Ein Blick hinter die Kulissen: Wie Krypto-Betrüger vorgehen
Bing und DuckDuckGo umleiten
Ein Untersuchungsbericht mit Live-Daten von SEMrush, der zwei parallele SEO-Angriffsoperationen aufdeckt, mit denen Krypto-Phishing-Websites an die Spitze der Suchergebnisse bei Bing und DuckDuckGo gebracht werden. 10 Domains. 2 Angriffsvektoren. Über 100.000 potenzielle Opfer pro Monat.

Alle Daten in diesem Bericht wurden über die SEMrush-API und phishdestroy.io zu Forschungszwecken im Bereich Cybersicherheit erhoben. Die Domainnamen werden veröffentlicht, um Nutzer zu warnen, nicht um für sie zu werben.
Die beiden Angriffsvektoren
Unsere Untersuchung ergab, dass zwei völlig unterschiedliche, parallel ablaufende Vorgänge die gleichzeitig laufen, um Phishing-Seiten an die Spitze der Bing- und DuckDuckGo-Suchergebnisse zu bringen.
Vektor A: Der Yahoo-SERP-Injection-Angriff
Das ist wohl das technisch am elegantesten Ein Black-Hat-SEO-Angriff, den wir im Jahr 2026 dokumentiert haben. Er nutzt eine grundlegende Schwachstelle in der Art und Weise aus, wie Bing die Link-Autorität bewertet – insbesondere die Unfähigkeit, zwischen echten redaktionellen Links und dynamisch generierten Suchergebnisseiten von vertrauenswürdigen Domains zu unterscheiden.

Der Mechanismus – Schritt für Schritt
Schritt 1 – Generieren der URL des vertrauenswürdigen Anbieters. Angreifer erstellen URLs auf den mobilen Such-Endpunkten von Yahoo über mehrere internationale Subdomains hinweg: no.search.yahoo.com (Norwegen), fr.search.yahoo.com (Frankreich), mx.search.yahoo.com (Mexiko), pl.search.yahoo.com (Polen), gr.search.yahoo.com (Griechenland), qc.search.yahoo.com (Quebec), chfr.search.yahoo.com (Schweizer Französisch), co.search.yahoo.com (Kolumbien). Diese Seiten weisen den von Yahoo übernommenen Authority-Score von 23–24 auf.
Schritt 2 – Einbetten des Phishing-Ankers. Jede URL enthält eine völlig zufällige, harmlose Suchanfrage – „pele+fifa“, „Jean-Paul+Sartre“, „Radio+Stars“, „jucheck.exe“ –, doch der Ankertext lautet: curvefi.co Curve Finance. Die zufällig angeordneten Abfragen stellen sicher, dass Spamfilter keine Muster erkennen können.
Schritt 3 – Erzwungene Crawling- und Indizierungsprozesse. Angreifer veranlassen Bingbot dazu, diese URLs zu crawlen, indem sie Massen-Ping-Dienste, das Einfügen von Kommentaren in Foren und Blogs sowie automatisierte Tools zum Auslösen von Crawls nutzen.
Googles Algorithmus: „Dies ist eine dynamische Suchseite. Es findet keine Übertragung von Link-Wert statt.“
Der Algorithmus von Bing: „yahoo.com verlinkt auf curvefi.co mit dem Ankertext ‚Curve Finance DEX‘. Ranking-Signal akzeptiert. ✓“
Ergebnis: Die Phishing-Seite klettert bei Bing und DuckDuckGo unter dem Suchbegriff „Curve Finance“ in die Top 3.
Unbearbeitete SEMrush-Daten — curvefi.co
| AS | Quelldomäne | Ankertext |
|---|---|---|
| 24 | chfr.search.yahoo.com | www.curvefi.cot Curve Finance |
| 24 | co.search.yahoo.com | curvefi.co Curve Finance |
| 24 | fr.search.yahoo.com | curvefi.co Curve Finance |
| 24 | mx.search.yahoo.com | www.curvefi.cot Curve Finance |
| 24 | no.search.yahoo.com | www.curvefi.cot Curve Finance |
| 24 | pl.search.yahoo.com | www.curvefi.cot Curve Finance |
| 23 | gr.search.yahoo.com | www.curvefi.cot Curve Finance |
| 23 | qc.search.yahoo.com | curvefi.co Curve Finance |
Die brutale Ironie: Die Website bietet Null organische Suchbegriffe, Null Traffic in der SEMrush-Datenbank – dennoch erscheint die Seite aufgrund der von Yahoo übernommenen Autorität in den Bing-/DDG-Ergebnissen für „Curve Finance“.
Vektor B: Das koordinierte PBN-Netzwerk
An dieser Stelle wird die Untersuchung erst richtig beunruhigend. Fünf verschiedene Phishing-Seiten — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at und keplr.me — haben alle eines gemeinsam: identische Gruppe von Backlink-Quellen. Das ist kein Zufall. Das ist eine einzige organisierte kriminelle Vereinigung die Durchführung mehrerer Phishing-Kampagnen über eine einzige Infrastruktur.

Der entscheidende Beweis – Gemeinsame Infrastruktur
| PBN-Spenderdomain | AS | rabbys | dexscr | Monero | Trezor |
|---|---|---|---|---|---|
lewievuittton.com | 65 | ✓ | ✓ | ✓ | ✓ |
lyricamed.us.com | 61 | ✓ | ✓ | ✓ | ✓ |
creatfx.com | 60 | ✓ | ✓ | ✓ | ✓ |
jba.com.jo | 56 | ✓ | ✓ | ✓ | ✓ |
jornaldevinhedo.com | 56 | ✓ | ✓ | ✓ | ✓ |
jasaaspalhotmix.com | 54 | ✓ | ✓ | ✓ | ✓ |
magna-eg.com | 50 | ✓ | ✓ | ✓ | ✓ |
markjohnsonbuilders | 50 | ✓ | ✓ | ✓ | ✓ |
nextplayflix.com | 49 | ✓ | ✓ | ✓ | ✓ |
Der wichtigste PBN-Spender (AS 65) ist selbst ein Typosquat von „Louis Vuitton“. Dieser PBN-Spender ist eine Betrugsseite, die andere Betrugsseiten stützt – eine kriminelle Infrastruktur auf ganzer Linie.
Phishing-Domain-Profile
| Domäne | Gibt sich als jemand anderes aus | Schlüsselwörter | Top-Ziel | Umfang |
|---|---|---|---|---|
dexscreener.at | DexScreener | 64 | „dexscreener“ Nr. 42 | 60.500/Monat |
rabbys.at | Rabby-Geldbörse | 15 | „Rabby Wallet“ Nr. 51 | 5.400/Monat |
trezorsuite.at | Trezor Suite | 7 | „Trezor Suite“ Nr. 32 | 4.400/Monat |
aster-dex.at | Aster DEX | 13 | „Aster-Börse“ Nr. 25 | 3.600/Monat |
monero-wallet.at | Monero-Wallet | 4 | „xmr wallet online“ #26 | 210/Monat |
keplr.me | Keplr Wallet | 0 | Versteckter Kommentar-Spam | k. A. |
bscscan.cfd | BSCScan | 0 | Massen-Spam-Links | k. A. |
curvefinance.co | Curve Finance | 0 | Nur Yahoo-Einbindung | k. A. |
curvefi.co | Curve Finance | 0 | Nur Yahoo-Einbindung | k. A. |
app-crv.net | Curve-App | 0 | Mischtechniken | k. A. |
Nutzer, die suchen „Trezor Suite herunterladen“ aktiv nach einer Wallet-Software suchen. Eine Phishing-Seite auf Platz 3–5 bei DuckDuckGo führt dazu, dass Nutzer Schadsoftware in der Annahme, es handele sich um die Benutzeroberfläche einer Hardware-Wallet. Das ist keine Theorie – es geschieht gerade in diesem Moment.
Die KI-gestützte Artikel-Fabrik
Die Variante „aster-dex.at“ verwendet ein hybrider Ansatz, wobei Yahoo-Injection mit KI-generierten Blog-Inhalten kombiniert wurde, die auf kompromittierten oder eigens dafür eingerichteten Websites in Vietnam, Italien, Indonesien und der Schweiz platziert wurden.

Die Blog-Artikel haben alle nahezu identische Titel: „Warum Token-Swaps und Liquiditätspools selbst erfahrene DEX-Händler immer noch vor Probleme stellen“, „Warum automatisierte Market Maker Händler immer noch überraschen“. Das sind Von KI generierte Artikel auf Websites mit den AS-Nummern 21–36 platziert, die alle auf aster-dex.at verweisen.
Eindringen von Kommentar-Spam
keplr.me verfolgt einen völlig anderen Ansatz – reinen Kommentar-Spam auf themenfremden Websites mit hoher Autorität. Falsche Benutzernamen wie „ZackaryThymn“, „Fritzkah“ und „Jamesboach“ schleusen Anker für Krypto-Wallets in Websites zur Philosophieausbildung ein (filozofija.edu.rs, AS 45), Plattformen zur Mitarbeiterbindung (bavave.com, AS 63) sowie Kunstfestivals (lea-festival.com, AS 50).

Der absolute Tiefpunkt: Automatisierter Tool-Spam
bscscan.cfd nutzt die primitivste Methode überhaupt: gekaufte Backlink-Pakete in großer Stückzahl von Websites, die buchstäblich so heißen wie rankongoogle.agency und linksjump.click. Alle Quellen weisen AS = 0 auf. Die TLD „.cfd“ gilt als bekannter Spam-Indikator. Dennoch funktioniert dies bei Bing zumindest teilweise – die Anzahl minderwertiger Links kann die Platzierungen auf brandneuen Domains ohne negative Vorgeschichte beeinflussen.

Warum gerade Bing und DuckDuckGo besonders anfällig sind

| Funktion | Bing | |
|---|---|---|
| Erkennung dynamischer Seiten | Kein Link-Equity von Suchergebnisseiten | Yahoo-Suchseiten werden als redaktionelle Inhalte behandelt |
| Reifegrad des Spam-ML | Über 15 Jahre Trainingsdaten für SpamBrain | Noch nicht ganz ausgereift; PBN AS 50–65 funktioniert weiterhin |
| Markenschutz | Aggressiv; curvefinance.co wurde schnell markiert | Betrugsfälle mit den TLDs „.at“ und „.co“ halten sich länger |
| KI-Content-Farmen | Erkennung ab 2023 im Einsatz | KI-Farmen mit den Endungen .vn und .it erreichen weiterhin die Mindestpunktzahl |
| Phishing-Schutz | „Safe Browsing“ blockiert bekannte Domains umgehend | SmartScreen erkennt neu registrierte Betrugsdomains nicht |
DDG nutzt den Index von Bing als primäre Datenquelle und übernimmt dabei alle der Sicherheitslücken von Bing. Datenschutzbewusste Nutzer, die DDG bevorzugen, kennen sich oft gut mit Kryptografie aus – was sie zu besonders attraktiven Zielen macht. DDG verfügt über keinen eigenen Mechanismus zur Spam-Meldung; Meldungen werden an Bing weitergeleitet.
Strategie zur Keyword-Ausrichtung
Die Keyword-Profile zeigen chirurgische Präzision bei der Zielauswahl. Die Betreiber zielen nicht nur auf primäre Markenbegriffe ab, sondern auch auf Typosquats („Rabbi-Geldbörse“, „Rubby-Geldbörse“, „dexscrenner“) und sogar Suchanfragen auf Chinesisch („Aster-Börse“ Platz 25).

| Ziel-Keyword | Monatliches Volumen | Betrugsdomain | Position |
|---|---|---|---|
| dexscreener | 60,500 | dexscreener.at | #42 |
| Rabby-Geldbörse | 5,400 | rabbys.at | #51–71 |
| Trezor Suite | 4,400 | trezorsuite.at | #32–85 |
| Aster Dex | 3,600 | aster-dex.at | #63 |
| dexscrennerTippfehler | 2,400 | dexscreener.at | #45 |
| Aster-BörseChinesisch | 1,000 | aster-dex.at | #25 |
| Trezor Suite herunterladen | 260 | trezorsuite.at | #54 |
| Rabbi-GeldbörseTippfehler | 210 | rabbys.at | #54 |
| XMR-Wallet online | 210 | monero-wallet.at | #55–69 |
Historischer Kontext: Das Problem mit Trust Wallet und DuckDuckGo
Diese Angriffe sind nichts Neues. Das Problem war deutlich schwerwiegender als Wallets wie Trust Wallet DuckDuckGo als ihre Standard-Suchmaschine in der App. Nutzern, die innerhalb ihrer Wallet nach DeFi-Protokollen suchten, wurden Phishing-Ergebnisse als erstes Suchergebnis angezeigt – ganz ohne aufwendige Suchmaschinenoptimierung. Die Kombination aus einer datenschutzorientierten Suchmaschine mit schwacher Spam-Erkennung und einer Krypto-Wallet mit integriertem Browser führte zu einer perfekte Sturmkonstellation zum Zwecke des Phishing.
Auch nachdem Trust Wallet DDG als Standardbrowser abgelöst hat, besteht die zugrunde liegende Sicherheitslücke weiterhin. Jeder Nutzer, der wählt aus Datenschutzgründen bewusst DuckDuckGo aus — eine Bevölkerungsgruppe, die sich stark mit der Gruppe der Krypto-Nutzer überschneidet — ist auch heute noch genau diesen Angriffen ausgesetzt. Die in diesem Bericht dokumentierten Betrugsmaschen nutzen seit langem Varianten dieser Technik für mehrere Jahre, wobei sie sich anpasst, während Suchmaschinen einzelne Vektoren nach und nach beheben.
So schützen Sie sich
REAL Curve Finance → curve.fi (NICHT .co, .net) • DexScreener → dexscreener.com (NICHT .at) • Rabby → rabby.io (NICHT .at, .me) • Trezor Suite → suite.trezor.io (NICHT trezorsuite.at) • Keplr → keplr.app (NICHT .me) • BSCScan → bscscan.com (NICHT .cfd)
- NIEMALS Verbinden Sie Ihre Wallet über ein Suchergebnis
- Lesezeichen direkt auf seriöse Websites
- Verwenden Sie DDG’s
!bangTastenkombination:!g curve financezwingt die Google-Suche - Installieren Sie die Erweiterung zur Phishing-Erkennung von MetaMask
- Überprüfen Sie jede beliebige Domain unter PhishDestroy vor dem Anschließen
Empfehlungen an Microsoft/Bing
- Erkennung dynamischer Seiten: Suchergebnisseiten klassifizieren (Yahoo, Baidu, Google) und den Link-Wert aus ausgehenden Links entfernen
- Koordinierte PBN-Erkennung: Wenn 9 Domains auf 5 verschiedene Websites mit identischen Mustern verweisen, als Manipulation kennzeichnen
- Ebene „Markenimitation“: TLD-Substitutionsangriffe erkennen (
dexscreener.at≈dexscreener.com) - .AT-Domain-Überwachung: Verstärkte Überprüfung neu registrierter .at-Domains in Krypto-SERPs
- DuckDuckGo im Schnelldurchlauf: Eine spezielle API zur Spam-Entfernung erstellen, auf die DDG direkt zugreifen kann
Fazit
Das ist kein opportunistischer Spam. Das ist ein professionell organisierte, markenübergreifende und vielschichtige SEO-Maßnahmen speziell entwickelt, um die Lücke zwischen den Spam-Erkennungsfunktionen von Google und Bing auszunutzen. Jeder Nutzer, der heute auf DuckDuckGo nach „Trezor Suite Download“ sucht, sieht möglicherweise zuerst eine Phishing-Seite, die ihm das Geld aus der Tasche zieht, bevor er die echte Seite zu Gesicht bekommt. Die technische Lösung gibt es bereits. Die Frage ist, ob Bing sie umsetzen wird.


Ein Betreiber, 26 Domains, ein Registrar
Wir haben RDAP-Abfragen für alle 26 Phishing-Domains durchgeführt. Bei jeder einzelnen wurde derselbe Registrar angezeigt: NiceNIC International Group Co., Limited. Nicht die meisten. Nicht die Mehrheit. Alle 23 von 23 wurden erfolgreich abgefragt — derselbe Registrar, mit 3 Rate-Limit-Fehlern vor der Verifizierung (die Infrastrukturmuster stimmen überein).

RDAP-Registrierungsdaten – Nachweis der Sammelregistrierung
| Domäne | Gibt sich als jemand anderes aus | Erstellt | Cloudflare-NS-Paar |
|---|---|---|---|
star-gate-finance-stargate.finance | Stargate Finance | 2025-09-08 | Terry/Ximena |
app-vesper.finance | Vesper Finance | 2025-09-08 | Terry/Ximena |
app-vvs.finance | VVS Finance | 2025-09-08 | Terry/Ximena |
orbit-protocol-lending.net | Orbit-Protokoll | 2025-10-10 | Terry/Ximena |
vvsfnance.com | VVS Finance | 2025-07-12 | April/Kayden |
spooky-swap.net | SpookySwap | 2025-04-15 | April/Kayden |
thorwsap.com | THORSwap | 2025-07-24 | April/Kayden |
hyperlokc.com | Hyperlock Finance | 2025-07-12 | arnold/destiny |
shadow-ex.net | Shadow Exchange | 2025-06-24 | amos/tricia |
v2velodrome.com | Velodrome Finance | 2025-09-04 | Dayana/Marvin |
layerbank-v3.com | LayerBank | 2024-09-07 | Austin/Cheryl |
biasterswap.xyz | BiSwap | 2024-09-07 | Lady/Langston |
v2-olympusdao.com | OlympusDAO | 2026-03-29 | nash/romina |
uncx.org | UNCX-Netzwerk | 2025-12-24 | Cory/Megan |
amblent.cc | Ambient Finance | 2026-02-09 | Nicole/Salvador |
juicefi.cc | Juice Finance | 2026-02-09 | Nicole/Salvador |
rhea-finance.com | Rhea Finance | 2025-05-30 | — |
rhea-finance.net | Rhea Finance | 2025-05-30 | — |
rhea-rhea.org | Rhea Finance | 2025-05-30 | — |
silo-finance-silofinance.net | Silo Finance | 2025-05-30 | — |
Gemeinsam genutzte Cloudflare-NS-Paare und identische Erstellungsdaten belegen eine Sammelregistrierung:
- 2025-09-08: star-gate + app-vesper + app-vvs (alle
terry/ximena) - 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 Domains, eine Sitzung)
- 2026-02-09: amblent.cc + juicefi.cc (
nicole/salvador) - 2024-09-07: layerbank-v3.com + biasterswap.xyz — Maßnahme mit einer Laufzeit von mehr als 18 Monaten
Das 2-Dollar-Playbook – Schritt für Schritt
Vergessen Sie ausgefeilte SEO-Maßnahmen. Vergessen Sie monatelanges Linkbuilding. Hier ist die vollständige, bewährte Vorgehensweise, mit der Sie auf Platz 1 bei Bing landen.

Schritt 1: Typosquat-Register
| Echtes Projekt | Echte Domain | Phishing-Domain | Technik |
|---|---|---|---|
| VVS Finance | vvs.finance | vvsfnance.com | Ausgelassener Buchstabe (i) |
| THORSwap | thorswap.com | thorwsap.com | Vertauschte Buchstaben (a/w) |
| Hyperlock | hyperlock.fi | hyperlokc.com | Vertauschte Buchstaben (c/k) |
| Arbitrum-Bridge | bridge.arbitrum.io | arbtrumbridge.cc | Tausch + günstige TLD |
| Ambient Finance | ambient.finance | amblent.cc | Phonetische Falschschreibung |
| Thruster Finance | thruster.finance | thnuster.cc | Ausgelassener Buchstabe (r→n) |
| Brücke des Optimismus | app.optimism.io | optrnismbirdge.cc | Mehrere Tippfehler |
| Stargate Finance | stargate.finance | star-gate-finance-stargate.finance | Keyword-Spamming |
Schritt 2: Das Titel-Tag klonen (0 $, 5 Minuten)
Der Betreiber kopiert genau das <title> Tag und Meta-Beschreibung von der Website des eigentlichen Projekts. Das ist der mit Abstand wichtigste Schritt. Die Seite selbst ist ein „Wallet-Drainer“ oder ein „Seed-Phrase-Harvester“ – aber <title> ist das, was Bing in den Suchergebnissen anzeigt.
Schritt 3: Bei dem Cloaked-PBN einreichen (0 $, 1 Minute)
Der Betreiber besucht einen der 15 PBN-Standorte (bye.fyi, atomizelink.icu, usw.), gibt die Domain in das Feld „Geben Sie Ihre URL ein“ ein und klickt auf „Kürzen“. Mit einem einzigen Klick wird gleichzeitig eine Seite auf allen 15 Websites erstellt – diese nutzen eine gemeinsame Datenbank.
Schritt 4: Warten (2–8 Wochen, 0 $)
app.thnuster.cc erreichte bei Bing Platz 1 für „Thruster Finance“ mit genau 1 Backlink — eine zwischengespeicherte Yahoo-SERP-Seite. Das PBN war gar nicht nötig.
Aufschlüsselung der Gesamtkosten
| Was | Kosten | Zeit |
|---|---|---|
| Domain (.cc/.com über NiceNIC) | $1-2 | 2 Min. |
| Cloudflare DNS (kostenloser Tarif) | $0 | 1 Min. |
| Titel-Tag von der echten Website kopieren | $0 | 5 Min. |
| An PBN senden (bye.fyi usw.) | $0 | 1 Min. |
| Auf die Indizierung warten | $0 | 2–8 Wochen |
| GESAMT | $1-2 | ~10 Min. |
Ein Blick in die Cloaking-Engine
Wir haben den tatsächlichen HTML-Quellcode aus dem PBN-Netzwerk abgerufen und analysiert. Auf jeder Seite jeder Domain kommt dieselbe Cloaking-Engine zum Einsatz.

z-index: 1000000 Die Wand verbirgt 3.500 VerbindungenSeitenarchitektur: 400 KB HTML, über 3.500 Links, 4 Ebenen
<body style="overflow: hidden;">
<div style="position:absolute; top:0; left:0;
width:100%; height:5000px;
background:white; z-index:1000000;
font-size:32px; text-align:center;">
<p>The domain report has Expired!</p>
</div> „white div“ deckt den gesamten Viewport ab. „z-index:1000000“ stellt sicher, dass nichts darüber gerendert wird. overflow:hidden Im Hauptteil wird verhindert, dass der Nutzer weiter scrollt. Der Nutzer sieht „Abgelaufen“ und verlässt die Seite.
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator"); Wenn der Nutzer die White Wall umgeht, leitet JavaScript ihn zu scrib.li weiter (Monetarisierung über Partnerprogramm). Dreifacher Schutz gegen menschliche Besucher.
Bingbot ignoriert CSS-Overlays – er wertet reines HTML aus. Er erkennt eine „URL-Shortener“-Website mit einem Suchformular. Sieht seriös aus.
<p>Learn More Here <a rel="nofollow"
href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ... Die Phishing-Domain ist unter 3.500 zufällig ausgewählten Domains versteckt. Bing-Leckereien rel="nofollow" als Indexierungssignal — es durchsucht das Ziel trotzdem.
Beweis: Ein Netzwerk, eine Datenbank
orbit-protocol-lending.net taucht auf mehreren PBN-Domains auf mit fortlaufende IDs aus derselben Datenbank:

| PBN-Domain | URL-Muster | ID |
|---|---|---|
blogsphere.top | /stats/49207 | 49207 |
optimizeflow.top | /stats/49207 | 49207 |
websites.freemyip.com | /share/49207 | 49207 |
shortenurls.eu | /share/49207 | 49207 |
jake.eu | /share/49207 | 49207 |
dailymusings.top | /stats/49208 | 49208 |
screenshots.wiki | /report/49208 | 49208 |
atomizelink.icu | /report/49208 | 49208 |
byteshort.xyz | /report/49208 | 49208 |
Gleiche IDs über verschiedene „Marken“ hinweg = ein Backend, ein Betreiber. 15 Domains. Gleiche HTML-Vorlage. Gleiches CSS (style.css). Dasselbe JavaScript (work.js). Dieselben Seiten mit 3.500 Links.
Das zweite PBN – Domain-Checker-Netzwerk
Ein separates, aggressiveres Linknetzwerk liefert Dofollow-Backlinks zu ausgewählten Zielen. Hauptserver: all-aged-domains.com — eine WordPress-6.6.2-Installation, die CSS-, JS- und Vorlagen an 50 bis 80 Satellitendomains bereitstellt.
| Funktion | Netzwerk A (getarntes PBN) | Netzwerk B (Domain-Checker) |
|---|---|---|
| Standorte | ~15 | ~50-80 |
| Cloaking | Ja (Weiterleitung über CSS und JS) | Nein |
| Link-Typ | 99,4 % nofollow | 99,99 % Dofollow |
| Links pro Seite | ~3,500 | ~10,000 |
| Seitengröße | 400 KB | 4 MB |
| CMS | Benutzerdefiniertes PHP | WordPress 6.6.2 |
| Hauptserver | Gemeinsam genutzte Datenbank (fortlaufende IDs) | all-aged-domains.com |
| Google Tag Manager | Nein | Ja (erfasst den Datenverkehr) |
Obwohl Netzwerk B über 10-mal mehr Backlinks verfügt, die alle als „dofollow“ gekennzeichnet sind, zielt es auf hat es NICHT auf Platz 1 bei Bing geschafft. biasterswap.xyz hat 110 Dofollow-Links. layerbank-v3.com hat 98. Keines der beiden steht auf Platz 1.
In der Zwischenzeit, app.thnuster.cc hat 1 Backlink und belegt Platz 1.
Die Kombination aus „nofollow“-vermaskiertem PBN und Titelübereinstimmung funktioniert bei Bing besser als massiver „dofollow“-Spam.
Warum Bing darauf hereinfällt

Die Schwachstelle beim Titelkampf
app.thnuster.cc hat genau EINEN Backlink – eine zwischengespeicherte Yahoo-SERP-Seite. Bei Bing belegt die Seite Platz 1 für den Suchbegriff „Thruster Finance“. Dies belegt, dass das Ranking von Bing bei Markenanfragen mit geringem Wettbewerb in erster Linie auf folgenden Faktoren beruht:
- Titel-Tag mit exakter Übereinstimmung zur Suchanfrage
- Die Domain ist indexiert (jedes Signal – selbst ein einziger Nofollow-Link – reicht aus)
- Keine negativen Vertrauenssignale (Die Domain ist neu und weist keine Einträge in der Historie auf.)
Google würde umfangreiche Autoritätssignale verlangen und einen Abgleich mit bekannten Markendomains vornehmen. Bing tut dies nicht.
| Metrisch | Bing | |
|---|---|---|
| Phishing-Domains auf Platz 1 | 7 | 0 |
| Phishing-Domains in den Top 10 | 7 | 0 |
| Zeit bis zum Erreichen eines Rankings ab der Domain-Erstellung | 2–8 Wochen | niemals |
Bing-Ergebnisse auf Platz 1 (überprüft mit SerpAPI, April 2026)
| Abfrage | #1 Result (Phishing) | Backlinks |
|---|---|---|
| „Stargate Finance“ | star-gate-finance-stargate.finance | 20 |
| „Shadow Exchange“ | shadow-ex.net | 16 |
| „UNCX Network“ | www.uncx.org | 51 |
| „Thruster Finance“ | app.thnuster.cc | 1 |
| „Orbit Protocol“ | orbit-protocol-lending.net | 15 |
| „VVS Finance“ | vvsfnance.com (#1) + www.app-vvs.finance (#10) | 36 + 37 |
Aktualisierte Schutzliste (Marken aus Teil II)
Stargate Finance → stargate.finance (NICHT star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (NICHT vvsfnance.com) • THORSwap → thorswap.com (NICHT thorwsap.com) • Velodrom → velodrome.finance (NICHT v2velodrome.com) • UNCX → uncx.network (NICHT uncx.org) • SpookySwap → spooky.fi (NICHT spooky-swap.net) • OlympusDAO → olympusdao.finance (NICHT v2-olympusdao.com) • Thruster → thruster.finance (NICHT thnuster.cc) • Ambient → ambient.finance (NICHT amblent.cc)
Empfehlungen (Teil II)
An Microsoft/Bing:
- Ein Titelkampf allein ist noch kein Maßstab für Autorität. Ein passender Titel sollte eine neue Domain bei Suchanfragen nach Markennamen nicht auf Platz 1 bringen. Es sollten Kriterien wie das Alter der Domain, die Backlink-Autorität oder Signale zur Markenverifizierung herangezogen werden.
- CSS-basiertes Cloaking erkennen. Seiten, die „z-index“-Overlays verwenden, um Inhalte vor Nutzern zu verbergen, sie aber für Crawler sichtbar zu machen, sollten gekennzeichnet werden.
- Koordinierte PBN-Netzwerke aufspüren. 15 Domains, die sich ein Backend teilen und auf dieselben Ziele verweisen, stellen keinen organischen Linkaufbau dar.
- Domains, die bei NiceNIC registriert sind, in Krypto-SERPs kennzeichnen zur eingehenderen Prüfung.
- Richte einen Schnellweg für DuckDuckGo-Spam ein. DDG übernimmt alle Sicherheitslücken von Bing, verfügt jedoch über keinen eigenen Mechanismus zur Meldung von Spam.
An die NiceNIC International Group Co., Limited:
26 Phishing-Domains. Ein Kunde. Über einen Zeitraum von 18 Monaten in großen Mengen registriert. Es wurden keinerlei Maßnahmen gegen den Missbrauch ergriffen. Dies ist nun öffentlich dokumentiert. Quelle: Wenn Meldungen über Missbrauch ins Leere laufen und NiceNIC: Systemweiter Wegbereiter.
An Cloudflare:
Alle 26 Domains nutzen Cloudflare-DNS und -Proxy. Die Domains dienen als Plattform für Wallet-Drainer und Seed-Phrase-Harvester hinter der Infrastruktur von Cloudflare.
Teil II Schlussfolgerung
Das ist kein opportunistischer Spam. Das ist ein eine professionell durchgeführte, 18 Monate dauernde Kampagne durch einen einzigen Betreiber der herausgefunden hat, dass sich der Ranking-Algorithmus von Bing mit einer 2-Dollar-Domain und einem kopierten Titel-Tag austricksen lässt. Derzeit belegen sieben Phishing-Websites Platz 1 bei Bing — über den legitimen Plattformen, als die sie sich ausgeben.
Die von uns dokumentierte Cloaking-Infrastruktur – 15 identische Websites mit gemeinsamen Datenbanken, CSS-basierter Ausblendung von Inhalten und JavaScript-Weiterleitungs-Fallbacks – stellt ein speziell entwickeltes Werkzeug zur Manipulation von Suchmaschinen in großem Maßstab dar.
Google blockiert alle 26 Domains. Bing listet 7 davon auf Platz 1. Die technische Lösung gibt es bereits. Die Beweise sind öffentlich zugänglich. Die Domains sind dokumentiert. Der Registrar ist identifiziert. Die Frage bleibt: Wird etwas unternommen werden?


