داخل الآلة: كيف يعمل محتالو العملات المشفرة
اختطاف محركي البحث «Bing» و«DuckDuckGo»
تقرير استقصائي يستند إلى بيانات SEMrush المباشرة، يكشف عن عمليتين متوازيتين للهجوم في مجال تحسين محركات البحث (SEO) تعملان على دفع مواقع التصيد الاحتيالي الخاصة بالعملات المشفرة إلى قمة نتائج بحث Bing وDuckDuckGo. 10 نطاقات. مساران للهجوم. أكثر من 100,000 ضحية محتملة شهريًّا.

تم جمع جميع البيانات الواردة في هذا التقرير عبر واجهة برمجة تطبيقات SEMrush وموقع phishdestroy.io لأغراض البحث في مجال الأمن السيبراني. ويتم نشر أسماء النطاقات بهدف تحذير المستخدمين، وليس للترويج لها.
مسارا الهجوم
كشفت تحقيقاتنا عن عمليتان متوازيتان مختلفتان تمامًا تعمل هذه العمليات في وقت واحد لدفع مواقع التصيد الاحتيالي إلى صدارة نتائج بحث «بينغ» و«دوك دوك جو».
الطريقة أ: هجوم «حقن نتائج بحث ياهو» (Yahoo SERP Injection)
يمكن القول إن هذا هو الأكثر أناقة من الناحية التقنية هجوم «سيو» غير المشروع الذي قمنا بتوثيقه في عام 2026. ويستغل هذا الهجوم ثغرة جوهرية في الطريقة التي يقيّم بها محرك البحث «بينغ» مصداقية الروابط — وبالتحديد، عدم قدرته على التمييز بين الروابط التحريرية الحقيقية وصفحات نتائج البحث التي يتم إنشاؤها ديناميكيًّا من نطاقات موثوقة.

الآلية — خطوة بخطوة
الخطوة 1 — إنشاء عنوان URL الخاص بشركة الاتصالات الموثوقة. يقوم المهاجمون بإنشاء عناوين URL على نقاط نهاية البحث عبر الهاتف المحمول التابعة لـ Yahoo عبر عدة نطاقات فرعية دولية: no.search.yahoo.com (النرويج)، fr.search.yahoo.com (فرنسا)، mx.search.yahoo.com (المكسيك)، pl.search.yahoo.com (بولندا)، gr.search.yahoo.com (اليونان)، qc.search.yahoo.com (كيبيك)، chfr.search.yahoo.com (السويسرية الفرنسية)، co.search.yahoo.com (كولومبيا). تحتوي هذه الصفحات على «مؤشر الموثوقية» الموروث من ياهو: 23–24.
الخطوة 2 — تضمين رابط التصيد الاحتيالي. يحتوي كل عنوان URL على استعلام بحث عشوائي تمامًا وبريء — «pele+fifa»، «Jean-Paul+Sartre»، «Radio+Stars»، «jucheck.exe» — لكن نص الرابط هو: curvefi.co Curve Finance. تضمن الاستعلامات العشوائية عدم اكتشافها من قبل مرشحات البريد العشوائي عن طريق مطابقة الأنماط.
الخطوة 3 — الزحف والفهرسة القسريان. يقوم المهاجمون بدفع «Bingbot» إلى الزحف إلى عناوين URL هذه باستخدام خدمات «البينغ» الجماعية، وإدراج التعليقات في المنتديات والمدونات، وأدوات تشغيل الزحف الآلي.
خوارزمية جوجل: "هذه صفحة بحث ديناميكية. لا يحدث أي نقل لقيمة الروابط."
خوارزمية «بينغ»: "موقع yahoo.com يضم رابطًا إلى curvefi.co مع نص الرابط 'Curve Finance DEX'. تم قبول إشارة الترتيب. ✓"
النتيجة: صعد موقع التصيد الاحتيالي إلى المراكز الثلاثة الأولى في نتائج البحث عن مصطلح «Curve Finance» على محركي البحث Bing وDuckDuckGo.
أدلة SEMrush الأولية — curvefi.co
| AS | نطاق المصدر | نص الرابط |
|---|---|---|
| 24 | chfr.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | co.search.yahoo.com | curvefi.co كيرف فاينانس |
| 24 | fr.search.yahoo.com | curvefi.co كيرف فاينانس |
| 24 | mx.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | no.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | pl.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | gr.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | qc.search.yahoo.com | curvefi.co كيرف فاينانس |
المفارقة القاسية: يحتوي الموقع على صفر الكلمات المفتاحية العضوية، صفر حركة المرور في قاعدة بيانات SEMrush — ومع ذلك، فإنها تظهر في نتائج Bing/DDG لعبارة «Curve Finance» بفضل «السلطة المستعارة» من Yahoo.
المحور ب: شبكة PBN المنسقة
وهنا يصبح التحقيق مقلقًا حقًّا. خمسة مواقع تصيد احتيالي منفصلة — rabbys.at، dexscreener.at، monero-wallet.at، trezorsuite.at، و keplr.me — جميعها تشترك في مجموعة متطابقة من مصادر الروابط الخلفية. هذه ليست مصادفة. هذا هو عملية إجرامية منظمة واحدة تنفيذ حملات تصيد احتيالي متعددة من خلال بنية تحتية واحدة.

الدليل الدامغ — البنية التحتية المشتركة
| نطاق المانحين في شبكة PBN | AS | rabbys | dexscr | مونيرو | تريزور |
|---|---|---|---|---|---|
lewievuittton.com | 65 | ✓ | ✓ | ✓ | ✓ |
lyricamed.us.com | 61 | ✓ | ✓ | ✓ | ✓ |
creatfx.com | 60 | ✓ | ✓ | ✓ | ✓ |
jba.com.jo | 56 | ✓ | ✓ | ✓ | ✓ |
jornaldevinhedo.com | 56 | ✓ | ✓ | ✓ | ✓ |
jasaaspalhotmix.com | 54 | ✓ | ✓ | ✓ | ✓ |
magna-eg.com | 50 | ✓ | ✓ | ✓ | ✓ |
markjohnsonbuilders | 50 | ✓ | ✓ | ✓ | ✓ |
nextplayflix.com | 49 | ✓ | ✓ | ✓ | ✓ |
أكبر مصدر لشبكة PBN (AS 65) هو في حد ذاته موقع يستغل الأخطاء المطبعية في اسم «لويس فويتون». هذا المصدر هو موقع احتيالي يدعم مواقع احتيالية أخرى — وهي بنية تحتية إجرامية في كل مستوياتها.
ملفات تعريف نطاقات التصيد الاحتيالي
| المجال | ينتحل شخصية | الكلمات المفتاحية | الهدف الأهم | الحجم |
|---|---|---|---|---|
dexscreener.at | DexScreener | 64 | «dexscreener» رقم 42 | 60,500 شهريًّا |
rabbys.at | محفظة رابي | 15 | «محفظة رابي» رقم 51 | 5,400 شهريًّا |
trezorsuite.at | مجموعة Trezor | 7 | "مجموعة تريزور" رقم 32 | 4,400 شهريًّا |
aster-dex.at | Aster DEX | 13 | «بورصة أستر» #25 | 3,600 شهريًّا |
monero-wallet.at | محفظة مونيرو | 4 | «محفظة XMR عبر الإنترنت» #26 | 210 شهريًّا |
keplr.me | محفظة كيبلر | 0 | التعليقات غير المرغوب فيها المتخفية | غير متوفر |
bscscan.cfd | BSCScan | 0 | روابط البريد العشوائي المجمعة | غير متوفر |
curvefinance.co | Curve Finance | 0 | حقن «ياهو» فقط | غير متوفر |
curvefi.co | Curve Finance | 0 | حقن «ياهو» فقط | غير متوفر |
app-crv.net | تطبيق Curve | 0 | تقنيات مختلطة | غير متوفر |
المستخدمون الذين يجرون عمليات بحث "تنزيل Trezor Suite" يبحثون بنشاط عن تثبيت برنامج محفظة. وجود موقع تصيد احتيالي في المراتب من 3 إلى 5 على محرك البحث DuckDuckGo يعني أن المستخدمين الذين يقومون بتنزيل البرامج الضارة ظنًّا منهم أنها واجهة محفظة مادية. وهذا ليس مجرد افتراض نظري — بل إنه يحدث الآن بالفعل.
مزرعة المقالات المدعومة بالذكاء الاصطناعي
يستخدم إصدار aster-dex.at النهج المختلط، حيث تم الجمع بين تقنية «Yahoo Injection» ومحتوى مدونات تم إنشاؤه بواسطة الذكاء الاصطناعي، ونُشر على مواقع تم اختراقها أو أنشئت خصيصًا لهذا الغرض في فيتنام وإيطاليا وإندونيسيا وسويسرا.

تحمل جميع مقالات المدونة عناوين متطابقة تقريبًا: "لماذا لا تزال عمليات مبادلة التوكنات ومجمعات السيولة تشكل عقبة حتى أمام المتداولين المخضرمين في البورصات اللامركزية", "لماذا لا يزال صانعو السوق الآليون يفاجئون المتداولين". وهذه هي مقالات تم إنشاؤها بواسطة الذكاء الاصطناعي تم وضعها على مواقع تحمل الرموز AS 21–36، وجميعها ترتبط بموقع aster-dex.at.
تسلل التعليقات غير المرغوب فيها
يتبع موقع keplr.me نهجًا مختلفًا تمامًا — وهو نشر تعليقات غير مرغوب فيها بشكل صريح على مواقع ذات مصداقية عالية لا علاقة لها بالموضوع. وتقوم أسماء مستخدمين مزيفة مثل «ZackaryThymn» و«Fritzkah» و«Jamesboach» بإدراج روابط لمحافظ العملات المشفرة في مواقع تعليم الفلسفة (filozofija.edu.rs، AS 45)، ومنصات تعزيز مشاركة الموظفين (bavave.com، AS 63)، والمهرجانات الفنية (lea-festival.com، AS 50).

الحضيض: الرسائل غير المرغوب فيها المتعلقة بالأدوات الآلية
bscscan.cfd يستخدم الطريقة الأكثر فظاظةً على الإطلاق: حزم روابط خلفية مدفوعة الثمن بالجملة من مواقع تحمل أسماءً مثل rankongoogle.agency و linksjump.click. جميع المصادر لها قيمة AS تساوي 0. ويُعد نطاق المستوى الأعلى .cfd مؤشراً معروفاً على البريد العشوائي. ومع ذلك، في محرك بحث Bing، حتى هذا الأسلوب يعمل جزئياً — حيث يمكن أن يؤثر حجم الروابط منخفضة الجودة على الترتيب في محركات البحث بالنسبة للنطاقات الجديدة تماماً التي لا يوجد لها سجل سلبي.

لماذا يعتبر كل من «بينغ» و«دوك دوك جو» عرضة للخطر بشكل خاص

| ميزة | جوجل | Bing |
|---|---|---|
| الكشف الديناميكي عن الصفحات | لا توجد قيمة ارتباطية من صفحات نتائج البحث | يتم التعامل مع صفحات بحث «ياهو» على أنها محتوى تحريري |
| نضج نماذج التعلم الآلي الخاصة بالبريد العشوائي | بيانات تدريب «SpamBrain» على مدى أكثر من 15 عامًا | أقل نضجًا؛ لا يزال PBN AS 50–65 فعالاً |
| حماية العلامة التجارية | عدواني؛ تم الإبلاغ عن موقع curvefinance.co بسرعة | تستمر عمليات الاحتيال المتعلقة بنطاقات المستوى الأعلى .at و/.co لفترة أطول |
| مزارع المحتوى التي تعتمد على الذكاء الاصطناعي | نظام الكشف الذي تم نشره اعتبارًا من عام 2023 فصاعدًا | مواقع الذكاء الاصطناعي التي تنتهي بـ .vn و.it لا تزال تحصل على درجات مقبولة |
| حجب محاولات التصيد الاحتيالي | تقوم ميزة «التصفح الآمن» بحظر النطاقات المعروفة بسرعة | لا يكتشف «سمارت سكرين» النطاقات الاحتيالية المسجلة حديثًا |
تستخدم DDG فهرس Bing كمصدر رئيسي للبيانات، حيث ترث كل من نقاط الضعف في «بينغ». وغالبًا ما يكون المستخدمون المهتمون بالخصوصية والذين يفضلون «DDG» على دراية بعالم التشفير — مما يجعلهم أهدافًا ذات قيمة أعلى. ولا تمتلك «DDG» آلية مستقلة للإبلاغ عن الرسائل غير المرغوب فيها؛ حيث تُرسل البلاغات إلى «بينغ».
استراتيجية استهداف الكلمات المفتاحية
تكشف ملفات تعريف الكلمات المفتاحية عن الدقة الجراحية في اختيار الأهداف. لا يستهدف المشغلون مصطلحات العلامات التجارية الأساسية فحسب، بل يستهدفون أيضًا مواقع «typosquats» («محفظة رابي», «محفظة روبي», «dexscrenner») وحتى الاستعلامات باللغة الصينية («بورصة أستر» (المركز رقم 25).

| الكلمة المفتاحية المستهدفة | الحجم الشهري | نطاق احتيالي | المنصب |
|---|---|---|---|
| dexscreener | 60,500 | dexscreener.at | #42 |
| محفظة رابي | 5,400 | rabbys.at | #51–71 |
| مجموعة تريزور | 4,400 | trezorsuite.at | #32–85 |
| أستر ديكس | 3,600 | aster-dex.at | #63 |
| dexscrennerخطأ مطبعي | 2,400 | dexscreener.at | #45 |
| بورصة أسترالصينية | 1,000 | aster-dex.at | #25 |
| تنزيل مجموعة برامج Trezor | 260 | trezorsuite.at | #54 |
| محفظة الحاخامخطأ مطبعي | 210 | rabbys.at | #54 |
| محفظة XMR عبر الإنترنت | 210 | monero-wallet.at | #55–69 |
السياق التاريخي: مشكلة «Trust Wallet» و«DuckDuckGo»
هذه الهجمات ليست جديدة. المشكلة كانت أكثر حدة بكثير عندما استخدمت محافظ مثل «Trust Wallet» محرك البحث «DuckDuckGo» كـ محرك البحث الافتراضي داخل التطبيق. ظهر للمستخدمين الذين بحثوا عن بروتوكولات DeFi من داخل محفظتهم نتائج تصيد احتيالي في المرتبة الأولى — دون الحاجة إلى أي إجراءات معقدة لتحسين محركات البحث (SEO). وقد أدى الجمع بين محرك بحث يركز على الخصوصية مع نظام ضعيف للكشف عن الرسائل غير المرغوب فيها، ومحفظة عملات مشفرة مزودة بمتصفح مدمج، إلى العاصفة المثالية لأغراض التصيد الاحتيالي.
حتى بعد أن تخلت «Trust Wallet» عن استخدام «DDG» كمتصفح افتراضي، لا تزال الثغرة الأمنية الأساسية قائمة. أي مستخدم يقوم بـ يختار DuckDuckGo يدويًّا حرصًا على الخصوصية — وهي فئة سكانية تتداخل إلى حد كبير مع مستخدمي العملات المشفرة — لا تزال معرضة لهذه الهجمات بالذات حتى اليوم. وقد استخدمت عمليات الاحتيال الموثقة في هذا التقرير أشكالاً مختلفة من هذه التقنية منذ عدة سنوات، مع التكيف مع قيام محركات البحث بتصحيح الثغرات الأمنية الفردية تدريجيًّا.
كيف تحمي نفسك
حقيقي Curve Finance → curve.fi (ليس .co، .net) • DexScreener → dexscreener.com (ليس .at) • رابي → rabby.io (باستثناء .at و.me) • Trezor Suite → suite.trezor.io (ليس trezorsuite.at) • Keplr → keplr.app (ليس .me) • BSCScan → bscscan.com (ليس .cfd)
- أبدًا ربط محفظتك من إحدى نتائج البحث
- إضافة إلى المفضلة المواقع الشرعية مباشرةً
- استخدم محرك البحث DDG
!bangالاختصار:!g curve financeيفرض البحث عبر Google - تثبيت ملحق MetaMask للكشف عن عمليات التصيد الاحتيالي
- تحقق من أي نطاق على PhishDestroy قبل التوصيل
توصيات موجهة إلى مايكروسوفت/بينغ
- الكشف الديناميكي عن الصفحات: تصنيف صفحات نتائج البحث (ياهو، بايدو، جوجل) واستبعاد قيمة الروابط من الروابط الصادرة
- الكشف المنسق عن شبكة الملاحة القائمة على البيانات (PBN): عندما تشير 9 نطاقات إلى 5 مواقع مختلفة بنماذج متطابقة، يُعتبر ذلك تلاعبًا
- طبقة انتحال الهوية التجارية: الكشف عن هجمات استبدال نطاقات المستوى الأعلى (
dexscreener.at≈dexscreener.com) - مراقبة نطاقات .AT: تشديد الرقابة على نطاقات .at المسجلة حديثًا في نتائج بحث العملات المشفرة
- الطريق السريع إلى DuckDuckGo: إنشاء واجهة برمجة تطبيقات (API) مخصصة لإزالة الرسائل غير المرغوب فيها يمكن لـ DDG الوصول إليها مباشرةً
الخلاصة
هذه ليست رسائل غير مرغوب فيها انتهازية. إنها عملية تحسين محركات البحث (SEO) منظمة بشكل احترافي، ومتعددة العلامات التجارية، ومتعددة المحاور صُممت خصيصًا لاستغلال الفجوة بين قدرات كل من «جوجل» و«بينغ» في الكشف عن الرسائل غير المرغوب فيها. وقد يرى كل مستخدم يبحث اليوم عن عبارة «تنزيل Trezor Suite» على محرك البحث «DuckDuckGo» موقعًا للتصيد الاحتيالي يستنزف رصيد محفظته قبل أن يرى الموقع الحقيقي. الحل التقني موجود. والسؤال هو: هل سيقوم «بينغ» بتطبيقه؟


مشغل واحد، 26 نطاقًا، مسجل واحد
أجرينا استعلامات RDAP على جميع نطاقات التصيد الاحتيالي البالغ عددها 26 نطاقًا. وأظهرت جميعها نفس الجهة المسجلة: شركة «NiceNIC International Group Co., Limited» المحدودة. ليس «معظم». وليس «الأغلبية». تم الاستعلام عن جميع الـ 23 بنجاح — مسجل متطابق، مع وجود 3 أخطاء في حدود المعدل قبل التحقق (تتطابق أنماط بنيتهما التحتية).

بيانات التسجيل في برنامج RDAP — مستندات التسجيل الجماعي
| المجال | ينتحل شخصية | تم إنشاؤه | زوج خوادم الأسماء (NS) من Cloudflare |
|---|---|---|---|
star-gate-finance-stargate.finance | ستارغيت فاينانس | 2025-09-08 | تيري/زيمينا |
app-vesper.finance | فيسبير فاينانس | 2025-09-08 | تيري/زيمينا |
app-vvs.finance | VVS للتمويل | 2025-09-08 | تيري/زيمينا |
orbit-protocol-lending.net | بروتوكول أوربيت | 2025-10-10 | تيري/زيمينا |
vvsfnance.com | VVS للتمويل | 2025-07-12 | أبريل/كايدن |
spooky-swap.net | SpookySwap | 2025-04-15 | أبريل/كايدن |
thorwsap.com | THORSwap | 2025-07-24 | أبريل/كايدن |
hyperlokc.com | هايبرلوك فاينانس | 2025-07-12 | أرنولد/ديستيني |
shadow-ex.net | بورصة الظل | 2025-06-24 | أموس/تريشيا |
v2velodrome.com | شركة فيلودروم للتمويل | 2025-09-04 | دايانا/مارفن |
layerbank-v3.com | LayerBank | 2024-09-07 | أوستن/شيريل |
biasterswap.xyz | BiSwap | 2024-09-07 | السيدة/لانغستون |
v2-olympusdao.com | OlympusDAO | 2026-03-29 | ناش/رومينا |
uncx.org | شبكة UNCX | 2025-12-24 | كوري/ميغان |
amblent.cc | التمويل البيئي | 2026-02-09 | نيكول/سلفادور |
juicefi.cc | جوس فاينانس | 2026-02-09 | نيكول/سلفادور |
rhea-finance.com | ريا فاينانس | 2025-05-30 | — |
rhea-finance.net | ريا فاينانس | 2025-05-30 | — |
rhea-rhea.org | ريا فاينانس | 2025-05-30 | — |
silo-finance-silofinance.net | سيلو فاينانس | 2025-05-30 | — |
تُثبت أزواج NS المشتركة على Cloudflare وتواريخ الإنشاء المتطابقة أن التسجيل تم بشكل جماعي:
- 2025-09-08: star-gate + app-vesper + app-vvs (جميعها
terry/ximena) - 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 نطاقات، جلسة واحدة)
- 2026-02-09: amblent.cc + juicefi.cc (
nicole/salvador) - 2024-09-07: layerbank-v3.com + biasterswap.xyz — عملية تستمر لأكثر من 18 شهراً
دليل «2 دولار» — خطوة بخطوة
انسَ أمور تحسين محركات البحث (SEO) المعقدة. انسَ أشهرًا من بناء الروابط. إليك تسلسل الهجوم الكامل والمُثبت الذي يضمن لك المركز الأول في نتائج بحث «بينغ».

الخطوة 1: سجل «Typosquat»
| مشروع حقيقي | المجال الحقيقي | نطاق التصيد الاحتيالي | التقنية |
|---|---|---|---|
| VVS للتمويل | vvs.finance | vvsfnance.com | حرف محذوف (i) |
| THORSwap | thorswap.com | thorwsap.com | الحروف المتبادلة (a/w) |
| هايبرلوك | hyperlock.fi | hyperlokc.com | تبديل الحروف (c/k) |
| جسر Arbitrum | bridge.arbitrum.io | arbtrumbridge.cc | مبادلة + نطاق من الدرجة الأولى (TLD) رخيص |
| التمويل البيئي | ambient.finance | amblent.cc | الأخطاء الإملائية الصوتية |
| ثراستر فاينانس | thruster.finance | thnuster.cc | حرف محذوف (r→n) |
| جسر التفاؤل | app.optimism.io | optrnismbirdge.cc | أخطاء مطبعية متعددة |
| ستارغيت فاينانس | stargate.finance | star-gate-finance-stargate.finance | الإفراط في استخدام الكلمات المفتاحية |
الخطوة 2: نسخ علامة العنوان (0 دولار، 5 دقائق)
يقوم المشغل بنسخ النص بالضبط <title> العلامة والوصف التعريفي المأخوذان من الموقع الإلكتروني للمشروع الفعلي. هذه هي الخطوة الأهم على الإطلاق. الصفحة نفسها تُستنزف رصيد المحفظة أو تستخرج عبارة البذرة — لكن <title> هذا ما يصنفه «بينغ».
الخطوة 3: الإرسال إلى شبكة PBN المخفية (0 دولار، دقيقة واحدة)
يزور المشغل أيًا من المواقع الـ15 التابعة لـPBN (bye.fyi, atomizelink.icu، وما إلى ذلك)، ويكتب اسم النطاق في حقل بعنوان «أدخل عنوان URL الخاص بك»، ثم ينقر على «تقصير». وبمجرد الضغط على زر الإرسال، يتم إنشاء صفحة على جميع المواقع الخمسة عشر في آن واحد — حيث تتشارك هذه المواقع قاعدة بيانات واحدة.
الخطوة 4: الانتظار (2-8 أسابيع، 0 دولار)
app.thnuster.cc احتلت المرتبة الأولى على محرك بحث «Bing» لعبارة «Thruster Finance» بفضل رابط خلفي واحد بالضبط — صفحة من نتائج بحث ياهو مخزنة في ذاكرة التخزين المؤقت. لم تكن شبكة المواقع الخاصة (PBN) ضرورية أصلاً.
تفصيل التكلفة الإجمالية
| ماذا | التكلفة | الوقت |
|---|---|---|
| النطاق (.cc/.com عبر NiceNIC) | $1-2 | دقيقتان |
| نظام أسماء النطاقات (DNS) من Cloudflare (الخطة المجانية) | $0 | 1 دقيقة |
| نسخ علامة العنوان من موقع حقيقي | $0 | 5 دقائق |
| إرسال إلى PBN (bye.fyi وما إلى ذلك) | $0 | 1 دقيقة |
| انتظر حتى يتم الفهرسة | $0 | 2-8 أسابيع |
| المجموع | $1-2 | حوالي 10 دقائق |
داخل محرك التخفي
لقد قمنا باستخراج وتحليل كود HTML الأصلي من شبكة PBN. وتستخدم كل صفحة في كل نطاق نفس محرك الإخفاء.

z-index: 1000000 يخفي الجدار 3,500 رابطًابنية الصفحة: 400 كيلوبايت من HTML، أكثر من 3,500 رابط، 4 طبقات
<body style="overflow: hidden;">
<div style="position:absolute; top:0; left:0;
width:100%; height:5000px;
background:white; z-index:1000000;
font-size:32px; text-align:center;">
<p>The domain report has Expired!</p>
</div> يغطي العنصر «div» الأبيض نافذة العرض بأكملها. ويضمن «z-index:1000000» عدم عرض أي عنصر فوقه. overflow:hidden عند ظهور النص في منطقة الجسم، يتعذر التمرير إلى ما بعده. فيرى المستخدم عبارة «منتهي الصلاحية» ويغادر.
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator"); إذا تجاوز المستخدم «الجدار الأبيض»، فإن جافا سكريبت تقوم بإعادة توجيهه إلى موقع scrib.li (لتحقيق الدخل من خلال برنامج الشراكة). حماية ثلاثية ضد الزوار من البشر.
يتجاهل Bingbot التراكب CSS — فهو يحلل كود HTML الخام. ويرى موقعًا لـ«تقصير الروابط» يحتوي على نموذج بحث. يبدو موقعًا شرعيًّا.
<p>Learn More Here <a rel="nofollow"
href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ... نطاق التصيد الاحتيالي مخبأ بين 3,500 نطاق عشوائي. مكافآت Bing rel="nofollow" كإشارة للمؤشر — فهو يقوم بالبحث في الموقع المستهدف على أي حال.
الدليل: شبكة واحدة، قاعدة بيانات واحدة
orbit-protocol-lending.net يظهر عبر عدة نطاقات تابعة لشبكة PBN مع أرقام تعريف متسلسلة من نفس قاعدة البيانات:

| نطاق PBN | نمط عنوان URL | رقم التعريف |
|---|---|---|
blogsphere.top | /stats/49207 | 49207 |
optimizeflow.top | /stats/49207 | 49207 |
websites.freemyip.com | /share/49207 | 49207 |
shortenurls.eu | /share/49207 | 49207 |
jake.eu | /share/49207 | 49207 |
dailymusings.top | /stats/49208 | 49208 |
screenshots.wiki | /report/49208 | 49208 |
atomizelink.icu | /report/49208 | 49208 |
byteshort.xyz | /report/49208 | 49208 |
تطابق المعرّفات عبر «العلامات التجارية» المختلفة = نظام خلفي واحد، مشغل واحد. 15 نطاقًا. نفس قالب HTML. نفس CSS (style.css). نفس جافا سكريبت (work.js). نفس الصفحات التي تحتوي على 3,500 رابط.
شبكة PBN الثانية — شبكة فحص النطاقات
توفر شبكة روابط منفصلة وأكثر فعالية روابط خلفية من نوع «dofollow» إلى أهداف محددة. الخادم الرئيسي: all-aged-domains.com — تثبيت لـ WordPress 6.6.2 يقدم ملفات CSS وJS والقوالب إلى 50-80 نطاقًا تابعًا.
| ميزة | الشبكة أ (شبكة PBN مخفية) | الشبكة ب (أداة التحقق من النطاقات) |
|---|---|---|
| المواقع | ~15 | ~50-80 |
| الإخفاء | نعم (إعادة توجيه عبر CSS وJS) | لا |
| نوع الرابط | 99.4% من الروابط ذات السمة "nofollow" | 99.99% من الروابط "dofollow" |
| عدد الروابط في كل صفحة | ~3,500 | ~10,000 |
| حجم الصفحة | 400 كيلوبايت | 4 ميغابايت |
| CMS | PHP المخصص | ووردبريس 6.6.2 |
| الخادم الرئيسي | قاعدة بيانات مشتركة (معرّفات متسلسلة) | all-aged-domains.com |
| مدير علامات جوجل | لا | نعم (يتتبع حركة المرور) |
على الرغم من أن الشبكة «ب» تمتلك روابط خلفية أكثر بـ 10 أضعاف، وجميعها من نوع «dofollow»، فإنها تستهدف لم تحتل المرتبة الأولى في «بينغ». يحتوي موقع biasterswap.xyz على 110 رابطًا من نوع «dofollow». أما موقع layerbank-v3.com فيحتوي على 98 رابطًا. ولا يحتل أي منهما المرتبة الأولى.
وفي هذه الأثناء، app.thnuster.cc لديه رابط خلفي واحد ويحتل المرتبة الأولى.
تُعد شبكة المواقع الخاصة (PBN) المُخفية بعلامة «nofollow» مع مطابقة العناوين أكثر فعالية من الرسائل غير المرغوب فيها الجماعية التي تحمل علامة «dofollow» بالنسبة لمحرك بحث Bing.
لماذا يقع «بينغ» في هذا الفخ؟

ثغرة «Title-Match»
app.thnuster.cc يحتوي على رابط خلفي واحد فقط — وهو صفحة من نتائج بحث ياهو مخزنة في ذاكرة التخزين المؤقت. ويحتل المرتبة الأولى في محرك بحث «بينغ» عند البحث عن عبارة «Thruster Finance». وهذا يثبت أن ترتيب «بينغ» لعمليات البحث المتعلقة بالعلامات التجارية ذات المنافسة المنخفضة يعتمد بشكل أساسي على:
- المطابقة التامة لعلامة العنوان بشأن استعلام البحث
- تم فهرسة النطاق (أي إشارة — حتى لو كانت رابطًا واحدًا يحمل علامة «nofollow» — تكفي)
- لا توجد إشارات سلبية تدل على انعدام الثقة (النطاق جديد، وسجله خالٍ من أي مشاكل)
تتطلب «جوجل» وجود إشارات قوية تدل على المصداقية، كما أنها تقوم بمقارنة النتائج مع نطاقات العلامات التجارية المعروفة. أما «بينغ» فلا تفعل ذلك.
| النظام المتري | Bing | جوجل |
|---|---|---|
| نطاقات التصيد الاحتيالي في المرتبة الأولى | 7 | 0 |
| نطاقات التصيد الاحتيالي ضمن قائمة العشرة الأوائل | 7 | 0 |
| الوقت اللازم لبدء الترتيب منذ إنشاء النطاق | 2-8 أسابيع | أبدًا |
نتائج Bing رقم 1 (تم التحقق منها عبر SerpAPI، أبريل 2026)
| استعلام | #1 Result (Phishing) | الروابط الخلفية |
|---|---|---|
| «ستارغيت فاينانس» | star-gate-finance-stargate.finance | 20 |
| "بورصة الظل" | shadow-ex.net | 16 |
| "شبكة UNCX" | www.uncx.org | 51 |
| «Thruster Finance» | app.thnuster.cc | 1 |
| «بروتوكول أوربيت» | orbit-protocol-lending.net | 15 |
| «VVS Finance» | vvsfnance.com (#1) + www.app-vvs.finance (#10) | 36 + 37 |
قائمة الحماية المحدثة (العلامات التجارية في الجزء الثاني)
ستارغيت فاينانس → stargate.finance (وليس star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (ليس vvsfnance.com) • THORSwap → thorswap.com (ليس thorwsap.com) • مضمار الدراجات → velodrome.finance (ليس v2velodrome.com) • UNCX → uncx.network (ليس uncx.org) • SpookySwap → spooky.fi (ليس موقع spooky-swap.net) • OlympusDAO → olympusdao.finance (ليس v2-olympusdao.com) • Thruster → thruster.finance (ليس thnuster.cc) • موسيقى أمبيانت → ambient.finance (ليس amblent.cc)
التوصيات (الجزء الثاني)
إلى مايكروسوفت/بينغ:
- المنافسة على اللقب وحدها لا تعني السلطة. لا ينبغي أن يؤدي العنوان المطابق إلى تصنيف نطاق جديد في المرتبة الأولى في نتائج البحث المتعلقة بالعلامة التجارية. يجب اشتراط عمر النطاق، أو مصداقية الروابط الخلفية، أو إشارات التحقق من العلامة التجارية.
- الكشف عن إخفاء المحتوى باستخدام CSS. يجب الإبلاغ عن الصفحات التي تستخدم طبقات «z-index» التي تخفي المحتوى عن المستخدمين ولكنها تعرضه لبرامج الزحف.
- الكشف عن شبكات PBN المنسقة. إن وجود 15 نطاقًا تشترك في بنية خلفية واحدة وترتبط بنفس الوجهات لا يُعد بناءً عضويًّا للروابط.
- تمييز النطاقات المسجلة لدى NiceNIC في نتائج بحث العملات المشفرة من أجل إجراء تدقيق أكثر دقة.
- إنشاء مسار سريع للتعامل مع الرسائل غير المرغوب فيها في DuckDuckGo. يرث محرك البحث DDG جميع الثغرات الأمنية الموجودة في Bing، لكنه يفتقر إلى آلية مستقلة للإبلاغ عن الرسائل غير المرغوب فيها.
إلى شركة «NiceNIC International Group Co., Limited»:
26 نطاقًا للتصيد الاحتيالي. عميل واحد. تم تسجيلها دفعة واحدة على مدار 18 شهرًا. لم تُتخذ أي إجراءات بشأن إساءة الاستخدام. وقد تم توثيق ذلك الآن بشكل علني. المرجع: عندما لا تُتّبع تقارير الإساءة و NiceNIC: عامل تمكين شامل.
إلى Cloudflare:
تستخدم جميع النطاقات الـ 26 خدمة DNS والبروكسي من Cloudflare. وتُستخدم هذه النطاقات لخدمة برامج استنزاف المحافظ وجمع عبارات البذور من خلال البنية التحتية لشركة Cloudflare.
الجزء الثاني: الخاتمة
هذه ليست رسائل غير مرغوب فيها انتهازية. إنها حملة مدتها 18 شهراً، تم تنفيذها بشكل احترافي من قبل جهة مشغلة واحدة الذي اكتشف أنه يمكن التحايل على خوارزمية ترتيب «بينغ» باستخدام نطاق بقيمة 2 دولار وعلامة عنوان منسوخة. تحتل سبعة مواقع للتصيد الاحتيالي حالياً المرتبة الأولى في محرك البحث «بينغ» — فوق المنصات الشرعية التي ينتحلون هويتها.
تمثل البنية التحتية لإخفاء المواقع التي قمنا بتوثيقها — وهي 15 موقعًا متطابقًا تستخدم قواعد بيانات مشتركة، وتخفي المحتوى باستخدام CSS، وتستخدم حلولًا بديلة لإعادة التوجيه عبر JavaScript — أداة مصممة خصيصًا للتلاعب بمحركات البحث على نطاق واسع.
تحجب «جوجل» جميع النطاقات الـ26. ويُصنف «بينغ» 7 منها في المرتبة الأولى. والحل التقني متاح. والأدلة متاحة للجميع. والنطاقات موثقة. وتم تحديد هوية الجهة المسجلة. يبقى السؤال: هل سيتم اتخاذ أي إجراء؟


