Dans les coulisses : comment opèrent les escrocs du monde des cryptomonnaies
Détourner Bing et DuckDuckGo
Un rapport d'enquête s'appuyant sur des données SEMrush en temps réel qui révèle deux opérations d'attaque SEO parallèles visant à propulser des sites de hameçonnage liés aux cryptomonnaies en tête des résultats de recherche sur Bing et DuckDuckGo. 10 domaines. 2 vecteurs d'attaque. Plus de 100 000 victimes potentielles par mois.

Toutes les données figurant dans ce rapport ont été recueillies via l'API SEMrush et le site phishdestroy.io à des fins de recherche en cybersécurité. Les noms de domaine sont publiés afin d'alerter les utilisateurs, et non pour en faire la promotion.
Les deux vecteurs d'attaque
Notre enquête a révélé que deux opérations parallèles et totalement différentes menées simultanément pour faire apparaître des sites de hameçonnage en tête des résultats de Bing et de DuckDuckGo.
Vecteur A : L'attaque par injection dans les pages de résultats de recherche (SERP) de Yahoo
On peut sans doute dire que c'est le la plus élégante sur le plan technique Attaque de référencement « black hat » que nous avons recensée en 2026. Elle exploite une faille fondamentale dans la manière dont Bing évalue l'autorité des liens — plus précisément, son incapacité à faire la distinction entre les liens éditoriaux authentiques et les pages de résultats de recherche générées dynamiquement à partir de domaines de confiance.

Le mécanisme — Étape par étape
Étape 1 — Génération de l'URL de l'opérateur de confiance. Les pirates créent des URL sur les points de terminaison de recherche mobile de Yahoo, répartis sur plusieurs sous-domaines internationaux : no.search.yahoo.com (Norvège), fr.search.yahoo.com (France), mx.search.yahoo.com (Mexique), pl.search.yahoo.com (Pologne), gr.search.yahoo.com (Grèce), qc.search.yahoo.com (Québec), chfr.search.yahoo.com (suisse-français), co.search.yahoo.com (Colombie). Ces pages affichent le « Authority Score » hérité de Yahoo : 23–24.
Étape 2 — Intégration du lien de hameçonnage. Chaque URL contient une requête de recherche totalement aléatoire et anodine — « pele+fifa », « Jean-Paul+Sartre », « Radio+Stars », « jucheck.exe » — mais le texte d'ancrage indique : curvefi.co Curve Finance. Les requêtes aléatoires permettent d'éviter toute détection par les filtres anti-spam.
Étape 3 — Exploration et indexation forcées. Les pirates incitent Bingbot à explorer ces URL en recourant à des services de ping de masse, à l'injection de commentaires sur des forums ou des blogs, ainsi qu'à des outils permettant de déclencher automatiquement l'exploration.
L'algorithme de Google : « Il s'agit d'une page de recherche dynamique. Aucun transfert d'autorité de lien n'a lieu. »
L'algorithme de Bing : « yahoo.com renvoie vers curvefi.co avec le texte d'ancrage « Curve Finance DEX ». Signal de classement accepté. ✓ »
Résultat : un site de hameçonnage se hisse dans le TOP 3 des résultats de recherche pour « Curve Finance » sur Bing et DuckDuckGo.
Données brutes de SEMrush — curvefi.co
| AS | Domaine source | Texte d'ancrage |
|---|---|---|
| 24 | chfr.search.yahoo.com | www.curvefi.cor Curve Finance |
| 24 | co.search.yahoo.com | curvefi.co Curve Finance |
| 24 | fr.search.yahoo.com | curvefi.co Curve Finance |
| 24 | mx.search.yahoo.com | www.curvefi.cor Curve Finance |
| 24 | no.search.yahoo.com | www.curvefi.cor Curve Finance |
| 24 | pl.search.yahoo.com | www.curvefi.cor Curve Finance |
| 23 | gr.search.yahoo.com | www.curvefi.cor Curve Finance |
| 23 | qc.search.yahoo.com | curvefi.co Curve Finance |
L'ironie cruelle : Le site propose zéro mots-clés naturels, zéro trafic dans la base de données de SEMrush — mais il apparaît néanmoins dans les résultats de Bing/DDG pour « Curve Finance » grâce à l'autorité empruntée à Yahoo.
Vecteur B : Le réseau PBN coordonné
C'est là que l'enquête prend une tournure vraiment inquiétante. Cinq sites de hameçonnage distincts — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at et keplr.me — ont tous en commun un ensemble identique de sources de liens entrants. Ce n'est pas une coïncidence. C'est une seule organisation criminelle mener plusieurs campagnes de hameçonnage à partir d'une même infrastructure.

La preuve irréfutable — Infrastructure partagée
| Domaine donneur PBN | AS | rabbys | dexscr | monero | trezor |
|---|---|---|---|---|---|
lewievuittton.com | 65 | ✓ | ✓ | ✓ | ✓ |
lyricamed.us.com | 61 | ✓ | ✓ | ✓ | ✓ |
creatfx.com | 60 | ✓ | ✓ | ✓ | ✓ |
jba.com.jo | 56 | ✓ | ✓ | ✓ | ✓ |
jornaldevinhedo.com | 56 | ✓ | ✓ | ✓ | ✓ |
jasaaspalhotmix.com | 54 | ✓ | ✓ | ✓ | ✓ |
magna-eg.com | 50 | ✓ | ✓ | ✓ | ✓ |
markjohnsonbuilders | 50 | ✓ | ✓ | ✓ | ✓ |
nextplayflix.com | 49 | ✓ | ✓ | ✓ | ✓ |
Le principal site donneur de PBN (AS 65) est lui-même un « typosquat » de Louis Vuitton. Ce site donneur de PBN est un site frauduleux qui sert de support à d’autres sites frauduleux — il s’agit d’une infrastructure criminelle à tous les niveaux.
Profils de domaines utilisés pour le hameçonnage
| Domaine | Usurpation d'identité | Mots-clés | Cible principale | Volume |
|---|---|---|---|---|
dexscreener.at | DexScreener | 64 | « dexscreener » n° 42 | 60 500 par mois |
rabbys.at | Portefeuille Rabby | 15 | « rabby wallet » n° 51 | 5 400 par mois |
trezorsuite.at | Trezor Suite | 7 | « Trezor Suite » n° 32 | 4 400 par mois |
aster-dex.at | Aster DEX | 13 | « aster交易所 » n° 25 | 3 600 par mois |
monero-wallet.at | Portefeuille Monero | 4 | « Portefeuille XMR en ligne » n° 26 | 210 par mois |
keplr.me | Portefeuille Keplr | 0 | Spam de commentaires furtif | N/A |
bscscan.cfd | BSCScan | 0 | Liens de spam en masse | N/A |
curvefinance.co | Curve Finance | 0 | Uniquement pour Yahoo | N/A |
curvefi.co | Curve Finance | 0 | Uniquement pour Yahoo | N/A |
app-crv.net | Application Curve | 0 | Techniques mixtes | N/A |
Utilisateurs effectuant une recherche « Télécharger Trezor Suite » cherchent activement à installer un logiciel de portefeuille. Un site de hameçonnage classé entre la 3e et la 5e place sur DuckDuckGo incite les utilisateurs à télécharger logiciel malveillant en pensant qu’il s’agit de l’interface d’un portefeuille matériel. Ce n’est pas une hypothèse : cela se passe en ce moment même.
La « ferme à articles » alimentée par l'IA
La variante aster-dex.at utilise un approche hybride, en combinant l'injection Yahoo avec du contenu de blog généré par l'IA et publié sur des sites piratés ou créés spécialement à cet effet au Vietnam, en Italie, en Indonésie et en Suisse.

Les articles du blog ont tous des titres presque identiques : « Pourquoi les échanges de tokens et les pools de liquidité continuent de poser problème même aux traders expérimentés des DEX », « Pourquoi les teneurs de marché automatisés continuent de surprendre les traders ». Il s'agit de Articles générés par l'IA hébergés sur des sites portant les numéros AS 21 à 36, qui renvoient tous vers aster-dex.at.
Infiltration de spam dans les commentaires
keplr.me adopte une approche totalement différente : du spam pur et simple dans les commentaires de sites de grande autorité sans aucun rapport avec le sujet. De faux noms d'utilisateurs tels que « ZackaryThymn », « Fritzkah » ou « Jamesboach » insèrent des liens vers des portefeuilles cryptographiques sur des sites consacrés à l'enseignement de la philosophie (filozofija.edu.rs, AS 45), les plateformes d'engagement des employés (bavave.com, AS 63), et les festivals artistiques (lea-festival.com, AS 50).

Le pire du pire : le spam généré par des outils automatisés
bscscan.cfd utilise la méthode la plus rudimentaire qui soit : des packs de liens retour achetés en masse provenant de sites dont le nom est littéralement rankongoogle.agency et linksjump.click. Toutes les sources ont un AS = 0. Le TLD .cfd est un indicateur de spam connu. Pourtant, sur Bing, cela fonctionne en partie : le volume de liens de mauvaise qualité peut influencer le classement de domaines tout nouveaux n'ayant aucun antécédent négatif.

Pourquoi Bing et DuckDuckGo sont-ils particulièrement vulnérables ?

| Fonctionnalité | Bing | |
|---|---|---|
| Détection des pages dynamiques | Aucune autorité de lien provenant des pages de résultats de recherche | Les pages de recherche Yahoo considérées comme du contenu rédactionnel |
| Maturité des modèles d'apprentissage automatique pour la lutte contre le spam | Plus de 15 ans de données d'entraînement pour SpamBrain | Moins abouti ; PBN AS 50–65 fonctionne toujours |
| Protection de la marque | Agressif ; le site curvefinance.co a été rapidement signalé | Les escroqueries liées aux domaines de premier niveau .at et .co durent plus longtemps |
| Fermes de contenu générées par l'IA | Système de détection déployé à partir de 2023 | Les fermes d'IA sur les domaines .vn et .it obtiennent toujours des notes suffisantes |
| Blocage des tentatives d'hameçonnage | La navigation sécurisée bloque rapidement les domaines connus | SmartScreen ne détecte pas les domaines frauduleux récemment enregistrés |
DDG utilise l'index de Bing comme principale source de données, en reprenant tout des failles de sécurité de Bing. Les utilisateurs soucieux de la confidentialité qui préfèrent DDG sont souvent des experts en cryptographie, ce qui en fait des cibles particulièrement intéressantes. DDG ne dispose d'aucun mécanisme indépendant de signalement des spams ; les signalements sont transmis à Bing.
Stratégie de ciblage par mots-clés
Les profils de mots-clés révèlent précision chirurgicale dans le choix des cibles. Les opérateurs ne ciblent pas seulement les termes principaux liés à la marque, mais aussi les « typosquats » (« portefeuille de rabbin », « portefeuille Rubby », « dexscrenner ») et même les requêtes en chinois (« aster交易所 » (classé n° 25).

| Mot-clé cible | Volume mensuel | Domaine frauduleux | Poste |
|---|---|---|---|
| dexscreener | 60,500 | dexscreener.at | #42 |
| portefeuille « Rabby » | 5,400 | rabbys.at | #51–71 |
| Suite Trezor | 4,400 | trezorsuite.at | #32–85 |
| aster dex | 3,600 | aster-dex.at | #63 |
| dexscrennerfaute de frappe | 2,400 | dexscreener.at | #45 |
| Bourse AsterChinois | 1,000 | aster-dex.at | #25 |
| Télécharger Trezor Suite | 260 | trezorsuite.at | #54 |
| portefeuille « rabbi »faute de frappe | 210 | rabbys.at | #54 |
| portefeuille XMR en ligne | 210 | monero-wallet.at | #55–69 |
Contexte historique : le problème Trust Wallet / DuckDuckGo
Ces attaques ne sont pas nouvelles. Le problème était nettement plus grave lorsque des portefeuilles comme Trust Wallet utilisaient DuckDuckGo comme moteur de recherche par défaut intégré à l'application. Les utilisateurs qui recherchaient des protocoles DeFi depuis leur portefeuille se voyaient proposer des liens de hameçonnage en première position — sans qu’aucune stratégie SEO complexe ne soit nécessaire. La combinaison d’un moteur de recherche axé sur la confidentialité, doté d’un système de détection du spam peu performant, et d’un portefeuille crypto intégrant un navigateur a créé une la tempête parfaite pour le hameçonnage.
Même après que Trust Wallet a cessé d'utiliser DDG comme moteur de recherche par défaut, la vulnérabilité sous-jacente persiste. Tout utilisateur qui choisit manuellement DuckDuckGo pour des raisons de confidentialité — une population qui recoupe largement celle des utilisateurs de cryptomonnaies — reste aujourd’hui exposée à ces mêmes attaques. Les opérations frauduleuses décrites dans ce rapport exploitent depuis longtemps différentes variantes de cette technique pour plusieurs années, en s'adaptant à mesure que les moteurs de recherche corrigent progressivement les failles individuelles.
Comment se protéger
REAL Curve Finance → curve.fi (SAUF .co, .net) • DexScreener → dexscreener.com (PAS .at) • Rabby → rabby.io (SAUF .at, .me) • Trezor Suite → suite.trezor.io (PAS trezorsuite.at) • Keplr → keplr.app (PAS .me) • BSCScan → bscscan.com (PAS .cfd)
- JAMAIS Connectez votre portefeuille à partir d'un résultat de recherche
- Ajouter aux favoris des sites fiables, directement
- Utilisez les DDG
!bangraccourci :!g curve financeforce la recherche Google - Installez l'extension de détection du hameçonnage de MetaMask
- Vérifiez n'importe quel nom de domaine sur PhishDestroy avant de se connecter
Recommandations à l'attention de Microsoft/Bing
- Détection des pages dynamiques : Classer les pages de résultats de recherche (Yahoo, Baidu, Google) et retirer la valeur des liens sortants
- Détection coordonnée du PBN : Lorsque 9 domaines renvoient vers 5 sites différents présentant des schémas identiques, signaler cela comme une manipulation
- Couche de contrefaçon de marque : Détecter les attaques par substitution de TLD (
dexscreener.at≈dexscreener.com) - Surveillance des domaines .AT : Contrôle renforcé des domaines .at nouvellement enregistrés dans les résultats de recherche liés à la cryptomonnaie
- Guide rapide de DuckDuckGo : Créer une API dédiée à la suppression des spams à laquelle DDG puisse accéder directement
Conclusion
Il ne s'agit pas d'un spam opportuniste. Il s'agit d'un opération de référencement naturel (SEO) organisée de manière professionnelle, multimarque et multicanal spécialement conçu pour exploiter l'écart entre les capacités de détection du spam de Google et celles de Bing. Tout utilisateur qui effectue aujourd'hui une recherche sur « Trezor Suite download » sur DuckDuckGo risque de tomber sur un site de hameçonnage destiné à vider son portefeuille avant de trouver le véritable site. La solution technique existe. La question est de savoir si Bing va la mettre en œuvre.


Un opérateur, 26 domaines, un registraire
Nous avons effectué des requêtes RDAP sur l'ensemble des 26 domaines de hameçonnage. Chacun d'entre eux a renvoyé le même registraire : NiceNIC International Group Co., Limited. Pas la plupart. Pas la majorité. Les 23 enregistrements ont tous été interrogés avec succès — même registraire, avec 3 erreurs de limitation de débit avant la vérification (leurs modèles d'infrastructure correspondent).

Données d'enregistrement RDAP — Justificatifs d'enregistrement groupé
| Domaine | Usurpation d'identité | Créé | Paire de serveurs NS Cloudflare |
|---|---|---|---|
star-gate-finance-stargate.finance | Stargate Finance | 2025-09-08 | Terry/Ximena |
app-vesper.finance | Vesper Finance | 2025-09-08 | Terry/Ximena |
app-vvs.finance | VVS Finance | 2025-09-08 | Terry/Ximena |
orbit-protocol-lending.net | Protocole Orbit | 2025-10-10 | Terry/Ximena |
vvsfnance.com | VVS Finance | 2025-07-12 | avril/Kayden |
spooky-swap.net | SpookySwap | 2025-04-15 | avril/Kayden |
thorwsap.com | THORSwap | 2025-07-24 | avril/Kayden |
hyperlokc.com | Hyperlock Finance | 2025-07-12 | arnold/destiny |
shadow-ex.net | Shadow Exchange | 2025-06-24 | amos/tricia |
v2velodrome.com | Velodrome Finance | 2025-09-04 | dayana/marvin |
layerbank-v3.com | LayerBank | 2024-09-07 | Austin/Cheryl |
biasterswap.xyz | BiSwap | 2024-09-07 | lady/langston |
v2-olympusdao.com | OlympusDAO | 2026-03-29 | nash/romina |
uncx.org | Réseau UNCX | 2025-12-24 | Cory/Megan |
amblent.cc | Ambient Finance | 2026-02-09 | Nicole/Salvador |
juicefi.cc | Juice Finance | 2026-02-09 | Nicole/Salvador |
rhea-finance.com | Rhea Finance | 2025-05-30 | — |
rhea-finance.net | Rhea Finance | 2025-05-30 | — |
rhea-rhea.org | Rhea Finance | 2025-05-30 | — |
silo-finance-silofinance.net | Silo Finance | 2025-05-30 | — |
Les paires de serveurs de noms Cloudflare partagées et les dates de création identiques prouvent qu'il s'agit d'un enregistrement groupé :
- 2025-09-08: star-gate + app-vesper + app-vvs (toutes
terry/ximena) - 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 domaines, une seule session)
- 2026-02-09: amblent.cc + juicefi.cc (
nicole/salvador) - 2024-09-07: layerbank-v3.com + biasterswap.xyz — opération d'une durée de plus de 18 mois
Le guide pratique à 2 $ — Étape par étape
Oubliez le référencement sophistiqué. Oubliez les mois passés à créer des liens. Voici la stratégie complète et éprouvée qui vous permettra d'atteindre la première place dans les résultats de Bing.

Étape 1 : Registre des « typosquats »
| Projet réel | Domaine réel | Domaine de hameçonnage | Technique |
|---|---|---|---|
| VVS Finance | vvs.finance | vvsfnance.com | Lettre omise (i) |
| THORSwap | thorswap.com | thorwsap.com | Lettres inversées (a/w) |
| Hyperlock | hyperlock.fi | hyperlokc.com | Lettres interverties (c/k) |
| Arbitrum Bridge | bridge.arbitrum.io | arbtrumbridge.cc | Échange + TLD bon marché |
| Ambient Finance | ambient.finance | amblent.cc | Faute d'orthographe phonétique |
| Thruster Finance | thruster.finance | thnuster.cc | Lettre omise (r → n) |
| Le Pont de l'optimisme | app.optimism.io | optrnismbirdge.cc | Plusieurs fautes de frappe |
| Stargate Finance | stargate.finance | star-gate-finance-stargate.finance | Surcharge de mots-clés |
Étape 2 : Cloner la balise de titre (0 €, 5 minutes)
L'opérateur copie exactement le <title> balise et méta-description provenant du site web du projet réel. C'est l'étape la plus importante de toutes. La page elle-même est un programme conçu pour vider les portefeuilles ou récupérer les phrases de récupération — mais <title> c'est ce que Bing classe.
Étape 3 : Soumettre au PBN masqué (0 $, 1 minute)
L'opérateur se rend sur l'un des 15 sites PBN (bye.fyi, atomizelink.icu, etc.), saisit le nom de domaine dans un champ intitulé « Saisissez votre URL », puis clique sur « Raccourcir ». Une seule soumission permet de créer une page simultanément sur les 15 sites — ceux-ci partagent en effet une même base de données.
Étape 4 : Attendre (2 à 8 semaines, 0 $)
app.thnuster.cc a atteint la première place sur Bing pour le terme « Thruster Finance » grâce à exactement 1 lien entrant — une page de résultats de recherche Yahoo mise en cache. Le réseau de blogs privés (PBN) n'était même pas nécessaire.
Répartition du coût total
| Quoi ? | Coût | Heure |
|---|---|---|
| Nom de domaine (.cc/.com via NiceNIC) | $1-2 | 2 min |
| DNS Cloudflare (formule gratuite) | $0 | 1 min |
| Copier la balise « title » d'un site réel | $0 | 5 min |
| Soumettre à PBN (bye.fyi, etc.) | $0 | 1 min |
| Attendre l'indexation | $0 | 2 à 8 semaines |
| TOTAL | $1-2 | environ 10 min |
Au cœur du moteur de camouflage
Nous avons récupéré et analysé le code source HTML réel du réseau PBN. Chaque page de chaque domaine utilise le même moteur de cloaking.

z-index: 1000000 Ce mur recèle 3 500 liensStructure de la page : 400 Ko de code HTML, plus de 3 500 liens, 4 niveaux
<body style="overflow: hidden;">
<div style="position:absolute; top:0; left:0;
width:100%; height:5000px;
background:white; z-index:1000000;
font-size:32px; text-align:center;">
<p>The domain report has Expired!</p>
</div> La div blanche recouvre l'intégralité de la fenêtre d'affichage. La propriété z-index:1000000 garantit qu'aucun élément ne s'affiche par-dessus. overflow:hidden sur le corps du texte empêche de faire défiler plus loin. L'utilisateur voit « Expiré » et quitte la page.
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator"); Si l'utilisateur contourne le « white wall », JavaScript le redirige vers scrib.li (monétisation par affiliation). Triple protection à l'encontre des visiteurs humains.
Bingbot ignore les superpositions CSS : il analyse le code HTML brut. Il détecte un site de « raccourcissement d'URL » comportant un formulaire de recherche. Cela semble légitime.
<p>Learn More Here <a rel="nofollow"
href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ... Le domaine utilisé pour l'hameçonnage est dissimulé parmi 3 500 domaines choisis au hasard. Friandises Bing rel="nofollow" en tant que signal d'indexation — il explore quand même le site cible.
Preuve : un réseau, une base de données
orbit-protocol-lending.net apparaît sur plusieurs domaines PBN avec identifiants séquentiels provenant de la même base de données:

| Domaine PBN | Modèle d'URL | ID |
|---|---|---|
blogsphere.top | /stats/49207 | 49207 |
optimizeflow.top | /stats/49207 | 49207 |
websites.freemyip.com | /share/49207 | 49207 |
shortenurls.eu | /share/49207 | 49207 |
jake.eu | /share/49207 | 49207 |
dailymusings.top | /stats/49208 | 49208 |
screenshots.wiki | /report/49208 | 49208 |
atomizelink.icu | /report/49208 | 49208 |
byteshort.xyz | /report/49208 | 49208 |
Des identifiants identiques pour différentes « marques » = un seul backend, un seul opérateur. 15 domaines. Même modèle HTML. Même CSS (style.css). Le même code JavaScript (work.js). Les mêmes pages de 3 500 liens.
Le deuxième PBN — Réseau de vérification de domaines
Un réseau de liens distinct, plus dynamique, fournit des liens retour « dofollow » vers des cibles sélectionnées. Serveur principal : all-aged-domains.com — une installation WordPress 6.6.2 fournissant des fichiers CSS, JS et des modèles à 50 à 80 domaines satellites.
| Fonctionnalité | Réseau A (PBN masqué) | Réseau B (Vérificateur de domaine) |
|---|---|---|
| Sites | ~15 | ~50-80 |
| Camouflage | Oui (redirection via CSS + JS) | Non |
| Type de lien | 99,4 % de liens « nofollow » | 99,99 % de liens « dofollow » |
| Liens par page | ~3,500 | ~10,000 |
| Taille de la page | 400 Ko | 4 Mo |
| CMS | PHP personnalisé | WordPress 6.6.2 |
| Serveur maître | Base de données partagée (identifiants séquentiels) | all-aged-domains.com |
| Google Tag Manager | Non | Oui (suivi du trafic) |
Bien qu'il dispose de 10 fois plus de liens entrants, tous de type « dofollow », le réseau B cible n'a PAS atteint la première place sur Bing. biasterswap.xyz compte 110 liens « dofollow ». layerbank-v3.com en compte 98. Aucun des deux n'occupe la première place.
En attendant, app.thnuster.cc a 1 lien entrant et occupe la première place.
La combinaison « PBN masqué avec balise nofollow + correspondance de titre » fonctionne mieux que le spam massif avec balises dofollow pour Bing.
Pourquoi Bing se laisse prendre à ce piège

La vulnérabilité du « Title-Match »
app.thnuster.cc ne dispose que d'UN SEUL lien entrant : une page de résultats de recherche Yahoo mise en cache. Elle occupe la première place sur Bing pour la requête « Thruster Finance ». Cela prouve que le classement de Bing pour les requêtes de marque à faible concurrence repose principalement sur :
- Correspondance exacte de la balise de titre à la requête de recherche
- Le domaine est indexé (n'importe quel signal — même un seul lien « nofollow » — suffit)
- Aucun signal de méfiance (domaine neuf, sans antécédents)
Google exigerait des signaux d'autorité significatifs et procéderait à des recoupements avec les domaines de marques connues. Ce n'est pas le cas de Bing.
| Système métrique | Bing | |
|---|---|---|
| Les domaines de hameçonnage en tête du classement | 7 | 0 |
| Les domaines de hameçonnage dans le top 10 | 7 | 0 |
| Délai nécessaire pour apparaître dans les résultats de recherche à compter de la création du domaine | 2 à 8 semaines | jamais |
Résultats n° 1 sur Bing (vérifiés via SerpAPI, avril 2026)
| Requête | #1 Result (Phishing) | Liens entrants |
|---|---|---|
| « Stargate Finance » | star-gate-finance-stargate.finance | 20 |
| « Shadow Exchange » | shadow-ex.net | 16 |
| « Réseau UNCX » | www.uncx.org | 51 |
| « Thruster Finance » | app.thnuster.cc | 1 |
| « Orbit Protocol » | orbit-protocol-lending.net | 15 |
| « VVS Finance » | vvsfnance.com (#1) + www.app-vvs.finance (#10) | 36 + 37 |
Liste de protection mise à jour (marques de la partie II)
Stargate Finance → stargate.finance (PAS star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (PAS vvsfnance.com) • THORSwap → thorswap.com (PAS thorwsap.com) • Vélodrome → velodrome.finance (PAS v2velodrome.com) • UNCX → uncx.network (PAS uncx.org) • SpookySwap → spooky.fi (PAS spooky-swap.net) • OlympusDAO → olympusdao.finance (PAS v2-olympusdao.com) • Thruster → thruster.finance (PAS thnuster.cc) • Ambient → ambient.finance (PAS amblent.cc)
Recommandations (2e partie)
À l'attention de Microsoft/Bing :
- Le simple fait de disputer un combat pour le titre ne suffit pas à conférer une autorité. Un titre correspondant ne devrait pas permettre à un nouveau domaine d'apparaître en première position pour les requêtes liées à la marque. Il faut tenir compte de l'ancienneté du domaine, de l'autorité des liens entrants ou des signaux de vérification de la marque.
- Détecter le cloaking basé sur le CSS. Les pages utilisant des superpositions « z-index » qui masquent le contenu aux utilisateurs mais le laissent visible aux robots d'indexation doivent être signalées.
- Détecter les réseaux PBN coordonnés. Le fait que 15 domaines partagent un même backend renvoyant vers les mêmes cibles ne relève pas de la création naturelle de liens.
- Signaler les domaines enregistrés chez NiceNIC dans les résultats de recherche liés à la cryptomonnaie afin de renforcer le contrôle.
- Créer une filière rapide pour le spam sur DuckDuckGo. DDG hérite de toutes les vulnérabilités de Bing, mais ne dispose d'aucun mécanisme indépendant de signalement du spam.
À l'attention de NiceNIC International Group Co., Limited :
26 domaines utilisés à des fins d'hameçonnage. Un seul client. Enregistrés en masse sur une période de 18 mois. Aucune mesure n'a été prise pour lutter contre ces abus. Cela fait désormais l'objet d'un document public. Référence : Quand les signalements d'abus restent sans suite et NiceNIC : catalyseur systémique.
À l'attention de Cloudflare :
Les 26 domaines utilisent le DNS et le proxy de Cloudflare. Ces domaines hébergent des programmes de vidage de portefeuilles et de collecte de phrases de récupération derrière l’infrastructure de Cloudflare.
Partie II : Conclusion
Il ne s'agit pas d'un spam opportuniste. Il s'agit d'un campagne menée de manière professionnelle pendant 18 mois par un seul opérateur qui a découvert qu'il était possible de contourner l'algorithme de classement de Bing à l'aide d'un nom de domaine à 2 $ et d'une balise de titre copiée. Sept sites de hameçonnage occupent actuellement la première place sur Bing — au-dessus des plateformes légitimes dont elles usurpent l'identité.
L'infrastructure de dissimulation que nous avons documentée — 15 sites identiques dotés de bases de données partagées, d'un système de masquage de contenu basé sur CSS et de redirection de secours via JavaScript — constitue un outil spécialement conçu pour manipuler les moteurs de recherche à grande échelle.
Google bloque l'ensemble des 26 domaines. Bing classe 7 d'entre eux en première position. La solution technique existe. Les preuves sont publiques. Les domaines sont répertoriés. Le registraire est identifié. La question reste posée : va-t-on faire quelque chose ?


