PhishDestroy Live
Zurück zu den Nachrichten
Aktive Bedrohung

Ein Blick hinter die Kulissen: Wie Krypto-Betrüger vorgehen
Bing und DuckDuckGo umleiten

Ein Untersuchungsbericht mit Live-Daten von SEMrush, der zwei parallele SEO-Angriffsoperationen aufdeckt, mit denen Krypto-Phishing-Websites an die Spitze der Suchergebnisse bei Bing und DuckDuckGo gebracht werden. 10 Domains. 2 Angriffsvektoren. Über 100.000 potenzielle Opfer pro Monat.

30. März 2026 PhishDestroy-Forschung 22 Minuten Lesezeit SEMrush-API-Daten
Krypto-Betrüger manipulieren Suchergebnisse bei Bing und DuckDuckGo – Cyberpunk-Visualisierung
Suchmaschinen unter Beschuss: Organisierte Aktionen drängen Phishing-Seiten vor legitime Krypto-Plattformen
10Phishing-Domains
9PBN-Spender
60,500+Tägliche Exposition
100.000+Opfer/Monat
2Angriffsvektoren
Haftungsausschluss

Alle Daten in diesem Bericht wurden über die SEMrush-API und phishdestroy.io zu Forschungszwecken im Bereich Cybersicherheit erhoben. Die Domainnamen werden veröffentlicht, um Nutzer zu warnen, nicht um für sie zu werben.

Die beiden Angriffsvektoren

Unsere Untersuchung ergab, dass zwei völlig unterschiedliche, parallel ablaufende Vorgänge die gleichzeitig laufen, um Phishing-Seiten an die Spitze der Bing- und DuckDuckGo-Suchergebnisse zu bringen.

Vektor A: Yahoo-SERP-Injektion
Nutzt die Domain-Autorität von Yahoo (AS 24) über mobile Suchseiten aus. Bing übernimmt das Vertrauen von dynamisch generierten Yahoo-Such-URLs, die Phishing-Anker enthalten. Ziele: curvefinance.co, curvefi.co, aster-dex.at
Vektor B: Koordiniertes PBN-Netzwerk
9 kompromittierte/gekaufte Domains mit den AS-Nummern 49–65 verweisen gleichzeitig auf mehrere Phishing-Seiten. Funktioniert bei ALLEN Suchmaschinen. Ziele: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, keplr.me

Vektor A: Der Yahoo-SERP-Injection-Angriff

Das ist wohl das technisch am elegantesten Ein Black-Hat-SEO-Angriff, den wir im Jahr 2026 dokumentiert haben. Er nutzt eine grundlegende Schwachstelle in der Art und Weise aus, wie Bing die Link-Autorität bewertet – insbesondere die Unfähigkeit, zwischen echten redaktionellen Links und dynamisch generierten Suchergebnisseiten von vertrauenswürdigen Domains zu unterscheiden.

Technisches Diagramm, das den Ablauf eines Yahoo-SERP-Injection-Angriffs auf die Bing-Rankings veranschaulicht
Der von Yahoo übernommene Authority Score (AS 24) wird über mobile Suchseiten an Phishing-Domains weitergegeben – Bing akzeptiert dieses Signal als legitim

Der Mechanismus – Schritt für Schritt

Yahoo-URL erstellen8+ Ländersubdomains
Anker einbettenZufällige Anfrage + Phishing-Link
Kriechen erzwingenPing-Dienste + Spam
Bing-IndizesÜbernimmt Yahoo AS 24
Platz 1Phishing-Seite unter den Top-Ergebnissen

Schritt 1 – Generieren der URL des vertrauenswürdigen Anbieters. Angreifer erstellen URLs auf den mobilen Such-Endpunkten von Yahoo über mehrere internationale Subdomains hinweg: no.search.yahoo.com (Norwegen), fr.search.yahoo.com (Frankreich), mx.search.yahoo.com (Mexiko), pl.search.yahoo.com (Polen), gr.search.yahoo.com (Griechenland), qc.search.yahoo.com (Quebec), chfr.search.yahoo.com (Schweizer Französisch), co.search.yahoo.com (Kolumbien). Diese Seiten weisen den von Yahoo übernommenen Authority-Score von 23–24 auf.

Schritt 2 – Einbetten des Phishing-Ankers. Jede URL enthält eine völlig zufällige, harmlose Suchanfrage – „pele+fifa“, „Jean-Paul+Sartre“, „Radio+Stars“, „jucheck.exe“ –, doch der Ankertext lautet: curvefi.co Curve Finance. Die zufällig angeordneten Abfragen stellen sicher, dass Spamfilter keine Muster erkennen können.

Schritt 3 – Erzwungene Crawling- und Indizierungsprozesse. Angreifer veranlassen Bingbot dazu, diese URLs zu crawlen, indem sie Massen-Ping-Dienste, das Einfügen von Kommentaren in Foren und Blogs sowie automatisierte Tools zum Auslösen von Crawls nutzen.

Bings algorithmisches Versagen

Googles Algorithmus: „Dies ist eine dynamische Suchseite. Es findet keine Übertragung von Link-Wert statt.“
Der Algorithmus von Bing: „yahoo.com verlinkt auf curvefi.co mit dem Ankertext ‚Curve Finance DEX‘. Ranking-Signal akzeptiert. ✓“

Ergebnis: Die Phishing-Seite klettert bei Bing und DuckDuckGo unter dem Suchbegriff „Curve Finance“ in die Top 3.

Unbearbeitete SEMrush-Daten — curvefi.co

SEMrush Backlink Analytics API | 30.03.2026 | Ziel: curvefi.co
ASQuelldomäneAnkertext
24chfr.search.yahoo.comwww.curvefi.cot Curve Finance
24co.search.yahoo.comcurvefi.co Curve Finance
24fr.search.yahoo.comcurvefi.co Curve Finance
24mx.search.yahoo.comwww.curvefi.cot Curve Finance
24no.search.yahoo.comwww.curvefi.cot Curve Finance
24pl.search.yahoo.comwww.curvefi.cot Curve Finance
23gr.search.yahoo.comwww.curvefi.cot Curve Finance
23qc.search.yahoo.comcurvefi.co Curve Finance

Die brutale Ironie: Die Website bietet Null organische Suchbegriffe, Null Traffic in der SEMrush-Datenbank – dennoch erscheint die Seite aufgrund der von Yahoo übernommenen Autorität in den Bing-/DDG-Ergebnissen für „Curve Finance“.

Vektor B: Das koordinierte PBN-Netzwerk

An dieser Stelle wird die Untersuchung erst richtig beunruhigend. Fünf verschiedene Phishing-Seiten — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at und keplr.me — haben alle eines gemeinsam: identische Gruppe von Backlink-Quellen. Das ist kein Zufall. Das ist eine einzige organisierte kriminelle Vereinigung die Durchführung mehrerer Phishing-Kampagnen über eine einzige Infrastruktur.

Visualisierung eines kriminellen PBN-Netzwerks – 9 Spenderdomains, die auf 5 Phishing-Ziele verweisen
Ein Betreiber, 9 PBN-Spender, 5 Phishing-Ziele – die Wahrscheinlichkeit, dass dies ein Zufall ist, liegt bei etwa 0,00001 %

Der entscheidende Beweis – Gemeinsame Infrastruktur

SEMrush-API | Domänenübergreifende Analyse | 30.03.2026
PBN-SpenderdomainASrabbysdexscrMoneroTrezor
lewievuittton.com65
lyricamed.us.com61
creatfx.com60
jba.com.jo56
jornaldevinhedo.com56
jasaaspalhotmix.com54
magna-eg.com50
markjohnsonbuilders50
nextplayflix.com49
Hinweis zu lewievuittton.com

Der wichtigste PBN-Spender (AS 65) ist selbst ein Typosquat von „Louis Vuitton“. Dieser PBN-Spender ist eine Betrugsseite, die andere Betrugsseiten stützt – eine kriminelle Infrastruktur auf ganzer Linie.

Phishing-Domain-Profile

SEMrush-Domainübersicht | März 2026
DomäneGibt sich als jemand anderes ausSchlüsselwörterTop-ZielUmfang
dexscreener.atDexScreener64„dexscreener“ Nr. 4260.500/Monat
rabbys.atRabby-Geldbörse15„Rabby Wallet“ Nr. 515.400/Monat
trezorsuite.atTrezor Suite7„Trezor Suite“ Nr. 324.400/Monat
aster-dex.atAster DEX13„Aster-Börse“ Nr. 253.600/Monat
monero-wallet.atMonero-Wallet4„xmr wallet online“ #26210/Monat
keplr.meKeplr Wallet0Versteckter Kommentar-Spamk. A.
bscscan.cfdBSCScan0Massen-Spam-Linksk. A.
curvefinance.coCurve Finance0Nur Yahoo-Einbindungk. A.
curvefi.coCurve Finance0Nur Yahoo-Einbindungk. A.
app-crv.netCurve-App0Mischtechnikenk. A.
Wichtig: Trezor Suite herunterladen

Nutzer, die suchen „Trezor Suite herunterladen“ aktiv nach einer Wallet-Software suchen. Eine Phishing-Seite auf Platz 3–5 bei DuckDuckGo führt dazu, dass Nutzer Schadsoftware in der Annahme, es handele sich um die Benutzeroberfläche einer Hardware-Wallet. Das ist keine Theorie – es geschieht gerade in diesem Moment.

Die KI-gestützte Artikel-Fabrik

Die Variante „aster-dex.at“ verwendet ein hybrider Ansatz, wobei Yahoo-Injection mit KI-generierten Blog-Inhalten kombiniert wurde, die auf kompromittierten oder eigens dafür eingerichteten Websites in Vietnam, Italien, Indonesien und der Schweiz platziert wurden.

Betrieb, der identische, KI-generierte Blogbeiträge erstellt, die auf Phishing-Seiten verweisen
Von KI generierte Artikel auf gehackten Websites – identische Titel, unterschiedliche Domains, die alle auf dasselbe Phishing-Ziel verweisen

Die Blog-Artikel haben alle nahezu identische Titel: „Warum Token-Swaps und Liquiditätspools selbst erfahrene DEX-Händler immer noch vor Probleme stellen“, „Warum automatisierte Market Maker Händler immer noch überraschen“. Das sind Von KI generierte Artikel auf Websites mit den AS-Nummern 21–36 platziert, die alle auf aster-dex.at verweisen.

Eindringen von Kommentar-Spam

keplr.me verfolgt einen völlig anderen Ansatz – reinen Kommentar-Spam auf themenfremden Websites mit hoher Autorität. Falsche Benutzernamen wie „ZackaryThymn“, „Fritzkah“ und „Jamesboach“ schleusen Anker für Krypto-Wallets in Websites zur Philosophieausbildung ein (filozofija.edu.rs, AS 45), Plattformen zur Mitarbeiterbindung (bavave.com, AS 63) sowie Kunstfestivals (lea-festival.com, AS 50).

Seriöse Website mit versteckten Phishing-Links im Kommentarbereich
Seriöse Websites, die unwissentlich Phishing-Links hosten – versteckt in normal aussehenden Nutzerkommentaren

Der absolute Tiefpunkt: Automatisierter Tool-Spam

bscscan.cfd nutzt die primitivste Methode überhaupt: gekaufte Backlink-Pakete in großer Stückzahl von Websites, die buchstäblich so heißen wie rankongoogle.agency und linksjump.click. Alle Quellen weisen AS = 0 auf. Die TLD „.cfd“ gilt als bekannter Spam-Indikator. Dennoch funktioniert dies bei Bing zumindest teilweise – die Anzahl minderwertiger Links kann die Platzierungen auf brandneuen Domains ohne negative Vorgeschichte beeinflussen.

Ein Backlink-Marktplatz für Schnäppchen im Cyberpunk-Stil
„1000 Backlinks für 9,99 $“ – die billigsten SEO-Betrugs-Tools funktionieren bei Bing teilweise immer noch

Warum gerade Bing und DuckDuckGo besonders anfällig sind

Google-Festung vs. Bing-Festung – Vergleich der Schwachstellen
Googles mehrstufiger Spam-Schutz im Vergleich zu Bings noch nicht ausgereifter Erkennung – eine Lücke, die Betrüger ausnutzen
Algorithmische Unterschiede, die Betrüger aktiv ausnutzen
FunktionGoogleBing
Erkennung dynamischer SeitenKein Link-Equity von SuchergebnisseitenYahoo-Suchseiten werden als redaktionelle Inhalte behandelt
Reifegrad des Spam-MLÜber 15 Jahre Trainingsdaten für SpamBrainNoch nicht ganz ausgereift; PBN AS 50–65 funktioniert weiterhin
MarkenschutzAggressiv; curvefinance.co wurde schnell markiertBetrugsfälle mit den TLDs „.at“ und „.co“ halten sich länger
KI-Content-FarmenErkennung ab 2023 im EinsatzKI-Farmen mit den Endungen .vn und .it erreichen weiterhin die Mindestpunktzahl
Phishing-Schutz„Safe Browsing“ blockiert bekannte Domains umgehendSmartScreen erkennt neu registrierte Betrugsdomains nicht
Eine spezifische Schwäche von DuckDuckGo

DDG nutzt den Index von Bing als primäre Datenquelle und übernimmt dabei alle der Sicherheitslücken von Bing. Datenschutzbewusste Nutzer, die DDG bevorzugen, kennen sich oft gut mit Kryptografie aus – was sie zu besonders attraktiven Zielen macht. DDG verfügt über keinen eigenen Mechanismus zur Spam-Meldung; Meldungen werden an Bing weitergeleitet.

Strategie zur Keyword-Ausrichtung

Die Keyword-Profile zeigen chirurgische Präzision bei der Zielauswahl. Die Betreiber zielen nicht nur auf primäre Markenbegriffe ab, sondern auch auf Typosquats („Rabbi-Geldbörse“, „Rubby-Geldbörse“, „dexscrenner“) und sogar Suchanfragen auf Chinesisch („Aster-Börse“ Platz 25).

Weltkarte, die die mehrsprachige Keyword-Ausrichtung von Krypto-Betrügern zeigt
Mehrsprachige Ausrichtung: Englisch, Französisch, Chinesisch, Vietnamesisch – die Aktivitäten erstrecken sich über mehrere Kontinente
Marken- und Suchvolumenanalyse | SEMrush US | März 2026
Ziel-KeywordMonatliches VolumenBetrugsdomainPosition
dexscreener60,500dexscreener.at#42
Rabby-Geldbörse5,400rabbys.at#51–71
Trezor Suite4,400trezorsuite.at#32–85
Aster Dex3,600aster-dex.at#63
dexscrennerTippfehler2,400dexscreener.at#45
Aster-BörseChinesisch1,000aster-dex.at#25
Trezor Suite herunterladen260trezorsuite.at#54
Rabbi-GeldbörseTippfehler210rabbys.at#54
XMR-Wallet online210monero-wallet.at#55–69

Historischer Kontext: Das Problem mit Trust Wallet und DuckDuckGo

Dieses Problem hat tiefe Wurzeln

Diese Angriffe sind nichts Neues. Das Problem war deutlich schwerwiegender als Wallets wie Trust Wallet DuckDuckGo als ihre Standard-Suchmaschine in der App. Nutzern, die innerhalb ihrer Wallet nach DeFi-Protokollen suchten, wurden Phishing-Ergebnisse als erstes Suchergebnis angezeigt – ganz ohne aufwendige Suchmaschinenoptimierung. Die Kombination aus einer datenschutzorientierten Suchmaschine mit schwacher Spam-Erkennung und einer Krypto-Wallet mit integriertem Browser führte zu einer perfekte Sturmkonstellation zum Zwecke des Phishing.

Auch nachdem Trust Wallet DDG als Standardbrowser abgelöst hat, besteht die zugrunde liegende Sicherheitslücke weiterhin. Jeder Nutzer, der wählt aus Datenschutzgründen bewusst DuckDuckGo aus — eine Bevölkerungsgruppe, die sich stark mit der Gruppe der Krypto-Nutzer überschneidet — ist auch heute noch genau diesen Angriffen ausgesetzt. Die in diesem Bericht dokumentierten Betrugsmaschen nutzen seit langem Varianten dieser Technik für mehrere Jahre, wobei sie sich anpasst, während Suchmaschinen einzelne Vektoren nach und nach beheben.

So schützen Sie sich

Überprüfen Sie stets die genaue Domain

REAL Curve Finance → curve.fi (NICHT .co, .net) • DexScreener → dexscreener.com (NICHT .at) • Rabby → rabby.io (NICHT .at, .me) • Trezor Suite → suite.trezor.io (NICHT trezorsuite.at) • Keplr → keplr.app (NICHT .me) • BSCScan → bscscan.com (NICHT .cfd)

Empfehlungen an Microsoft/Bing

  1. Erkennung dynamischer Seiten: Suchergebnisseiten klassifizieren (Yahoo, Baidu, Google) und den Link-Wert aus ausgehenden Links entfernen
  2. Koordinierte PBN-Erkennung: Wenn 9 Domains auf 5 verschiedene Websites mit identischen Mustern verweisen, als Manipulation kennzeichnen
  3. Ebene „Markenimitation“: TLD-Substitutionsangriffe erkennen (dexscreener.atdexscreener.com)
  4. .AT-Domain-Überwachung: Verstärkte Überprüfung neu registrierter .at-Domains in Krypto-SERPs
  5. DuckDuckGo im Schnelldurchlauf: Eine spezielle API zur Spam-Entfernung erstellen, auf die DDG direkt zugreifen kann

Fazit

Das ist kein opportunistischer Spam. Das ist ein professionell organisierte, markenübergreifende und vielschichtige SEO-Maßnahmen speziell entwickelt, um die Lücke zwischen den Spam-Erkennungsfunktionen von Google und Bing auszunutzen. Jeder Nutzer, der heute auf DuckDuckGo nach „Trezor Suite Download“ sucht, sieht möglicherweise zuerst eine Phishing-Seite, die ihm das Geld aus der Tasche zieht, bevor er die echte Seite zu Gesicht bekommt. Die technische Lösung gibt es bereits. Die Frage ist, ob Bing sie umsetzen wird.

Dramatische Szene im Gerichtssaal – Krypto-Betrüger vor Gericht, Beweismittel werden vorgelegt
Die Beweise sind öffentlich zugänglich. Die Domains sind dokumentiert. Die Opfer sind echt. Die Lösung liegt in den Händen von Microsoft.
Folgeuntersuchung – 17. April 2026

Teil II: Das 2-Dollar-Strategiehandbuch – 26 Phishing-Seiten, 1 Domain-Registrar, 7 Bing-Ergebnisse auf Platz 1

Eine Folgeuntersuchung zu dieser Untersuchung vom März ergab 26 neue Phishing-Domains — die sich alle als DeFi-Protokolle ausgeben — stehen derzeit auf Platz #1 on Bing für ihre Suchanfragen zu Zielmarken. Mithilfe von Backlink-Daten der SEMrush-API, RDAP-Registrierungsdaten und einer direkten Quellcode-Analyse haben wir jede einzelne Domain zurückverfolgt bis zu ein Betreiber, eine Registrierungsstelle (NiceNIC) und ein getarntes PBN-Netzwerk mit 15 Websites. Kosten pro Domain: 2 $. Zeitaufwand: 10 Minuten.

Ein Betreiber, 26 Phishing-Köder, eine Suchmaschine, die keine Überprüfung durchführt
Ein Betreiber. 26 Phishing-Köder in Bing. Kosten: 2 Dollar pro Domain.
26Phishing-Domains
1Registrar (NiceNIC)
7Platz 1 bei Bing
15Versteckte PBN-Websites
0Google-Rankings

Ein Betreiber, 26 Domains, ein Registrar

Wir haben RDAP-Abfragen für alle 26 Phishing-Domains durchgeführt. Bei jeder einzelnen wurde derselbe Registrar angezeigt: NiceNIC International Group Co., Limited. Nicht die meisten. Nicht die Mehrheit. Alle 23 von 23 wurden erfolgreich abgefragt — derselbe Registrar, mit 3 Rate-Limit-Fehlern vor der Verifizierung (die Infrastrukturmuster stimmen überein).

OSINT-Untersuchungstabelle, aus der hervorgeht, dass 23 von 23 Domains über NiceNIC registriert wurden
23 von 23 überprüft. Derselbe Registrar. Derselbe Kunde. Keine Maßnahmen wegen Missbrauchs.

RDAP-Registrierungsdaten – Nachweis der Sammelregistrierung

RDAP-Abfrageergebnisse | April 2026 | 23 von 26 erfolgreich abgefragt
DomäneGibt sich als jemand anderes ausErstelltCloudflare-NS-Paar
star-gate-finance-stargate.financeStargate Finance2025-09-08Terry/Ximena
app-vesper.financeVesper Finance2025-09-08Terry/Ximena
app-vvs.financeVVS Finance2025-09-08Terry/Ximena
orbit-protocol-lending.netOrbit-Protokoll2025-10-10Terry/Ximena
vvsfnance.comVVS Finance2025-07-12April/Kayden
spooky-swap.netSpookySwap2025-04-15April/Kayden
thorwsap.comTHORSwap2025-07-24April/Kayden
hyperlokc.comHyperlock Finance2025-07-12arnold/destiny
shadow-ex.netShadow Exchange2025-06-24amos/tricia
v2velodrome.comVelodrome Finance2025-09-04Dayana/Marvin
layerbank-v3.comLayerBank2024-09-07Austin/Cheryl
biasterswap.xyzBiSwap2024-09-07Lady/Langston
v2-olympusdao.comOlympusDAO2026-03-29nash/romina
uncx.orgUNCX-Netzwerk2025-12-24Cory/Megan
amblent.ccAmbient Finance2026-02-09Nicole/Salvador
juicefi.ccJuice Finance2026-02-09Nicole/Salvador
rhea-finance.comRhea Finance2025-05-30
rhea-finance.netRhea Finance2025-05-30
rhea-rhea.orgRhea Finance2025-05-30
silo-finance-silofinance.netSilo Finance2025-05-30
Stapelregistrierung – Ein Bediener, viele Sitzungen

Gemeinsam genutzte Cloudflare-NS-Paare und identische Erstellungsdaten belegen eine Sammelregistrierung:

  • 2025-09-08: star-gate + app-vesper + app-vvs (alle terry/ximena)
  • 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 Domains, eine Sitzung)
  • 2026-02-09: amblent.cc + juicefi.cc (nicole/salvador)
  • 2024-09-07: layerbank-v3.com + biasterswap.xyz — Maßnahme mit einer Laufzeit von mehr als 18 Monaten

Das 2-Dollar-Playbook – Schritt für Schritt

Vergessen Sie ausgefeilte SEO-Maßnahmen. Vergessen Sie monatelanges Linkbuilding. Hier ist die vollständige, bewährte Vorgehensweise, mit der Sie auf Platz 1 bei Bing landen.

Vier Schritte, um eine Phishing-Website für 2 Dollar auf Platz 1 bei Bing zu bringen
Vier Schritte, 2 Dollar – und schon krönt Bing eine Phishing-Seite zur Nummer 1
Typosquat registrieren$1-2 at NiceNIC
Titel-Tag klonenVon der echten Website kopieren
An PBN sendenTschüss. Zur Info: 15 Websites
2–8 Wochen wartenBing indexiert und ordnet die Ergebnisse ein
Bing Nr. 1Oben: ein echtes Projekt

Schritt 1: Typosquat-Register

Typosquat-Techniken in 8 der 26 Domänen
Echtes ProjektEchte DomainPhishing-DomainTechnik
VVS Financevvs.financevvsfnance.comAusgelassener Buchstabe (i)
THORSwapthorswap.comthorwsap.comVertauschte Buchstaben (a/w)
Hyperlockhyperlock.fihyperlokc.comVertauschte Buchstaben (c/k)
Arbitrum-Bridgebridge.arbitrum.ioarbtrumbridge.ccTausch + günstige TLD
Ambient Financeambient.financeamblent.ccPhonetische Falschschreibung
Thruster Financethruster.financethnuster.ccAusgelassener Buchstabe (r→n)
Brücke des Optimismusapp.optimism.iooptrnismbirdge.ccMehrere Tippfehler
Stargate Financestargate.financestar-gate-finance-stargate.financeKeyword-Spamming

Schritt 2: Das Titel-Tag klonen (0 $, 5 Minuten)

Der Betreiber kopiert genau das <title> Tag und Meta-Beschreibung von der Website des eigentlichen Projekts. Das ist der mit Abstand wichtigste Schritt. Die Seite selbst ist ein „Wallet-Drainer“ oder ein „Seed-Phrase-Harvester“ – aber <title> ist das, was Bing in den Suchergebnissen anzeigt.

Schritt 3: Bei dem Cloaked-PBN einreichen (0 $, 1 Minute)

Der Betreiber besucht einen der 15 PBN-Standorte (bye.fyi, atomizelink.icu, usw.), gibt die Domain in das Feld „Geben Sie Ihre URL ein“ ein und klickt auf „Kürzen“. Mit einem einzigen Klick wird gleichzeitig eine Seite auf allen 15 Websites erstellt – diese nutzen eine gemeinsame Datenbank.

Schritt 4: Warten (2–8 Wochen, 0 $)

Beweis: 1 Backlink = Platz 1 bei Bing

app.thnuster.cc erreichte bei Bing Platz 1 für „Thruster Finance“ mit genau 1 Backlink — eine zwischengespeicherte Yahoo-SERP-Seite. Das PBN war gar nicht nötig.

Aufschlüsselung der Gesamtkosten

WasKostenZeit
Domain (.cc/.com über NiceNIC)$1-22 Min.
Cloudflare DNS (kostenloser Tarif)$01 Min.
Titel-Tag von der echten Website kopieren$05 Min.
An PBN senden (bye.fyi usw.)$01 Min.
Auf die Indizierung warten$02–8 Wochen
GESAMT$1-2~10 Min.

Ein Blick in die Cloaking-Engine

Wir haben den tatsächlichen HTML-Quellcode aus dem PBN-Netzwerk abgerufen und analysiert. Auf jeder Seite jeder Domain kommt dieselbe Cloaking-Engine zum Einsatz.

Was Nutzer sehen vs. was Bingbot sieht – die Cloaking-Barriere
Was Nutzer sehen im Vergleich zu dem, was Bingbot sieht – das z-index: 1000000 Die Wand verbirgt 3.500 Verbindungen

Seitenarchitektur: 400 KB HTML, über 3.500 Links, 4 Ebenen

Ebene 1 – Die Tarnwand (was die Nutzer sehen)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

„white div“ deckt den gesamten Viewport ab. „z-index:1000000“ stellt sicher, dass nichts darüber gerendert wird. overflow:hidden Im Hauptteil wird verhindert, dass der Nutzer weiter scrollt. Der Nutzer sieht „Abgelaufen“ und verlässt die Seite.

Ebene 2 – Die JS-Weiterleitung (Sicherheitskopie)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Wenn der Nutzer die White Wall umgeht, leitet JavaScript ihn zu scrib.li weiter (Monetarisierung über Partnerprogramm). Dreifacher Schutz gegen menschliche Besucher.

Ebene 3 – Die Scheinfassade (was Bots sehen)

Bingbot ignoriert CSS-Overlays – er wertet reines HTML aus. Er erkennt eine „URL-Shortener“-Website mit einem Suchformular. Sieht seriös aus.

Ebene 4 – Die Linkmasse (3.500 Nofollow-Links)
<p>Learn More Here <a rel="nofollow"
     href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ...

Die Phishing-Domain ist unter 3.500 zufällig ausgewählten Domains versteckt. Bing-Leckereien rel="nofollow" als Indexierungssignal — es durchsucht das Ziel trotzdem.

Beweis: Ein Netzwerk, eine Datenbank

orbit-protocol-lending.net taucht auf mehreren PBN-Domains auf mit fortlaufende IDs aus derselben Datenbank:

Eine Datenbank, 15 Frontend-Domains – alle stellen identische Inhalte aus demselben Backend bereit
Eine Datenbank. 15 Frontend-Domains. Auf allen Seiten werden identische Inhalte aus demselben Backend angezeigt.
Fortlaufende IDs bei „verschiedenen“ PBN-Marken – Nachweis eines gemeinsamen Backends
PBN-DomainURL-MusterID
blogsphere.top/stats/4920749207
optimizeflow.top/stats/4920749207
websites.freemyip.com/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
dailymusings.top/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
byteshort.xyz/report/4920849208

Gleiche IDs über verschiedene „Marken“ hinweg = ein Backend, ein Betreiber. 15 Domains. Gleiche HTML-Vorlage. Gleiches CSS (style.css). Dasselbe JavaScript (work.js). Dieselben Seiten mit 3.500 Links.

Das zweite PBN – Domain-Checker-Netzwerk

Ein separates, aggressiveres Linknetzwerk liefert Dofollow-Backlinks zu ausgewählten Zielen. Hauptserver: all-aged-domains.com — eine WordPress-6.6.2-Installation, die CSS-, JS- und Vorlagen an 50 bis 80 Satellitendomains bereitstellt.

Getarnte PBN (Netzwerk A) vs. Domain-Checker (Netzwerk B)
FunktionNetzwerk A (getarntes PBN)Netzwerk B (Domain-Checker)
Standorte~15~50-80
CloakingJa (Weiterleitung über CSS und JS)Nein
Link-Typ99,4 % nofollow99,99 % Dofollow
Links pro Seite~3,500~10,000
Seitengröße400 KB4 MB
CMSBenutzerdefiniertes PHPWordPress 6.6.2
HauptserverGemeinsam genutzte Datenbank (fortlaufende IDs)all-aged-domains.com
Google Tag ManagerNeinJa (erfasst den Datenverkehr)
Die Ironie

Obwohl Netzwerk B über 10-mal mehr Backlinks verfügt, die alle als „dofollow“ gekennzeichnet sind, zielt es auf hat es NICHT auf Platz 1 bei Bing geschafft. biasterswap.xyz hat 110 Dofollow-Links. layerbank-v3.com hat 98. Keines der beiden steht auf Platz 1.

In der Zwischenzeit, app.thnuster.cc hat 1 Backlink und belegt Platz 1.

Die Kombination aus „nofollow“-vermaskiertem PBN und Titelübereinstimmung funktioniert bei Bing besser als massiver „dofollow“-Spam.

Warum Bing darauf hereinfällt

Googles gepanzerter Roboter, der Phishing am Eingang abwehrt, im Vergleich zu Bings freundlichem Türsteher, der die Tür offen hält
Googles gepanzerter Roboter wehrt Phishing-Angriffe schon am Eingang ab. Bings freundlicher Türsteher hält die Tür offen.

Die Schwachstelle beim Titelkampf

app.thnuster.cc hat genau EINEN Backlink – eine zwischengespeicherte Yahoo-SERP-Seite. Bei Bing belegt die Seite Platz 1 für den Suchbegriff „Thruster Finance“. Dies belegt, dass das Ranking von Bing bei Markenanfragen mit geringem Wettbewerb in erster Linie auf folgenden Faktoren beruht:

  1. Titel-Tag mit exakter Übereinstimmung zur Suchanfrage
  2. Die Domain ist indexiert (jedes Signal – selbst ein einziger Nofollow-Link – reicht aus)
  3. Keine negativen Vertrauenssignale (Die Domain ist neu und weist keine Einträge in der Historie auf.)

Google würde umfangreiche Autoritätssignale verlangen und einen Abgleich mit bekannten Markendomains vornehmen. Bing tut dies nicht.

Bing vs. Google – Ranking-Ergebnisse in 26 Bereichen
MetrischBingGoogle
Phishing-Domains auf Platz 170
Phishing-Domains in den Top 1070
Zeit bis zum Erreichen eines Rankings ab der Domain-Erstellung2–8 Wochenniemals

Bing-Ergebnisse auf Platz 1 (überprüft mit SerpAPI, April 2026)

Abfrage#1 Result (Phishing)Backlinks
„Stargate Finance“star-gate-finance-stargate.finance20
„Shadow Exchange“shadow-ex.net16
„UNCX Network“www.uncx.org51
„Thruster Finance“app.thnuster.cc1
„Orbit Protocol“orbit-protocol-lending.net15
„VVS Finance“vvsfnance.com (#1) + www.app-vvs.finance (#10)36 + 37

Aktualisierte Schutzliste (Marken aus Teil II)

Überprüfen Sie stets die genaue Domain

Stargate Finance → stargate.finance (NICHT star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (NICHT vvsfnance.com) • THORSwap → thorswap.com (NICHT thorwsap.com) • Velodrom → velodrome.finance (NICHT v2velodrome.com) • UNCX → uncx.network (NICHT uncx.org) • SpookySwap → spooky.fi (NICHT spooky-swap.net) • OlympusDAO → olympusdao.finance (NICHT v2-olympusdao.com) • Thruster → thruster.finance (NICHT thnuster.cc) • Ambient → ambient.finance (NICHT amblent.cc)

Empfehlungen (Teil II)

An Microsoft/Bing:

  1. Ein Titelkampf allein ist noch kein Maßstab für Autorität. Ein passender Titel sollte eine neue Domain bei Suchanfragen nach Markennamen nicht auf Platz 1 bringen. Es sollten Kriterien wie das Alter der Domain, die Backlink-Autorität oder Signale zur Markenverifizierung herangezogen werden.
  2. CSS-basiertes Cloaking erkennen. Seiten, die „z-index“-Overlays verwenden, um Inhalte vor Nutzern zu verbergen, sie aber für Crawler sichtbar zu machen, sollten gekennzeichnet werden.
  3. Koordinierte PBN-Netzwerke aufspüren. 15 Domains, die sich ein Backend teilen und auf dieselben Ziele verweisen, stellen keinen organischen Linkaufbau dar.
  4. Domains, die bei NiceNIC registriert sind, in Krypto-SERPs kennzeichnen zur eingehenderen Prüfung.
  5. Richte einen Schnellweg für DuckDuckGo-Spam ein. DDG übernimmt alle Sicherheitslücken von Bing, verfügt jedoch über keinen eigenen Mechanismus zur Meldung von Spam.

An die NiceNIC International Group Co., Limited:

26 Phishing-Domains. Ein Kunde. Über einen Zeitraum von 18 Monaten in großen Mengen registriert. Es wurden keinerlei Maßnahmen gegen den Missbrauch ergriffen. Dies ist nun öffentlich dokumentiert. Quelle: Wenn Meldungen über Missbrauch ins Leere laufen und NiceNIC: Systemweiter Wegbereiter.

An Cloudflare:

Alle 26 Domains nutzen Cloudflare-DNS und -Proxy. Die Domains dienen als Plattform für Wallet-Drainer und Seed-Phrase-Harvester hinter der Infrastruktur von Cloudflare.

Teil II Schlussfolgerung

Das ist kein opportunistischer Spam. Das ist ein eine professionell durchgeführte, 18 Monate dauernde Kampagne durch einen einzigen Betreiber der herausgefunden hat, dass sich der Ranking-Algorithmus von Bing mit einer 2-Dollar-Domain und einem kopierten Titel-Tag austricksen lässt. Derzeit belegen sieben Phishing-Websites Platz 1 bei Bing — über den legitimen Plattformen, als die sie sich ausgeben.

Die von uns dokumentierte Cloaking-Infrastruktur – 15 identische Websites mit gemeinsamen Datenbanken, CSS-basierter Ausblendung von Inhalten und JavaScript-Weiterleitungs-Fallbacks – stellt ein speziell entwickeltes Werkzeug zur Manipulation von Suchmaschinen in großem Maßstab dar.

Google blockiert alle 26 Domains. Bing listet 7 davon auf Platz 1. Die technische Lösung gibt es bereits. Die Beweise sind öffentlich zugänglich. Die Domains sind dokumentiert. Der Registrar ist identifiziert. Die Frage bleibt: Wird etwas unternommen werden?