Почему мы блокируем «белые страницы» и перенаправляем пользователей на официальные сайты: Объяснение проблемы маскировки
Клокинг, «белые страницы» и перенаправления TDS составляют основу современной фишинговой инфраструктуры. Любой сайт, использующий эти методы, подвергается блокировке. Вот почему — и что мы обнаруживаем, заглянув за кулисы.
Вопрос, который нам постоянно задают
Каждую неделю мы получаем одну и ту же просьбу: «Вы занесли мой домен в черный список, но когда я его проверяю, он просто перенаправляет на официальный сайт. Здесь нет ничего вредоносного».
Или другой вариант: «Это просто запись в блоге о криптовалюте. Это не фишинг».
Мы понимаем, почему это может сбивать с толку. Если вы заходите на домен, который был помечен, и видите вполне обычную страницу — или чистый перенаправление на легитимный сайт — вполне естественно предположить, что пометка была поставлена ошибочно. Но эта «чистая» страница не является ошибкой в нашей системе обнаружения. Это нападение.
В этой статье рассказывается о технологиях, лежащих в основе маскировки, о том, почему существуют «белые страницы», как системы распределения трафика (TDS), такие как Keitaro, направляют трафик жертв, и почему PhishDestroy рассматривает каждую из этих схем как подтвержденную вредоносную инфраструктуру — без единого исключения.
Если вы читаете это сообщение, потому что ваш домен был помечен, и вы считаете, что это произошло по ошибке, мы рекомендуем вам дочитать его до конца. Мы также ведем процедура обжалования для обоснованных ложных срабатываний. Однако, по нашему опыту, домены, демонстрирующие поведение маскировки, в 100 % случаев являются вредоносными.
Как антивирусные системы изменили правила игры
Десять лет назад фишинг был простым делом. Злоумышленник регистрировал домен, размещал на нем поддельную страницу входа в систему и отправлял ссылку жертвам. В конечном итоге специалисты по информационной безопасности сканировали этот URL, обнаруживали фишинговую страницу и добавляли её в списки заблокированных адресов. Домен переставал существовать в течение нескольких часов или дней.
Затем ситуация в отрасли улучшилась. Сервис Google Safe Browsing, технология Microsoft SmartScreen и более 100 антивирусных движков на таких платформах, как VirusTotal, начали сканировать URL-адреса практически в режиме реального времени. Предупреждения на уровне браузера резко снизили количество переходов по ссылкам. Хостинг-провайдеры запустили автоматизированные механизмы удаления вредоносных ресурсов. Время между появлением фишинговой страницы в сети и её блокировкой сократилось с нескольких дней до нескольких минут.
У фишеров возникла проблема: их страницы блокировались быстрее, чем они успевали их запускать. Им нужен был способ показывать фишинговый контент реальным жертвам, при этом выглядя совершенно безобидным для всех автоматизированных систем, пытающихся их обнаружить.
Ответ был маскировка.
Современные фишинговые атаки остаются незамеченными не потому, что фишинговую страницу трудно обнаружить. Они остаются безнаказанными, потому что сканер вообще не видит фишинговую страницу. Сканер обнаруживает запись в блоге, перенаправление или пустую страницу. Жертва — пользователь, заходящий с мобильного устройства из определенной страны через платную рекламу — видит программу для сбора учетных данных.
Что такое клоакинг на самом деле
Клоакинг — это практика предоставления разного контента разным посетителям в зависимости от того, кто они. В контексте фишинга это означает одно: Сканеры безопасности видят безобидную страницу, а настоящие жертвы — фишинговую страницу.
Фильтрация может осуществляться на нескольких уровнях:
- Репутация IP-адреса — Известные IP-адреса центров обработки данных, диапазоны VPN и IP-блоки поставщиков решений безопасности получают «чистую» версию. А IP-адреса частных пользователей — фишинговую страницу.
- Строки User-Agent — Браузеры без интерфейса, известные поисковые роботы (Googlebot, Bingbot, Screaming Frog) и сканеры безопасности выявляются и отфильтровываются.
- Геолокация — Фишинговая страница отображается только посетителям из целевых стран. Все остальные видят пустую страницу.
- Заголовки Referrer — Только посетители, перешедшие по ссылкам из определенных источников (реклама Google, ссылка в фишинговом письме, пост в социальной сети), видят реальный контент.
- Идентификация устройств по отпечаткам — JavaScript проверяет разрешение экрана, установленные шрифты, рендерер WebGL, API батареи и другие параметры, чтобы отличить реальные устройства от эмуляторов.
- Правила, зависящие от времени — Фишинговая страница работает только в определенные часы (например, в рабочее время в целевом часовом поясе), а вне этих временных интервалов по умолчанию отображается пустая страница.
- Отслеживание файлов cookie и сеансов — При первом посещении отображается пустая страница. Повторные посетители, у которых есть определенный файл cookie (созданный при нажатии на рекламу), видят фишинговую страницу.
Сложная схема маскировки объединяет в себе все эти элементы. В результате получается домен, который выглядит абсолютно чистым для любого сканера в Интернете, при этом активно похищая учетные данные целевых жертв.
Когда VirusTotal сканирует замаскированный URL-адрес, он видит пустую страницу. Результат: 0 из 93 обнаружений. Сервис «Безопасный просмотр» от Google сканирует сайт и обнаруживает запись в блоге. Результат: без предупреждения. Пострадавший нажимает на тот же URL-адрес на своём телефоне из рекламного объявления Google: они видят поддельный экран входа в MetaMask. Это не теоретическая проблема — это стандартная схема действий, используемая в современном фишинге.
Инструменты, стоящие за обманом
Маскировка не является импровизацией. Она осуществляется с помощью специального коммерческого программного обеспечения под названием Системы распределения трафика (TDS). Наиболее широко используемым в фишинговых операциях является Кейтаро.
Keitaro — это полноценный продукт в сфере рекламных технологий, разработанный для партнеров по аффилиат-маркетингу с целью перенаправления трафика в зависимости от характеристик посетителей. Он изначально поддерживает все перечисленные выше критерии фильтрации — диапазоны IP-адресов, географическое положение, тип устройства, реферер, пользовательский агент. Злоумышленники, занимающиеся фишингом, просто настраивают его таким образом, чтобы сканеры перенаправлялись на пустую страницу, а жертвы — на фишинговую страницу.
Наше исследование, опубликованное в виде Кейтаро TDS: 1 500 панелей, выявленный 1 565 активных комиксов о Кэйтаро обслуживающая фишинговую инфраструктуру. Не 1 565 фишинговых страниц — а именно 1 565 панели управления, каждый из которых одновременно управляет от нескольких десятков до сотен фишинговых кампаний.
К другим платформам TDS, с которыми мы сталкиваемся, относятся:
- Бином — Самостоятельно размещаемый трекер, популярный в операциях в странах СНГ
- Будьте в движении — Облачный трекер с фильтрацией IP-адресов и обнаружением ботов
- Пользовательские маршрутизаторы PHP — Скрипты собственной разработки, использующие MaxMind GeoIP и списки заблокированных IP-адресов
- Cloudflare Workers — Маршрутизация на периферии, при которой атрибуты посетителя анализируются ещё до того, как запрос достигнет исходного сервера
Общее между ними: все они созданы для того, чтобы показывать разным посетителям разный контент. В сфере партнерского маркетинга это называется «оптимизацией трафика». В фишинге это называется уклонение.
Мы создали Инструмент обнаружения Кейтаро для обнаружения следов Keitaro TDS на любом домене. Он проверяет наличие известных путей к панелям управления, шаблонов заголовков ответов, цепочек перенаправлений и сигнатур JavaScript, связанных с установками Keitaro.
Сценарий «Перенаправление с официального сайта»
Один из наиболее распространенных способов маскировки, с которым мы сталкиваемся, — это домен, который просто перенаправляет на официальный сайт. Призыв к действию всегда выглядит одинаково: «Проверьте сами — сайт просто перенаправляет на coinbase.com. Никакого фишинга».
Вот что на самом деле происходит:
Перенаправление на официальный сайт не означает, что домен безопасен. Это сам механизм маскировки. Система TDS определила, что посетитель является сканером, и наиболее безопасным действием — которое с наибольшей вероятностью обеспечит чистый результат сканирования — является перенаправление на настоящий веб-сайт.
Вот упрощённый пример серверной логики:
// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];
function routeVisitor(req) {
const ip = req.headers['cf-connecting-ip'];
const ua = req.headers['user-agent'];
const geo = req.headers['cf-ipcountry'];
// If scanner/bot detected: redirect to official site
if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
return Response.redirect('https://www.coinbase.com', 302);
}
// If not in target geography: show white page
if (!TARGET_GEO.includes(geo)) {
return renderWhitePage(); // Innocent blog post
}
// Real victim from target country: show phishing page
return renderPhishingPage(); // Credential harvester
}Ни один легитимный веб-сайт не перенаправляет посетителей на домен другой компании. Если crypto-wallet-app[.]com перенаправляет на coinbase.com, у этого домена нет смысла существовать. Настоящая страница Coinbase размещалась бы на coinbase.com. Об этом говорит перенаправление.
Проблема «белой страницы»
«Белая страница» — это фиктивный контент, который маскированный фишинговый домен показывает сканерам и посетителям, не входящим в целевую аудиторию. Несмотря на название, это редко бывает пустая белая страница. Современные «белые страницы» — это полнофункциональные веб-сайты созданный так, чтобы выглядеть достоверно:
- Публикации в блоге о криптовалютах, финансах или технологиях
- Целевые страницы продуктов для универсальных SaaS-инструментов
- Новостные статьи, скопированные из авторитетных изданий
- Страницы с приостановленными доменами и стандартным сообщением «Скоро будет доступно»
- SEO-оптимизированный контент, предназначенный для продвижения в поисковой выдаче
Этот последний момент имеет решающее значение. «Белые страницы» — это не просто инструменты уклонения от ответственности — они SEO-инструменты. Размещая высококачественный контент на фишинговом домене, злоумышленники достигают сразу двух целей: они уклоняются от обнаружения и они повышают авторитет домена, благодаря чему их фишинговые ссылки занимают более высокие позиции в результатах поиска.
Трехэтапная атака по отравлению SEO
Вот как выглядит полный цикл фишинговой кампании, основанной на использовании «белых страниц»:
Орган по строительству
Рейтинг и индекс
Включить фишинг
Именно поэтому мы блокируем домены на этапе 1. К моменту запуска этапа 3 ущерб уже нанесен. Ждать появления фишинговой страницы — значит ждать, пока жертвы раскроют свои учетные данные и лишатся денег.
Сценарии активного трафика: рекламные объявления и рассылки
Не все скрытые фишинговые атаки полагаются на органический поиск. Двумя наиболее агрессивными методами привлечения трафика являются платная реклама и рассылки по электронной почте, которые используют маскировку для обхода проверки платформой.
Маскировка в Google Ads
Наше расследование по поводу Сеть BUYTRX задокументированный Более 55 доменов использование Google Ads для привлечения трафика на сайты, вытягивающие деньги из кошельков. Механизм:
- Оператор отправляет домен на проверку в Google Ads. Поисковый робот Google обнаруживает пустую страницу (блог, посвященный технологии блокчейн). Реклама одобрена.
- Рекламная кампания, ориентированная на ключевые слова «connect wallet» и «crypto airdrop».
- Пользователь Google нажимает на рекламу. TDS фиксирует поступление IP-адреса частного пользователя с реферером Google Ads. Подается блюдо «Кошелек».
- Жертва подключает свой кошелек. Средства выводятся в течение нескольких секунд посредством заранее подписанной транзакции.
Система проверки рекламы Google — как и любой автоматический сканер — видит только «чистую страницу». Реклама продолжает показываться, а оператор продолжает платить Google за каждого привлечённого пользователя.
Маскировка рассылок по электронной почте
Шлюзы электронной почты (Microsoft Defender для Office 365, Proofpoint, Mimecast) проверяют ссылки в письмах перед отправкой. Cloaking действует аналогичным образом:
- Фишинговое письмо содержит ссылку на скрытый домен.
- Шлюз электронной почты проверяет URL-адрес. Серверная система TDS распознает диапазон IP-адресов шлюза. Возвращает «белую страницу» или перенаправляет на официальный сайт. Письмо отправлено.
- Получатель переходит по ссылке из своего почтового клиента. IP-адрес частного пользователя, правильный реферер, целевой регион. Открыта фишинговая страница.
Только в рамках расследования BUYTRX сервис Google Ads активно финансировал распространение программ-крадец средств с кошельков на более чем 55 доменах. Каждый из этих доменов прошел автоматическую проверку Google, поскольку поисковому роботу Google отображалась пустая страница. Это не лазейка — это системный сбой в механизме проверки целевых страниц рекламными платформами в случае использования маскировки.
Почему принцип «невиновен, пока не доказано обратное» в данном случае не действует
Иногда мы слышим мнение, что блокировка домена на основании наличия инфраструктуры для маскировки контента является преждевременной — что перед принятием мер следует дождаться появления фактического фишингового контента. Такое мнение свидетельствует о неправильном понимании сути маскировки контента.
Маскировка — это не нейтральная технология. Это инфраструктура противостояния разработан специально для обхода систем обнаружения. Домен, использующий маскировку, уже заявляет о своих намерениях: показывать одно систем безопасности, а другое — жертвам. Такая конфигурация не служит никаким законным целям.
Любой домен, демонстрирующий любая комбинация из этих сигналов помечается как вредоносный:
- Подача контента в зависимости от условий — Различный контент в зависимости от IP-адреса, пользовательского агента, географического положения, источника перехода или отпечатка устройства
- Отпечатки пальцев TDS — Keitaro, Binom, BeMob или пользовательские сигнатуры маршрутизаторов в заголовках ответов, цепочках перенаправлений или JavaScript
- Перейти на официальные сайты — Любое перенаправление на законный домен третьей стороны (особенно банковских, криптовалютных или почтовых сервисов)
- Белая страница с нерелевантным контентом — Посты в блогах, новостные статьи или общий контент на домене, зарегистрированном недавно и не имеющем устоявшегося присутствия на рынке
- JavaScript-защита от ботов — Скрипты, которые перед выводом результата проверяют наличие браузеров без графического интерфейса, WebDriver, размеры экрана или особенности рендеринга на холсте
В нашем наборе данных, включающем более 50 000 просканированных сайтов, количество доменов, демонстрирующих эти признаки и оказавшихся легитимными, составляет ноль. Не «редко» — вообще ни разу. Мы ни разу не сталкивались с легальным сайтом, которому требовалось бы перенаправлять посторонних посетителей на домен другой компании или показывать сканерам блог о криптовалютах, одновременно отображая форму входа для посетителей из определенных диапазонов IP-адресов.
Клокинг — это двоичный сигнал. Если домен показывает разным посетителям разный контент с помощью описанных выше механизмов, он попадает в список подозрительных. Если оператор считает, что это ложное срабатывание, наша процедура обжалования создана именно для этой цели. На сегодняшний день ни одна апелляция по поводу флага, связанного с маскировкой, не была удовлетворена.
Проблема регистратора
Маскировка создает проблему на последующих этапах при подаче жалоб о злоупотреблениях. Когда мы сообщаем регистратору о замаскированном домене, специалисты его службы по борьбе со злоупотреблениями заходят по этому URL и видят… чистую страницу. Запись в блоге. Перенаправление на coinbase.com. С их точки зрения, нет никаких оснований для принятия мер.
Именно такой сценарий и разыгрался у нас Расследование NiceNIC и наш Расследование NameSilo. В обоих случаях регистраторы проверили указанные домены, убедились в отсутствии нарушений в их содержании и либо закрыли дело, либо активно выступили в защиту владельца домена.
Проблема носит системный характер:
- Специалисты по борьбе со злоупотреблениями в реестрах используют те же методы сканирования, что и производители антивирусного ПО — они заходят по этому URL-адресу с IP-адресов дата-центров, используя стандартные браузеры. Техника «клокинга» каждый раз обходит эту защиту.
- Ни один регистратор не вкладывал средства в разработку средств обнаружения маскировки — Технология, позволяющая выявлять предоставление контента в зависимости от условий, существует (мы её разработали), но ни один регистратор её не внедрил.
- Система мер по борьбе со злоупотреблениями ICANN не учитывает использование клокинга — Для подачи жалобы о нарушении требуются доказательства наличия вредоносного контента. Если вредоносный контент отображается только для жертв, собственная процедура проверки регистратора никогда его не обнаружит.
Мы подробно описали эту закономерность. В нашем отчете Когда сообщения о злоупотреблениях остаются без внимания подробно описывается, как регистраторы систематически не принимают меры в отношении доменов с маскировкой, поскольку их методы проверки как раз и призваны противостоять именно этой маскировке.
Именно поэтому PhishDestroy представляет собой независимый уровень защиты. Мы не полагаемся на простой просмотр URL-адреса с одного IP-адреса и проверку его содержимого. Мы анализируем цепочки перенаправлений, отпечатки TDS, поведение JavaScript, историю DNS, журналы прозрачности сертификатов и временные закономерности по тысячам доменов. Когда мы помечаем домен как подозрительный, мы уже учитываем тот факт, что при обычной проверке он будет выглядеть «чистым».
Резюме: Методы маскировки и их обнаружение
| Техника | Что видят сканеры | Что видят жертвы | Метод обнаружения |
|---|---|---|---|
| Фильтрация по IP-адресам | Белая страница / перенаправление | Фишинговая страница | Сканирование нескольких IP-адресов, сравнение прокси-серверов для частных пользователей |
| Фильтрация на основе UA | Белая страница / 403 | Фишинговая страница | Сравнение режимов прокрутки UA: «безголовый» режим и реальный браузер |
| Геолокационная фильтрация | Общий контент | Локализованный фишинг | Сканирование прокси-серверов в нескольких регионах |
| Фильтрация рефереров | Белая страница | Фишинг (через рекламу/электронную почту) | Подделка реферера, имитация кликов по рекламе |
| Анализ JS по отпечаткам | Пустая страница (обнаружен бот) | Фишинг (на реальном устройстве) | Статический анализ JavaScript, деобфускация |
| Правила, зависящие от времени | Уборка (в нерабочее время) | Фишинг (в рабочее время) | Временное сканирование, проверки с учетом часовых поясов |
| Ограничение доступа с помощью файлов cookie/сеансов | Чистота (первый визит) | Фишинг (повторный визит с использованием файла cookie) | Анализ сеансов с несколькими посещениями, воспроизведение файлов cookie |
| TDS (Кейтаро/Бином) | Пустая страница или перенаправление | Перенаправлено на фишинговый сайт | Инструмент обнаружения Кейтаро, анализ заголовков/перенаправлений |
| Перенаправление с официального сайта | 302 → официальный сайт | Фишинговая страница | Анализ целевых страниц перенаправления, проверка назначения домена |
Заключение
Клокинг — это не «серая зона». Это самый эффективный прием уклонения в современном фишинге, и ни один из компонентов фишинговой экосистемы — от Google Ads до почтовых шлюзов и служб по борьбе со злоупотреблениями у регистраторов — в настоящее время не способен решить эту проблему.
Когда PhishDestroy помечает домен как использующий клокинг, мы не делаем предположений. Мы фиксируем наличие вредоносной инфраструктуры, созданной с единственной целью: показывать разным посетителям разный контент. В ходе более 50 000 сканирований уровень ложных срабатываний по этому признаку равен нулю.
Если ваш домен был помечен:
- Если вы являетесь законным оператором и считаете, что это ложное срабатывание, подать апелляцию. Мы проверяем каждую из них.
- Если вы используете инфраструктуру для маскировки, мы об этом уже знаем. Белая страница, которую вы показали нашему сканеру, — это не то, что видят ваши жертвы. И у нас есть доказательства, подтверждающие это.
Пустая страница — это не оправдание. Это признание. Если вашему домену необходимо показывать разный контент разным посетителям, вы уже ответили на вопрос о том, является ли он вредоносным.
Каждый домен, скрывающий свою принадлежность, блокируется. Без исключений. Ни одна апелляция не была удовлетворена. Ведь за 50 000 проверок мы ни разу не ошиблись в оценке этого сигнала.
Связанные исследования и ресурсы
Кейтаро TDS: 1 500 панелей
Как мы выявили 1 565 серверов Keitaro, обеспечивающих работу фишинговой инфраструктуры по всему миру.
Инструмент обнаружения Кейтаро
Проверить любой домен на наличие отпечатков Keitaro TDS, цепочек перенаправлений и сигнатур маскировки.
BUYTRX: 55 доменов, финансирование через Google Ads
Сеть, выманивающая деньги из кошельков, использующая замаскированные «белые» страницы для прохождения проверки Google Ads.
Когда сообщения о злоупотреблениях остаются без внимания
Почему подразделения регистраторов, занимающиеся борьбой со злоупотреблениями, не принимают мер в отношении доменов с маскировкой, и что нужно изменить.
Вердикт NiceNIC
ICANN подала иск против NiceNIC в связи с систематическим бездействием по поводу сообщений о злоупотреблениях.
Расследование по делу «NameSilo»
Как NameSilo защищала криптовалютного мошенника, похитившего 2 млн долларов, и придумала легенду для прикрытия.
Эта статья основана на нашем практическом опыте сканирования более 50 000 доменов, исследования действующей фишинговой инфраструктуры и подачи заявлений о злоупотреблениях в регистраторы и ICANN. Все описанные методы подкреплены доказательствами. В ходе нашего исследования ни разу не осуществлялся несанкционированный доступ.
