PhishDestroy Langsung
Kembali ke Berita
Ancaman Aktif

Di Balik Layar: Bagaimana Para Penipu Kripto
Mengambil Alih Bing & DuckDuckGo

Sebuah laporan investigasi yang didukung data SEMrush real-time yang mengungkap dua operasi serangan SEO paralel yang mendorong situs-situs phishing kripto ke peringkat teratas hasil pencarian Bing dan DuckDuckGo. 10 domain. 2 vektor serangan. Lebih dari 100.000 korban potensial per bulan.

30 Maret 2026 Penelitian PhishDestroy 22 menit waktu baca Data API SEMrush
Penipu kripto memanipulasi hasil pencarian Bing dan DuckDuckGo — visualisasi bertema cyberpunk
Mesin pencari dalam tekanan: operasi terorganisir mendorong situs phishing menduduki peringkat di atas platform kripto yang sah
10Domain Phishing
9Donatur PBN
60,500+Paparan Harian
100 ribu+Korban per bulan
2Vektor Serangan
Pernyataan Penolakan Tanggung Jawab

Seluruh data dalam laporan ini dikumpulkan melalui API SEMrush dan phishdestroy.io untuk keperluan penelitian keamanan siber. Nama-nama domain tersebut dipublikasikan untuk memperingatkan pengguna, bukan untuk mempromosikannya.

Dua Vektor Serangan

Penyelidikan kami mengungkap dua operasi yang sama sekali berbeda dan berjalan secara paralel berjalan secara bersamaan untuk mendorong situs-situs phishing ke posisi teratas hasil pencarian Bing dan DuckDuckGo.

Vektor A: Injeksi SERP Yahoo
Memanfaatkan otoritas domain Yahoo (AS 24) melalui halaman pencarian seluler. Bing mewarisi tingkat kepercayaan dari URL pencarian Yahoo yang dihasilkan secara dinamis dan berisi tautan phishing. Sasaran: curvefinance.co, curvefi.co, aster-dex.at
Vektor B: Jaringan PBN yang Terkoordinasi
9 domain yang diretas/dibeli dengan AS 49–65 terhubung ke beberapa situs phishing secara bersamaan. Berfungsi pada SEMUA mesin pencari. Sasaran: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, keplr.me

Vektor A: Serangan Injeksi pada Halaman Hasil Pencarian Yahoo (SERP)

Ini bisa dibilang merupakan yang paling elegan secara teknis Serangan SEO black-hat yang telah kami dokumentasikan pada tahun 2026. Serangan ini memanfaatkan kelemahan mendasar dalam cara Bing mengevaluasi otoritas tautan — khususnya, ketidakmampuannya membedakan antara tautan editorial yang asli dan halaman hasil pencarian yang dihasilkan secara dinamis dari domain tepercaya.

Diagram teknis yang menggambarkan alur serangan injeksi SERP Yahoo terhadap peringkat Bing
Skor Otoritas (AS 24) yang diwarisi dari Yahoo mengalir melalui halaman pencarian seluler ke domain phishing — Bing menerima sinyal tersebut sebagai sinyal yang sah

Mekanismenya — Langkah demi Langkah

Buat URL Yahoo8+ subdomain negara
Sematkan TautanPertanyaan acak + tautan phishing
Merangkak PaksaLayanan ping + spam
Indeks BingMewarisi Yahoo AS 24
Peringkat #1Situs phishing muncul di hasil teratas

Langkah 1 — Membuat URL penyedia layanan tepercaya. Para penyerang membuat URL di titik akhir pencarian seluler Yahoo di berbagai subdomain internasional: no.search.yahoo.com (Norwegia), fr.search.yahoo.com (Prancis), mx.search.yahoo.com (Meksiko), pl.search.yahoo.com (Polandia), gr.search.yahoo.com (Yunani), qc.search.yahoo.com (Quebec), chfr.search.yahoo.com (Bahasa Prancis Swiss), co.search.yahoo.com (Kolombia). Halaman-halaman ini menampilkan Skor Otoritas yang diwarisi dari Yahoo: 23–24.

Langkah 2 — Menyisipkan tautan phishing. Setiap URL berisi kueri pencarian yang sepenuhnya acak dan tidak mencurigakan — “pele+fifa”, “Jean-Paul+Sartre”, “Radio+Stars”, “jucheck.exe” — namun teks tautannya berbunyi: curvefi.co Curve Finance. Kueri acak ini memastikan bahwa filter spam tidak dapat mendeteksi pola tertentu.

Langkah 3 — Pengindeksan paksa. Para penyerang memaksa Bingbot untuk merayapi URL-URL ini dengan menggunakan layanan ping massal, penyisipan komentar di forum/blog, serta alat pemicu perayapan otomatis.

Kegagalan Algoritma Bing

Algoritma Google: “Ini adalah halaman pencarian yang dinamis. Tidak ada transfer nilai tautan.”
Algoritma Bing: “yahoo.com menautkan ke curvefi.co dengan teks tautan ‘Curve Finance DEX’. Sinyal peringkat diterima. ✓”

Hasil: Situs phishing naik ke peringkat 3 teratas untuk kata kunci “Curve Finance” di Bing dan DuckDuckGo.

Bukti Langsung dari SEMrush — curvefi.co

API Analisis Backlink SEMrush | 30 Maret 2026 | Target: curvefi.co
ASDomain SumberTeks Tautan
24chfr.search.yahoo.comwww.curvefi.co Curve Finance
24co.search.yahoo.comcurvefi.co Curve Finance
24fr.search.yahoo.comcurvefi.co Curve Finance
24mx.search.yahoo.comwww.curvefi.co Curve Finance
24no.search.yahoo.comwww.curvefi.co Curve Finance
24pl.search.yahoo.comwww.curvefi.co Curve Finance
23gr.search.yahoo.comwww.curvefi.co Curve Finance
23qc.search.yahoo.comcurvefi.co Curve Finance

Ironi yang kejam: Situs ini memiliki nol kata kunci organik, nol lalu lintas di basis data SEMrush — namun tetap muncul dalam hasil pencarian Bing/DDG untuk “Curve Finance” berkat otoritas yang dipinjam dari Yahoo.

Vektor B: Jaringan PBN yang Terkoordinasi

Di sinilah penyelidikan ini mulai benar-benar mengkhawatirkan. Lima situs phishing yang berbeda — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, dan keplr.me — semuanya memiliki kesamaan kumpulan sumber backlink yang identik. Ini bukan kebetulan. Ini adalah satu operasi kejahatan terorganisir menjalankan beberapa kampanye phishing dari satu infrastruktur.

Visualisasi jaringan PBN kriminal — 9 domain donor yang terhubung ke 5 target phishing
Satu operator, 9 donor PBN, 5 target phishing — kemungkinan hal ini terjadi secara kebetulan sekitar 0,00001%

The Smoking Gun — Infrastruktur Bersama

API SEMrush | Analisis lintas domain | 30 Maret 2026
Domain Donor PBNASrabbysdexscrmonerotrezor
lewievuittton.com65✓✓✓✓
lyricamed.us.com61✓✓✓✓
creatfx.com60✓✓✓✓
jba.com.jo56✓✓✓✓
jornaldevinhedo.com56✓✓✓✓
jasaaspalhotmix.com54✓✓✓✓
magna-eg.com50✓✓✓✓
markjohnsonbuilders50✓✓✓✓
nextplayflix.com49✓✓✓✓
Catatan mengenai lewievuittton.com

Sumber PBN utama (AS 65) itu sendiri merupakan typosquat dari Louis Vuitton. Sumber PBN ini adalah situs penipuan yang mendukung situs-situs penipuan lainnya — infrastruktur kriminal dari atas hingga bawah.

Profil Domain Phishing

Ikhtisar Domain SEMrush | Maret 2026
DomainMeniruKata kunciTarget UtamaVolume
dexscreener.atDexScreener64“dexscreener” #4260.500 per bulan
rabbys.atDompet Rabby15“rabby wallet” #515.400 per bulan
trezorsuite.atTrezor Suite7“trezor suite” #324.400 per bulan
aster-dex.atAster DEX13“Bursa Aster” #253.600 per bulan
monero-wallet.atDompet Monero4“dompet XMR online” #26210 per bulan
keplr.meDompet Keplr0Spam komentar terselubungTidak tersedia
bscscan.cfdBSCScan0Tautan spam dalam jumlah besarTidak tersedia
curvefinance.coCurve Finance0Hanya injeksi YahooTidak tersedia
curvefi.coCurve Finance0Hanya injeksi YahooTidak tersedia
app-crv.netAplikasi Curve0Teknik campuranTidak tersedia
Penting: Unduh Trezor Suite

Pengguna yang sedang mencari “Unduh Trezor Suite” sedang aktif mencari perangkat lunak dompet digital. Sebuah situs phishing yang berada di peringkat #3–5 di DuckDuckGo berarti pengguna yang mengunduh perangkat lunak berbahaya mengira itu adalah antarmuka dompet perangkat keras. Ini bukan sekadar teori — hal ini sedang terjadi saat ini juga.

Pabrik Artikel Berbasis Kecerdasan Buatan

Varian aster-dex.at menggunakan sebuah pendekatan hibrida, dengan menggabungkan teknik injeksi Yahoo bersama konten blog yang dihasilkan oleh kecerdasan buatan (AI) yang ditempatkan di situs-situs yang diretas atau dibuat khusus di Vietnam, Italia, Indonesia, dan Swiss.

Pabrik yang memproduksi postingan blog identik yang dihasilkan oleh kecerdasan buatan (AI) dan berisi tautan ke situs phishing
Artikel yang dihasilkan oleh AI di situs-situs yang diretas — judulnya sama, domainnya berbeda, dan semuanya mengarah ke target phishing yang sama

Semua artikel blog tersebut memiliki judul yang hampir sama: “Mengapa Pertukaran Token dan Kolam Likuiditas Masih Menjadi Tantangan Bahkan bagi Para Pedagang DEX yang Berpengalaman”, “Mengapa Automated Market Makers Masih Mengejutkan Para Pedagang”. Berikut ini adalah Artikel yang dihasilkan oleh AI ditempatkan di situs-situs dengan AS 21–36, yang semuanya tertaut ke aster-dex.at.

Masuknya Komentar Spam

keplr.me mengambil pendekatan yang sama sekali berbeda — spam komentar murni di situs-situs berotoritas tinggi yang tidak terkait. Nama pengguna palsu seperti “ZackaryThymn”, “Fritzkah”, dan “Jamesboach” menyisipkan tautan dompet kripto ke situs-situs pendidikan filsafat (filozofija.edu.rs, AS 45), platform keterlibatan karyawan (bavave.com, AS 63), dan festival seni (lea-festival.com, AS 50).

Situs web yang sah namun menyembunyikan tautan phishing di bagian komentar
Situs-situs resmi yang tanpa disadari menampung tautan phishing — yang tersembunyi di antara komentar pengguna yang tampak biasa

Yang Paling Buruk: Spam Alat Otomatis

bscscan.cfd menggunakan metode yang paling kasar: paket backlink massal berbayar dari situs-situs yang namanya benar-benar rankongoogle.agency dan linksjump.click. Semua sumber memiliki nilai AS = 0. TLD .cfd merupakan indikator spam yang sudah dikenal. Namun, di Bing, hal ini bahkan masih sedikit berpengaruh — jumlah tautan berkualitas rendah dapat memengaruhi peringkat pada domain baru yang sama sekali belum memiliki riwayat negatif.

Pasar backlink murah meriah bergaya cyberpunk
“1.000 Backlink seharga $9,99” — alat penipuan SEO termurah ini masih berfungsi sebagian di Bing

Mengapa Bing dan DuckDuckGo Sangat Rentan

Benteng Google vs Benteng Bing — perbandingan kerentanan
Sistem pertahanan spam berlapis-lapis Google versus sistem deteksi Bing yang masih belum matang — celah yang dimanfaatkan para penipu
Perbedaan algoritma yang secara aktif dimanfaatkan oleh para penipu
FiturGoogleBing
Deteksi halaman dinamisTidak ada nilai tautan dari halaman hasil pencarianHalaman pencarian Yahoo dianggap sebagai konten editorial
Tingkat kematangan ML untuk spamData pelatihan SpamBrain selama lebih dari 15 tahunBelum sepenuhnya matang; PBN AS 50–65 masih berfungsi
Perlindungan merekAgresif; curvefinance.co segera ditandaiPenipuan yang menggunakan TLD .at/.co bertahan lebih lama
Pabrik konten berbasis AISistem deteksi mulai diterapkan pada tahun 2023 dan seterusnyaSitus web berbasis AI dengan domain .vn dan .it masih meraih nilai yang memadai
Pemblokiran phishingFitur Penjelajahan Aman dengan cepat memblokir domain yang diketahuiSmartScreen tidak mendeteksi domain penipuan yang baru terdaftar
Kelemahan Khusus DuckDuckGo

DDG menggunakan indeks Bing sebagai sumber data utamanya, yang diwarisi dari semua mengenai kerentanan Bing. Pengguna yang mengutamakan privasi dan lebih memilih DDG sering kali paham tentang kripto — sehingga menjadikan mereka sasaran yang lebih bernilai. DDG tidak memiliki mekanisme pelaporan spam mandiri; laporan-laporan tersebut diteruskan ke Bing.

Strategi Penargetan Kata Kunci

Profil kata kunci tersebut menunjukkan ketepatan bedah dalam pemilihan kata kunci. Operator tidak hanya menargetkan istilah merek utama, tetapi juga typosquats (“dompet rabbi”, “dompet Rubby”, “dexscrenner”) dan bahkan kueri dalam bahasa Mandarin (“Bursa Aster” peringkat ke-25).

Peta dunia yang menunjukkan penargetan kata kunci multibahasa oleh para penipu kripto
Penargetan multibahasa: Inggris, Prancis, Mandarin, Vietnam — operasi ini mencakup berbagai benua
Analisis Merek + Volume Pencarian | SEMrush AS | Maret 2026
Kata Kunci SasaranVolume BulananDomain PenipuanPosisi
dexscreener60,500dexscreener.at#42
dompet rabby5,400rabbys.at#51–71
Trezor Suite4,400trezorsuite.at#32–85
aster dex3,600aster-dex.at#63
dexscrennerkesalahan ketik2,400dexscreener.at#45
Bursa AsterBahasa Mandarin1,000aster-dex.at#25
Unduh Trezor Suite260trezorsuite.at#54
dompet rabbikesalahan ketik210rabbys.at#54
dompet XMR online210monero-wallet.at#55–69

Konteks Sejarah: Masalah Trust Wallet / DuckDuckGo

Masalah Ini Memiliki Akar yang Dalam

Serangan-serangan ini bukanlah hal baru. Masalahnya adalah jauh lebih parah ketika dompet kripto seperti Trust Wallet menggunakan DuckDuckGo sebagai mesin pencari bawaan dalam aplikasi. Pengguna yang mencari protokol DeFi dari dalam dompet kripto mereka disuguhi hasil phishing sebagai hasil teratas — tanpa perlu melakukan optimasi SEO yang rumit. Kombinasi antara mesin pencari yang berfokus pada privasi namun memiliki sistem deteksi spam yang lemah, serta dompet kripto yang dilengkapi browser bawaan, menciptakan sebuah badai dahsyat untuk penipuan phishing.

Bahkan setelah Trust Wallet tidak lagi menggunakan DDG sebagai pengaturan default, kerentanan yang mendasarinya tetap ada. Setiap pengguna yang secara manual memilih DuckDuckGo demi privasi — sebuah kelompok demografis yang sebagian besar tumpang tindih dengan pengguna kripto — hingga saat ini masih rentan terhadap serangan-serangan seperti ini. Operasi penipuan yang didokumentasikan dalam laporan ini telah menerapkan berbagai variasi teknik ini selama beberapa tahun, sambil beradaptasi seiring mesin pencari secara bertahap memperbaiki kerentanan-kerentanan tersebut satu per satu.

Cara Melindungi Diri Anda

Selalu Periksa Domain yang Tepat

ASLI Curve Finance → curve.fi (BUKAN .co, .net) • DexScreener → dexscreener.com (BUKAN .at) • Rabby → rabby.io (BUKAN .at, .me) • Trezor Suite → suite.trezor.io (BUKAN trezorsuite.at) • Keplr → keplr.app (BUKAN .me) • BSCScan → bscscan.com (BUKAN .cfd)

Rekomendasi untuk Microsoft/Bing

  1. Deteksi halaman dinamis: Mengklasifikasikan halaman hasil pencarian (Yahoo, Baidu, Google) dan menghilangkan nilai tautan dari tautan keluar
  2. Deteksi PBN yang terkoordinasi: Jika 9 domain menautkan ke 5 situs berbeda dengan pola yang sama, tandai sebagai manipulasi
  3. Lapisan peniruan merek: Mendeteksi serangan substitusi TLD (dexscreener.atdexscreener.com)
  4. Pemantauan domain .AT: Pemeriksaan yang lebih ketat terhadap domain .at yang baru terdaftar di hasil pencarian kripto (SERP)
  5. Panduan Cepat DuckDuckGo: Buat API khusus untuk penghapusan spam yang dapat diakses langsung oleh DDG

Kesimpulan

Ini bukan spam yang memanfaatkan situasi. Ini adalah sebuah operasi SEO yang dikelola secara profesional, mencakup berbagai merek, dan menggunakan berbagai pendekatan dirancang khusus untuk memanfaatkan celah antara kemampuan deteksi spam Google dan Bing. Setiap pengguna yang mencari “Trezor Suite download” di DuckDuckGo hari ini mungkin akan melihat situs phishing yang dapat menguras dompet mereka sebelum melihat situs aslinya. Solusi teknisnya sudah ada. Pertanyaannya adalah apakah Bing akan menerapkannya.

Adegan dramatis di ruang sidang — para penipu kripto diadili dengan bukti-bukti yang diperlihatkan
Bukti-buktinya sudah terbuka untuk umum. Nama-nama domain tersebut telah didokumentasikan. Para korbannya nyata. Solusinya ada di tangan Microsoft.
Penyelidikan Lanjutan — 17 April 2026

Bagian II: Strategi $2 — 26 Situs Phishing, 1 Penyedia Nama Domain, 7 Hasil Pencarian Bing Peringkat #1

Sebuah penyelidikan lanjutan atas penyelidikan bulan Maret tersebut mengidentifikasi 26 domain phishing baru — semuanya menyamar sebagai protokol DeFi — saat ini berada di peringkat #1 on Bing untuk kueri merek yang menjadi sasaran mereka. Dengan memanfaatkan data backlink dari API SEMrush, catatan pendaftaran RDAP, dan analisis kode sumber secara langsung, kami melacak setiap domain hingga ke satu operator, satu pendaftar domain (NiceNIC), dan satu jaringan PBN tersembunyi yang terdiri dari 15 situs. Biaya per domain: $2. Waktu: 10 menit.

Satu operator, 26 umpan phishing, satu mesin pencari yang tidak melakukan verifikasi
Satu operator. 26 umpan phishing di Bing. Biaya: $2 per domain.
26Domain Phishing
1Penyedia Layanan Pendaftaran Nama Domain (NiceNIC)
7Posisi #1 di Bing
15Situs PBN yang Disamarkan
0Peringkat Google

Satu Operator, 26 Domain, Satu Pendaftar Nama Domain

Kami menjalankan kueri RDAP pada seluruh 26 domain phishing tersebut. Semuanya menunjukkan pendaftar yang sama: NiceNIC International Group Co., Limited. Bukan sebagian besar. Bukan mayoritas. Semua 23 dari 23 berhasil diproses — penyedia pendaftaran yang sama, dengan 3 kesalahan batas frekuensi sebelum verifikasi (pola infrastruktur mereka sama).

Papan investigasi OSINT yang menunjukkan 23 dari 23 domain yang terdaftar melalui NiceNIC
23 dari 23 telah diperiksa. Pendaftar yang sama. Pelanggan yang sama. Tidak ada tindakan atas penyalahgunaan.

Data Pendaftaran RDAP — Bukti Pendaftaran Massal

Hasil pencarian RDAP | April 2026 | 23 dari 26 berhasil dicari
DomainMeniruDibuatPasangan NS Cloudflare
star-gate-finance-stargate.financeStargate Finance2025-09-08Terry/Ximena
app-vesper.financeVesper Finance2025-09-08Terry/Ximena
app-vvs.financeVVS Finance2025-09-08Terry/Ximena
orbit-protocol-lending.netProtokol Orbit2025-10-10Terry/Ximena
vvsfnance.comVVS Finance2025-07-12april/kayden
spooky-swap.netSpookySwap2025-04-15april/kayden
thorwsap.comTHORSwap2025-07-24april/kayden
hyperlokc.comHyperlock Finance2025-07-12arnold/destiny
shadow-ex.netBursa Bayangan2025-06-24amos/tricia
v2velodrome.comVelodrome Keuangan2025-09-04dayana/marvin
layerbank-v3.comLayerBank2024-09-07austin/cheryl
biasterswap.xyzBiSwap2024-09-07wanita/Langston
v2-olympusdao.comOlympusDAO2026-03-29nash/romina
uncx.orgJaringan UNCX2025-12-24Cory/Megan
amblent.ccKeuangan Berbasis Lingkungan2026-02-09Nicole/Salvador
juicefi.ccJuice Finance2026-02-09Nicole/Salvador
rhea-finance.comRhea Finance2025-05-30
rhea-finance.netRhea Finance2025-05-30
rhea-rhea.orgRhea Finance2025-05-30
silo-finance-silofinance.netSilo Finance2025-05-30
Pendaftaran Massal — Satu Operator, Banyak Sesi

Pasangan NS Cloudflare yang sama dan tanggal pembuatan yang identik membuktikan adanya pendaftaran massal:

  • 2025-09-08: star-gate + app-vesper + app-vvs (semua terry/ximena)
  • 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 domain, satu sesi)
  • 2026-02-09: amblent.cc + juicefi.cc (nicole/salvador)
  • 2024-09-07: layerbank-v3.com + biasterswap.xyz — operasi yang telah berlangsung selama lebih dari 18 bulan

Panduan $2 — Langkah demi Langkah

Lupakan SEO yang rumit. Lupakan proses membangun tautan yang memakan waktu berbulan-bulan. Inilah urutan langkah lengkap dan terverifikasi yang mampu menempatkan situs Anda di peringkat #1 di Bing.

Empat langkah untuk menempatkan situs phishing di peringkat #1 di Bing dengan biaya $2
Empat langkah, $2, dan Bing menempatkan situs phishing di peringkat #1
Daftarkan typosquat$1-2 at NiceNIC
Menyalin tag judulSalin dari situs aslinya
Kirim ke PBNSampai jumpa. Sebagai informasi, ada 15 situs
Tunggu 2–8 mingguBing mengindeks & menentukan peringkat
Bing #1Proyek nyata di atas

Langkah 1: Daftar Typosquat

Teknik typosquat di 8 dari 26 domain
Proyek NyataDomain AsliDomain PhishingTeknik
VVS Financevvs.financevvsfnance.comHuruf yang terlewat (i)
THORSwapthorswap.comthorwsap.comHuruf yang tertukar (a/w)
Hyperlockhyperlock.fihyperlokc.comHuruf yang tertukar (c/k)
Jembatan Arbitrumbridge.arbitrum.ioarbtrumbridge.ccPertukaran + TLD murah
Keuangan Berbasis Lingkunganambient.financeamblent.ccKesalahan ejaan fonetik
Thruster Financethruster.financethnuster.ccHuruf yang terlewat (r→n)
Jembatan Optimismeapp.optimism.iooptrnismbirdge.ccBanyak kesalahan ketik
Stargate Financestargate.financestar-gate-finance-stargate.financePenumpukan kata kunci

Langkah 2: Salin Tag Judul ($0, 5 menit)

Operator tersebut menyalin persis <title> tag dan deskripsi meta dari situs web proyek yang sebenarnya. Ini adalah langkah yang paling penting. Halaman itu sendiri adalah program yang menguras dompet atau pencuri frasa benih — tetapi <title> adalah apa yang diurutkan oleh Bing.

Langkah 3: Kirim ke PBN Tersembunyi ($0, 1 menit)

Operator tersebut mengunjungi salah satu dari 15 lokasi PBN (bye.fyi, atomizelink.icu, dll.), mengetikkan nama domain ke dalam kolom bertuliskan “Masukkan URL Anda”, lalu mengklik “Pendekkan.” Satu kali pengiriman akan membuat halaman di ke-15 situs tersebut secara bersamaan — mereka menggunakan satu basis data yang sama.

Langkah 4: Tunggu (2–8 minggu, $0)

Bukti: 1 Backlink = Peringkat #1 di Bing

app.thnuster.cc berhasil menduduki peringkat #1 di Bing untuk kata kunci “Thruster Finance” dengan tepat 1 backlink — halaman hasil pencarian Yahoo yang disimpan dalam cache. Jaringan blog pribadi (PBN) itu bahkan tidak diperlukan.

Rincian Total Biaya

ApaBiayaWaktu
Domain (.cc/.com melalui NiceNIC)$1-22 menit
DNS Cloudflare (paket gratis)$01 menit
Menyalin tag judul dari situs asli$05 menit
Kirim ke PBN (bye.fyi, dll.)$01 menit
Tunggu proses pengindeksan$02–8 minggu
JUMLAH$1-2~10 menit

Di Dalam Mesin Cloaking

Kami telah mengunduh dan menganalisis kode sumber HTML asli dari jaringan PBN tersebut. Setiap halaman di setiap domain menggunakan mesin cloaking yang sama.

Apa yang dilihat pengguna vs apa yang dilihat Bingbot — tembok penyamaran
Apa yang dilihat pengguna vs. apa yang dilihat Bingbot — z-index: 1000000 Dinding itu menyembunyikan 3.500 tautan

Arsitektur Halaman: 400 KB HTML, lebih dari 3.500 tautan, 4 lapisan

Lapisan 1 — Dinding Penyamaran (apa yang dilihat pengguna)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

Elemen div berwarna putih menutupi seluruh viewport. Nilai z-index:1000000 memastikan tidak ada elemen yang ditampilkan di atasnya. overflow:hidden Pada halaman tersebut, pengguna tidak dapat menggulir ke bawah. Pengguna melihat tulisan “Kadaluwarsa” dan kemudian keluar.

Lapisan 2 — Pengalihan JS (perlindungan cadangan)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Jika pengguna melewati dinding putih, JavaScript akan mengalihkan ke scrib.li (monetisasi afiliasi). Perlindungan tiga lapis terhadap pengunjung manusia.

Lapisan 3 — Tampilan Palsu (apa yang dilihat oleh bot)

Bingbot mengabaikan lapisan CSS — ia mengurai HTML mentah. Ia mendeteksi situs “Pendek URL” yang memiliki formulir pencarian. Tampaknya sah.

Lapisan 4 — Kumpulan Tautan (3.500 tautan nofollow)
<p>Learn More Here <a rel="nofollow"
     href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ...

Domain phishing tersebut tersembunyi di antara 3.500 domain acak. Permen Bing rel="nofollow" sebagai sinyal indeksasi — mesin pencari itu tetap akan mengindeks situs target tersebut.

Bukti: Satu Jaringan, Satu Basis Data

orbit-protocol-lending.net muncul di berbagai domain PBN dengan ID berurutan dari basis data yang sama:

Satu basis data, 15 domain depan — semuanya menyajikan konten yang sama dari backend yang sama
Satu basis data. 15 domain depan. Semua halaman menampilkan konten yang sama dari backend yang sama.
ID berurutan di berbagai merek PBN yang “berbeda” — bukti sistem backend yang sama
Domain PBNPola URLID
blogsphere.top/stats/4920749207
optimizeflow.top/stats/4920749207
websites.freemyip.com/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
dailymusings.top/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
byteshort.xyz/report/4920849208

ID yang sama di berbagai “merek” = satu sistem backend, satu operator. 15 domain. Template HTML yang sama. CSS yang sama (style.css). Kode JavaScript yang sama (work.js). Halaman yang sama dengan 3.500 tautan.

PBN Kedua — Jaringan Pemeriksa Domain

Sebuah jaringan tautan terpisah yang lebih agresif menyediakan tautan balik dofollow ke target-target tertentu. Server utama: all-aged-domains.com — sebuah instalasi WordPress 6.6.2 yang menyajikan berkas CSS, JS, dan templat ke 50–80 domain satelit.

PBN Tersembunyi (Jaringan A) vs Domain Checker (Jaringan B)
FiturJaringan A (PBN Tersembunyi)Jaringan B (Pemeriksa Domain)
Situs~15~50-80
PenyamaranYa (pengalihan CSS + JS)Tidak
Jenis tautan99,4% nofollow99,99% dofollow
Jumlah tautan per halaman~3,500~10,000
Ukuran halaman400 KB4 MB
CMSPHP KustomWordPress 6.6.2
Server utamaBasis data bersama (ID berurutan)all-aged-domains.com
Google Tag ManagerTidakYa (melacak lalu lintas)
Ironi

Meskipun memiliki 10 kali lebih banyak backlink dan semuanya berstatus dofollow, Jaringan B menargetkan TIDAK berhasil mencapai peringkat #1 di Bing. biasterswap.xyz memiliki 110 tautan dofollow. layerbank-v3.com memiliki 98. Keduanya tidak menempati peringkat #1.

Sementara itu, app.thnuster.cc telah 1 tautan balik dan menduduki peringkat #1.

Kombinasi PBN yang disembunyikan dengan atribut nofollow + kesesuaian judul lebih efektif daripada spam dofollow massal untuk Bing.

Mengapa Bing Terpikat oleh Hal Ini

Robot berlapis baja Google yang menghalangi serangan phishing di gerbang versus penjaga pintu ramah dari Bing yang menahan pintu agar tetap terbuka
Robot berlapis baja milik Google mencegah serangan phishing sejak awal. Petugas pintu yang ramah dari Bing menahan pintu agar tetap terbuka.

Kerentanan Pertandingan Perebutan Gelar

app.thnuster.cc memiliki tepat SATU backlink — sebuah halaman SERP Yahoo yang tersimpan dalam cache. Situs ini menempati peringkat #1 di Bing untuk kata kunci “Thruster Finance.” Hal ini membuktikan bahwa peringkat Bing untuk kueri merek dengan tingkat persaingan rendah terutama bergantung pada:

  1. Tag judul dengan kecocokan persis untuk kueri pencarian
  2. Domain tersebut telah diindeks (sinyal apa pun — bahkan satu tautan nofollow saja — sudah cukup)
  3. Tidak ada sinyal kepercayaan yang negatif (domainnya baru, riwayatnya bersih)

Google akan membutuhkan sinyal otoritas yang kuat dan akan melakukan pengecekan silang terhadap domain merek yang sudah dikenal. Bing tidak demikian.

Bing vs Google — hasil peringkat di 26 domain
MetrikBingGoogle
Domain phishing menduduki peringkat pertama70
Domain phishing dalam 10 besar70
Waktu yang dibutuhkan sejak pembuatan domain2–8 minggutidak pernah

Hasil Pencarian Bing #1 (diverifikasi melalui SerpAPI, April 2026)

Permintaan#1 Result (Phishing)Tautan balik
“Stargate Finance”star-gate-finance-stargate.finance20
“Bursa Bayangan”shadow-ex.net16
“Jaringan UNCX”www.uncx.org51
“Thruster Finance”app.thnuster.cc1
“Protokol Orbit”orbit-protocol-lending.net15
“VVS Finance”vvsfnance.com (#1) + www.app-vvs.finance (#10)36 + 37

Daftar Perlindungan Terbaru (Merek Bagian II)

Selalu Periksa Domain yang Tepat

Stargate Finance → stargate.finance (BUKAN star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (BUKAN vvsfnance.com) • THORSwap → thorswap.com (BUKAN thorwsap.com) • Velodrome → velodrome.finance (BUKAN v2velodrome.com) • UNCX → uncx.network (BUKAN uncx.org) • SpookySwap → spooky.fi (BUKAN spooky-swap.net) • OlympusDAO → olympusdao.finance (BUKAN v2-olympusdao.com) • Thruster → thruster.finance (BUKAN thnuster.cc) • Ambient → ambient.finance (BUKAN amblent.cc)

Rekomendasi (Bagian II)

Kepada Microsoft/Bing:

  1. Pertandingan perebutan gelar saja tidak cukup untuk menjadi tolok ukur. Sebuah judul yang sesuai seharusnya tidak menempatkan domain baru di peringkat #1 untuk kueri merek. Perlu mempertimbangkan usia domain, otoritas backlink, atau sinyal verifikasi merek.
  2. Mendeteksi teknik cloaking berbasis CSS. Halaman yang menggunakan overlay z-index untuk menyembunyikan konten dari pengguna tetapi menampilkannya kepada crawler harus ditandai.
  3. Mendeteksi jaringan PBN yang terkoordinasi. 15 domain yang berbagi satu backend dan mengarah ke target yang sama bukanlah praktik pembuatan tautan organik.
  4. Tandai domain yang terdaftar di NiceNIC pada hasil pencarian kripto (SERP) untuk pemeriksaan yang lebih ketat.
  5. Buat jalur cepat untuk menangani spam di DuckDuckGo. DDG mewarisi semua kerentanan Bing, tetapi tidak memiliki mekanisme pelaporan spam yang mandiri.

Kepada NiceNIC International Group Co., Limited:

26 domain phishing. Satu pelanggan. Didaftarkan secara massal selama lebih dari 18 bulan. Tidak ada tindakan penindakan atas penyalahgunaan yang diambil. Hal ini kini telah didokumentasikan secara terbuka. Referensi: Ketika Laporan Kekerasan Tak Menemui Tindakan dan NiceNIC: Pendorong Sistemik.

Kepada Cloudflare:

Ke-26 domain tersebut menggunakan DNS dan proxy Cloudflare. Domain-domain tersebut menjadi sarang bagi para pelaku penguras dompet dan pencuri frasa benih di balik infrastruktur Cloudflare.

Bagian II Kesimpulan

Ini bukan spam yang memanfaatkan situasi. Ini adalah sebuah kampanye yang dijalankan secara profesional selama 18 bulan oleh satu operator yang telah menemukan bahwa algoritma peringkat Bing dapat diakali dengan domain seharga $2 dan tag judul yang disalin. Tujuh situs phishing saat ini menduduki peringkat #1 di Bing — di atas platform resmi yang mereka tiru.

Infrastruktur penyamaran yang kami dokumentasikan — 15 situs identik dengan basis data bersama, penyembunyian konten berbasis CSS, dan mekanisme pengalihan cadangan berbasis JavaScript — merupakan alat yang dirancang khusus untuk memanipulasi mesin pencari dalam skala besar.

Google memblokir seluruh 26 domain tersebut. Bing menempatkan 7 di antaranya di peringkat #1. Solusi teknisnya sudah ada. Buktinya sudah dipublikasikan. Domain-domain tersebut telah didokumentasikan. Penyedia layanan pendaftaran domainnya telah diidentifikasi. Pertanyaannya tetap: apakah akan ada tindakan yang diambil?