Назад до новин
Звіт про розслідування

Чому ми блокуємо «Білі сторінки» та перенаправлення на офіційні сайти: Пояснення проблеми маскування

«Клокінг», «білі сторінки» та перенаправлення TDS — це основа сучасної фішингової інфраструктури. Кожен сайт, що їх використовує, блокується. Ось чому — і що ми бачимо, зазирнувши за лаштунки.

29 березня 2026 року Дослідження PhishDestroy ~12 хв. на читання
Маскування та «білі сторінки» в фішинговій інфраструктурі — технічний огляд
Як сучасна фішингова інфраструктура використовує маскування, щоб обійти всі рівні автоматичного виявлення.
50,000+
Перевірені сайти
1,565
Комікси про Кейтаро
0
Дозволені види використання
55+
Домени BUYTRX
100+
AV Engines

Питання, яке нам постійно задають

Щотижня ми отримуємо одне й те саме звернення: «Ви позначили мій домен як підозрілий, але коли я перевіряю його, він просто перенаправляє на офіційний сайт. Тут немає нічого шкідливого».

Або варіант: «Ця сторінка — це просто публікація в блозі про криптовалюту. Це не фішинг».

Ми розуміємо, чому це може викликати плутанину. Якщо ви заходите на домен, який було позначено як підозрілий, і бачите цілком звичайну сторінку — або коректне перенаправлення на легітимний сайт — цілком природно припустити, що позначка є помилковою. Але така «чиста» сторінка не є помилкою нашої системи виявлення. Це саме напад.

У цій статті пояснюється технологія, що лежить в основі маскування, чому існують «білі сторінки», як системи розподілу трафіку (TDS), такі як Keitaro, перенаправляють жертв, і чому PhishDestroy розглядає кожну з цих схем як підтверджену шкідливу інфраструктуру — без жодних винятків.

Чому це важливо

Якщо ви читаєте це тому, що ваш домен потрапив під підозру, і ви вважаєте, що це помилка, радимо вам прочитати текст до кінця. Ми також ведемо процедура оскарження щодо обґрунтованих помилкових спрацьовувань. Однак, як показує наш досвід, домени, що демонструють поведінку маскування, у 100% випадків є шкідливими.

Як антивірусні системи змінили правила гри

Десятиліття тому фішинг був простим. Зловмисник реєстрував домен, створював підроблену сторінку входу та надсилав посилання жертвам. Згодом компанії, що займаються безпекою, сканували цю URL-адресу, виявляли фішингову сторінку та додавали її до списків блокування. Домен припиняв існування протягом кількох годин або днів.

Потім ситуація в галузі покращилася. «Google Safe Browsing», «SmartScreen» від Microsoft та понад 100 антивірусних двигунів на таких платформах, як VirusTotal, почали сканувати URL-адреси практично в режимі реального часу. Попередження на рівні браузера різко знизили кількість кліків. Провайдери хостингу запустили автоматизовані процеси ліквідації. Час між появою фішингової сторінки в мережі та її блокуванням скоротився з декількох днів до декількох хвилин.

У фішерів виникла проблема: їхні сторінки виявляли швидше, ніж вони встигали їх розміщувати. Їм був потрібен спосіб показувати фішинговий контент справжнім жертвам, при цьому виглядаючи абсолютно нешкідливими для будь-яких автоматизованих систем, що намагалися їх виявити.

Відповідь була такою: маскування.

Еволюція методів виявлення вірусів та способів уникнення фішингу — технічна інфографіка
Гонка озброєнь: у міру того, як час виявлення антивірусними програмами скоротився з декількох днів до декількох хвилин, фішингові зловмисники відреагували створенням інфраструктури маскування, яка показує сканерам інший вміст, ніж реальним жертвам.
Основна проблема

Сучасний фішинг залишається непоміченим, оскільки фішингову сторінку важко виявити. Він залишається безкарним, оскільки сканер взагалі не бачить фішингову сторінку. Сканер виявляє публікацію в блозі, перенаправлення або порожню сторінку. Жертва — яка заходить на сайт із певної країни, з мобільного пристрою, перейшовши за посиланням із платної реклами — бачить програму для збору облікових даних.

Що таке «клокінг» насправді

«Клокінг» — це практика надання різного контенту різним відвідувачам залежно від того, хто вони. У контексті фішингу це означає одне: сканери безпеки бачать нешкідливу сторінку, а справжні жертви — фішингову сторінку.

Фільтрування може відбуватися на кількох рівнях:

  • Репутація IP-адреси — Відомі IP-адреси центрів обробки даних, діапазони VPN та блоки IP-адрес постачальників засобів безпеки отримують «чисту» версію. А для IP-адрес, пов’язаних із приватними користувачами, відображається фішингова сторінка.
  • Строки User-Agent — Безінтерфейсні браузери, відомі веб-сканери (Googlebot, bingbot, Screaming Frog) та сканери безпеки виявляються та відфільтровуються.
  • Геолокація — Фішингова сторінка відображається лише відвідувачам із цільових країн. Усі інші бачать порожню сторінку.
  • Заголовки Referrer — Лише відвідувачі, які переходять за посиланнями з певних джерел (реклама Google, посилання у фішинговому листі, публікація в соціальних мережах), бачать справжній вміст.
  • Ідентифікація пристроїв за допомогою відбитків — JavaScript перевіряє роздільну здатність екрана, встановлені шрифти, рендерер WebGL, API акумулятора та інші ознаки, щоб відрізнити реальні пристрої від емуляторів.
  • Правила, що залежать від часу — Фішингова сторінка працює лише у певні години (наприклад, у робочий час у цільовому часовому поясі), а поза цими проміжками часу за замовчуванням відображається порожня сторінка.
  • Відстеження файлів cookie та сеансів — Під час першого відвідування відображається порожня сторінка. Повернувшись на сайт, відвідувачі, у яких є певний файл cookie (створений після кліка на рекламу), бачать фішингову сторінку.
Три зловмисники, які керують інфраструктурою маскування — концептуальна ілюстрація
Інфраструктура маскування фільтрує відвідувачів на декількох рівнях. До того моменту, як справжня жертва потрапляє на фішингову сторінку, усім автоматизованим системам захисту вже було показано нешкідливу приманку.

Складна система маскування поєднує в собі всі ці елементи. У результаті домен виглядає абсолютно «чистим» для будь-якого сканера в Інтернеті, при цьому активно викрадаючи облікові дані у цільових жертв.

Прогалина у виявленні

Коли VirusTotal сканує приховане URL-адресу, він бачить порожню сторінку. Результат: 0 з 93 виявлень. Сервіс Google Safe Browsing сканує цю сторінку та виявляє допис у блозі. Результат: без попередження. Потерпілий натискає на це саме посилання на своєму телефоні з реклами Google: вони бачать підроблену сторінку входу в MetaMask. Це не теоретична проблема — це стандартна модель функціонування сучасного фішингу.

Інструменти, що стоять за обманом

Маскування не є імпровізацією. Воно здійснюється за допомогою спеціалізованого комерційного програмного забезпечення під назвою Системи розподілу трафіку (TDS). Найпоширенішим у фішингових операціях є Кейтаро.

Keitaro — це легальний продукт у сфері рекламних технологій, розроблений для партнерських маркетологів з метою перенаправлення трафіку на основі характеристик відвідувачів. Він із самого початку підтримує всі перелічені вище критерії фільтрації — діапазони IP-адрес, географічне розташування, тип пристрою, реферер, користувацький агент. Оператори фішингових сайтів просто налаштовують його так, щоб сканери перенаправлялися на порожню сторінку, а жертви — на фішингову сторінку.

Наше дослідження, опубліковане як Кейтаро TDS: оприлюднено 1 500 панелей, визначені 1 565 активних коміксів про Кейтаро що обслуговує фішингову інфраструктуру. Не 1 565 фішингових сторінок — 1 565 панелі управління, кожна з яких одночасно керує від десятків до сотень фішингових кампаній.

Інфраструктура панелі Keitaro TDS, що використовується для розповсюдження фішингового трафіку
Keitaro TDS: комерційна система розподілу трафіку, перепрофільована на основу для маскування фішингових атак. Виявлено та задокументовано понад 1 565 панелей.

Серед інших платформ TDS, з якими ми стикаємося, є такі:

  • Біном — Самостійно розміщений трекер, популярний у операціях у регіоні СНГ
  • BeMob — Хмарний трекер із фільтрацією IP-адрес та виявленням ботів
  • Настроювані маршрутизатори PHP — Скрипти власної розробки, що використовують MaxMind GeoIP та списки заблокованих IP-адрес
  • Cloudflare Workers — Маршрутизація на периферії, яка аналізує атрибути відвідувачів ще до того, як запит надійде на сервер-джерело

Спільна риса: всі вони призначені для того, щоб показувати різним відвідувачам різний контент. У світі партнерського маркетингу це називається «оптимізацією трафіку». У фішингу це називається ухилення.

Доступний інструмент для виявлення

Ми створили Інструмент виявлення Кейтаро для виявлення слідів Keitaro TDS на будь-якому домені. Програма перевіряє наявність відомих шляхів до панелей управління, шаблонів заголовків відповідей, ланцюжків перенаправлень та сигнатур JavaScript, пов’язаних з інсталяціями Keitaro.

Сценарій «Перенаправлення з офіційного веб-сайту»

Однією з найпоширеніших схем маскування, з якими ми стикаємося, є домен, який просто перенаправляє на офіційний веб-сайт. Запрошення завжди виглядає однаково: «Перевірте самі — це просто перенаправлення на coinbase.com. Ніякого фішингу немає».

Ось що насправді відбувається:

Сканер переходить за посиланням
TDS перевіряє IP/UA/географічне розташування
302 → coinbase.com
Сканер: «Чистий»
Потерпілий натискає на рекламу
TDS перевіряє IP/UA/географічне розташування
Підроблена сторінка входу в Coinbase
Викрадені облікові дані

Перенаправлення на офіційний сайт не означає, що домен є безпечним. Це сам механізм маскування. Система TDS визначила, що відвідувач є сканером, і найбезпечнішим варіантом реагування — тим, який з найбільшою ймовірністю забезпечить «чистий» результат сканування — є перенаправлення на справжній веб-сайт.

Ось спрощений приклад логіки на стороні сервера:

// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];

function routeVisitor(req) {
  const ip = req.headers['cf-connecting-ip'];
  const ua = req.headers['user-agent'];
  const geo = req.headers['cf-ipcountry'];

  // If scanner/bot detected: redirect to official site
  if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
    return Response.redirect('https://www.coinbase.com', 302);
  }

  // If not in target geography: show white page
  if (!TARGET_GEO.includes(geo)) {
    return renderWhitePage(); // Innocent blog post
  }

  // Real victim from target country: show phishing page
  return renderPhishingPage(); // Credential harvester
}
Головний висновок

Жоден легітимний веб-сайт не перенаправляє відвідувачів на домен іншої компанії. Якщо crypto-wallet-app[.]com перенаправляє на coinbase.com, у цього домену немає підстав для існування. Справжня сторінка Coinbase розміщувалася б на coinbase.com. Про це свідчить перенаправлення.

Проблема «білої сторінки»

«Біла сторінка» — це контент-приманка, який замаскований фішинговий домен показує сканерам та відвідувачам, що не входять до цільової аудиторії. Незважаючи на назву, це рідко буває порожня біла сторінка. Сучасні білі сторінки — це повністю функціональні веб-сайти створені так, щоб виглядати як справжні:

  • Публікації в блозі про криптовалюту, фінанси або технології
  • Цільові сторінки продуктів для загальних SaaS-інструментів
  • Новини, зібрані з авторитетних видань
  • Сторінки припаркованих доменів із загальним повідомленням «скоро з’явиться»
  • SEO-оптимізований контент, призначений для підвищення позицій у результатах пошуку

Цей останній пункт має вирішальне значення. «Білі сторінки» — це не просто засоби ухилення від відповідальності, — це SEO-інструменти. Розміщуючи високоякісний контент на фішинговому домені, зловмисники досягають одразу двох цілей: вони уникають виявлення та вони підвищують авторитетність домену, завдяки чому їхні фішингові посилання займають вищі позиції в результатах пошуку.

Трифазна атака типу «SEO-отруєння»

Ось повний цикл фішингової кампанії, що використовує «білі сторінки»:

Етап 1
Повноваження щодо будівництва
Етап 2
Рейтинг та індекс
Етап 3
Активувати фішинг
Етап 1: Формування авторитету (1–4 тижні)
Зареєструйте домен. Розмістіть «порожню» сторінку з SEO-оптимізованим контентом (публікації в блозі, статті). Створіть зворотні посилання. Домен «дозріває» і набирає авторитет. Усі сканери бачать сайт із «чистим» контентом. Google індексує його без попереджень.
Етап 2: Рейтинг та індекс (4–8-й тижні)
Домен починає потрапляти в рейтинги за цільовими ключовими словами («підключити гаманець MetaMask», «увійти в Coinbase», «криптовалютний айрдроп»). Вміст «білої сторінки» продовжує працювати. Починає надходити органічний трафік. Репутація домену закріплюється у всіх системах оцінювання.
Етап 3: Запуск фішингової кампанії (8-й тиждень і далі)
Правила TDS змінено. Відвідувачі, які відповідають профілям жертв (домашня IP-адреса, країна-ціль, мобільний пристрій), тепер бачать фішингову сторінку замість порожньої сторінки. Сканери, як і раніше, бачать порожню сторінку. Завдяки сформованій репутації домену попередження браузера спрацьовують із затримкою. Жертви, які натискають на результати пошуку або рекламу, потрапляють на домен, що виглядає надійним і має високий показник авторитетності.
Алгоритм «SEO-отруєння» на білих сторінках — фішинговий домен накопичує авторитет перед активацією Pipeline
«Білі сторінки» — це не пасивний спосіб ухилення. Це активні інструменти SEO, які підвищують авторитет домену, забезпечують високі позиції в пошуку, а потім використовують цю репутацію як зброю для фішингових атак на жертв через органічні результати пошуку.

Саме тому ми позначаємо домени на 1-му етапі. До моменту активації 3-го етапу шкода вже завдана. Чекати, поки з’явиться фішингова сторінка, означає чекати, поки жертви втратять свої облікові дані та гроші.

Сценарії активного трафіку: реклама та електронні розсилки

Не всі приховані фішингові атаки спираються на органічний пошук. Два найагресивніші методи залучення трафіку — це платна реклама та розсилки електронною поштою, обидва з яких використовують маскування, щоб обійти перевірку платформи.

Маскування в Google Ads

Наше розслідування щодо Мережа «BUYTRX drainer» задокументований 55+ доменів використання Google Ads для залучення трафіку на сайти, що висмоктують гроші з гаманця. Механізм:

  1. Оператор подає домен на перевірку в Google Ads. Пошуковий робот Google бачить порожню сторінку (блог про технологію блокчейн). Реклама затверджена.
  2. Рекламна кампанія, орієнтована на ключові слова «connect wallet» та «crypto airdrop».
  3. Користувач Google натискає на рекламу. TDS фіксує вхідний IP-адресу з домашньої мережі, що надходить з реферера Google Ads. Подано страву, яка спустошує гаманець.
  4. Жертва підключає свій гаманець. Кошти виводяться за лічені секунди за допомогою заздалегідь підписаної транзакції.

Система перевірки реклами Google — як і будь-який автоматизований сканер — бачить лише «чисту сторінку». Реклама продовжує показуватися, а оператор продовжує платити Google за кожну приведену жертву.

Маскування електронних розсилок

Шлюзи електронної пошти (Microsoft Defender для Office 365, Proofpoint, Mimecast) перевіряють посилання в листах перед їхньою доставкою. Cloaking діє аналогічним чином:

  1. Фішинговий лист містить посилання на прихований домен.
  2. Шлюз електронної пошти сканує URL-адресу. Серверна система TDS розпізнає діапазон IP-адрес шлюзу. Повертає «білу сторінку» або перенаправляє на офіційний сайт. Лист надіслано.
  3. Одержувач натискає на посилання у своєму поштовому клієнті. Приватна IP-адреса, правильний реферер, цільовий регіон. Відкрито фішингову сторінку.
Шкала

Лише в рамках розслідування BUYTRX служба Google Ads активно фінансувала розповсюдження програм-викрадачів коштів з гаманців на понад 55 доменах. Кожен із цих доменів пройшов автоматичну перевірку Google, оскільки пошуковому роботові Google показувалася «порожня сторінка». Це не лазівка — це системна вада в тому, як рекламні платформи перевіряють цільові сторінки в разі використання маскування.

Чому принцип «невинуватий, доки не доведено протилежне» тут не діє

Іноді ми чуємо аргумент, що позначення домену як підозрілого на підставі наявності інфраструктури для маскування є передчасним — що перед вжиттям заходів слід дочекатися появи власне фішингового контенту. Цей аргумент ґрунтується на неправильному розумінні того, що таке маскування.

Маскування — це не нейтральна технологія. Це інфраструктура для проведення суперечливих досліджень розроблений спеціально для уникнення виявлення. Домен, що використовує технологію маскування, вже заявив про свій намір: показувати одне системним засобам безпеки, а інше — жертвам. Така конфігурація не служить жодній законній меті.

5 ознак, на які ми звертаємо увагу

Будь-який домен, що демонструє будь-яка комбінація з цих сигналів позначено як шкідливі:

  1. Показ вмісту за певних умов — Різний контент залежно від IP-адреси, UA, географічного розташування, джерела переходу або відбитка пристрою
  2. Відбитки пальців TDS — Keitaro, Binom, BeMob або власні сигнатури маршрутизаторів у заголовках відповідей, ланцюжках перенаправлень або JavaScript
  3. Перейти на офіційні сайти — Будь-яке перенаправлення на законний домен сторонньої організації (особливо банківських установ, криптовалютних сервісів або постачальників послуг електронної пошти)
  4. Біла сторінка з нерелевантним вмістом — Публікації в блогах, новинні статті або загальний контент на домені, зареєстрованому нещодавно, без підтвердженої ділової присутності
  5. JavaScript для захисту від ботів — Скрипти, що визначають наявність браузерів без графічного інтерфейсу, WebDriver, розміри екрана або відображення на полотні canvas перед тим, як вирішити, що відображати

У нашому наборі даних, що налічує понад 50 000 перевірених веб-сайтів, кількість доменів, які демонстрували ці ознаки і виявилися легітимними, становить нуль. Не «рідко» — взагалі ніколи. Ми ніколи не зустрічали жодного легітимного веб-сайту, якому б потрібно було перенаправляти відвідувачів, що не входять до цільової аудиторії, на домен іншої компанії, або показувати сканерам блог про криптовалюту, водночас відображаючи форму входу для відвідувачів із певних діапазонів IP-адрес.

Наша політика

«Клокінг» — це бінарний сигнал. Якщо домен показує різний контент різним відвідувачам, використовуючи описані вище механізми, він позначається як підозрілий. Якщо оператор вважає, що це помилкова тривога, наша процедура оскарження існує саме для цієї мети. На сьогодні жодне оскарження щодо позначки, пов’язаної з маскуванням, не було задоволено.

Проблема реєстратора

Маскування створює подальшу проблему для повідомлень про зловживання. Коли ми повідомляємо реєстратору про замаскований домен, команда реєстратора, що займається зловживаннями, переходить за цим URL-адресою і бачить… звичайну сторінку. Публікацію в блозі. Перенаправлення на coinbase.com. З їхньої точки зору, немає підстав для вжиття будь-яких заходів.

Саме такий сценарій і розігрався у нашому Розслідування щодо компанії NiceNIC і наш Розслідування «NameSilo». В обох випадках реєстратори перевірили зазначені домени, переконалися, що їхній вміст не порушує правил, і або закрили справу, або активно захистили оператора домену.

Проблема має системний характер:

  • Команди з боротьби зі зловживаннями реєстраторів використовують ті самі методи сканування, що й виробники антивірусного програмного забезпечення — вони заходять на цю URL-адресу з IP-адрес дата-центрів за допомогою стандартних браузерів. Техніка «клокінгу» щоразу дозволяє обійти це.
  • Жоден реєстратор не вклав коштів у розробку засобів виявлення маскування — технологія виявлення надання умовного контенту існує (ми її розробили), але жоден реєстратор її не впровадив.
  • Система ICANN щодо боротьби зі зловживаннями не враховує феномен «клокінгу» — Для повідомлень про зловживання необхідні докази наявності шкідливого контенту. Якщо шкідливий контент відображається лише для жертв, власна процедура перевірки реєстратора ніколи його не виявить.
Помилка відповіді реєстратора

Ми детально задокументували цю закономірність. Наш звіт Коли повідомлення про зловживання залишаються без наслідків у статті детально пояснюється, чому реєстратори систематично не вживають заходів щодо маскованих доменів, оскільки їхні методи перевірки якраз і призначені для того, щоб обійти саме такі маскування.

Саме тому PhishDestroy існує як незалежний рівень. Ми не покладаємося лише на те, щоб зайти на URL-адресу з однієї IP-адреси та перевірити, що там відображається. Ми аналізуємо ланцюжки перенаправлень, відбитки TDS, поведінку JavaScript, історію DNS, журнали прозорості сертифікатів та часові закономірності на тисячах доменів. Коли ми позначаємо домен як підозрілий, ми вже врахували той факт, що для тих, хто перевіряє його звичайним способом, цей домен виглядатиме «чистим».

Короткий огляд: Методи маскування та їх виявлення

ТехнікаЩо бачать сканериЩо бачать жертвиМетод виявлення
Фільтрування на основі IP-адресиПорожня сторінка / перенаправленняФішингова сторінкаСканування з використанням декількох IP-адрес, порівняння проксі-серверів для домашнього використання
Фільтрування на основі UAПорожня сторінка / 403Фішингова сторінкаРотація UA: порівняння безголового режиму та реального браузера
Фільтрування за географічним принципомЗагальний вмістЛокалізований фішингСканування проксі-серверів у різних регіонах
Фільтрування джерел переходуБіла сторінкаФішинг (через рекламу/електронну пошту)Підробка джерела переходу, імітація кліків на рекламу
Ідентифікація за допомогою JSПорожня сторінка (виявлено бота)Фішинг (реальний пристрій)Статичний аналіз JavaScript, деобфускація
Правила, що залежать від часуПрибирання (у неробочий час)Фішинг (робочі години)Часове сканування, перевірки з урахуванням часових поясів
Контроль доступу за допомогою файлів cookie/сесійОгляд (перший візит)Фішинг (повторний візит із використанням файлів cookie)Аналіз сеансів із кількома відвідуваннями, відтворення файлів cookie
TDS (Кейтаро/Біном)Порожня сторінка або перенаправленняПеренаправлено на фішинговий сайтІнструмент виявлення Кейтаро, аналіз заголовків/перенаправлень
Перенаправлення з офіційного сайту302 → офіційний сайтФішингова сторінкаАналіз цільових сторінок переадресації, перевірка призначення домену
Короткий огляд виявлення маскування та аналізу фішингової інфраструктури
Повна картина: для кожної техніки маскування існує відповідний метод виявлення. Проблема полягає не в технології, а в тому, щоб переконати реєстраторів, рекламні платформи та поштові шлюзи впровадити ці методи.

Висновок

«Клокінг» — це не «сіра зона». Це найефективніший спосіб ухилення у сучасному фішингу, і жоден компонент фішингової екосистеми — від Google Ads до поштових шлюзів та команд з боротьби зі зловживаннями в реєстраторах — наразі не здатний вирішити цю проблему.

Коли PhishDestroy позначає домен як такий, що використовує маскування, ми не робимо припущень. Ми фіксуємо наявність шкідливої інфраструктури, яка існує з єдиною метою: показувати різний контент різним відвідувачам. У понад 50 000 сканувань рівень помилкових спрацьовувань для цього сигналу дорівнює нулю.

Якщо ваш домен потрапив у список підозрілих:

  • Якщо ви є законним оператором і вважаєте, що це помилкова тривога, подати апеляцію. Ми перевіряємо кожну з них.
  • Якщо ви використовуєте інфраструктуру для маскування, ми про це вже знаємо. Порожня сторінка, яку ви показали нашому сканеру, — це не те, що бачать ваші жертви. І у нас є докази, що це підтверджують.
Порожня сторінка — це не захист. Це зізнання. Якщо ваш домен має показувати різний контент різним відвідувачам, ви вже дали відповідь на питання, чи є він шкідливим.

Кожен прихований домен блокується. Без винятків. Жодна апеляція не була задоволена. Адже за 50 000 перевірок ми жодного разу не помилилися щодо цього сигналу.

Пов’язані дослідження та матеріали

Кейтаро TDS: оприлюднено 1 500 панелей

РозслідуванняTDSМаскування

Як ми виявили 1 565 панелей Keitaro, що забезпечують функціонування фішингової інфраструктури по всьому світу.

Інструмент виявлення Кейтаро

ІнструментВиявленняTDS

Проскануйте будь-який домен на наявність відбитків Keitaro TDS, ланцюжків переадресації та сигнатур маскування.

BUYTRX: 55 доменів, фінансування за рахунок Google Ads

РозслідуванняЗливний отвірGoogle Ads

Мережа, що викачує кошти з гаманців, яка використовує замасковані «білі сторінки» для проходження перевірки Google Ads.

Коли повідомлення про зловживання залишаються без наслідків

ЗвітРеєстраторICANN

Чому підрозділи реєстраторів, що займаються боротьбою зі зловживаннями, не вживають заходів щодо прихованих доменів і що потрібно змінити.

Висновок NiceNIC

РозслідуванняРеєстраторICANN

Позов ICANN проти NiceNIC через систематичну бездіяльність щодо повідомлень про зловживання.

Розслідування щодо NameSilo

РозслідуванняNameSiloMonero

Як NameSilo захистило злодія криптовалюти, який вкрав 2 млн доларів, і вигадало прикриття.

Ця стаття ґрунтується на нашому практичному досвіді сканування понад 50 000 доменів, розслідування активної фішингової інфраструктури та подання звітів про зловживання до реєстраторів та ICANN. Усі описані методи підкріплені доказами. Під час нашого дослідження жодного разу не було здійснено несанкціонованого доступу.

Поділитися цим розслідуванням

X / Twitter Telegram Reddit LinkedIn

Пов’язані розслідування

Keitaro TDS: 1 500 панелей зазнали витоку, жодного законного застосування
РОЗСЛІДУВАННЯ
Keitaro TDS: 1 500 панелей зазнали витоку, жодного законного застосування
BUYTRX викрито: 55 доменів та програма для виведення коштів із TRON
РОЗСЛІДУВАННЯ
BUYTRX викрито: 55 доменів та програма для виведення коштів із TRON
Викриття шахраїв: детальний аналіз 4 шахрайських сервісів
РОЗСЛІДУВАННЯ
Викриття шахраїв: детальний аналіз 4 шахрайських сервісів