Tại sao chúng tôi cấm “White Pages” và chuyển hướng đến các trang web chính thức: Giải thích về vấn đề Cloaking
Cloaking, trang trắng và chuyển hướng TDS là những yếu tố cốt lõi của cơ sở hạ tầng lừa đảo hiện đại. Mọi trang web sử dụng các kỹ thuật này đều bị cấm. Dưới đây là lý do — và những gì chúng tôi phát hiện ra khi nhìn sâu vào bên trong.

Câu hỏi mà chúng tôi thường xuyên nhận được
Hàng tuần, chúng tôi đều nhận được lời kêu gọi như sau: “Bạn đã báo cáo tên miền của tôi, nhưng khi tôi kiểm tra thì nó chỉ chuyển hướng đến trang web chính thức thôi. Ở đây chẳng có gì độc hại cả.”
Hoặc một biến thể khác: “Trang này chỉ là một bài đăng trên blog về tiền điện tử. Đó không phải là lừa đảo.”
Chúng tôi hiểu tại sao điều này lại gây nhầm lẫn. Nếu bạn truy cập một tên miền đã bị gắn cờ cảnh báo mà lại thấy một trang hoàn toàn bình thường — hoặc một liên kết chuyển hướng an toàn đến một trang web hợp pháp — thì việc cho rằng cảnh báo đó là sai là điều dễ hiểu. Tuy nhiên, trang web bình thường đó không phải là lỗi trong hệ thống phát hiện của chúng tôi. Đó chính là cuộc tấn công.
Bài viết này giải thích công nghệ đằng sau kỹ thuật ẩn danh, lý do tại sao “trang trắng” lại tồn tại, cách các Hệ thống Phân phối Lưu lượng (TDS) như Keitaro định tuyến các nạn nhân, và lý do tại sao PhishDestroy coi tất cả các mẫu này đều là cơ sở hạ tầng độc hại đã được xác nhận — không có ngoại lệ nào cả.
Nếu bạn đang đọc bài viết này vì tên miền của bạn đã bị gắn cờ cảnh báo và bạn cho rằng đó là một sai lầm, chúng tôi khuyến khích bạn đọc đến cuối bài. Chúng tôi cũng duy trì một quy trình kháng cáo đối với các trường hợp dương tính giả hợp lệ. Tuy nhiên, theo kinh nghiệm của chúng tôi, các tên miền có hành vi che giấu nội dung đều là độc hại 100% các trường hợp.
Cách các hệ thống chống vi-rút đã thay đổi cục diện
Một thập kỷ trước, các vụ lừa đảo qua email (phishing) diễn ra rất đơn giản. Kẻ tấn công đăng ký một tên miền, tạo ra một trang đăng nhập giả mạo, rồi gửi liên kết đó cho nạn nhân. Các nhà cung cấp giải pháp bảo mật cuối cùng sẽ quét URL đó, phát hiện trang lừa đảo và thêm nó vào danh sách chặn. Tên miền đó sẽ ngừng hoạt động trong vòng vài giờ hoặc vài ngày.
Sau đó, tình hình trong ngành đã được cải thiện. Google Safe Browsing, Microsoft SmartScreen và hơn 100 công cụ chống vi-rút trên các nền tảng như VirusTotal bắt đầu quét các URL gần như theo thời gian thực. Các cảnh báo ở cấp trình duyệt đã làm giảm đáng kể tỷ lệ nhấp chuột. Các nhà cung cấp dịch vụ lưu trữ bắt đầu triển khai các Pipeline gỡ bỏ tự động. Khoảng thời gian từ khi một trang lừa đảo được đưa lên mạng đến khi bị chặn đã thu hẹp từ vài ngày xuống còn vài phút.
Những kẻ lừa đảo qua email gặp phải một vấn đề: các trang web của chúng bị phát hiện nhanh hơn cả tốc độ chúng có thể triển khai. Chúng cần một cách để hiển thị nội dung lừa đảo cho các nạn nhân thực sự, đồng thời vẫn trông hoàn toàn vô hại đối với mọi hệ thống tự động cố gắng phát hiện chúng.
Câu trả lời là tàng hình.

Các vụ lừa đảo qua email hiện đại không bị phát hiện vì trang web lừa đảo rất khó nhận ra. Chúng thoát tội được vì máy quét hoàn toàn không phát hiện được trang lừa đảo. Trình quét phát hiện một bài đăng trên blog, một liên kết chuyển hướng hoặc một trang trống. Nạn nhân — truy cập từ một quốc gia cụ thể, trên thiết bị di động, thông qua một quảng cáo trả phí — sẽ thấy công cụ thu thập thông tin đăng nhập.
Cloaking thực chất là gì?
“Cloaking” là phương pháp hiển thị nội dung khác nhau cho các khách truy cập khác nhau tùy thuộc vào danh tính của họ. Trong bối cảnh lừa đảo trực tuyến, thuật ngữ này có một ý nghĩa duy nhất: Các công cụ quét bảo mật nhận diện được một trang web vô hại, trong khi các nạn nhân thực sự lại nhìn thấy trang lừa đảo.
Quá trình lọc có thể diễn ra ở nhiều cấp độ:
- Danh tiếng IP — Các địa chỉ IP của trung tâm dữ liệu đã biết, dải địa chỉ VPN và các khối địa chỉ IP của nhà cung cấp giải pháp bảo mật sẽ được chuyển hướng đến phiên bản an toàn. Các địa chỉ IP dân dụng sẽ được chuyển hướng đến trang lừa đảo.
- Chuỗi User-Agent — Các trình duyệt không giao diện, các trình thu thập dữ liệu đã biết (Googlebot, Bingbot, Screaming Frog) và các công cụ quét bảo mật sẽ được xác định và lọc ra.
- Định vị địa lý — Trang lừa đảo chỉ hiển thị cho người truy cập đến từ các quốc gia mục tiêu. Những người khác sẽ chỉ thấy một trang trắng.
- Tiêu đề Referrer — Chỉ những người truy cập đến từ các nguồn cụ thể (quảng cáo của Google, liên kết trong email lừa đảo, bài đăng trên mạng xã hội) mới có thể xem nội dung thực sự.
- Nhận dạng thiết bị — JavaScript kiểm tra độ phân giải màn hình, các phông chữ đã cài đặt, trình hiển thị WebGL, API pin và các tín hiệu khác để phân biệt thiết bị thật với trình mô phỏng.
- Các quy tắc dựa trên thời gian — Trang lừa đảo chỉ hoạt động trong những khung giờ cụ thể (ví dụ: giờ làm việc theo múi giờ mục tiêu) và sẽ hiển thị trang trắng theo mặc định khi nằm ngoài các khung giờ đó.
- Theo dõi cookie/phiên làm việc — Lần truy cập đầu tiên sẽ hiển thị trang trắng. Những người dùng quay lại có cookie cụ thể (được thiết lập khi nhấp vào quảng cáo) sẽ thấy trang lừa đảo.

Một hệ thống ngụy trang tinh vi kết hợp tất cả các yếu tố này. Kết quả là một tên miền trông hoàn toàn “sạch sẽ” đối với mọi công cụ quét trên internet, trong khi vẫn tích cực đánh cắp thông tin đăng nhập từ các nạn nhân bị nhắm mục tiêu.
Khi VirusTotal quét một URL được ẩn, nó sẽ hiển thị trang trắng. Kết quả: 0/93 trường hợp phát hiện. Google Safe Browsing quét trang web này và phát hiện một bài đăng trên blog. Kết quả: không có cảnh báo. Nạn nhân nhấp vào cùng một liên kết URL trên điện thoại của mình từ một quảng cáo của Google: họ thấy một trang đăng nhập MetaMask giả mạo. Đây không phải là một vấn đề mang tính lý thuyết — đây chính là mô hình hoạt động tiêu chuẩn của các vụ lừa đảo qua email hiện đại.
Những công cụ đằng sau màn lừa dối
Kỹ thuật ẩn danh không phải là thứ có thể thực hiện một cách ngẫu hứng. Nó hoạt động dựa trên một phần mềm thương mại chuyên dụng có tên là Hệ thống phân phối lưu lượng (TDS). Phương thức được sử dụng phổ biến nhất trong các hoạt động lừa đảo là Keitaro.
Keitaro là một sản phẩm công nghệ quảng cáo chính thống, được thiết kế dành cho các nhà tiếp thị liên kết nhằm định tuyến lưu lượng truy cập dựa trên các thuộc tính của người truy cập. Sản phẩm này hỗ trợ sẵn tất cả các tiêu chí lọc được liệt kê ở trên — dải địa chỉ IP, vị trí địa lý, thiết bị, nguồn giới thiệu, user-agent. Những kẻ lừa đảo chỉ cần cấu hình hệ thống để định tuyến các trình quét đến một trang trống và định tuyến nạn nhân đến trang lừa đảo.
Nghiên cứu của chúng tôi, được công bố dưới dạng Keitaro TDS: 1.500 tấm pin mặt trời bị phơi nhiễm, đã được xác định 1.565 bức tranh Keitaro đang được đăng tải phục vụ cho cơ sở hạ tầng lừa đảo. Không phải 1.565 trang lừa đảo — mà là 1.565 bảng điều khiển, mỗi nhóm đều điều hành đồng thời từ vài chục đến vài trăm chiến dịch lừa đảo.

Các nền tảng TDS khác mà chúng tôi gặp phải bao gồm:
- Binom — Hệ thống theo dõi tự vận hành được ưa chuộng trong các hoạt động tại khu vực CIS
- BeMob — Công cụ theo dõi dựa trên đám mây với tính năng lọc IP và phát hiện bot
- Bộ định tuyến PHP tùy chỉnh — Các tập lệnh tự phát triển sử dụng MaxMind GeoIP và danh sách chặn IP
- Cloudflare Workers — Cơ chế định tuyến dựa trên thiết bị biên, trong đó các thuộc tính của người truy cập được đánh giá trước khi yêu cầu thậm chí còn chưa đến máy chủ gốc
Điểm chung: tất cả chúng đều tồn tại để hiển thị nội dung khác nhau cho các khách truy cập khác nhau. Trong lĩnh vực tiếp thị liên kết, điều này được gọi là “tối ưu hóa lưu lượng truy cập”. Trong lừa đảo qua email, nó được gọi là trốn tránh.
Chúng tôi đã xây dựng Công cụ phát hiện Keitaro để phát hiện các dấu vết TDS của Keitaro trên bất kỳ tên miền nào. Công cụ này kiểm tra các đường dẫn bảng điều khiển đã biết, các mẫu tiêu đề phản hồi, chuỗi chuyển hướng và các chữ ký JavaScript liên quan đến các bản cài đặt Keitaro.
Tình huống “Chuyển hướng trang web chính thức”
Một trong những hình thức che giấu phổ biến nhất mà chúng tôi thường gặp là một tên miền chỉ đơn thuần chuyển hướng đến một trang web chính thức. Nội dung quảng cáo luôn có hình thức giống hệt nhau: “Bạn cứ tự kiểm tra đi — trang web đó chỉ dẫn đến coinbase.com thôi. Không có lừa đảo đâu.”
Đây là những gì thực sự đang diễn ra:
Việc chuyển hướng đến trang web chính thức không có nghĩa là tên miền đó an toàn. Chính là cơ chế ngụy trang đó. Hệ thống TDS đã xác định rằng người truy cập là một chương trình quét, và phản ứng an toàn nhất — cũng là phản ứng có khả năng cao nhất dẫn đến kết quả quét sạch — là chuyển hướng người dùng đến trang web chính thức.
Dưới đây là một ví dụ đơn giản về logic phía máy chủ:
// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];
function routeVisitor(req) {
const ip = req.headers['cf-connecting-ip'];
const ua = req.headers['user-agent'];
const geo = req.headers['cf-ipcountry'];
// If scanner/bot detected: redirect to official site
if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
return Response.redirect('https://www.coinbase.com', 302);
}
// If not in target geography: show white page
if (!TARGET_GEO.includes(geo)) {
return renderWhitePage(); // Innocent blog post
}
// Real victim from target country: show phishing page
return renderPhishingPage(); // Credential harvester
} Không có trang web hợp pháp nào chuyển hướng người truy cập sang tên miền của công ty khác. Nếu crypto-wallet-app[.]com chuyển hướng đến coinbase.com, tên miền đó không có lý do gì để tồn tại. Một trang web Coinbase thực sự sẽ được lưu trữ trên coinbase.com. Việc chuyển hướng chính là dấu hiệu nhận biết.
Vấn đề “Trang Trắng”
“Trang trắng” là nội dung đánh lừa mà một tên miền lừa đảo được ngụy trang hiển thị cho các công cụ quét và người truy cập không phải đối tượng mục tiêu. Mặc dù có tên gọi như vậy, nhưng nó hiếm khi là một trang trắng trống rỗng. Các trang trắng hiện đại là các trang web hoạt động đầy đủ chức năng được thiết kế để trông có vẻ hợp pháp:
- Các bài viết trên blog về tiền điện tử, tài chính hoặc công nghệ
- Trang giới thiệu sản phẩm dành cho các công cụ SaaS thông dụng
- Các bài báo được trích xuất từ các ấn phẩm chính thống
- Các trang tên miền đang tạm ngưng hoạt động với thông báo chung chung “sẽ sớm ra mắt”
- Nội dung được tối ưu hóa SEO nhằm đạt thứ hạng cao trong kết quả tìm kiếm
Điểm cuối cùng này là vô cùng quan trọng. Các trang trắng không chỉ là công cụ để trốn tránh — chúng là Các công cụ SEO. Bằng cách đăng tải nội dung chất lượng cao trên một tên miền lừa đảo, những kẻ điều hành đạt được hai mục tiêu cùng một lúc: chúng tránh được việc bị phát hiện và Họ xây dựng uy tín tên miền, nhờ đó các liên kết lừa đảo của họ được xếp hạng cao hơn trong kết quả tìm kiếm.
Cuộc tấn công đầu độc SEO 3 giai đoạn
Đây là toàn bộ chu trình của một chiến dịch lừa đảo sử dụng trang trắng:
Xây dựng uy tín
Xếp hạng & Chỉ số
Kích hoạt tính năng chống lừa đảo

Đó là lý do tại sao chúng tôi đánh dấu các tên miền ngay từ Giai đoạn 1. Đến khi Giai đoạn 3 được kích hoạt, thiệt hại đã xảy ra. Chờ đợi trang lừa đảo xuất hiện đồng nghĩa với việc chờ đợi các nạn nhân bị đánh cắp thông tin đăng nhập và mất tiền.
Các kịch bản lưu lượng truy cập đang hoạt động: Quảng cáo và các chiến dịch email
Không phải tất cả các hình thức lừa đảo ngụy trang đều dựa vào kết quả tìm kiếm tự nhiên. Hai trong số những phương pháp thu hút lưu lượng truy cập tích cực nhất là quảng cáo trả phí và chiến dịch tiếp thị qua email, cả hai đều lợi dụng kỹ thuật ẩn danh để lách qua quy trình kiểm duyệt của nền tảng.
Kỹ thuật che giấu trong Google Ads
Cuộc điều tra của chúng tôi về Mạng lưới rút tiền BUYTRX đã được ghi chép lại Hơn 55 tên miền sử dụng Google Ads để thu hút lưu lượng truy cập vào các trang web “hút tiền”. Cơ chế hoạt động như sau:
- Nhà điều hành gửi tên miền để Google Ads xem xét. Trình thu thập dữ liệu của Google hiển thị trang trắng (một blog về công nghệ blockchain). Quảng cáo đã được phê duyệt.
- Quảng cáo đang được chạy, nhắm mục tiêu các từ khóa “connect wallet” và “crypto airdrop”.
- Người dùng Google nhấp vào quảng cáo. TDS phát hiện một địa chỉ IP cá nhân đến từ nguồn giới thiệu của Google Ads. Món "Wallet drainer" đã được phục vụ.
- Nạn nhân kết nối ví của mình. Tài sản bị rút cạn chỉ trong vài giây thông qua một giao dịch đã được ký sẵn.
Hệ thống kiểm duyệt quảng cáo của Google — giống như mọi công cụ quét tự động khác — chỉ nhìn thấy trang trắng. Quảng cáo vẫn tiếp tục chạy, và người vận hành vẫn tiếp tục trả tiền cho Google cho mỗi nạn nhân được dẫn đến.
Che giấu chiến dịch email
Các cổng email (Microsoft Defender for Office 365, Proofpoint, Mimecast) quét các liên kết trong email trước khi gửi đi. Cloaking xử lý việc này theo cách tương tự:
- Email lừa đảo chứa liên kết đến một tên miền được ngụy trang.
- Cổng email quét URL. Hệ thống TDS phía máy chủ nhận diện dải địa chỉ IP của cổng. Hệ thống sẽ trả về trang trắng hoặc chuyển hướng người dùng đến trang web chính thức. Email đã được gửi thành công.
- Người nhận nhấp vào liên kết từ ứng dụng email của họ. Địa chỉ IP cá nhân, nguồn truy cập chính xác, khu vực mục tiêu. Trang lừa đảo đã được hiển thị.
Chỉ riêng trong cuộc điều tra BUYTRX, Google Ads đã tích cực tài trợ cho việc phát tán các phần mềm đánh cắp tiền trong ví trên hơn 55 tên miền. Mỗi tên miền đều vượt qua quá trình kiểm duyệt tự động của Google vì trình thu thập dữ liệu của Google chỉ nhìn thấy một trang trắng. Đây không phải là một lỗ hổng — mà là một sai sót về mặt cấu trúc trong cách các nền tảng quảng cáo xác thực các trang đích khi có hiện tượng che giấu nội dung.
Tại sao nguyên tắc “vô tội cho đến khi được chứng minh có tội” lại không áp dụng trong trường hợp này
Đôi khi chúng ta nghe thấy quan điểm cho rằng việc gắn cờ một tên miền dựa trên cơ sở hạ tầng che giấu là quá vội vàng — rằng chúng ta nên chờ đến khi nội dung lừa đảo thực sự xuất hiện rồi mới tiến hành xử lý. Quan điểm này đã hiểu sai về khái niệm “che giấu”.
Công nghệ tàng hình không phải là một công nghệ trung lập. Nó là cơ sở hạ tầng đối kháng được thiết kế đặc biệt để tránh bị phát hiện. Một tên miền sử dụng kỹ thuật ngụy trang đã bộc lộ rõ ý đồ của mình: hiển thị một nội dung cho các hệ thống bảo mật và một nội dung khác cho nạn nhân. Đó không phải là một cấu hình phục vụ bất kỳ mục đích hợp pháp nào.
Bất kỳ miền nào có biểu hiện bất kỳ sự kết hợp nào Trong số các tín hiệu này, có tín hiệu nào bị đánh dấu là độc hại:
- Phân phối nội dung có điều kiện — Nội dung khác nhau tùy theo địa chỉ IP, chuỗi UA, vị trí địa lý, nguồn truy cập hoặc dấu vân tay thiết bị
- Dấu vân tay TDS — Keitaro, Binom, BeMob hoặc các chữ ký bộ định tuyến tùy chỉnh trong tiêu đề phản hồi, chuỗi chuyển hướng hoặc JavaScript
- Chuyển hướng đến các trang web chính thức — Bất kỳ liên kết chuyển hướng nào đến một tên miền hợp pháp của bên thứ ba (đặc biệt là các tổ chức ngân hàng, nền tảng tiền điện tử hoặc nhà cung cấp dịch vụ email)
- Trang trắng với nội dung không liên quan — Các bài đăng trên blog, bài báo tin tức hoặc nội dung chung chung trên một tên miền được đăng ký gần đây mà chưa có hoạt động kinh doanh cụ thể nào
- JavaScript chống bot — Tạo các tập lệnh để phát hiện trình duyệt không giao diện người dùng, WebDriver, kích thước màn hình hoặc khả năng hiển thị trên canvas trước khi quyết định nội dung sẽ hiển thị
Trong bộ dữ liệu của chúng tôi gồm hơn 50.000 trang web đã được quét, số lượng tên miền thể hiện các dấu hiệu này nhưng hóa ra lại là hợp pháp là không. Không phải là “hiếm” — mà là không có. Chúng tôi chưa bao giờ gặp một trang web hợp pháp nào cần phải chuyển hướng người truy cập không thuộc đối tượng mục tiêu sang tên miền của công ty khác, hay hiển thị một blog về tiền điện tử cho các công cụ quét trong khi hiển thị biểu mẫu đăng nhập cho người truy cập từ các dải IP cụ thể.
Cloaking là một tín hiệu nhị phân. Nếu một tên miền hiển thị nội dung khác nhau cho các người truy cập khác nhau bằng cách sử dụng các cơ chế được mô tả ở trên, tên miền đó sẽ bị đánh dấu. Nếu nhà điều hành cho rằng đây là trường hợp báo động sai, hệ thống của chúng tôi quy trình kháng cáo được thiết lập chính xác vì mục đích này. Cho đến nay, chưa có trường hợp kháng cáo nào liên quan đến tính năng ẩn danh được chấp nhận.
Vấn đề về người đăng ký
Kỹ thuật ẩn danh gây ra một vấn đề ở khâu tiếp theo trong quá trình báo cáo lạm dụng. Khi chúng tôi báo cáo một tên miền bị ẩn danh cho nhà đăng ký, đội ngũ xử lý lạm dụng của nhà đăng ký sẽ truy cập vào URL đó và thấy… một trang web bình thường. Một bài đăng trên blog. Một liên kết chuyển hướng đến coinbase.com. Từ góc độ của họ, không có gì để can thiệp cả.
Đây chính xác là tình huống đã diễn ra tại Cuộc điều tra về NiceNIC và của chúng tôi Cuộc điều tra NameSilo. Trong cả hai trường hợp, các nhà đăng ký đã kiểm tra các tên miền bị khiếu nại, xác nhận nội dung không có vấn đề gì, và sau đó hoặc là đóng vụ việc, hoặc là chủ động bảo vệ người vận hành tên miền.
Vấn đề mang tính hệ thống:
- Các nhóm xử lý các hành vi lạm dụng của nhà đăng ký sử dụng các phương pháp quét tương tự như các nhà cung cấp phần mềm diệt virus — họ truy cập URL đó từ các địa chỉ IP của trung tâm dữ liệu bằng các trình duyệt thông thường. Kỹ thuật che giấu luôn vô hiệu hóa được điều này.
- Chưa có nhà đăng ký tên miền nào đầu tư vào công nghệ phát hiện cloaking — Công nghệ phát hiện việc phân phối nội dung có điều kiện đã tồn tại (chúng tôi đã phát triển nó), nhưng chưa có nhà đăng ký tên miền nào triển khai công nghệ này.
- Khung chính sách xử lý lạm dụng của ICANN không tính đến việc che giấu — Các báo cáo về hành vi lạm dụng cần phải có bằng chứng về nội dung gây hại. Nếu nội dung gây hại đó chỉ được hiển thị cho các nạn nhân, thì quy trình xác minh của chính nhà đăng ký sẽ không bao giờ phát hiện ra được.
Chúng tôi đã ghi chép rất chi tiết về xu hướng này. Báo cáo của chúng tôi Khi các báo cáo về hành vi lạm dụng không được xử lý giải thích chi tiết lý do tại sao các nhà đăng ký tên miền thường xuyên không xử lý được các tên miền bị che giấu, bởi vì chính các phương pháp xác minh của họ lại chính là những gì mà kỹ thuật che giấu tên miền được thiết kế để vượt qua.
Đó chính là lý do PhishDestroy tồn tại như một lớp phân tích độc lập. Chúng tôi không chỉ dựa vào việc truy cập URL từ một địa chỉ IP duy nhất và kiểm tra nội dung hiển thị. Chúng tôi phân tích các chuỗi chuyển hướng, dấu vân tay TDS, hành vi JavaScript, lịch sử DNS, nhật ký minh bạch chứng chỉ và các mẫu thời gian trên hàng nghìn tên miền. Khi chúng tôi đánh dấu một tên miền, chúng tôi đã tính đến thực tế rằng tên miền đó sẽ trông "sạch sẽ" đối với bất kỳ ai kiểm tra nó theo cách thông thường.
Tóm tắt: Các kỹ thuật ngụy trang và phát hiện
| Kỹ thuật | Những gì máy quét nhìn thấy | Những gì nạn nhân nhìn thấy | Phương pháp phát hiện |
|---|---|---|---|
| Lọc dựa trên địa chỉ IP | Trang trắng / chuyển hướng | Trang lừa đảo | Quét nhiều địa chỉ IP, so sánh các proxy dân dụng |
| Lọc dựa trên UA | Trang trắng / 403 | Trang lừa đảo | Chế độ xoay UA, so sánh giữa chế độ không hiển thị giao diện người dùng và trình duyệt thực tế |
| Lọc dựa trên vị trí | Nội dung chung | Lừa đảo qua email được địa phương hóa | Quét proxy đa khu vực |
| Lọc nguồn truy cập | Trang trắng | Lừa đảo qua email (từ quảng cáo/email) | Giả mạo nguồn truy cập, mô phỏng nhấp chuột vào quảng cáo |
| Phương pháp nhận dạng dấu vân tay JS | Trang trắng (đã phát hiện bot) | Lừa đảo qua email (trên thiết bị thật) | Phân tích tĩnh JavaScript, giải mã |
| Các quy tắc dựa trên thời gian | Vệ sinh (ngoài giờ làm việc) | Lừa đảo qua email (trong giờ làm việc) | Quét theo thời gian, kiểm tra theo múi giờ |
| Kiểm soát truy cập bằng cookie/phiên làm việc | Vệ sinh (lần khám đầu tiên) | Lừa đảo (truy cập lại bằng cookie) | Phân tích phiên truy cập nhiều lần, tái tạo cookie |
| TDS (Keitaro/Binom) | Trang trắng hay chuyển hướng | Được chuyển hướng đến trang lừa đảo | Công cụ phát hiện Keitaro, phân tích tiêu đề/chuyển hướng |
| Chuyển hướng từ trang web chính thức | 302 → trang web hợp pháp | Trang lừa đảo | Phân tích đích chuyển hướng, xác thực mục đích của tên miền |

Kết luận
Kỹ thuật che giấu không phải là một vùng xám. Đó là kỹ thuật né tránh hiệu quả nhất trong các hình thức lừa đảo qua email hiện đại, và mọi thành phần trong hệ sinh thái lừa đảo qua email — từ Google Ads đến các cổng email cho đến các đội ngũ xử lý lạm dụng của các nhà đăng ký tên miền — hiện đều chưa giải quyết được vấn đề này.
Khi PhishDestroy đánh dấu một tên miền là có hành vi che giấu nội dung, chúng tôi không đưa ra phỏng đoán. Chúng tôi đang ghi nhận sự tồn tại của một cơ sở hạ tầng độc hại được thiết lập với một mục đích duy nhất: hiển thị nội dung khác nhau cho các người truy cập khác nhau. Trong hơn 50.000 lần quét, tỷ lệ báo động sai đối với tín hiệu này là bằng không.
Nếu tên miền của bạn bị gắn cờ:
- Nếu quý vị là nhà khai thác hợp pháp và cho rằng đây là trường hợp báo động sai, nộp đơn kháng cáo. Chúng tôi xem xét từng trường hợp một.
- Nếu bạn đang vận hành hệ thống che giấu, chúng tôi đã biết điều đó. Trang trắng mà bạn đã hiển thị cho công cụ quét của chúng tôi không phải là những gì các nạn nhân của bạn nhìn thấy. Và chúng tôi có bằng chứng để chứng minh điều đó.
Trang trắng không phải là một biện pháp phòng thủ. Đó là một lời thú nhận. Nếu trang web của bạn cần hiển thị nội dung khác nhau cho các khách truy cập khác nhau, thì bạn đã trả lời được câu hỏi liệu trang web đó có phải là trang web độc hại hay không.
Mọi tên miền được ngụy trang đều bị cấm. Không có ngoại lệ. Chưa có trường hợp kháng cáo nào thành công. Bởi vì trong 50.000 lần quét, chúng tôi chưa bao giờ nhầm lẫn về tín hiệu này.
Nghiên cứu và tài liệu tham khảo liên quan
Keitaro TDS: 1.500 tấm pin mặt trời bị phơi nhiễm
Cách chúng tôi xác định vị trí 1.565 bảng điều khiển Keitaro đang vận hành cơ sở hạ tầng lừa đảo trên toàn thế giới.
Công cụ phát hiện Keitaro
Quét bất kỳ tên miền nào để tìm dấu vết Keitaro TDS, chuỗi chuyển hướng và dấu hiệu ngụy trang.
BUYTRX: 55 tên miền, kinh phí từ Google Ads
Một mạng lưới lừa đảo tiền điện tử sử dụng các trang trắng được ngụy trang để qua mặt hệ thống kiểm duyệt của Google Ads.
Khi các báo cáo về hành vi lạm dụng không được xử lý
Tại sao các đội xử lý lạm dụng của nhà đăng ký lại không có biện pháp đối với các tên miền được ẩn danh và điều gì cần phải thay đổi.
Kết luận của NiceNIC
ICANN đã đệ đơn khiếu nại chống lại NiceNIC vì đã có hành vi không xử lý các báo cáo lạm dụng một cách có hệ thống.
Cuộc điều tra NameSilo
Cách NameSilo bào chữa cho một tên trộm tiền điện tử trị giá 2 triệu đô la và bịa ra một câu chuyện che đậy.
Bài viết này dựa trên kinh nghiệm thực tiễn của chúng tôi trong việc quét hơn 50.000 tên miền, điều tra các hệ thống lừa đảo đang hoạt động, và gửi báo cáo vi phạm đến các nhà đăng ký tên miền và ICANN. Tất cả các kỹ thuật được mô tả đều được ghi chép kèm theo bằng chứng. Trong suốt quá trình nghiên cứu, chúng tôi không thực hiện bất kỳ hành vi truy cập trái phép nào.



