
Cloaking in Google Ads
La nostra indagine sul Rete di drenaggio BUYTRX documentato Oltre 55 domini utilizzare Google Ads per indirizzare il traffico verso siti che prosciugano il portafoglio. Il meccanismo:
- L'operatore sottopone il dominio alla verifica di Google Ads. Il crawler di Google rileva la pagina bianca (un blog sulla tecnologia blockchain). Pubblicità approvata.
- La campagna pubblicitaria è in corso e punta sulle parole chiave “connect wallet” e “crypto airdrop”.
- Un utente di Google clicca sull'annuncio. TDS rileva un indirizzo IP residenziale proveniente da un referrer di Google Ads. È stato servito lo scolapasta.
- La vittima collega il proprio portafoglio. I fondi vengono sottratti in pochi secondi tramite una transazione pre-firmata.
Il sistema di controllo degli annunci di Google — come ogni scanner automatizzato — vede solo la pagina bianca. L’annuncio continua a essere pubblicato, mentre l’operatore continua a pagare Google per ogni vittima che gli viene indirizzata.
Mascheramento delle campagne e-mail
I gateway di posta elettronica (Microsoft Defender per Office 365, Proofpoint, Mimecast) analizzano i link presenti nelle e-mail prima della consegna. Cloaking gestisce questa operazione allo stesso modo:
- L'e-mail di phishing contiene un link a un dominio mascherato.
- Il gateway e-mail esegue la scansione dell'URL. Il TDS lato server riconosce l'intervallo di indirizzi IP del gateway. Restituisce la pagina bianca o un reindirizzamento al sito ufficiale. L'e-mail è stata inviata.
- Il destinatario clicca sul link dal proprio client di posta elettronica. IP residenziale, referrer corretto, area geografica di destinazione. Pagina di phishing visualizzata.
Solo nell’ambito dell’indagine BUYTRX, Google Ads stava finanziando attivamente la diffusione di programmi per lo svuotamento dei portafogli su oltre 55 domini. Ciascun dominio superava la revisione automatica di Google poiché al crawler di Google veniva mostrata una pagina vuota. Non si tratta di una scappatoia, bensì di un difetto strutturale nel modo in cui le piattaforme pubblicitarie convalidano le pagine di destinazione in presenza di tecniche di cloaking.
Perché il principio “innocente fino a prova contraria” non si applica in questo caso
A volte sentiamo sostenere che segnalare un dominio sulla base di un’infrastruttura di cloaking sia prematuro, e che dovremmo aspettare che compaiano i contenuti di phishing veri e propri prima di intervenire. Questa argomentazione fraintende il concetto stesso di cloaking.
Il cloaking non è una tecnologia neutra. È infrastruttura antagonista progettato specificatamente per eludere il rilevamento. Un dominio che ricorre al cloaking ha già dichiarato il proprio intento: mostrare una cosa ai sistemi di sicurezza e un’altra alle vittime. Non si tratta di una configurazione che persegua alcuno scopo legittimo.
Qualsiasi dominio che presenti qualsiasi combinazione di questi segnali viene segnalato come dannoso:
- Pubblicazione di contenuti condizionali — Contenuti diversi in base all'IP, all'UA, alla posizione geografica, al referrer o all'impronta digitale del dispositivo
- Impronte digitali TDS — Keitaro, Binom, BeMob o firme personalizzate dei router nelle intestazioni di risposta, nelle catene di reindirizzamento o in JavaScript
- Reindirizzamento ai siti ufficiali — Qualsiasi reindirizzamento verso un dominio legittimo di terze parti (in particolare di istituti bancari, piattaforme di criptovalute o provider di posta elettronica)
- Pagina bianca con contenuti non pertinenti — Post di blog, articoli di cronaca o contenuti generici presenti su un dominio registrato di recente e privo di una presenza commerciale consolidata
- JavaScript anti-bot — Script di fingerprinting che verificano la presenza di browser headless, WebDriver, le dimensioni dello schermo o il rendering su canvas prima di decidere cosa visualizzare
Nel nostro set di dati, composto da oltre 50.000 siti analizzati, il numero di domini che presentavano questi segnali e che si sono rivelati legittimi è zero. Non “raro” — zero. Non abbiamo mai riscontrato un solo sito web legittimo che avesse bisogno di reindirizzare i visitatori non mirati verso il dominio di un’altra azienda, o di mostrare un blog sulle criptovalute agli scanner mentre presentava un modulo di accesso ai visitatori provenienti da specifici intervalli IP.
Il cloaking è un segnale binario. Se un dominio mostra contenuti diversi a visitatori diversi utilizzando i meccanismi sopra descritti, viene segnalato. Se un operatore ritiene che si tratti di un falso positivo, il nostro procedura di ricorso è stato creato proprio a questo scopo. Ad oggi, nessun reclamo relativo a un flag di cloaking è stato accolto.
Il problema del cancelliere
Il cloaking crea un problema a valle per la segnalazione degli abusi. Quando segnaliamo un dominio cloaked a un registrar, il team addetto agli abusi del registrar visita l’URL e vede… una pagina pulita. Un post sul blog. Un reindirizzamento a coinbase.com. Dal loro punto di vista, non c’è nulla su cui intervenire.
Questo è esattamente lo scenario che si è verificato nel nostro Indagine su NiceNIC e il nostro Inchiesta "NameSilo". In entrambi i casi, i registrar hanno verificato i domini segnalati, hanno constatato che i contenuti erano in regola e hanno quindi archiviato il caso oppure hanno difeso attivamente il gestore del dominio.
Il problema è di natura sistemica:
- I team che si occupano degli abusi dei registrar utilizzano gli stessi metodi di scansione dei fornitori di antivirus — visitano l’URL da indirizzi IP dei data center utilizzando browser standard. Il cloaking riesce ogni volta a sventare questo tentativo.
- Nessun registrar ha investito nella rilevazione del cloaking — La tecnologia per rilevare la distribuzione di contenuti condizionati esiste (l'abbiamo sviluppata noi), ma nessun registrar l'ha implementata.
- Il quadro normativo dell’ICANN in materia di abusi non tiene conto del cloaking — Le segnalazioni di abusi richiedono prove della presenza di contenuti dannosi. Se tali contenuti vengono mostrati solo alle vittime, il processo di verifica interno del registrar non riuscirà mai a individuarli.
Abbiamo documentato ampiamente questo fenomeno. Il nostro rapporto Quando le segnalazioni di abusi non portano a nulla spiega in dettaglio come i registrar non intervengano sistematicamente sui domini nascosti perché i loro metodi di verifica sono proprio quelli che il cloaking è progettato per aggirare.
Ecco perché PhishDestroy opera come livello indipendente. Non ci limitiamo a visitare l’URL da un singolo indirizzo IP per verificare cosa viene visualizzato. Analizziamo catene di reindirizzamento, impronte TDS, comportamento JavaScript, cronologia DNS, registri di trasparenza dei certificati e modelli temporali su migliaia di domini. Quando segnaliamo un dominio, abbiamo già tenuto conto del fatto che il dominio apparirà pulito a chiunque lo controlli nel modo più ovvio.
Sintesi: Tecniche di occultamento e rilevamento
| Tecnica | Cosa vedono gli scanner | Cosa vedono le vittime | Metodo di rilevamento |
|---|---|---|---|
| Filtraggio basato su IP | Pagina bianca / reindirizzamento | Pagina di phishing | Scansione multi-IP, confronto tra proxy residenziali |
| Filtraggio basato su UA | Pagina bianca / 403 | Pagina di phishing | Rotazione UA, confronto tra browser headless e browser reali |
| Filtraggio basato sulla posizione geografica | Contenuto generico | Phishing localizzato | Scansione proxy multiregione |
| Filtraggio dei referrer | Pagina bianca | Phishing (tramite annunci pubblicitari/e-mail) | Falsificazione del referrer, simulazione di clic sugli annunci |
| Fingerprinting JS | Pagina bianca (bot rilevato) | Phishing (dispositivo reale) | Analisi statica di JavaScript, deoffuscamento |
| Regole basate sul tempo | Pulizia (fuori orario) | Phishing (orari di lavoro) | Scansione temporale, controlli allineati al fuso orario |
| Controllo tramite cookie/sessione | Pulizia (prima visita) | Phishing (nuova visita con cookie) | Analisi delle sessioni con più visite, riproduzione dei cookie |
| TDS (Keitaro/Binom) | Pagina bianca o reindirizzamento | Reindirizzato a un sito di phishing | Strumento di rilevamento Keitaro, analisi delle intestazioni e dei reindirizzamenti |
| Reindirizzamento dal sito ufficiale | 302 → sito legittimo | Pagina di phishing | Analisi della destinazione dei reindirizzamenti, verifica della finalità del dominio |

Conclusione
Il cloaking non è una zona grigia. È il la tecnica di elusione più efficace in assoluto nel phishing moderno, e ogni componente dell'ecosistema del phishing — da Google Ads ai gateway di posta elettronica fino ai team preposti alla gestione degli abusi dei registrar — non sta attualmente riuscendo a contrastarlo.
Quando PhishDestroy segnala un dominio per cloaking, non si tratta di una semplice ipotesi. Stiamo documentando la presenza di un’infrastruttura malevola che esiste per un unico scopo: mostrare contenuti diversi a visitatori diversi. In oltre 50.000 scansioni, il tasso di falsi positivi per questo segnale è pari a zero.
Se il tuo dominio è stato segnalato:
- Se sei un operatore in regola e ritieni che si tratti di un falso positivo, presentare ricorso. Li esaminiamo tutti.
- Se gestite un'infrastruttura di cloaking, lo sappiamo già. La pagina bianca che avete mostrato al nostro scanner non è quella che vedono le vostre vittime. E abbiamo le prove per dimostrarlo.
La pagina bianca non è una difesa. È una confessione. Se il tuo dominio deve mostrare contenuti diversi a visitatori diversi, hai già risposto alla domanda se sia malevolo o meno.
Ogni dominio occultato viene bannato. Senza eccezioni. Nessun ricorso ha avuto esito positivo. Perché in 50.000 scansioni non abbiamo mai sbagliato su questo segnale.
Ricerca e risorse correlate
Keitaro TDS: 1.500 pannelli esposti
Come abbiamo individuato 1.565 pannelli Keitaro che alimentano infrastrutture di phishing in tutto il mondo.
Strumento di rilevamento Keitaro
Esegui una scansione su qualsiasi dominio alla ricerca di impronte Keitaro TDS, catene di reindirizzamento e firme di cloaking.
BUYTRX: 55 domini, finanziamento tramite Google Ads
Una rete di "wallet drainer" che utilizza pagine bianche nascoste per superare la verifica di Google Ads.
Quando le segnalazioni di abusi non portano a nulla
Perché i team preposti alla lotta agli abusi dei registrar non intervengono sui domini occultati e cosa occorre cambiare.
Il verdetto di NiceNIC
Denuncia dell'ICANN contro NiceNIC per la sistematica mancata gestione delle segnalazioni di abuso.
Indagine "NameSilo"
Come NameSilo ha difeso un ladro di criptovalute che aveva rubato 2 milioni di dollari e ha inventato una storia di copertura.
Questo articolo si basa sulla nostra esperienza operativa maturata nell'analisi di oltre 50.000 domini, nell'indagine su infrastrutture di phishing attive e nella segnalazione di abusi ai registrar e all'ICANN. Tutte le tecniche descritte sono documentate con prove concrete. In nessuna fase della nostra ricerca è stato effettuato alcun accesso non autorizzato.



