Por que bloqueamos as “páginas em branco” e redirecionamos para sites oficiais: O problema do cloaking explicado
Cloaking, páginas em branco e redirecionamentos TDS são a espinha dorsal da infraestrutura moderna de phishing. Todo site que os utiliza é banido. Veja a seguir o motivo — e o que descobrimos quando olhamos por trás das cortinas.

A pergunta que sempre nos fazem
Todas as semanas, recebemos o mesmo apelo: “Vocês sinalizaram meu domínio, mas, quando eu verifico, ele simplesmente redireciona para o site oficial. Não há nada malicioso aqui.”
Ou uma variação: “A página é apenas uma postagem de blog sobre criptomoedas. Não é phishing.”
Entendemos por que isso pode causar confusão. Se você acessar um domínio que foi sinalizado e encontrar uma página perfeitamente normal — ou um redirecionamento correto para um site legítimo —, é natural supor que a sinalização esteja errada. Mas essa página correta não é um erro em nossa detecção. É o ataque.
Este artigo explica a tecnologia por trás do cloaking, por que existem as “páginas brancas”, como os TDS, como o Keitaro, direcionam as vítimas e por que PhishDestroy trata cada um desses padrões como infraestrutura maliciosa confirmada — sem nenhuma exceção.
Se você está lendo isto porque seu domínio foi sinalizado e acredita que se trata de um erro, recomendamos que leia até o fim. Também mantemos um processo de recurso para falsos positivos legítimos. Mas, segundo nossa experiência, os domínios que apresentam comportamento de cloaking são maliciosos em 100% dos casos.
Como os sistemas antivírus mudaram o jogo
Há uma década, o phishing era simples. Um invasor registrava um domínio, criava uma página de login falsa e enviava o link às vítimas. As empresas de segurança acabavam rastreando essa URL, identificavam a página de phishing e a adicionavam às listas de bloqueio. O domínio era desativado em questão de horas ou dias.
Então, o setor melhorou. O Google Safe Browsing, o Microsoft SmartScreen e mais de 100 mecanismos antivírus em plataformas como o VirusTotal passaram a verificar URLs quase em tempo real. Os alertas no próprio navegador reduziram drasticamente as taxas de cliques. Os provedores de hospedagem implementaram Pipeline automatizados de remoção. O intervalo de tempo entre o momento em que uma página de phishing era publicada e o momento em que era bloqueada diminuiu de dias para minutos.
Os autores de golpes de phishing enfrentavam um problema: suas páginas estavam sendo detectadas mais rapidamente do que conseguiam colocá-las no ar. Eles precisavam de uma maneira de exibir o conteúdo do golpe às vítimas reais, ao mesmo tempo em que parecessem completamente inofensivos para todos os sistemas automatizados que tentavam detectá-los.
A resposta foi camuflagem.

O phishing moderno não é descoberto porque a página de phishing é difícil de detectar. Ele consegue passar despercebido porque o scanner nem sequer detecta a página de phishing. O scanner detecta uma postagem de blog, um redirecionamento ou uma página em branco. A vítima — que está acessando a partir de um país específico, em um dispositivo móvel, por meio de um anúncio pago — vê o programa de coleta de credenciais.
O que é, na verdade, o cloaking
O cloaking é a prática de apresentar conteúdos diferentes a visitantes distintos, dependendo de quem eles são. No contexto do phishing, isso significa uma coisa: Os scanners de segurança veem uma página inofensiva, enquanto as vítimas reais veem a página de phishing.
A filtragem pode ocorrer em vários níveis:
- Reputação de IP — Os endereços IP conhecidos de data centers, intervalos de VPN e blocos de IP de fornecedores de segurança recebem a versão limpa. Os endereços IP residenciais recebem a página de phishing.
- Strings de User-Agent — Navegadores sem interface gráfica, rastreadores conhecidos (Googlebot, bingbot, Screaming Frog) e scanners de segurança são identificados e filtrados.
- Geolocalização — A página de phishing é exibida apenas para visitantes dos países-alvo. Todos os demais veem a página em branco.
- Cabeçalhos de Referrer — Somente os visitantes que chegam por meio de fontes específicas (um anúncio do Google, um link em um e-mail de phishing, uma postagem nas redes sociais) veem o conteúdo real.
- Identificação de dispositivos — O JavaScript verifica a resolução da tela, as fontes instaladas, o renderizador WebGL, a API da bateria e outros sinais para distinguir dispositivos reais de emuladores.
- Regras baseadas no tempo — A página de phishing fica ativa apenas durante horários específicos (por exemplo, horário comercial no fuso horário de destino) e, fora desses horários, exibe por padrão a página em branco.
- Rastreamento por cookies/sessões — Na primeira visita, é exibida a página em branco. Visitantes recorrentes com um cookie específico (definido ao clicar no anúncio) veem a página de phishing.

Uma configuração sofisticada de camuflagem combina todos esses elementos. O resultado é um domínio que parece totalmente limpo para todos os scanners da internet, ao mesmo tempo em que rouba ativamente credenciais das vítimas visadas.
Quando o VirusTotal analisa uma URL mascarada, ele exibe uma página em branco. Resultado: 0/93 detecções. O Google Safe Browsing rastreia o site e encontra uma postagem no blog. Resultado: sem aviso prévio. A vítima clica no mesmo URL no celular a partir de um anúncio do Google: eles veem uma página falsa de login do MetaMask. Não se trata de um problema teórico — é o modelo operacional padrão do phishing moderno.
As ferramentas por trás do engano
O cloaking não é improvisado. Ele funciona por meio de um software comercial especializado chamado Sistemas de Distribuição de Tráfego (TDS). O mais utilizado em operações de phishing é Keitaro.
O Keitaro é um produto legítimo de tecnologia de publicidade, desenvolvido para profissionais de marketing de afiliados direcionarem o tráfego com base nas características dos visitantes. Ele oferece suporte a todos os critérios de filtragem listados acima — intervalos de IP, localização geográfica, dispositivo, referenciador e user-agent — de forma pronta para uso. Os operadores de phishing simplesmente o configuram para direcionar os scanners para uma página em branco e as vítimas para a página de phishing.
Nossa investigação, publicada como Keitaro TDS: 1.500 painéis expostos, identificado 1.565 painéis ativos do Keitaro que hospeda uma infraestrutura de phishing. Não são 1.565 páginas de phishing — são 1.565 painéis de controle, cada um deles gerenciando dezenas a centenas de campanhas de phishing simultaneamente.

Outras plataformas de TDS que encontramos incluem:
- Binom — Rastreador auto-hospedado popular em operações na região da CEI
- BeMob — Rastreador baseado na nuvem com filtragem de IP e detecção de bots
- Roteadores PHP personalizados — Scripts desenvolvidos internamente que utilizam o MaxMind GeoIP e listas de bloqueio de IPs
- Cloudflare Workers — Roteamento baseado em edge que avalia os atributos do visitante antes mesmo que a solicitação chegue ao servidor de origem
O denominador comum: todos eles existem para exibir conteúdos diferentes para visitantes diferentes. No mundo do marketing de afiliados, isso é chamado de “otimização de tráfego”. No phishing, é chamado de evasão.
Nós construímos o Ferramenta de Detecção Keitaro para identificar indícios do Keitaro TDS em qualquer domínio. Ele verifica caminhos de painéis conhecidos, padrões de cabeçalhos de resposta, cadeias de redirecionamento e assinaturas de JavaScript associadas a instalações do Keitaro.
O cenário do “redirecionamento do site oficial”
Um dos padrões de cloaking mais comuns que encontramos é um domínio que simplesmente redireciona para um site oficial. O apelo é sempre o mesmo: “Confira você mesmo — o link leva diretamente ao site coinbase.com. Não é nenhum golpe de phishing.”
Eis o que está realmente acontecendo:
O redirecionamento para o site oficial não significa que o domínio seja inofensivo. É o próprio mecanismo de camuflagem. O TDS determinou que o visitante é um scanner, e a resposta mais segura — aquela com maior probabilidade de resultar em uma verificação sem problemas — é redirecioná-lo para o site verdadeiro.
Aqui está um exemplo simplificado da lógica do lado do servidor:
// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];
function routeVisitor(req) {
const ip = req.headers['cf-connecting-ip'];
const ua = req.headers['user-agent'];
const geo = req.headers['cf-ipcountry'];
// If scanner/bot detected: redirect to official site
if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
return Response.redirect('https://www.coinbase.com', 302);
}
// If not in target geography: show white page
if (!TARGET_GEO.includes(geo)) {
return renderWhitePage(); // Innocent blog post
}
// Real victim from target country: show phishing page
return renderPhishingPage(); // Credential harvester
} Nenhum site legítimo redireciona os visitantes para o domínio de outra empresa. Se crypto-wallet-app[.]com redireciona para coinbase.com, esse domínio não tem motivo para existir. Uma página verdadeira da Coinbase estaria hospedada em coinbase.com. O redirecionamento é o indício.
O Problema da Página Branca
Uma “página em branco” é o conteúdo falso que um domínio de phishing camuflado exibe para scanners e visitantes que não são o público-alvo. Apesar do nome, raramente se trata de uma página branca em branco. As páginas em branco modernas são sites totalmente funcionais criado para parecer legítimo:
- Postagens de blog sobre criptomoedas, finanças ou tecnologia
- Páginas de destino de produtos para ferramentas SaaS genéricas
- Artigos de notícias extraídos de publicações confiáveis
- Páginas de domínios em espera com mensagens genéricas do tipo “em breve”
- Conteúdo otimizado para SEO, projetado para aparecer nos resultados de busca
Esse último ponto é fundamental. As páginas em branco não são apenas ferramentas de evasão — elas são Armas de SEO. Ao hospedar conteúdo de alta qualidade em um domínio de phishing, os operadores alcançam dois objetivos ao mesmo tempo: eles evitam a detecção e eles criam autoridade de domínio, o que faz com que seus links de phishing apareçam em posições mais altas nos resultados de busca.
O ataque de envenenamento de SEO em três fases
Este é o ciclo de vida completo de uma campanha de phishing baseada em “white page”:
Autoridade de Construção
Classificação e Índice
Ativar phishing

É por isso que sinalizamos os domínios na Fase 1. Quando a Fase 3 é ativada, o dano já está feito. Esperar que a página de phishing apareça significa esperar que as vítimas percam suas credenciais e seu dinheiro.
Cenários de tráfego ativo: anúncios e campanhas por e-mail
Nem todo phishing dissimulado depende da pesquisa orgânica. Dois dos métodos mais agressivos de aquisição de tráfego são publicidade paga e campanhas por e-mail, sendo que ambas utilizam técnicas de camuflagem para contornar a revisão da plataforma.
Ocultação no Google Ads
Nossa investigação sobre o Rede de drainer BUYTRX documentado Mais de 55 domínios usar o Google Ads para direcionar tráfego para sites que esvaziam a carteira. O mecanismo:
- O operador envia o domínio para análise no Google Ads. O rastreador do Google encontra a página em branco (um blog sobre tecnologia blockchain). Anúncio aprovado.
- A campanha publicitária é veiculada com foco nas palavras-chave “connect wallet” e “crypto airdrop”.
- Um usuário do Google clica no anúncio. A TDS detecta um endereço IP residencial proveniente de um referenciador do Google Ads. Servido o prato que esvazia a carteira.
- A vítima conecta sua carteira. Os ativos são desviados em questão de segundos por meio de uma transação pré-assinada.
O sistema de revisão de anúncios do Google — assim como qualquer scanner automatizado — vê apenas a página em branco. O anúncio continua sendo exibido, e o operador continua pagando ao Google por cada vítima direcionada.
Ocultação de campanhas por e-mail
Os gateways de e-mail (Microsoft Defender para Office 365, Proofpoint, Mimecast) verificam os links nos e-mails antes da entrega. O Cloaking faz isso da mesma maneira:
- O e-mail de phishing contém um link para um domínio oculto.
- O gateway de e-mail verifica a URL. O TDS do lado do servidor reconhece o intervalo de IPs do gateway. Retorna a página em branco ou um redirecionamento para o site oficial. E-mail enviado.
- O destinatário clica no link a partir do seu cliente de e-mail. IP residencial, referenciador correto, localização geográfica do destino. Página de phishing exibida.
Somente na investigação BUYTRX, o Google Ads estava financiando ativamente a distribuição de programas que esvaziam carteiras em mais de 55 domínios. Cada domínio foi aprovado na análise automatizada do Google porque o rastreador do Google visualizou uma página em branco. Isso não é uma brecha — é uma falha estrutural na forma como as plataformas de publicidade validam as páginas de destino quando há cloaking.
Por que o princípio de “inocente até que se prove o contrário” não se aplica neste caso
Às vezes ouvimos o argumento de que sinalizar um domínio com base em uma infraestrutura de cloaking é prematuro — que deveríamos esperar que o conteúdo de phishing propriamente dito apareça antes de tomar medidas. Esse argumento interpreta erroneamente o que é cloaking.
A camuflagem não é uma tecnologia neutra. É infraestrutura adversária projetado especificamente para burlar a detecção. Um domínio que utiliza técnicas de camuflagem já declarou sua intenção: mostrar uma coisa aos sistemas de segurança e outra às vítimas. Essa não é uma configuração que atenda a qualquer finalidade legítima.
Qualquer domínio que apresente qualquer combinação destes sinais é sinalizado como malicioso:
- Exibição condicional de conteúdo — Conteúdo diferente com base no endereço IP, no UA, na localização geográfica, na página de origem ou na impressão digital do dispositivo
- Impressões digitais do TDS — Keitaro, Binom, BeMob ou assinaturas personalizadas de roteadores nos cabeçalhos de resposta, cadeias de redirecionamento ou JavaScript
- Redirecionar para os sites oficiais — Qualquer redirecionamento para um domínio legítimo de terceiros (especialmente bancos, plataformas de criptomoedas ou provedores de e-mail)
- Página em branco com conteúdo não relacionado — Postagens em blogs, artigos de notícias ou conteúdo genérico em um domínio registrado recentemente, sem presença comercial comprovada
- JavaScript anti-bot — Identificação de scripts que verificam a presença de navegadores sem interface gráfica, WebDriver, dimensões da tela ou renderização em canvas antes de decidir o que exibir
Em nosso conjunto de dados com mais de 50.000 sites analisados, o número de domínios que apresentavam esses sinais e que se revelaram legítimos é zero. Não é “raro” — é zero. Nunca encontramos um único site legítimo que precisasse redirecionar visitantes não-alvo para o domínio de outra empresa, ou exibir um blog sobre criptomoedas para scanners enquanto exibia um formulário de login para visitantes de faixas de IP específicas.
O cloaking é um sinal binário. Se um domínio exibir conteúdo diferente para visitantes distintos utilizando os mecanismos descritos acima, ele será sinalizado. Se um operador acreditar que se trata de um falso positivo, nosso processo de recurso existe exatamente para esse fim. Até o momento, nenhum recurso contra uma marcação relacionada à ocultação foi deferido.
O Problema do Registrador
O cloaking gera um problema a jusante para as denúncias de abuso. Quando denunciamos um domínio com cloaking a um registrador, a equipe de abuso do registrador acessa a URL e vê… uma página limpa. Uma postagem de blog. Um redirecionamento para coinbase.com. Do ponto de vista deles, não há nada que justifique uma ação.
Esse é exatamente o cenário que se desenrolou em nosso Investigação sobre a NiceNIC e o nosso Investigação do NameSilo. Em ambos os casos, os registradores verificaram os domínios denunciados, constataram que o conteúdo era adequado e, então, encerraram o caso ou defenderam ativamente o operador do domínio.
O problema é sistêmico:
- As equipes de combate a abusos dos registradores utilizam os mesmos métodos de varredura que os fornecedores de antivírus — eles acessam a URL a partir de endereços IP do data center usando navegadores comuns. O cloaking sempre contorna isso.
- Nenhum registrador investiu em sistemas de detecção de cloaking — a tecnologia para detectar a veiculação de conteúdo condicional existe (fomos nós que a desenvolvemos), mas nenhum registrador a implementou.
- A estrutura de combate a abusos da ICANN não leva em conta o cloaking — as denúncias de abuso exigem provas da existência de conteúdo prejudicial. Se o conteúdo prejudicial for exibido apenas às vítimas, o próprio processo de verificação do registrador nunca o detectará.
Documentamos esse padrão de forma detalhada. Nosso relatório Quando as denúncias de abuso não dão em nada explica como os registradores sistematicamente deixam de tomar medidas em relação a domínios ocultos, pois seus métodos de verificação são exatamente o que a técnica de ocultação foi projetada para contornar.
É por isso que o PhishDestroy existe como uma camada independente. Não nos limitamos a acessar a URL a partir de um único IP e verificar o que ela exibe. Analisamos cadeias de redirecionamento, impressões digitais TDS, comportamento de JavaScript, histórico de DNS, registros de transparência de certificados e padrões temporais em milhares de domínios. Quando sinalizamos um domínio, já levamos em conta o fato de que ele parecerá limpo para qualquer pessoa que o verifique da maneira óbvia.
Resumo: Técnicas de camuflagem e detecção
| Técnica | O que os scanners veem | O que as vítimas veem | Método de detecção |
|---|---|---|---|
| Filtragem baseada em IP | Página em branco / redirecionamento | Página de phishing | Varredura com vários endereços IP, comparação de proxies residenciais |
| Filtragem baseada em UA | Página em branco / 403 | Página de phishing | Rotação de UA: comparação entre modo headless e navegador real |
| Filtragem baseada na localização | Conteúdo genérico | Phishing localizado | Varredura de proxies em várias regiões |
| Filtragem de referenciadores | Página em branco | Phishing (por meio de anúncios/e-mails) | Falsificação de referenciador, simulação de cliques em anúncios |
| Identificação por impressão digital em JavaScript | Página em branco (bot detectado) | Phishing (dispositivo real) | Análise estática de JavaScript, desofuscação |
| Regras baseadas no tempo | Limpeza (fora do horário comercial) | Phishing (horário comercial) | Varredura temporal, verificações alinhadas ao fuso horário |
| Controle de acesso por cookies/sessão | Limpo (primeira visita) | Phishing (nova visita com cookie) | Análise de sessões com múltiplas visitas, reprodução de cookies |
| TDS (Keitaro/Binom) | Página em branco ou redirecionamento | Redirecionado para um site de phishing | Ferramenta de Detecção Keitaro, análise de cabeçalhos/redirecionamentos |
| Redirecionamento do site oficial | 302 → site legítimo | Página de phishing | Análise do destino do redirecionamento, validação da finalidade do domínio |

Conclusão
O cloaking não é uma área cinzenta. É o a técnica de evasão mais eficaz de todas no phishing moderno, e todos os componentes do ecossistema de phishing — desde o Google Ads até os gateways de e-mail e as equipes de combate a abusos dos registradores — estão, atualmente, falhando em lidar com isso.
Quando o PhishDestroy sinaliza um domínio por cloaking, não estamos fazendo suposições. Estamos documentando a presença de uma infraestrutura maliciosa que existe com um único objetivo: exibir conteúdos diferentes para visitantes diferentes. Em mais de 50.000 varreduras, a taxa de falsos positivos para esse sinal é zero.
Se o seu domínio foi sinalizado:
- Se você é um operador legítimo e acredita que se trata de um falso positivo, apresentar um recurso. Analisamos cada um deles.
- Se você estiver operando uma infraestrutura de cloaking, nós já sabemos disso. A página em branco que você mostrou ao nosso scanner não é o que suas vítimas veem. E temos as provas para comprovar isso.
A página em branco não é uma defesa. É uma confissão. Se o seu domínio precisa exibir conteúdos diferentes para visitantes diferentes, você já respondeu à pergunta sobre se ele é malicioso.
Todo domínio camuflado é banido. Sem exceções. Nenhum recurso foi aceito. Pois, em 50.000 varreduras, nunca nos equivocamos quanto a esse sinal.
Pesquisas e recursos relacionados
Keitaro TDS: 1.500 painéis expostos
Como mapeamos 1.565 painéis Keitaro que alimentam a infraestrutura de phishing em todo o mundo.
Ferramenta de Detecção Keitaro
Verifique qualquer domínio em busca de marcas de identificação do Keitaro TDS, cadeias de redirecionamento e assinaturas de camuflagem.
BUYTRX: 55 domínios, financiamento do Google Ads
Uma rede de drenagem de carteiras que utiliza páginas brancas camufladas para passar pela análise do Google Ads.
Quando as denúncias de abuso não dão em nada
Por que as equipes de combate a abusos dos registradores não tomam medidas em relação aos domínios ocultos e o que precisa mudar.
Veredicto da NiceNIC
Ação movida pela ICANN contra a NiceNIC por omissão sistemática em tomar medidas em relação a denúncias de abuso.
Investigação do NameSilo
Como a NameSilo defendeu um ladrão de criptomoedas que roubou US$ 2 milhões e inventou uma história para encobrir o caso.
Este artigo baseia-se em nossa experiência operacional na análise de mais de 50.000 domínios, na investigação de infraestruturas ativas de phishing e na apresentação de denúncias de abuso junto a registradores e à ICANN. Todas as técnicas descritas estão documentadas com evidências. Não foi realizado nenhum acesso não autorizado em nenhum momento durante nossa pesquisa.



