返回新闻
调查报告

我们为何禁止“空白页面”并将用户重定向至官方网站: “隐身”问题的解析

隐身技术、空白页面和TDS重定向是现代网络钓鱼基础设施的支柱。任何使用这些技术的网站都会被封禁。原因如下——以及我们在揭开幕后真相时所发现的情况。

2026年3月29日 PhishDestroy 研究 阅读时间约12分钟
网络钓鱼基础设施中的隐身技术与白页——技术概述
现代网络钓鱼基础设施如何利用伪装技术来规避各层自动检测。
50,000+
已扫描的网站
1,565
凯太郎漫画分镜
0
合法用途
55+
购买 BUYTRX 域名
100+
AV Engines

我们经常被问到的问题

每周,我们都会收到同样的请求: “你们将我的域名标记为可疑,但我检查后发现,它只是重定向到官方网站。这里没有任何恶意内容。”

或者另一种写法: “该页面只是一篇关于加密货币的博客文章,并非钓鱼网站。”

我们理解这为什么会让人感到困惑。如果您访问了一个已被标记的域名,却看到一个完全正常的页面——或者一个干净的、重定向到合法网站的链接——自然会认为该标记是错误的。但那个干净的页面并不是我们检测机制中的漏洞。 这就是袭击。

本文阐述了隐身技术背后的原理、“白页”存在的缘由、Keitaro 等流量分发系统(TDS)如何将受害者引导至目标站点,以及 PhishDestroy 为何将上述所有模式均视为已确认的恶意基础设施——且绝无例外。

为何这很重要

如果您是因为域名被标记而阅读本文,并且认为这是误判,我们建议您阅读全文。此外,我们还维护了一个 上诉程序 对于合理的误报。但根据我们的经验,表现出“隐身”行为的域名100%都是恶意的。

杀毒系统如何改变了游戏规则

十年前,网络钓鱼手段还很简单。攻击者注册一个域名,搭建一个虚假的登录页面,然后将链接发送给受害者。安全厂商最终会爬取该网址,发现该钓鱼页面,并将其加入屏蔽列表。该域名通常会在数小时或数天内失效。

随后,行业状况有所好转。Google Safe Browsing、微软“SmartScreen”以及VirusTotal等平台上的100多个杀毒引擎开始近乎实时地扫描URL。浏览器层面的警告使点击率大幅下降。主机服务商开始建立自动关停 Pipeline。钓鱼页面上线到被封堵之间的时间窗口,从数天缩短到了几分钟。

网络钓鱼者面临一个难题:他们的网页被查获的速度比他们部署的速度还要快。他们需要一种方法,既能向真实的受害者展示网络钓鱼内容,又能让所有试图检测它们的自动化系统认为这些内容完全无害。

答案是 隐身.

杀毒软件检测技术与网络钓鱼规避技术的演变——技术信息图
军备竞赛:随着恶意软件检测速度从数天缩短至数分钟,网络钓鱼攻击者也相应地采用了伪装基础设施,向扫描程序和真实受害者展示不同的内容。
核心问题

现代网络钓鱼之所以不会被发现,并不是因为钓鱼页面难以察觉,而是因为 扫描程序根本不会看到该钓鱼页面. 扫描器会检测到一篇博客文章、一个重定向链接或一个空白页面。而受害者——来自特定国家、使用移动设备、通过付费广告访问该页面——则会看到凭证窃取程序。

“隐藏”究竟是什么

“隐身”是指根据访问者的身份向其提供不同内容的做法。在网络钓鱼的语境下,它指的只有一种情况: 安全扫描工具看到的是一个无害的页面,而真正的受害者看到的则是钓鱼页面.

过滤可以在多个层面上进行:

  • IP声誉 — 已知的数据中心 IP 地址、VPN 地址范围以及安全厂商的 IP 地址块将显示正常页面;而家庭用户 IP 地址则会跳转到钓鱼页面。
  • User-Agent 字符串 — 无头浏览器、已知的爬虫(Googlebot、bingbot、Screaming Frog)以及安全扫描工具会被识别并过滤掉。
  • 地理位置 — 该钓鱼页面仅向来自目标国家的访问者显示。其他访问者看到的则是空白页面。
  • Referrer 标头 — 只有来自特定来源(例如谷歌广告、钓鱼邮件中的链接、社交媒体帖子)的访问者才能看到真实内容。
  • 设备指纹识别 — JavaScript 会检查屏幕分辨率、已安装的字体、WebGL 渲染器、电池 API 以及其他信号,以此区分真实设备与模拟器。
  • 基于时间的规则 — 该钓鱼页面仅在特定时段(例如,目标时区的营业时间)内有效,在这些时段之外,页面默认显示为空白页面。
  • Cookie/会话跟踪 — 首次访问时显示空白页面。携带特定 Cookie(由广告点击设置)的回头客则会看到钓鱼页面。
三个运营隐蔽基础设施的威胁行为者——概念示意图
隐身基础设施会在多个层面对访问者进行过滤。等到真正的受害者到达钓鱼页面时,所有自动化防御系统看到的都只是一个无害的诱饵。

一套复杂的隐身机制将所有这些技术结合在一起。其结果是,该域名在互联网上的所有扫描工具看来都完全干净,同时却仍在积极窃取目标受害者的凭据。

检测缺口

当 VirusTotal 扫描一个经过伪装的 URL 时,它会看到空白页面。结果: 0/93 次检测. Google Safe Browsing对其进行抓取,发现了一篇博客文章。结果: 没有警告. 受害者在手机上点击了谷歌广告中的同一条链接: 他们看到一个伪造的 MetaMask 登录界面. 这并非一个理论问题——而是现代网络钓鱼的标准运作模式。

欺骗背后的工具

隐身技术并非即兴之作。它运行在一种名为 流量分配系统(TDS). 在网络钓鱼活动中使用最广泛的是 圭太郎.

Keitaro 是一款正规的广告技术产品,专为联盟营销人员设计,可根据访客属性进行流量分流。它开箱即用,支持上述所有过滤条件——IP 范围、地理位置、设备、引荐来源、用户代理。网络钓鱼攻击者只需对其进行配置,即可将扫描器引导至空白页面,而将受害者引导至钓鱼页面。

我们的调查结果已发表于 Keitaro TDS:1,500块面板曝光, 已识别 1,565张活跃的启太郎分镜图 托管网络钓鱼基础设施。不是1,565个网络钓鱼页面——而是1,565 控制面板,每个都同时管理着数十至数百个网络钓鱼活动。

用于分发网络钓鱼流量的Keitaro TDS面板基础设施
Keitaro TDS:一种被改造成网络钓鱼隐藏攻击骨干网络的商用流量分发系统。已识别并记录了超过1,565个控制面板。

我们接触到的其他 TDS 平台还包括:

  • Binom — 在独联体地区运营中广受欢迎的自托管追踪器
  • BeMob — 基于云的追踪器,具备 IP 过滤和机器人检测功能
  • 自定义 PHP 路由器 — 采用 MaxMind GeoIP 和 IP 封锁列表的自研脚本
  • Cloudflare Workers — 基于边缘的路由,在请求甚至尚未到达源服务器之前,便会评估访问者的属性

它们的共同点在于:它们的存在都是为了向不同的访问者展示不同的内容。在联盟营销领域,这被称为“流量优化”。而在网络钓鱼中,则被称为 逃避.

检测工具已上线

我们构建了 Keitaro 检测工具 用于在任何域名上识别Keitaro TDS的特征。该工具会检查已知的控制面板路径、响应头模式、重定向链以及与Keitaro安装相关的JavaScript签名。

“官方网站重定向”场景

我们遇到最常见的“隐身”模式之一,就是某个域名仅将访问者重定向到官方网站。其诱饵总是千篇一律: “你自己看看——它只是跳转到 coinbase.com。根本没有钓鱼行为。”

实际情况是这样的:

扫描程序访问了该URL
TDS 检查 IP/UA/地理位置
302 → coinbase.com
扫描仪:“干净”
受害者点击了广告
TDS 检查 IP/UA/地理位置
虚假的 Coinbase 登录页面
凭证被盗

重定向到官方网站并不意味着该域名是安全的。 这就是隐身机制本身。 TDS 判定该访问者是一个扫描程序,而最安全的应对措施——即最有可能获得“无异常”扫描结果的措施——是将其重定向至真实的网站。

以下是一个关于服务器端逻辑的简化示例:

// Simplified cloaking router (illustrative)
const SCANNER_IPS = ['34.0.0.0/8', '35.0.0.0/8', '64.233.0.0/16']; // Google, etc.
const BOT_UA = /bot|crawl|spider|scan|check|virus|curl|wget|python/i;
const TARGET_GEO = ['US', 'GB', 'CA', 'AU'];

function routeVisitor(req) {
  const ip = req.headers['cf-connecting-ip'];
  const ua = req.headers['user-agent'];
  const geo = req.headers['cf-ipcountry'];

  // If scanner/bot detected: redirect to official site
  if (isInRange(ip, SCANNER_IPS) || BOT_UA.test(ua)) {
    return Response.redirect('https://www.coinbase.com', 302);
  }

  // If not in target geography: show white page
  if (!TARGET_GEO.includes(geo)) {
    return renderWhitePage(); // Innocent blog post
  }

  // Real victim from target country: show phishing page
  return renderPhishingPage(); // Credential harvester
}
关键洞见

任何正规网站都不会将访问者重定向到其他公司的域名。如果 crypto-wallet-app[.]com 重定向至 coinbase.com,该域名根本没有存在的必要。真正的 Coinbase 页面应该托管在 coinbase.com. 重定向就是线索。

“白页问题”

“白页”是指伪装的钓鱼域名向扫描工具和非目标访问者展示的诱饵内容。尽管名称如此,但它很少是空白的白页。现代的白页是 功能齐全的网站 设计得看起来很正规:

  • 关于加密货币、金融或技术的博客文章
  • 通用SaaS工具的产品落地页
  • 从正规出版物中抓取的新闻文章
  • 显示通用“即将上线”信息的停用域名页面
  • 经过SEO优化的内容,旨在提升搜索结果中的排名

最后这一点至关重要。白页不仅仅是规避工具——它们是 SEO利器. 通过在钓鱼域名上托管高质量内容,攻击者可以同时实现两个目标:既能规避检测 以及 他们通过提升域名权威度,使自己的钓鱼链接在搜索结果中排名更高。

三阶段SEO中毒攻击

以下是基于“白页”技术的网络钓鱼活动完整生命周期:

第一阶段
构建权威
第二阶段
排名与指数
第三阶段
激活网络钓鱼
第一阶段:建立权威(第1–4周)
注册域名。部署包含经过SEO优化的内容(博客文章、文章)的空白页面。建立反向链接。域名随着时间推移逐渐积累权重。所有爬虫看到的都是一个内容干净的网站。谷歌会将其收录,且不会发出警告。
第二阶段:排名与索引(第4–8周)
该域名开始针对目标关键词(“连接 MetaMask 钱包”、“Coinbase 登录”、“加密货币空投”)获得排名。空白页内容继续显示。自然流量开始涌入。该域名在所有评分系统中建立了声誉。
第三阶段:启动网络钓鱼(第8周起)
TDS规则被颠倒了。 符合受害者特征(住宅IP、目标国家、移动设备)的访问者现在会看到钓鱼页面,而不是空白页面。扫描工具仍会看到空白页面。由于该域名积累的信誉,浏览器警告触发较慢。受害者点击搜索结果或广告后,会进入一个看起来值得信赖且权威评分较高的域名。
“白页”SEO中毒Pipeline——钓鱼域名在激活前先建立权威
“白页”并非被动的规避手段。它们是积极的SEO武器,能够建立域名权威、提升搜索排名,进而利用这种声誉,通过自然搜索结果向受害者发送钓鱼信息。

这就是为什么我们在第一阶段就对域名进行标记。等到第三阶段启动时,损害已经造成。等待钓鱼页面出现,就意味着等待受害者丢失账户凭证并蒙受经济损失。

活跃流量场景:广告和电子邮件营销活动

并非所有伪装式网络钓鱼都依赖自然搜索。其中两种最激进的流量获取方法是 付费广告 以及 电子邮件营销活动,这两者都利用了“隐身”技术来绕过平台审核。

Google Ads 隐藏技术

我们对……的调查 BUYTRX 资金外流网络 有据可查 55个以上域名 利用 Google Ads 为“掏空钱包”的网站引流。其运作机制如下:

  1. 运营商将该域名提交给 Google Ads 进行审核。Google 的爬虫抓取到了空白页面(一个关于区块链技术的博客)。 广告已获批准。
  2. 广告已上线,针对“Connect Wallet”和“加密货币空投”等关键词。
  3. 谷歌用户点击了广告。TDS 检测到一个来自谷歌广告引荐来源的家庭 IP 地址。 “掏空钱包”的菜上桌了。
  4. 受害者连接了其钱包。资产在几秒钟内就被通过一笔预签名的交易转走。

谷歌的广告审核系统——就像所有自动扫描工具一样——只能看到“空白页面”。广告继续投放,运营商则继续为每名被引流的受害者向谷歌付费。

电子邮件营销的隐藏处理

电子邮件网关(Microsoft Defender for Office 365、Proofpoint、Mimecast)会在邮件投递前对邮件中的链接进行扫描。链接隐藏功能也是以同样的方式处理的:

  1. 钓鱼邮件中包含指向隐藏域名的链接。
  2. 电子邮件网关对URL进行扫描。服务器端的TDS识别出网关的IP范围。返回空白页面或重定向至官方网站。 电子邮件已发送。
  3. 收件人通过其邮件客户端点击链接。住宅IP地址、正确的引荐来源、目标地理位置。 已显示钓鱼页面。
《天平》

仅在BUYTRX调查中,Google Ads就曾积极资助在55个以上域名上传播钱包清空恶意软件。每个域名都通过了Google的自动化审核,因为Google的爬虫看到的是一张空白页面。这并非漏洞——而是广告平台在存在隐藏页面(cloaking)的情况下验证着陆页时所存在的结构性缺陷。

为什么“未经审判不得定罪”原则在此不适用

我们有时会听到这样的观点:仅凭隐蔽技术基础设施就对某个域名进行标记为时过早——应该等到实际的网络钓鱼内容出现后再采取行动。这种观点是对“隐蔽技术”的误解。

隐身技术并非一种中立的技术。它是一种 对抗性基础设施 其设计初衷就是为了规避检测。部署了隐身技术的域名已经表明了其意图:向安全系统展示一种内容,而向受害者展示另一种内容。这种配置没有任何正当用途。

我们关注的5个信号

任何表现出以下特征的域 任意组合 其中这些信号被标记为恶意:

  1. 条件内容分发 — 根据 IP 地址、用户代理、地理位置、引荐来源或设备指纹提供不同的内容
  2. TDS 指纹 — Keitaro、Binom、BeMob 或响应头、重定向链或 JavaScript 中的自定义路由签名
  3. 跳转至官方网站 — 任何重定向至第三方合法域名的链接(尤其是银行、加密货币或电子邮件服务提供商)
  4. 一页空白,内容无关 — 发布在近期注册且尚未建立业务实体的域名上的博客文章、新闻报道或通用内容
  5. JavaScript 反机器人措施 — 通过脚本识别是否存在无头浏览器、WebDriver、屏幕尺寸或画布渲染等情况,然后决定显示什么内容

在我们包含超过 50,000 个已扫描网站的数据集中,表现出这些特征且最终被证实为合法的域名数量为 . 并非“罕见”——而是零。我们从未遇到过任何一个正规网站需要将非目标访问者重定向到其他公司的域名,或者在向特定IP范围内的访问者显示登录表单的同时,向爬虫展示关于加密货币的博客。

我们的政策

隐身技术是一种二进制信号。如果某个域名利用上述机制向不同访问者展示不同的内容,该域名就会被标记。如果运营方认为这是误报,我们的 上诉程序 正是为此而设立的。迄今为止,尚未有任何与隐身相关的标记成功通过申诉。

注册官问题

隐身技术给滥用行为举报带来了后续问题。当我们向域名注册商举报一个被隐身的域名时,注册商的滥用处理团队访问该网址后看到的却是……一个干净的页面。一篇博客文章。一个重定向到 coinbase.com 的链接。从他们的角度来看,没有任何需要采取行动的依据。

这正是我们公司所经历的真实情景 NiceNIC调查 以及我们的 NameSilo调查. 在这两种情况下,注册商均对被举报的域名进行了核查,确认内容无问题,随后要么结案,要么积极为域名持有者辩护。

这是一个系统性问题:

  • 域名注册商的滥用处理团队采用与杀毒软件厂商相同的扫描方法 ——他们使用标准浏览器通过数据中心的IP地址访问该URL。伪装技术每次都能规避这种检测。
  • 目前还没有任何域名注册商在隐身检测技术上投入资金 ——检测条件内容分发的技术已经存在(是我们开发的),但还没有任何注册商将其投入使用。
  • ICANN 的滥用处理框架未将“隐藏”行为纳入考量 — 举报滥用行为需要提供有害内容的证据。如果有害内容仅向受害者显示,注册商自身的核查流程将永远无法发现它。
注册处响应失败

我们已对此现象进行了详尽的记录。我们的报告 当举报虐待行为石沉大海时 详细说明了域名注册商为何系统性地未能对隐藏域名采取行动,因为他们的验证方法恰恰是隐藏技术旨在规避的。

这就是为什么 PhishDestroy 作为独立层而存在。我们并不依赖于从单一 IP 地址访问该 URL 并检查其显示内容。 我们分析数千个域名的重定向链、TDS 指纹、JavaScript 行为、DNS 历史记录、证书透明度日志以及时间模式。当我们标记某个域名时,已经考虑到这样一个事实:对于通过常规方式检查该域名的人来说,它看起来是干净的。

摘要:隐身技术及其检测

技术扫描仪所见受害者眼中的景象检测方法
基于IP的过滤空白页 / 重定向钓鱼页面多IP扫描、住宅代理对比
基于UA的过滤空白页 / 403钓鱼页面UA 轮换,无头浏览器与真实浏览器的对比
基于地理位置的过滤通用内容本地化网络钓鱼多区域代理扫描
引荐来源过滤空白页网络钓鱼(来自广告/电子邮件)来源地址伪造、广告点击模拟
JS 指纹识别空白页面(检测到机器人)网络钓鱼(真实设备)JavaScript 静态分析、去混淆
基于时间的规则清洁(非工作时间)网络钓鱼(工作时间)时间扫描、按时区对齐的检查
Cookie/会话控制清洁(首次到访)网络钓鱼(利用Cookie的回访)多次访问会话分析、Cookie重放
TDS(Keitaro/Binom)空白页面或重定向被重定向至钓鱼网站Keitaro 检测工具, 头部/重定向分析
官方网站重定向302 → 正规网站钓鱼页面重定向目标分析、域名用途验证
隐身检测与网络钓鱼基础设施分析摘要
全貌如下:每种隐藏技术都有相应的检测方法。挑战不在于技术本身,而在于如何让域名注册商、广告平台和电子邮件网关落实这些检测措施。

结论

“隐藏”并非灰色地带。它就是 最有效的闪避技巧 在现代网络钓鱼攻击中,网络钓鱼生态系统的每个组成部分——从谷歌广告到电子邮件网关,再到域名注册商的滥用处理团队——目前都未能有效应对这一问题。

当 PhishDestroy 将某个域名标记为“隐蔽”时,我们并非在猜测。我们记录的是恶意基础设施的存在,而该基础设施的存在仅有一个目的:向不同的访问者展示不同的内容。在超过 50,000 次扫描中,该信号的误报率为零。

如果您的域名被标记:

  • 如果您是合法运营商,且认为这是误报, 提交申诉. 我们都会逐一审核。
  • 如果你正在运行伪装基础设施,我们早已知晓。你向我们的扫描器展示的空白页面,并非受害者所看到的页面。而且我们手头有证据可以证明这一点。
空白页面并非一种辩解,而是一种承认。如果你的域名需要向不同的访问者展示不同的内容,那么关于它是否具有恶意的问题,你其实已经给出了答案。

每个被隐藏的域名都会被封禁。绝无例外。迄今为止,没有任何上诉成功。因为在50,000次扫描中,我们对这一信号的判断从未出错。

相关研究与资源

本文基于我们扫描超过 50,000 个域名、调查活跃的网络钓鱼基础设施,以及向域名注册商和 ICANN 提交滥用报告的实际操作经验。文中描述的所有技术均附有证据。在整个研究过程中,我们从未进行过任何未经授权的访问。

分享此调查

X / Twitter Telegram Reddit 领英

相关调查

Keitaro TDS:1,500个面板被曝光,零正当用途
调查
Keitaro TDS:1,500个面板被曝光,零正当用途
BUYTRX 内幕曝光:55 个域名及 TRON 授权资金窃取者
调查
BUYTRX 内幕曝光:55 个域名及 TRON 授权资金窃取者
骗子现形:4个诈骗后台系统剖析
调查
骗子现形:4个诈骗后台系统剖析