PhishDestroy En direct
Retour aux actualités
Menace active

Dans les coulisses : comment opèrent les escrocs du monde des cryptomonnaies
Détourner Bing et DuckDuckGo

Un rapport d'enquête s'appuyant sur des données SEMrush en temps réel qui révèle deux opérations d'attaque SEO parallèles visant à propulser des sites de hameçonnage liés aux cryptomonnaies en tête des résultats de recherche sur Bing et DuckDuckGo. 10 domaines. 2 vecteurs d'attaque. Plus de 100 000 victimes potentielles par mois.

30 mars 2026 Recherche PhishDestroy 22 minutes de lecture Données de l'API SEMrush
Des escrocs du monde des cryptomonnaies manipulent les résultats de recherche sur Bing et DuckDuckGo — visualisation cyberpunk
Les moteurs de recherche sous le feu des critiques : des opérations organisées propulsent les sites de hameçonnage au-dessus des plateformes de cryptomonnaie légitimes
10Domaines utilisés pour le hameçonnage
9Donateurs du PBN
60,500+Exposition quotidienne
Plus de 100 000Nombre de victimes par mois
2Vecteurs d'attaque
Avertissement

Toutes les données figurant dans ce rapport ont été recueillies via l'API SEMrush et le site phishdestroy.io à des fins de recherche en cybersécurité. Les noms de domaine sont publiés afin d'alerter les utilisateurs, et non pour en faire la promotion.

Les deux vecteurs d'attaque

Notre enquête a révélé que deux opérations parallèles et totalement différentes menées simultanément pour faire apparaître des sites de hameçonnage en tête des résultats de Bing et de DuckDuckGo.

Vecteur A : Injection dans les résultats de recherche Yahoo
Exploite l'autorité de domaine de Yahoo (AS 24) via les pages de recherche mobile. Bing hérite de la confiance associée aux URL de recherche Yahoo générées dynamiquement et contenant des liens d'hameçonnage. Objectifs : curvefinance.co, curvefi.co, aster-dex.at
Vecteur B : Réseau PBN coordonné
9 domaines piratés ou achetés, associés aux AS 49 à 65, renvoient simultanément vers plusieurs sites de hameçonnage. Ce système fonctionne avec TOUS les moteurs de recherche. Objectifs : rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, keplr.me

Vecteur A : L'attaque par injection dans les pages de résultats de recherche (SERP) de Yahoo

On peut sans doute dire que c'est le la plus élégante sur le plan technique Attaque de référencement « black hat » que nous avons recensée en 2026. Elle exploite une faille fondamentale dans la manière dont Bing évalue l'autorité des liens — plus précisément, son incapacité à faire la distinction entre les liens éditoriaux authentiques et les pages de résultats de recherche générées dynamiquement à partir de domaines de confiance.

Schéma technique illustrant le déroulement d'une attaque par injection dans les SERP de Yahoo visant à influencer le classement sur Bing
Le « Authority Score » (AS 24) hérité de Yahoo est transmis via les pages de recherche mobile vers des domaines de hameçonnage — Bing considère ce signal comme légitime

Le mécanisme — Étape par étape

Créer une URL Yahoo CraftPlus de 8 sous-domaines nationaux
Intégrer un lien d'ancrageDemande aléatoire + lien de hameçonnage
Force CrawlServices Ping + spam
Index BingHérite de Yahoo AS 24
1er rangSite de hameçonnage parmi les premiers résultats

Étape 1 — Génération de l'URL de l'opérateur de confiance. Les pirates créent des URL sur les points de terminaison de recherche mobile de Yahoo, répartis sur plusieurs sous-domaines internationaux : no.search.yahoo.com (Norvège), fr.search.yahoo.com (France), mx.search.yahoo.com (Mexique), pl.search.yahoo.com (Pologne), gr.search.yahoo.com (Grèce), qc.search.yahoo.com (Québec), chfr.search.yahoo.com (suisse-français), co.search.yahoo.com (Colombie). Ces pages affichent le « Authority Score » hérité de Yahoo : 23–24.

Étape 2 — Intégration du lien de hameçonnage. Chaque URL contient une requête de recherche totalement aléatoire et anodine — « pele+fifa », « Jean-Paul+Sartre », « Radio+Stars », « jucheck.exe » — mais le texte d'ancrage indique : curvefi.co Curve Finance. Les requêtes aléatoires permettent d'éviter toute détection par les filtres anti-spam.

Étape 3 — Exploration et indexation forcées. Les pirates incitent Bingbot à explorer ces URL en recourant à des services de ping de masse, à l'injection de commentaires sur des forums ou des blogs, ainsi qu'à des outils permettant de déclencher automatiquement l'exploration.

L'échec de l'algorithme de Bing

L'algorithme de Google : « Il s'agit d'une page de recherche dynamique. Aucun transfert d'autorité de lien n'a lieu. »
L'algorithme de Bing : « yahoo.com renvoie vers curvefi.co avec le texte d'ancrage « Curve Finance DEX ». Signal de classement accepté. ✓ »

Résultat : un site de hameçonnage se hisse dans le TOP 3 des résultats de recherche pour « Curve Finance » sur Bing et DuckDuckGo.

Données brutes de SEMrush — curvefi.co

API SEMrush Backlink Analytics | 30 mars 2026 | Cible : curvefi.co
ASDomaine sourceTexte d'ancrage
24chfr.search.yahoo.comwww.curvefi.cor Curve Finance
24co.search.yahoo.comcurvefi.co Curve Finance
24fr.search.yahoo.comcurvefi.co Curve Finance
24mx.search.yahoo.comwww.curvefi.cor Curve Finance
24no.search.yahoo.comwww.curvefi.cor Curve Finance
24pl.search.yahoo.comwww.curvefi.cor Curve Finance
23gr.search.yahoo.comwww.curvefi.cor Curve Finance
23qc.search.yahoo.comcurvefi.co Curve Finance

L'ironie cruelle : Le site propose zéro mots-clés naturels, zéro trafic dans la base de données de SEMrush — mais il apparaît néanmoins dans les résultats de Bing/DDG pour « Curve Finance » grâce à l'autorité empruntée à Yahoo.

Vecteur B : Le réseau PBN coordonné

C'est là que l'enquête prend une tournure vraiment inquiétante. Cinq sites de hameçonnage distincts — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at et keplr.me — ont tous en commun un ensemble identique de sources de liens entrants. Ce n'est pas une coïncidence. C'est une seule organisation criminelle mener plusieurs campagnes de hameçonnage à partir d'une même infrastructure.

Représentation d'un réseau PBN criminel — 9 domaines donneurs renvoyant vers 5 cibles de hameçonnage
Un opérateur, 9 donneurs de PBN, 5 cibles de hameçonnage — la probabilité que ce soit une coïncidence est d'environ 0,00001 %

La preuve irréfutable — Infrastructure partagée

API SEMrush | Analyse inter-domaines | 30 mars 2026
Domaine donneur PBNASrabbysdexscrmonerotrezor
lewievuittton.com65
lyricamed.us.com61
creatfx.com60
jba.com.jo56
jornaldevinhedo.com56
jasaaspalhotmix.com54
magna-eg.com50
markjohnsonbuilders50
nextplayflix.com49
Remarque concernant le site lewievuittton.com

Le principal site donneur de PBN (AS 65) est lui-même un « typosquat » de Louis Vuitton. Ce site donneur de PBN est un site frauduleux qui sert de support à d’autres sites frauduleux — il s’agit d’une infrastructure criminelle à tous les niveaux.

Profils de domaines utilisés pour le hameçonnage

Aperçu du domaine SEMrush | Mars 2026
DomaineUsurpation d'identitéMots-clésCible principaleVolume
dexscreener.atDexScreener64« dexscreener » n° 4260 500 par mois
rabbys.atPortefeuille Rabby15« rabby wallet » n° 515 400 par mois
trezorsuite.atTrezor Suite7« Trezor Suite » n° 324 400 par mois
aster-dex.atAster DEX13« aster交易所 » n° 253 600 par mois
monero-wallet.atPortefeuille Monero4« Portefeuille XMR en ligne » n° 26210 par mois
keplr.mePortefeuille Keplr0Spam de commentaires furtifN/A
bscscan.cfdBSCScan0Liens de spam en masseN/A
curvefinance.coCurve Finance0Uniquement pour YahooN/A
curvefi.coCurve Finance0Uniquement pour YahooN/A
app-crv.netApplication Curve0Techniques mixtesN/A
Important : téléchargement de Trezor Suite

Utilisateurs effectuant une recherche « Télécharger Trezor Suite » cherchent activement à installer un logiciel de portefeuille. Un site de hameçonnage classé entre la 3e et la 5e place sur DuckDuckGo incite les utilisateurs à télécharger logiciel malveillant en pensant qu’il s’agit de l’interface d’un portefeuille matériel. Ce n’est pas une hypothèse : cela se passe en ce moment même.

La « ferme à articles » alimentée par l'IA

La variante aster-dex.at utilise un approche hybride, en combinant l'injection Yahoo avec du contenu de blog généré par l'IA et publié sur des sites piratés ou créés spécialement à cet effet au Vietnam, en Italie, en Indonésie et en Suisse.

Usine produisant des articles de blog identiques, générés par l'IA, renvoyant vers des sites de hameçonnage
Articles générés par l'IA sur des sites piratés — titres identiques, noms de domaine différents, tous renvoyant vers la même cible de hameçonnage

Les articles du blog ont tous des titres presque identiques : « Pourquoi les échanges de tokens et les pools de liquidité continuent de poser problème même aux traders expérimentés des DEX », « Pourquoi les teneurs de marché automatisés continuent de surprendre les traders ». Il s'agit de Articles générés par l'IA hébergés sur des sites portant les numéros AS 21 à 36, qui renvoient tous vers aster-dex.at.

Infiltration de spam dans les commentaires

keplr.me adopte une approche totalement différente : du spam pur et simple dans les commentaires de sites de grande autorité sans aucun rapport avec le sujet. De faux noms d'utilisateurs tels que « ZackaryThymn », « Fritzkah » ou « Jamesboach » insèrent des liens vers des portefeuilles cryptographiques sur des sites consacrés à l'enseignement de la philosophie (filozofija.edu.rs, AS 45), les plateformes d'engagement des employés (bavave.com, AS 63), et les festivals artistiques (lea-festival.com, AS 50).

Site web légitime contenant des liens de hameçonnage cachés dans la section des commentaires
Des sites légitimes hébergeant à leur insu des liens de hameçonnage — dissimulés parmi des commentaires d'utilisateurs d'apparence normale

Le pire du pire : le spam généré par des outils automatisés

bscscan.cfd utilise la méthode la plus rudimentaire qui soit : des packs de liens retour achetés en masse provenant de sites dont le nom est littéralement rankongoogle.agency et linksjump.click. Toutes les sources ont un AS = 0. Le TLD .cfd est un indicateur de spam connu. Pourtant, sur Bing, cela fonctionne en partie : le volume de liens de mauvaise qualité peut influencer le classement de domaines tout nouveaux n'ayant aucun antécédent négatif.

Marché de backlinks à prix cassés dans un style cyberpunk
« 1 000 backlinks pour 9,99 $ » — les outils de référencement frauduleux les moins chers fonctionnent encore en partie sur Bing

Pourquoi Bing et DuckDuckGo sont-ils particulièrement vulnérables ?

La forteresse Google contre la forteresse Bing — comparaison des vulnérabilités
La défense anti-spam à plusieurs niveaux de Google face au système de détection moins abouti de Bing : une faille dont profitent les escrocs
Les différences algorithmiques que les escrocs exploitent activement
FonctionnalitéGoogleBing
Détection des pages dynamiquesAucune autorité de lien provenant des pages de résultats de rechercheLes pages de recherche Yahoo considérées comme du contenu rédactionnel
Maturité des modèles d'apprentissage automatique pour la lutte contre le spamPlus de 15 ans de données d'entraînement pour SpamBrainMoins abouti ; PBN AS 50–65 fonctionne toujours
Protection de la marqueAgressif ; le site curvefinance.co a été rapidement signaléLes escroqueries liées aux domaines de premier niveau .at et .co durent plus longtemps
Fermes de contenu générées par l'IASystème de détection déployé à partir de 2023Les fermes d'IA sur les domaines .vn et .it obtiennent toujours des notes suffisantes
Blocage des tentatives d'hameçonnageLa navigation sécurisée bloque rapidement les domaines connusSmartScreen ne détecte pas les domaines frauduleux récemment enregistrés
Faiblesse spécifique à DuckDuckGo

DDG utilise l'index de Bing comme principale source de données, en reprenant tout des failles de sécurité de Bing. Les utilisateurs soucieux de la confidentialité qui préfèrent DDG sont souvent des experts en cryptographie, ce qui en fait des cibles particulièrement intéressantes. DDG ne dispose d'aucun mécanisme indépendant de signalement des spams ; les signalements sont transmis à Bing.

Stratégie de ciblage par mots-clés

Les profils de mots-clés révèlent précision chirurgicale dans le choix des cibles. Les opérateurs ne ciblent pas seulement les termes principaux liés à la marque, mais aussi les « typosquats » (« portefeuille de rabbin », « portefeuille Rubby », « dexscrenner ») et même les requêtes en chinois (« aster交易所 » (classé n° 25).

Carte du monde illustrant le ciblage multilingue par mots-clés pratiqué par les escrocs spécialisés dans les cryptomonnaies
Ciblage multilingue : anglais, français, chinois, vietnamien — l'opération s'étend sur plusieurs continents
Analyse des marques et du volume de recherche | SEMrush États-Unis | Mars 2026
Mot-clé cibleVolume mensuelDomaine frauduleuxPoste
dexscreener60,500dexscreener.at#42
portefeuille « Rabby »5,400rabbys.at#51–71
Suite Trezor4,400trezorsuite.at#32–85
aster dex3,600aster-dex.at#63
dexscrennerfaute de frappe2,400dexscreener.at#45
Bourse AsterChinois1,000aster-dex.at#25
Télécharger Trezor Suite260trezorsuite.at#54
portefeuille « rabbi »faute de frappe210rabbys.at#54
portefeuille XMR en ligne210monero-wallet.at#55–69

Contexte historique : le problème Trust Wallet / DuckDuckGo

Ce problème a des racines profondes

Ces attaques ne sont pas nouvelles. Le problème était nettement plus grave lorsque des portefeuilles comme Trust Wallet utilisaient DuckDuckGo comme moteur de recherche par défaut intégré à l'application. Les utilisateurs qui recherchaient des protocoles DeFi depuis leur portefeuille se voyaient proposer des liens de hameçonnage en première position — sans qu’aucune stratégie SEO complexe ne soit nécessaire. La combinaison d’un moteur de recherche axé sur la confidentialité, doté d’un système de détection du spam peu performant, et d’un portefeuille crypto intégrant un navigateur a créé une la tempête parfaite pour le hameçonnage.

Même après que Trust Wallet a cessé d'utiliser DDG comme moteur de recherche par défaut, la vulnérabilité sous-jacente persiste. Tout utilisateur qui choisit manuellement DuckDuckGo pour des raisons de confidentialité — une population qui recoupe largement celle des utilisateurs de cryptomonnaies — reste aujourd’hui exposée à ces mêmes attaques. Les opérations frauduleuses décrites dans ce rapport exploitent depuis longtemps différentes variantes de cette technique pour plusieurs années, en s'adaptant à mesure que les moteurs de recherche corrigent progressivement les failles individuelles.

Comment se protéger

Vérifiez toujours le nom de domaine exact

REAL Curve Finance → curve.fi (SAUF .co, .net) • DexScreener → dexscreener.com (PAS .at) • Rabby → rabby.io (SAUF .at, .me) • Trezor Suite → suite.trezor.io (PAS trezorsuite.at) • Keplr → keplr.app (PAS .me) • BSCScan → bscscan.com (PAS .cfd)

Recommandations à l'attention de Microsoft/Bing

  1. Détection des pages dynamiques : Classer les pages de résultats de recherche (Yahoo, Baidu, Google) et retirer la valeur des liens sortants
  2. Détection coordonnée du PBN : Lorsque 9 domaines renvoient vers 5 sites différents présentant des schémas identiques, signaler cela comme une manipulation
  3. Couche de contrefaçon de marque : Détecter les attaques par substitution de TLD (dexscreener.atdexscreener.com)
  4. Surveillance des domaines .AT : Contrôle renforcé des domaines .at nouvellement enregistrés dans les résultats de recherche liés à la cryptomonnaie
  5. Guide rapide de DuckDuckGo : Créer une API dédiée à la suppression des spams à laquelle DDG puisse accéder directement

Conclusion

Il ne s'agit pas d'un spam opportuniste. Il s'agit d'un opération de référencement naturel (SEO) organisée de manière professionnelle, multimarque et multicanal spécialement conçu pour exploiter l'écart entre les capacités de détection du spam de Google et celles de Bing. Tout utilisateur qui effectue aujourd'hui une recherche sur « Trezor Suite download » sur DuckDuckGo risque de tomber sur un site de hameçonnage destiné à vider son portefeuille avant de trouver le véritable site. La solution technique existe. La question est de savoir si Bing va la mettre en œuvre.

Scène dramatique au tribunal : des escrocs spécialisés dans les cryptomonnaies comparaissent devant la justice, les preuves sont présentées
Les preuves sont publiques. Les domaines sont répertoriés. Les victimes existent bel et bien. La solution est entre les mains de Microsoft.
Enquête de suivi — 17 avril 2026

Partie II : La stratégie à 2 dollars — 26 sites de hameçonnage, 1 registraire, 7 résultats n° 1 sur Bing

Une enquête complémentaire menée en mars a permis de mettre en évidence 26 nouveaux domaines de hameçonnage — qui se font tous passer pour des protocoles DeFi — occupent actuellement les premières places du classement #1 on Bing pour leurs requêtes ciblant des marques spécifiques. À l'aide des données sur les backlinks issues de l'API SEMrush, des enregistrements RDAP et d'une analyse directe du code source, nous avons retracé chaque domaine jusqu'à un opérateur, un bureau d'enregistrement (NiceNIC) et un réseau PBN masqué composé de 15 sites. Coût par domaine : 2 $. Durée : 10 minutes.

Un opérateur, 26 leurres de hameçonnage, un moteur de recherche qui ne vérifie pas
Un seul opérateur. 26 liens de hameçonnage sur Bing. Coût : 2 $ par domaine.
26Domaines utilisés pour le hameçonnage
1Registre (NiceNIC)
7Premières places sur Bing
15Sites PBN masqués
0Classement Google

Un opérateur, 26 domaines, un registraire

Nous avons effectué des requêtes RDAP sur l'ensemble des 26 domaines de hameçonnage. Chacun d'entre eux a renvoyé le même registraire : NiceNIC International Group Co., Limited. Pas la plupart. Pas la majorité. Les 23 enregistrements ont tous été interrogés avec succès — même registraire, avec 3 erreurs de limitation de débit avant la vérification (leurs modèles d'infrastructure correspondent).

Tableau d'enquête OSINT indiquant que 23 domaines sur 23 ont été enregistrés via NiceNIC
23 sur 23 vérifiés. Même bureau d'enregistrement. Même client. Aucune mesure pour abus.

Données d'enregistrement RDAP — Justificatifs d'enregistrement groupé

Résultats de la requête RDAP | avril 2026 | 23 sur 26 ont été interrogés avec succès
DomaineUsurpation d'identitéCrééPaire de serveurs NS Cloudflare
star-gate-finance-stargate.financeStargate Finance2025-09-08Terry/Ximena
app-vesper.financeVesper Finance2025-09-08Terry/Ximena
app-vvs.financeVVS Finance2025-09-08Terry/Ximena
orbit-protocol-lending.netProtocole Orbit2025-10-10Terry/Ximena
vvsfnance.comVVS Finance2025-07-12avril/Kayden
spooky-swap.netSpookySwap2025-04-15avril/Kayden
thorwsap.comTHORSwap2025-07-24avril/Kayden
hyperlokc.comHyperlock Finance2025-07-12arnold/destiny
shadow-ex.netShadow Exchange2025-06-24amos/tricia
v2velodrome.comVelodrome Finance2025-09-04dayana/marvin
layerbank-v3.comLayerBank2024-09-07Austin/Cheryl
biasterswap.xyzBiSwap2024-09-07lady/langston
v2-olympusdao.comOlympusDAO2026-03-29nash/romina
uncx.orgRéseau UNCX2025-12-24Cory/Megan
amblent.ccAmbient Finance2026-02-09Nicole/Salvador
juicefi.ccJuice Finance2026-02-09Nicole/Salvador
rhea-finance.comRhea Finance2025-05-30
rhea-finance.netRhea Finance2025-05-30
rhea-rhea.orgRhea Finance2025-05-30
silo-finance-silofinance.netSilo Finance2025-05-30
Enregistrement par lots — Un seul opérateur, plusieurs sessions

Les paires de serveurs de noms Cloudflare partagées et les dates de création identiques prouvent qu'il s'agit d'un enregistrement groupé :

  • 2025-09-08: star-gate + app-vesper + app-vvs (toutes terry/ximena)
  • 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 domaines, une seule session)
  • 2026-02-09: amblent.cc + juicefi.cc (nicole/salvador)
  • 2024-09-07: layerbank-v3.com + biasterswap.xyz — opération d'une durée de plus de 18 mois

Le guide pratique à 2 $ — Étape par étape

Oubliez le référencement sophistiqué. Oubliez les mois passés à créer des liens. Voici la stratégie complète et éprouvée qui vous permettra d'atteindre la première place dans les résultats de Bing.

Quatre étapes pour faire apparaître un site de hameçonnage en première position sur Bing pour 2 $
Quatre étapes, 2 dollars, et Bing place un site de hameçonnage en tête du classement
Enregistrer un « typosquat »$1-2 at NiceNIC
Dupliquer la balise de titreCopié depuis le site officiel
Envoyer à PBNAu revoir. Pour info, 15 sites
Attendez entre 2 et 8 semainesBing indexe et classe les pages
Bing n° 1Exemple de projet réel

Étape 1 : Registre des « typosquats »

Techniques de « typosquatting » dans 8 des 26 domaines
Projet réelDomaine réelDomaine de hameçonnageTechnique
VVS Financevvs.financevvsfnance.comLettre omise (i)
THORSwapthorswap.comthorwsap.comLettres inversées (a/w)
Hyperlockhyperlock.fihyperlokc.comLettres interverties (c/k)
Arbitrum Bridgebridge.arbitrum.ioarbtrumbridge.ccÉchange + TLD bon marché
Ambient Financeambient.financeamblent.ccFaute d'orthographe phonétique
Thruster Financethruster.financethnuster.ccLettre omise (r → n)
Le Pont de l'optimismeapp.optimism.iooptrnismbirdge.ccPlusieurs fautes de frappe
Stargate Financestargate.financestar-gate-finance-stargate.financeSurcharge de mots-clés

Étape 2 : Cloner la balise de titre (0 €, 5 minutes)

L'opérateur copie exactement le <title> balise et méta-description provenant du site web du projet réel. C'est l'étape la plus importante de toutes. La page elle-même est un programme conçu pour vider les portefeuilles ou récupérer les phrases de récupération — mais <title> c'est ce que Bing classe.

Étape 3 : Soumettre au PBN masqué (0 $, 1 minute)

L'opérateur se rend sur l'un des 15 sites PBN (bye.fyi, atomizelink.icu, etc.), saisit le nom de domaine dans un champ intitulé « Saisissez votre URL », puis clique sur « Raccourcir ». Une seule soumission permet de créer une page simultanément sur les 15 sites — ceux-ci partagent en effet une même base de données.

Étape 4 : Attendre (2 à 8 semaines, 0 $)

Preuve : 1 backlink = n° 1 sur Bing

app.thnuster.cc a atteint la première place sur Bing pour le terme « Thruster Finance » grâce à exactement 1 lien entrant — une page de résultats de recherche Yahoo mise en cache. Le réseau de blogs privés (PBN) n'était même pas nécessaire.

Répartition du coût total

Quoi ?CoûtHeure
Nom de domaine (.cc/.com via NiceNIC)$1-22 min
DNS Cloudflare (formule gratuite)$01 min
Copier la balise « title » d'un site réel$05 min
Soumettre à PBN (bye.fyi, etc.)$01 min
Attendre l'indexation$02 à 8 semaines
TOTAL$1-2environ 10 min

Au cœur du moteur de camouflage

Nous avons récupéré et analysé le code source HTML réel du réseau PBN. Chaque page de chaque domaine utilise le même moteur de cloaking.

Ce que voient les utilisateurs par rapport à ce que voit Bingbot — le « cloaking wall »
Ce que voient les utilisateurs par rapport à ce que voit Bingbot — le z-index: 1000000 Ce mur recèle 3 500 liens

Structure de la page : 400 Ko de code HTML, plus de 3 500 liens, 4 niveaux

Couche 1 — Le mur de camouflage (ce que voient les utilisateurs)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

La div blanche recouvre l'intégralité de la fenêtre d'affichage. La propriété z-index:1000000 garantit qu'aucun élément ne s'affiche par-dessus. overflow:hidden sur le corps du texte empêche de faire défiler plus loin. L'utilisateur voit « Expiré » et quitte la page.

Couche 2 — La redirection JS (protection de secours)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Si l'utilisateur contourne le « white wall », JavaScript le redirige vers scrib.li (monétisation par affiliation). Triple protection à l'encontre des visiteurs humains.

Couche 3 — La fausse façade (ce que voient les bots)

Bingbot ignore les superpositions CSS : il analyse le code HTML brut. Il détecte un site de « raccourcissement d'URL » comportant un formulaire de recherche. Cela semble légitime.

Niveau 4 — La masse de liens (3 500 liens « nofollow »)
<p>Learn More Here <a rel="nofollow"
     href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ...

Le domaine utilisé pour l'hameçonnage est dissimulé parmi 3 500 domaines choisis au hasard. Friandises Bing rel="nofollow" en tant que signal d'indexation — il explore quand même le site cible.

Preuve : un réseau, une base de données

orbit-protocol-lending.net apparaît sur plusieurs domaines PBN avec identifiants séquentiels provenant de la même base de données:

Une base de données, 15 domaines frontaux — tous diffusant un contenu identique à partir du même backend
Une seule base de données. 15 domaines front-end. Tous les écrans affichent un contenu identique provenant du même backend.
Identifiants séquentiels entre des marques PBN « différentes » — preuve d'une infrastructure commune
Domaine PBNModèle d'URLID
blogsphere.top/stats/4920749207
optimizeflow.top/stats/4920749207
websites.freemyip.com/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
dailymusings.top/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
byteshort.xyz/report/4920849208

Des identifiants identiques pour différentes « marques » = un seul backend, un seul opérateur. 15 domaines. Même modèle HTML. Même CSS (style.css). Le même code JavaScript (work.js). Les mêmes pages de 3 500 liens.

Le deuxième PBN — Réseau de vérification de domaines

Un réseau de liens distinct, plus dynamique, fournit des liens retour « dofollow » vers des cibles sélectionnées. Serveur principal : all-aged-domains.com — une installation WordPress 6.6.2 fournissant des fichiers CSS, JS et des modèles à 50 à 80 domaines satellites.

PBN masqué (réseau A) vs Domain Checker (réseau B)
FonctionnalitéRéseau A (PBN masqué)Réseau B (Vérificateur de domaine)
Sites~15~50-80
CamouflageOui (redirection via CSS + JS)Non
Type de lien99,4 % de liens « nofollow »99,99 % de liens « dofollow »
Liens par page~3,500~10,000
Taille de la page400 Ko4 Mo
CMSPHP personnaliséWordPress 6.6.2
Serveur maîtreBase de données partagée (identifiants séquentiels)all-aged-domains.com
Google Tag ManagerNonOui (suivi du trafic)
L'ironie

Bien qu'il dispose de 10 fois plus de liens entrants, tous de type « dofollow », le réseau B cible n'a PAS atteint la première place sur Bing. biasterswap.xyz compte 110 liens « dofollow ». layerbank-v3.com en compte 98. Aucun des deux n'occupe la première place.

En attendant, app.thnuster.cc a 1 lien entrant et occupe la première place.

La combinaison « PBN masqué avec balise nofollow + correspondance de titre » fonctionne mieux que le spam massif avec balises dofollow pour Bing.

Pourquoi Bing se laisse prendre à ce piège

Le robot blindé de Google qui bloque le phishing à l'entrée contre le sympathique portier de Bing qui tient la porte ouverte
Le robot blindé de Google bloque les tentatives d'hameçonnage dès l'entrée. Le sympathique portier de Bing tient la porte ouverte.

La vulnérabilité du « Title-Match »

app.thnuster.cc ne dispose que d'UN SEUL lien entrant : une page de résultats de recherche Yahoo mise en cache. Elle occupe la première place sur Bing pour la requête « Thruster Finance ». Cela prouve que le classement de Bing pour les requêtes de marque à faible concurrence repose principalement sur :

  1. Correspondance exacte de la balise de titre à la requête de recherche
  2. Le domaine est indexé (n'importe quel signal — même un seul lien « nofollow » — suffit)
  3. Aucun signal de méfiance (domaine neuf, sans antécédents)

Google exigerait des signaux d'autorité significatifs et procéderait à des recoupements avec les domaines de marques connues. Ce n'est pas le cas de Bing.

Bing contre Google — résultats de classement sur 26 domaines
Système métriqueBingGoogle
Les domaines de hameçonnage en tête du classement70
Les domaines de hameçonnage dans le top 1070
Délai nécessaire pour apparaître dans les résultats de recherche à compter de la création du domaine2 à 8 semainesjamais

Résultats n° 1 sur Bing (vérifiés via SerpAPI, avril 2026)

Requête#1 Result (Phishing)Liens entrants
« Stargate Finance »star-gate-finance-stargate.finance20
« Shadow Exchange »shadow-ex.net16
« Réseau UNCX »www.uncx.org51
« Thruster Finance »app.thnuster.cc1
« Orbit Protocol »orbit-protocol-lending.net15
« VVS Finance »vvsfnance.com (#1) + www.app-vvs.finance (#10)36 + 37

Liste de protection mise à jour (marques de la partie II)

Vérifiez toujours le nom de domaine exact

Stargate Finance → stargate.finance (PAS star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (PAS vvsfnance.com) • THORSwap → thorswap.com (PAS thorwsap.com) • Vélodrome → velodrome.finance (PAS v2velodrome.com) • UNCX → uncx.network (PAS uncx.org) • SpookySwap → spooky.fi (PAS spooky-swap.net) • OlympusDAO → olympusdao.finance (PAS v2-olympusdao.com) • Thruster → thruster.finance (PAS thnuster.cc) • Ambient → ambient.finance (PAS amblent.cc)

Recommandations (2e partie)

À l'attention de Microsoft/Bing :

  1. Le simple fait de disputer un combat pour le titre ne suffit pas à conférer une autorité. Un titre correspondant ne devrait pas permettre à un nouveau domaine d'apparaître en première position pour les requêtes liées à la marque. Il faut tenir compte de l'ancienneté du domaine, de l'autorité des liens entrants ou des signaux de vérification de la marque.
  2. Détecter le cloaking basé sur le CSS. Les pages utilisant des superpositions « z-index » qui masquent le contenu aux utilisateurs mais le laissent visible aux robots d'indexation doivent être signalées.
  3. Détecter les réseaux PBN coordonnés. Le fait que 15 domaines partagent un même backend renvoyant vers les mêmes cibles ne relève pas de la création naturelle de liens.
  4. Signaler les domaines enregistrés chez NiceNIC dans les résultats de recherche liés à la cryptomonnaie afin de renforcer le contrôle.
  5. Créer une filière rapide pour le spam sur DuckDuckGo. DDG hérite de toutes les vulnérabilités de Bing, mais ne dispose d'aucun mécanisme indépendant de signalement du spam.

À l'attention de NiceNIC International Group Co., Limited :

26 domaines utilisés à des fins d'hameçonnage. Un seul client. Enregistrés en masse sur une période de 18 mois. Aucune mesure n'a été prise pour lutter contre ces abus. Cela fait désormais l'objet d'un document public. Référence : Quand les signalements d'abus restent sans suite et NiceNIC : catalyseur systémique.

À l'attention de Cloudflare :

Les 26 domaines utilisent le DNS et le proxy de Cloudflare. Ces domaines hébergent des programmes de vidage de portefeuilles et de collecte de phrases de récupération derrière l’infrastructure de Cloudflare.

Partie II : Conclusion

Il ne s'agit pas d'un spam opportuniste. Il s'agit d'un campagne menée de manière professionnelle pendant 18 mois par un seul opérateur qui a découvert qu'il était possible de contourner l'algorithme de classement de Bing à l'aide d'un nom de domaine à 2 $ et d'une balise de titre copiée. Sept sites de hameçonnage occupent actuellement la première place sur Bing — au-dessus des plateformes légitimes dont elles usurpent l'identité.

L'infrastructure de dissimulation que nous avons documentée — 15 sites identiques dotés de bases de données partagées, d'un système de masquage de contenu basé sur CSS et de redirection de secours via JavaScript — constitue un outil spécialement conçu pour manipuler les moteurs de recherche à grande échelle.

Google bloque l'ensemble des 26 domaines. Bing classe 7 d'entre eux en première position. La solution technique existe. Les preuves sont publiques. Les domaines sont répertoriés. Le registraire est identifié. La question reste posée : va-t-on faire quelque chose ?