PhishDestroy مباشر
العودة إلى الأخبار
تهديد فعلي

داخل الآلة: كيف يعمل محتالو العملات المشفرة
اختطاف محركي البحث «Bing» و«DuckDuckGo»

تقرير استقصائي يستند إلى بيانات SEMrush المباشرة، يكشف عن عمليتين متوازيتين للهجوم في مجال تحسين محركات البحث (SEO) تعملان على دفع مواقع التصيد الاحتيالي الخاصة بالعملات المشفرة إلى قمة نتائج بحث Bing وDuckDuckGo. 10 نطاقات. مساران للهجوم. أكثر من 100,000 ضحية محتملة شهريًّا.

30 مارس 2026 أبحاث PhishDestroy 22 دقيقة للقراءة بيانات واجهة برمجة تطبيقات SEMrush
محتالو العملات المشفرة يتلاعبون بنتائج بحث «بينغ» و«دوك دوك جو» — تصور على طراز «سايبربانك»
محركات البحث تحت الحصار: عمليات منظمة تدفع مواقع التصيد الاحتيالي إلى التقدم على منصات العملات المشفرة الشرعية
10نطاقات التصيد الاحتيالي
9المتبرعون لـ PBN
60,500+التعرض اليومي
100 ألف+عدد الضحايا شهريًّا
2مسارات الهجوم
إخلاء المسؤولية

تم جمع جميع البيانات الواردة في هذا التقرير عبر واجهة برمجة تطبيقات SEMrush وموقع phishdestroy.io لأغراض البحث في مجال الأمن السيبراني. ويتم نشر أسماء النطاقات بهدف تحذير المستخدمين، وليس للترويج لها.

مسارا الهجوم

كشفت تحقيقاتنا عن عمليتان متوازيتان مختلفتان تمامًا تعمل هذه العمليات في وقت واحد لدفع مواقع التصيد الاحتيالي إلى صدارة نتائج بحث «بينغ» و«دوك دوك جو».

الطريقة أ: حقن نتائج بحث ياهو (SERP)
يستغل سلطة نطاق ياهو (AS 24) عبر صفحات البحث على الأجهزة المحمولة. ويرث «بينغ» الثقة من عناوين URL الخاصة ببحث ياهو التي يتم إنشاؤها ديناميكيًا وتحتوي على روابط تصيد احتيالي. الأهداف: curvefinance.co، curvefi.co، aster-dex.at
المتجه ب: شبكة PBN المنسقة
هناك 9 نطاقات تم اختراقها أو شراؤها، تابعة إلى AS 49–65، ترتبط في آن واحد بعدة مواقع تصيد احتيالي. وتعمل هذه النطاقات مع جميع محركات البحث. الأهداف: rabbys.at، dexscreener.at، monero-wallet.at، trezorsuite.at، keplr.me

الطريقة أ: هجوم «حقن نتائج بحث ياهو» (Yahoo SERP Injection)

يمكن القول إن هذا هو الأكثر أناقة من الناحية التقنية هجوم «سيو» غير المشروع الذي قمنا بتوثيقه في عام 2026. ويستغل هذا الهجوم ثغرة جوهرية في الطريقة التي يقيّم بها محرك البحث «بينغ» مصداقية الروابط — وبالتحديد، عدم قدرته على التمييز بين الروابط التحريرية الحقيقية وصفحات نتائج البحث التي يتم إنشاؤها ديناميكيًّا من نطاقات موثوقة.

رسم تخطيطي فني يوضح مسار هجوم «إدخال نتائج بحث ياهو» (Yahoo SERP injection) على تصنيفات «بينغ» (Bing)
ينتقل «مؤشر السلطة» (AS 24) الموروث من ياهو عبر صفحات البحث على الأجهزة المحمولة إلى نطاقات التصيد الاحتيالي — ويقبل «بينغ» هذه الإشارة على أنها شرعية

الآلية — خطوة بخطوة

إنشاء رابط Yahoo8+ نطاقات فرعية لبلدان
تضمين رابطاستفسار عشوائي + رابط تصيد احتيالي
الزحف القسريخدمات «بينغ» + الرسائل غير المرغوب فيها
فهارس Bingيرث Yahoo AS 24
المركز الأولموقع تصيد احتيالي ضمن النتائج الأولى

الخطوة 1 — إنشاء عنوان URL الخاص بشركة الاتصالات الموثوقة. يقوم المهاجمون بإنشاء عناوين URL على نقاط نهاية البحث عبر الهاتف المحمول التابعة لـ Yahoo عبر عدة نطاقات فرعية دولية: no.search.yahoo.com (النرويج)، fr.search.yahoo.com (فرنسا)، mx.search.yahoo.com (المكسيك)، pl.search.yahoo.com (بولندا)، gr.search.yahoo.com (اليونان)، qc.search.yahoo.com (كيبيك)، chfr.search.yahoo.com (السويسرية الفرنسية)، co.search.yahoo.com (كولومبيا). تحتوي هذه الصفحات على «مؤشر الموثوقية» الموروث من ياهو: 23–24.

الخطوة 2 — تضمين رابط التصيد الاحتيالي. يحتوي كل عنوان URL على استعلام بحث عشوائي تمامًا وبريء — «pele+fifa»، «Jean-Paul+Sartre»، «Radio+Stars»، «jucheck.exe» — لكن نص الرابط هو: curvefi.co Curve Finance. تضمن الاستعلامات العشوائية عدم اكتشافها من قبل مرشحات البريد العشوائي عن طريق مطابقة الأنماط.

الخطوة 3 — الزحف والفهرسة القسريان. يقوم المهاجمون بدفع «Bingbot» إلى الزحف إلى عناوين URL هذه باستخدام خدمات «البينغ» الجماعية، وإدراج التعليقات في المنتديات والمدونات، وأدوات تشغيل الزحف الآلي.

فشل خوارزمية «بينغ»

خوارزمية جوجل: "هذه صفحة بحث ديناميكية. لا يحدث أي نقل لقيمة الروابط."
خوارزمية «بينغ»: "موقع yahoo.com يضم رابطًا إلى curvefi.co مع نص الرابط 'Curve Finance DEX'. تم قبول إشارة الترتيب. ✓"

النتيجة: صعد موقع التصيد الاحتيالي إلى المراكز الثلاثة الأولى في نتائج البحث عن مصطلح «Curve Finance» على محركي البحث Bing وDuckDuckGo.

أدلة SEMrush الأولية — curvefi.co

واجهة برمجة تطبيقات تحليلات الروابط الخلفية من SEMrush | 30.03.2026 | الهدف: curvefi.co
ASنطاق المصدرنص الرابط
24chfr.search.yahoo.comwww.curvefi.co Curve Finance
24co.search.yahoo.comcurvefi.co كيرف فاينانس
24fr.search.yahoo.comcurvefi.co كيرف فاينانس
24mx.search.yahoo.comwww.curvefi.co Curve Finance
24no.search.yahoo.comwww.curvefi.co Curve Finance
24pl.search.yahoo.comwww.curvefi.co Curve Finance
23gr.search.yahoo.comwww.curvefi.co Curve Finance
23qc.search.yahoo.comcurvefi.co كيرف فاينانس

المفارقة القاسية: يحتوي الموقع على صفر الكلمات المفتاحية العضوية، صفر حركة المرور في قاعدة بيانات SEMrush — ومع ذلك، فإنها تظهر في نتائج Bing/DDG لعبارة «Curve Finance» بفضل «السلطة المستعارة» من Yahoo.

المحور ب: شبكة PBN المنسقة

وهنا يصبح التحقيق مقلقًا حقًّا. خمسة مواقع تصيد احتيالي منفصلة — rabbys.at، dexscreener.at، monero-wallet.at، trezorsuite.at، و keplr.me — جميعها تشترك في مجموعة متطابقة من مصادر الروابط الخلفية. هذه ليست مصادفة. هذا هو عملية إجرامية منظمة واحدة تنفيذ حملات تصيد احتيالي متعددة من خلال بنية تحتية واحدة.

تصور لشبكة PBN الإجرامية — 9 نطاقات مانحة ترتبط بـ 5 أهداف للتصيد الاحتيالي
مشغل واحد، و9 متبرعين بـ PBN، و5 أهداف للتصيد الاحتيالي — تبلغ احتمالية أن يكون هذا مجرد مصادفة حوالي 0.00001%

الدليل الدامغ — البنية التحتية المشتركة

واجهة برمجة تطبيقات SEMrush | التحليل عبر النطاقات | 30.03.2026
نطاق المانحين في شبكة PBNASrabbysdexscrمونيروتريزور
lewievuittton.com65✓✓✓✓
lyricamed.us.com61✓✓✓✓
creatfx.com60✓✓✓✓
jba.com.jo56✓✓✓✓
jornaldevinhedo.com56✓✓✓✓
jasaaspalhotmix.com54✓✓✓✓
magna-eg.com50✓✓✓✓
markjohnsonbuilders50✓✓✓✓
nextplayflix.com49✓✓✓✓
ملاحظة بشأن موقع lewievuittton.com

أكبر مصدر لشبكة PBN (AS 65) هو في حد ذاته موقع يستغل الأخطاء المطبعية في اسم «لويس فويتون». هذا المصدر هو موقع احتيالي يدعم مواقع احتيالية أخرى — وهي بنية تحتية إجرامية في كل مستوياتها.

ملفات تعريف نطاقات التصيد الاحتيالي

نظرة عامة على نطاق SEMrush | مارس 2026
المجالينتحل شخصيةالكلمات المفتاحيةالهدف الأهمالحجم
dexscreener.atDexScreener64«dexscreener» رقم 4260,500 شهريًّا
rabbys.atمحفظة رابي15«محفظة رابي» رقم 515,400 شهريًّا
trezorsuite.atمجموعة Trezor7"مجموعة تريزور" رقم 324,400 شهريًّا
aster-dex.atAster DEX13«بورصة أستر» #253,600 شهريًّا
monero-wallet.atمحفظة مونيرو4«محفظة XMR عبر الإنترنت» #26210 شهريًّا
keplr.meمحفظة كيبلر0التعليقات غير المرغوب فيها المتخفيةغير متوفر
bscscan.cfdBSCScan0روابط البريد العشوائي المجمعةغير متوفر
curvefinance.coCurve Finance0حقن «ياهو» فقطغير متوفر
curvefi.coCurve Finance0حقن «ياهو» فقطغير متوفر
app-crv.netتطبيق Curve0تقنيات مختلطةغير متوفر
هام: تنزيل Trezor Suite

المستخدمون الذين يجرون عمليات بحث "تنزيل Trezor Suite" يبحثون بنشاط عن تثبيت برنامج محفظة. وجود موقع تصيد احتيالي في المراتب من 3 إلى 5 على محرك البحث DuckDuckGo يعني أن المستخدمين الذين يقومون بتنزيل البرامج الضارة ظنًّا منهم أنها واجهة محفظة مادية. وهذا ليس مجرد افتراض نظري — بل إنه يحدث الآن بالفعل.

مزرعة المقالات المدعومة بالذكاء الاصطناعي

يستخدم إصدار aster-dex.at النهج المختلط، حيث تم الجمع بين تقنية «Yahoo Injection» ومحتوى مدونات تم إنشاؤه بواسطة الذكاء الاصطناعي، ونُشر على مواقع تم اختراقها أو أنشئت خصيصًا لهذا الغرض في فيتنام وإيطاليا وإندونيسيا وسويسرا.

مصنع يُنتج منشورات مدونة متطابقة تم إنشاؤها بواسطة الذكاء الاصطناعي وترتبط بمواقع تصيد احتيالي
مقالات تم إنشاؤها بواسطة الذكاء الاصطناعي على مواقع تم اختراقها — عناوين متطابقة، ونطاقات مختلفة، وجميعها تشير إلى نفس هدف التصيد الاحتيالي

تحمل جميع مقالات المدونة عناوين متطابقة تقريبًا: "لماذا لا تزال عمليات مبادلة التوكنات ومجمعات السيولة تشكل عقبة حتى أمام المتداولين المخضرمين في البورصات اللامركزية", "لماذا لا يزال صانعو السوق الآليون يفاجئون المتداولين". وهذه هي مقالات تم إنشاؤها بواسطة الذكاء الاصطناعي تم وضعها على مواقع تحمل الرموز AS 21–36، وجميعها ترتبط بموقع aster-dex.at.

تسلل التعليقات غير المرغوب فيها

يتبع موقع keplr.me نهجًا مختلفًا تمامًا — وهو نشر تعليقات غير مرغوب فيها بشكل صريح على مواقع ذات مصداقية عالية لا علاقة لها بالموضوع. وتقوم أسماء مستخدمين مزيفة مثل «ZackaryThymn» و«Fritzkah» و«Jamesboach» بإدراج روابط لمحافظ العملات المشفرة في مواقع تعليم الفلسفة (filozofija.edu.rs، AS 45)، ومنصات تعزيز مشاركة الموظفين (bavave.com، AS 63)، والمهرجانات الفنية (lea-festival.com، AS 50).

موقع إلكتروني شرعي يحتوي على روابط تصيد خفية في قسم التعليقات
مواقع شرعية تستضيف دون علمها روابط تصيد — مخبأة بين تعليقات المستخدمين التي تبدو عادية

الحضيض: الرسائل غير المرغوب فيها المتعلقة بالأدوات الآلية

bscscan.cfd يستخدم الطريقة الأكثر فظاظةً على الإطلاق: حزم روابط خلفية مدفوعة الثمن بالجملة من مواقع تحمل أسماءً مثل rankongoogle.agency و linksjump.click. جميع المصادر لها قيمة AS تساوي 0. ويُعد نطاق المستوى الأعلى .cfd مؤشراً معروفاً على البريد العشوائي. ومع ذلك، في محرك بحث Bing، حتى هذا الأسلوب يعمل جزئياً — حيث يمكن أن يؤثر حجم الروابط منخفضة الجودة على الترتيب في محركات البحث بالنسبة للنطاقات الجديدة تماماً التي لا يوجد لها سجل سلبي.

سوق الروابط الخلفية الرخيصة بأسلوب السايبربانك
«1000 رابط خلفي مقابل 9.99 دولار» — أرخص أدوات احتيال تحسين محركات البحث (SEO) التي لا تزال تعمل جزئيًا على محرك البحث «Bing»

لماذا يعتبر كل من «بينغ» و«دوك دوك جو» عرضة للخطر بشكل خاص

حصن «جوجل» مقابل حصن «بينغ» — مقارنة نقاط الضعف
نظام جوجل متعدد الطبقات لمكافحة الرسائل غير المرغوب فيها مقابل نظام الكشف الأقل نضجًا لدى بينغ — الفجوة التي يستغلها المحتالون
الاختلافات الخوارزمية التي يستغلها المحتالون بشكل نشط
ميزةجوجلBing
الكشف الديناميكي عن الصفحاتلا توجد قيمة ارتباطية من صفحات نتائج البحثيتم التعامل مع صفحات بحث «ياهو» على أنها محتوى تحريري
نضج نماذج التعلم الآلي الخاصة بالبريد العشوائيبيانات تدريب «SpamBrain» على مدى أكثر من 15 عامًاأقل نضجًا؛ لا يزال PBN AS 50–65 فعالاً
حماية العلامة التجاريةعدواني؛ تم الإبلاغ عن موقع curvefinance.co بسرعةتستمر عمليات الاحتيال المتعلقة بنطاقات المستوى الأعلى .at و/.co لفترة أطول
مزارع المحتوى التي تعتمد على الذكاء الاصطناعينظام الكشف الذي تم نشره اعتبارًا من عام 2023 فصاعدًامواقع الذكاء الاصطناعي التي تنتهي بـ .vn و.it لا تزال تحصل على درجات مقبولة
حجب محاولات التصيد الاحتياليتقوم ميزة «التصفح الآمن» بحظر النطاقات المعروفة بسرعةلا يكتشف «سمارت سكرين» النطاقات الاحتيالية المسجلة حديثًا
نقطة ضعف خاصة بـ DuckDuckGo

تستخدم DDG فهرس Bing كمصدر رئيسي للبيانات، حيث ترث كل من نقاط الضعف في «بينغ». وغالبًا ما يكون المستخدمون المهتمون بالخصوصية والذين يفضلون «DDG» على دراية بعالم التشفير — مما يجعلهم أهدافًا ذات قيمة أعلى. ولا تمتلك «DDG» آلية مستقلة للإبلاغ عن الرسائل غير المرغوب فيها؛ حيث تُرسل البلاغات إلى «بينغ».

استراتيجية استهداف الكلمات المفتاحية

تكشف ملفات تعريف الكلمات المفتاحية عن الدقة الجراحية في اختيار الأهداف. لا يستهدف المشغلون مصطلحات العلامات التجارية الأساسية فحسب، بل يستهدفون أيضًا مواقع «typosquats» («محفظة رابي», «محفظة روبي», «dexscrenner») وحتى الاستعلامات باللغة الصينية («بورصة أستر» (المركز رقم 25).

خريطة للعالم توضح استهداف الكلمات المفتاحية متعددة اللغات من قِبل محتالين في مجال العملات المشفرة
الاستهداف متعدد اللغات: الإنجليزية، الفرنسية، الصينية، الفيتنامية — تمتد العملية عبر القارات
تحليل العلامة التجارية وحجم البحث | SEMrush الولايات المتحدة | مارس 2026
الكلمة المفتاحية المستهدفةالحجم الشهرينطاق احتياليالمنصب
dexscreener60,500dexscreener.at#42
محفظة رابي5,400rabbys.at#51–71
مجموعة تريزور4,400trezorsuite.at#32–85
أستر ديكس3,600aster-dex.at#63
dexscrennerخطأ مطبعي2,400dexscreener.at#45
بورصة أسترالصينية1,000aster-dex.at#25
تنزيل مجموعة برامج Trezor260trezorsuite.at#54
محفظة الحاخامخطأ مطبعي210rabbys.at#54
محفظة XMR عبر الإنترنت210monero-wallet.at#55–69

السياق التاريخي: مشكلة «Trust Wallet» و«DuckDuckGo»

هذه المشكلة لها جذور عميقة

هذه الهجمات ليست جديدة. المشكلة كانت أكثر حدة بكثير عندما استخدمت محافظ مثل «Trust Wallet» محرك البحث «DuckDuckGo» كـ محرك البحث الافتراضي داخل التطبيق. ظهر للمستخدمين الذين بحثوا عن بروتوكولات DeFi من داخل محفظتهم نتائج تصيد احتيالي في المرتبة الأولى — دون الحاجة إلى أي إجراءات معقدة لتحسين محركات البحث (SEO). وقد أدى الجمع بين محرك بحث يركز على الخصوصية مع نظام ضعيف للكشف عن الرسائل غير المرغوب فيها، ومحفظة عملات مشفرة مزودة بمتصفح مدمج، إلى العاصفة المثالية لأغراض التصيد الاحتيالي.

حتى بعد أن تخلت «Trust Wallet» عن استخدام «DDG» كمتصفح افتراضي، لا تزال الثغرة الأمنية الأساسية قائمة. أي مستخدم يقوم بـ يختار DuckDuckGo يدويًّا حرصًا على الخصوصية — وهي فئة سكانية تتداخل إلى حد كبير مع مستخدمي العملات المشفرة — لا تزال معرضة لهذه الهجمات بالذات حتى اليوم. وقد استخدمت عمليات الاحتيال الموثقة في هذا التقرير أشكالاً مختلفة من هذه التقنية منذ عدة سنوات، مع التكيف مع قيام محركات البحث بتصحيح الثغرات الأمنية الفردية تدريجيًّا.

كيف تحمي نفسك

تأكد دائمًا من صحة عنوان النطاق بالضبط

حقيقي Curve Finance → curve.fi (ليس .co، .net) • DexScreener → dexscreener.com (ليس .at) • رابي → rabby.io (باستثناء .at و.me) • Trezor Suite → suite.trezor.io (ليس trezorsuite.at) • Keplr → keplr.app (ليس .me) • BSCScan → bscscan.com (ليس .cfd)

توصيات موجهة إلى مايكروسوفت/بينغ

  1. الكشف الديناميكي عن الصفحات: تصنيف صفحات نتائج البحث (ياهو، بايدو، جوجل) واستبعاد قيمة الروابط من الروابط الصادرة
  2. الكشف المنسق عن شبكة الملاحة القائمة على البيانات (PBN): عندما تشير 9 نطاقات إلى 5 مواقع مختلفة بنماذج متطابقة، يُعتبر ذلك تلاعبًا
  3. طبقة انتحال الهوية التجارية: الكشف عن هجمات استبدال نطاقات المستوى الأعلى (dexscreener.atdexscreener.com)
  4. مراقبة نطاقات .AT: تشديد الرقابة على نطاقات .at المسجلة حديثًا في نتائج بحث العملات المشفرة
  5. الطريق السريع إلى DuckDuckGo: إنشاء واجهة برمجة تطبيقات (API) مخصصة لإزالة الرسائل غير المرغوب فيها يمكن لـ DDG الوصول إليها مباشرةً

الخلاصة

هذه ليست رسائل غير مرغوب فيها انتهازية. إنها عملية تحسين محركات البحث (SEO) منظمة بشكل احترافي، ومتعددة العلامات التجارية، ومتعددة المحاور صُممت خصيصًا لاستغلال الفجوة بين قدرات كل من «جوجل» و«بينغ» في الكشف عن الرسائل غير المرغوب فيها. وقد يرى كل مستخدم يبحث اليوم عن عبارة «تنزيل Trezor Suite» على محرك البحث «DuckDuckGo» موقعًا للتصيد الاحتيالي يستنزف رصيد محفظته قبل أن يرى الموقع الحقيقي. الحل التقني موجود. والسؤال هو: هل سيقوم «بينغ» بتطبيقه؟

مشهد درامي في قاعة المحكمة — محاكمة محتالين في مجال العملات المشفرة مع عرض الأدلة
الأدلة متاحة للجميع. النطاقات موثقة. الضحايا حقيقيون. الحل بيد مايكروسوفت.
تحقيق متابعة — 17 أبريل 2026

الجزء الثاني: «دليل الـ2 دولار» — 26 موقعًا للتصيد الاحتيالي، مسجل واحد، و7 نتائج تحت المركز الأول في محرك بحث «بينغ»

وقد كشفت متابعة لهذا التحقيق الذي أُجري في شهر مارس عن 26 نطاقًا جديدًا للتصيد الاحتيالي — وجميعها تتظاهر بأنها بروتوكولات DeFi — تحتل حالياً المرتبة #1 on Bing بشأن استفساراتهم المتعلقة بالعلامات التجارية المستهدفة. وباستخدام بيانات الروابط الخلفية من واجهة برمجة تطبيقات SEMrush، وسجلات التسجيل في RDAP، والتحليل المباشر لشفرة المصدر، قمنا بتتبع كل نطاق على حدة إلى مشغل واحد، ومسجل واحد (NiceNIC)، وشبكة PBN مخفية تضم 15 موقعًا. تكلفة كل نطاق: 2 دولار. المدة: 10 دقائق.

مشغل واحد، و26 فخاً للتصيد الاحتيالي، ومحرك بحث واحد لا يقوم بالتحقق
مشغل واحد. 26 رابطًا للتصيد الاحتيالي في «بينغ». التكلفة: دولاران لكل نطاق.
26نطاقات التصيد الاحتيالي
1مسجل النطاقات (NiceNIC)
7المراكز الأولى في محرك بحث «بينغ»
15مواقع شبكة PBN المخفية
0تصنيفات جوجل

مشغل واحد، 26 نطاقًا، مسجل واحد

أجرينا استعلامات RDAP على جميع نطاقات التصيد الاحتيالي البالغ عددها 26 نطاقًا. وأظهرت جميعها نفس الجهة المسجلة: شركة «NiceNIC International Group Co., Limited» المحدودة. ليس «معظم». وليس «الأغلبية». تم الاستعلام عن جميع الـ 23 بنجاح — مسجل متطابق، مع وجود 3 أخطاء في حدود المعدل قبل التحقق (تتطابق أنماط بنيتهما التحتية).

لوحة التحقيق الخاصة بـ OSINT تُظهر أن 23 نطاقًا من أصل 23 قد سُجلت عبر NiceNIC
تم التحقق من 23 من أصل 23. نفس مسجل النطاق. نفس العميل. لم تُتخذ أي إجراءات بشأن إساءة الاستخدام.

بيانات التسجيل في برنامج RDAP — مستندات التسجيل الجماعي

نتائج استعلام RDAP | أبريل 2026 | تم استعلام 23 من أصل 26 بنجاح
المجالينتحل شخصيةتم إنشاؤهزوج خوادم الأسماء (NS) من Cloudflare
star-gate-finance-stargate.financeستارغيت فاينانس2025-09-08تيري/زيمينا
app-vesper.financeفيسبير فاينانس2025-09-08تيري/زيمينا
app-vvs.financeVVS للتمويل2025-09-08تيري/زيمينا
orbit-protocol-lending.netبروتوكول أوربيت2025-10-10تيري/زيمينا
vvsfnance.comVVS للتمويل2025-07-12أبريل/كايدن
spooky-swap.netSpookySwap2025-04-15أبريل/كايدن
thorwsap.comTHORSwap2025-07-24أبريل/كايدن
hyperlokc.comهايبرلوك فاينانس2025-07-12أرنولد/ديستيني
shadow-ex.netبورصة الظل2025-06-24أموس/تريشيا
v2velodrome.comشركة فيلودروم للتمويل2025-09-04دايانا/مارفن
layerbank-v3.comLayerBank2024-09-07أوستن/شيريل
biasterswap.xyzBiSwap2024-09-07السيدة/لانغستون
v2-olympusdao.comOlympusDAO2026-03-29ناش/رومينا
uncx.orgشبكة UNCX2025-12-24كوري/ميغان
amblent.ccالتمويل البيئي2026-02-09نيكول/سلفادور
juicefi.ccجوس فاينانس2026-02-09نيكول/سلفادور
rhea-finance.comريا فاينانس2025-05-30
rhea-finance.netريا فاينانس2025-05-30
rhea-rhea.orgريا فاينانس2025-05-30
silo-finance-silofinance.netسيلو فاينانس2025-05-30
التسجيل الجماعي — مشغل واحد، جلسات عديدة

تُثبت أزواج NS المشتركة على Cloudflare وتواريخ الإنشاء المتطابقة أن التسجيل تم بشكل جماعي:

  • 2025-09-08: star-gate + app-vesper + app-vvs (جميعها terry/ximena)
  • 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 نطاقات، جلسة واحدة)
  • 2026-02-09: amblent.cc + juicefi.cc (nicole/salvador)
  • 2024-09-07: layerbank-v3.com + biasterswap.xyz — عملية تستمر لأكثر من 18 شهراً

دليل «2 دولار» — خطوة بخطوة

انسَ أمور تحسين محركات البحث (SEO) المعقدة. انسَ أشهرًا من بناء الروابط. إليك تسلسل الهجوم الكامل والمُثبت الذي يضمن لك المركز الأول في نتائج بحث «بينغ».

أربع خطوات لتصنيف موقع تصيد احتيالي في المرتبة الأولى على محرك بحث «بينغ» مقابل 2 دولار
أربع خطوات، و2 دولار، و«بينغ» تتصدر موقعاً للتصيد الاحتيالي في المرتبة الأولى
تسجيل نطاقات «تايبسكوات»$1-2 at NiceNIC
نسخ علامة العنواننسخ من الموقع الأصلي
إرسال إلى PBNإلى اللقاء. للعلم، 15 موقعًا
انتظر من 2 إلى 8 أسابيعيقوم «بينغ» بفهرسة المواقع وترتيبها
بينغ رقم 1مشروع حقيقي أعلاه

الخطوة 1: سجل «Typosquat»

تقنيات «تايبوسكوات» في 8 من أصل 26 نطاقًا
مشروع حقيقيالمجال الحقيقينطاق التصيد الاحتياليالتقنية
VVS للتمويلvvs.financevvsfnance.comحرف محذوف (i)
THORSwapthorswap.comthorwsap.comالحروف المتبادلة (a/w)
هايبرلوكhyperlock.fihyperlokc.comتبديل الحروف (c/k)
جسر Arbitrumbridge.arbitrum.ioarbtrumbridge.ccمبادلة + نطاق من الدرجة الأولى (TLD) رخيص
التمويل البيئيambient.financeamblent.ccالأخطاء الإملائية الصوتية
ثراستر فاينانسthruster.financethnuster.ccحرف محذوف (r→n)
جسر التفاؤلapp.optimism.iooptrnismbirdge.ccأخطاء مطبعية متعددة
ستارغيت فاينانسstargate.financestar-gate-finance-stargate.financeالإفراط في استخدام الكلمات المفتاحية

الخطوة 2: نسخ علامة العنوان (0 دولار، 5 دقائق)

يقوم المشغل بنسخ النص بالضبط <title> العلامة والوصف التعريفي المأخوذان من الموقع الإلكتروني للمشروع الفعلي. هذه هي الخطوة الأهم على الإطلاق. الصفحة نفسها تُستنزف رصيد المحفظة أو تستخرج عبارة البذرة — لكن <title> هذا ما يصنفه «بينغ».

الخطوة 3: الإرسال إلى شبكة PBN المخفية (0 دولار، دقيقة واحدة)

يزور المشغل أيًا من المواقع الـ15 التابعة لـPBN (bye.fyi, atomizelink.icu، وما إلى ذلك)، ويكتب اسم النطاق في حقل بعنوان «أدخل عنوان URL الخاص بك»، ثم ينقر على «تقصير». وبمجرد الضغط على زر الإرسال، يتم إنشاء صفحة على جميع المواقع الخمسة عشر في آن واحد — حيث تتشارك هذه المواقع قاعدة بيانات واحدة.

الخطوة 4: الانتظار (2-8 أسابيع، 0 دولار)

الدليل: رابط خلفي واحد = المرتبة الأولى في Bing

app.thnuster.cc احتلت المرتبة الأولى على محرك بحث «Bing» لعبارة «Thruster Finance» بفضل رابط خلفي واحد بالضبط — صفحة من نتائج بحث ياهو مخزنة في ذاكرة التخزين المؤقت. لم تكن شبكة المواقع الخاصة (PBN) ضرورية أصلاً.

تفصيل التكلفة الإجمالية

ماذاالتكلفةالوقت
النطاق (.cc/.com عبر NiceNIC)$1-2دقيقتان
نظام أسماء النطاقات (DNS) من Cloudflare (الخطة المجانية)$01 دقيقة
نسخ علامة العنوان من موقع حقيقي$05 دقائق
إرسال إلى PBN (bye.fyi وما إلى ذلك)$01 دقيقة
انتظر حتى يتم الفهرسة$02-8 أسابيع
المجموع$1-2حوالي 10 دقائق

داخل محرك التخفي

لقد قمنا باستخراج وتحليل كود HTML الأصلي من شبكة PBN. وتستخدم كل صفحة في كل نطاق نفس محرك الإخفاء.

ما يراه المستخدمون مقابل ما يراه Bingbot — جدار الإخفاء
ما يراه المستخدمون مقابل ما يراه Bingbot — الـ z-index: 1000000 يخفي الجدار 3,500 رابطًا

بنية الصفحة: 400 كيلوبايت من HTML، أكثر من 3,500 رابط، 4 طبقات

الطبقة 1 — جدار الإخفاء (ما يراه المستخدمون)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

يغطي العنصر «div» الأبيض نافذة العرض بأكملها. ويضمن «z-index:1000000» عدم عرض أي عنصر فوقه. overflow:hidden عند ظهور النص في منطقة الجسم، يتعذر التمرير إلى ما بعده. فيرى المستخدم عبارة «منتهي الصلاحية» ويغادر.

الطبقة 2 — إعادة التوجيه عبر JS (الحماية الاحتياطية)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

إذا تجاوز المستخدم «الجدار الأبيض»، فإن جافا سكريبت تقوم بإعادة توجيهه إلى موقع scrib.li (لتحقيق الدخل من خلال برنامج الشراكة). حماية ثلاثية ضد الزوار من البشر.

الطبقة الثالثة — الواجهة الزائفة (ما تراه الروبوتات)

يتجاهل Bingbot التراكب CSS — فهو يحلل كود HTML الخام. ويرى موقعًا لـ«تقصير الروابط» يحتوي على نموذج بحث. يبدو موقعًا شرعيًّا.

الطبقة الرابعة — كتلة الروابط (3,500 رابط مع علامة nofollow)
<p>Learn More Here <a rel="nofollow"
     href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ...

نطاق التصيد الاحتيالي مخبأ بين 3,500 نطاق عشوائي. مكافآت Bing rel="nofollow" كإشارة للمؤشر — فهو يقوم بالبحث في الموقع المستهدف على أي حال.

الدليل: شبكة واحدة، قاعدة بيانات واحدة

orbit-protocol-lending.net يظهر عبر عدة نطاقات تابعة لشبكة PBN مع أرقام تعريف متسلسلة من نفس قاعدة البيانات:

قاعدة بيانات واحدة، و15 نطاقًا أماميًا — جميعها تقدم محتوى متطابقًا من نفس الخادم الخلفي
قاعدة بيانات واحدة. 15 نطاقًا أماميًا. تعرض جميع الشاشات محتوى متطابقًا من نفس النظام الخلفي.
المعرّفات التسلسلية عبر العلامات التجارية «المختلفة» لشبكة PBN — دليل مشترك على البنية التحتية
نطاق PBNنمط عنوان URLرقم التعريف
blogsphere.top/stats/4920749207
optimizeflow.top/stats/4920749207
websites.freemyip.com/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
dailymusings.top/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
byteshort.xyz/report/4920849208

تطابق المعرّفات عبر «العلامات التجارية» المختلفة = نظام خلفي واحد، مشغل واحد. 15 نطاقًا. نفس قالب HTML. نفس CSS (style.css). نفس جافا سكريبت (work.js). نفس الصفحات التي تحتوي على 3,500 رابط.

شبكة PBN الثانية — شبكة فحص النطاقات

توفر شبكة روابط منفصلة وأكثر فعالية روابط خلفية من نوع «dofollow» إلى أهداف محددة. الخادم الرئيسي: all-aged-domains.com — تثبيت لـ WordPress 6.6.2 يقدم ملفات CSS وJS والقوالب إلى 50-80 نطاقًا تابعًا.

شبكة PBN المخفية (الشبكة أ) مقابل أداة فحص النطاقات (الشبكة ب)
ميزةالشبكة أ (شبكة PBN مخفية)الشبكة ب (أداة التحقق من النطاقات)
المواقع~15~50-80
الإخفاءنعم (إعادة توجيه عبر CSS وJS)لا
نوع الرابط99.4% من الروابط ذات السمة "nofollow"99.99% من الروابط "dofollow"
عدد الروابط في كل صفحة~3,500~10,000
حجم الصفحة400 كيلوبايت4 ميغابايت
CMSPHP المخصصووردبريس 6.6.2
الخادم الرئيسيقاعدة بيانات مشتركة (معرّفات متسلسلة)all-aged-domains.com
مدير علامات جوجللانعم (يتتبع حركة المرور)
المفارقة

على الرغم من أن الشبكة «ب» تمتلك روابط خلفية أكثر بـ 10 أضعاف، وجميعها من نوع «dofollow»، فإنها تستهدف لم تحتل المرتبة الأولى في «بينغ». يحتوي موقع biasterswap.xyz على 110 رابطًا من نوع «dofollow». أما موقع layerbank-v3.com فيحتوي على 98 رابطًا. ولا يحتل أي منهما المرتبة الأولى.

وفي هذه الأثناء، app.thnuster.cc لديه رابط خلفي واحد ويحتل المرتبة الأولى.

تُعد شبكة المواقع الخاصة (PBN) المُخفية بعلامة «nofollow» مع مطابقة العناوين أكثر فعالية من الرسائل غير المرغوب فيها الجماعية التي تحمل علامة «dofollow» بالنسبة لمحرك بحث Bing.

لماذا يقع «بينغ» في هذا الفخ؟

الروبوت المُدرَّع من «جوجل» الذي يمنع عمليات التصيد الاحتيالي عند البوابة مقابل البواب الودود من «بينغ» الذي يبقي الباب مفتوحًا
الروبوت المُدرَّع من «جوجل» يمنع عمليات التصيد الاحتيالي عند البوابة. أما البواب الودود من «بينغ» فيبقي الباب مفتوحًا.

ثغرة «Title-Match»

app.thnuster.cc يحتوي على رابط خلفي واحد فقط — وهو صفحة من نتائج بحث ياهو مخزنة في ذاكرة التخزين المؤقت. ويحتل المرتبة الأولى في محرك بحث «بينغ» عند البحث عن عبارة «Thruster Finance». وهذا يثبت أن ترتيب «بينغ» لعمليات البحث المتعلقة بالعلامات التجارية ذات المنافسة المنخفضة يعتمد بشكل أساسي على:

  1. المطابقة التامة لعلامة العنوان بشأن استعلام البحث
  2. تم فهرسة النطاق (أي إشارة — حتى لو كانت رابطًا واحدًا يحمل علامة «nofollow» — تكفي)
  3. لا توجد إشارات سلبية تدل على انعدام الثقة (النطاق جديد، وسجله خالٍ من أي مشاكل)

تتطلب «جوجل» وجود إشارات قوية تدل على المصداقية، كما أنها تقوم بمقارنة النتائج مع نطاقات العلامات التجارية المعروفة. أما «بينغ» فلا تفعل ذلك.

بينغ مقابل جوجل — نتائج الترتيب في 26 مجالًا
النظام المتريBingجوجل
نطاقات التصيد الاحتيالي في المرتبة الأولى70
نطاقات التصيد الاحتيالي ضمن قائمة العشرة الأوائل70
الوقت اللازم لبدء الترتيب منذ إنشاء النطاق2-8 أسابيعأبدًا

نتائج Bing رقم 1 (تم التحقق منها عبر SerpAPI، أبريل 2026)

استعلام#1 Result (Phishing)الروابط الخلفية
«ستارغيت فاينانس»star-gate-finance-stargate.finance20
"بورصة الظل"shadow-ex.net16
"شبكة UNCX"www.uncx.org51
«Thruster Finance»app.thnuster.cc1
«بروتوكول أوربيت»orbit-protocol-lending.net15
«VVS Finance»vvsfnance.com (#1) + www.app-vvs.finance (#10)36 + 37

قائمة الحماية المحدثة (العلامات التجارية في الجزء الثاني)

تأكد دائمًا من صحة عنوان النطاق بالضبط

ستارغيت فاينانس → stargate.finance (وليس star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (ليس vvsfnance.com) • THORSwap → thorswap.com (ليس thorwsap.com) • مضمار الدراجات → velodrome.finance (ليس v2velodrome.com) • UNCX → uncx.network (ليس uncx.org) • SpookySwap → spooky.fi (ليس موقع spooky-swap.net) • OlympusDAO → olympusdao.finance (ليس v2-olympusdao.com) • Thruster → thruster.finance (ليس thnuster.cc) • موسيقى أمبيانت → ambient.finance (ليس amblent.cc)

التوصيات (الجزء الثاني)

إلى مايكروسوفت/بينغ:

  1. المنافسة على اللقب وحدها لا تعني السلطة. لا ينبغي أن يؤدي العنوان المطابق إلى تصنيف نطاق جديد في المرتبة الأولى في نتائج البحث المتعلقة بالعلامة التجارية. يجب اشتراط عمر النطاق، أو مصداقية الروابط الخلفية، أو إشارات التحقق من العلامة التجارية.
  2. الكشف عن إخفاء المحتوى باستخدام CSS. يجب الإبلاغ عن الصفحات التي تستخدم طبقات «z-index» التي تخفي المحتوى عن المستخدمين ولكنها تعرضه لبرامج الزحف.
  3. الكشف عن شبكات PBN المنسقة. إن وجود 15 نطاقًا تشترك في بنية خلفية واحدة وترتبط بنفس الوجهات لا يُعد بناءً عضويًّا للروابط.
  4. تمييز النطاقات المسجلة لدى NiceNIC في نتائج بحث العملات المشفرة من أجل إجراء تدقيق أكثر دقة.
  5. إنشاء مسار سريع للتعامل مع الرسائل غير المرغوب فيها في DuckDuckGo. يرث محرك البحث DDG جميع الثغرات الأمنية الموجودة في Bing، لكنه يفتقر إلى آلية مستقلة للإبلاغ عن الرسائل غير المرغوب فيها.

إلى شركة «NiceNIC International Group Co., Limited»:

26 نطاقًا للتصيد الاحتيالي. عميل واحد. تم تسجيلها دفعة واحدة على مدار 18 شهرًا. لم تُتخذ أي إجراءات بشأن إساءة الاستخدام. وقد تم توثيق ذلك الآن بشكل علني. المرجع: عندما لا تُتّبع تقارير الإساءة و NiceNIC: عامل تمكين شامل.

إلى Cloudflare:

تستخدم جميع النطاقات الـ 26 خدمة DNS والبروكسي من Cloudflare. وتُستخدم هذه النطاقات لخدمة برامج استنزاف المحافظ وجمع عبارات البذور من خلال البنية التحتية لشركة Cloudflare.

الجزء الثاني: الخاتمة

هذه ليست رسائل غير مرغوب فيها انتهازية. إنها حملة مدتها 18 شهراً، تم تنفيذها بشكل احترافي من قبل جهة مشغلة واحدة الذي اكتشف أنه يمكن التحايل على خوارزمية ترتيب «بينغ» باستخدام نطاق بقيمة 2 دولار وعلامة عنوان منسوخة. تحتل سبعة مواقع للتصيد الاحتيالي حالياً المرتبة الأولى في محرك البحث «بينغ» — فوق المنصات الشرعية التي ينتحلون هويتها.

تمثل البنية التحتية لإخفاء المواقع التي قمنا بتوثيقها — وهي 15 موقعًا متطابقًا تستخدم قواعد بيانات مشتركة، وتخفي المحتوى باستخدام CSS، وتستخدم حلولًا بديلة لإعادة التوجيه عبر JavaScript — أداة مصممة خصيصًا للتلاعب بمحركات البحث على نطاق واسع.

تحجب «جوجل» جميع النطاقات الـ26. ويُصنف «بينغ» 7 منها في المرتبة الأولى. والحل التقني متاح. والأدلة متاحة للجميع. والنطاقات موثقة. وتم تحديد هوية الجهة المسجلة. يبقى السؤال: هل سيتم اتخاذ أي إجراء؟