Dietro le quinte: come operano i truffatori nel mondo delle criptovalute
Dirottare Bing e DuckDuckGo
Un reportage investigativo basato su dati SEMrush in tempo reale che svela due operazioni di attacco SEO parallele volte a portare siti di phishing legati alle criptovalute in cima ai risultati di ricerca di Bing e DuckDuckGo. 10 domini. 2 vettori di attacco. Oltre 100.000 potenziali vittime al mese.

Tutti i dati contenuti nel presente rapporto sono stati raccolti tramite l'API di SEMrush e phishdestroy.io a fini di ricerca nel campo della sicurezza informatica. I nomi di dominio vengono pubblicati per mettere in guardia gli utenti, non per promuoverli.
I due vettori di attacco
La nostra indagine ha rivelato che due operazioni parallele completamente diverse condotte contemporaneamente per portare i siti di phishing in cima ai risultati di Bing e DuckDuckGo.
Vettore A: L'attacco di iniezione nella SERP di Yahoo
Si potrebbe dire che questo sia il il più elegante dal punto di vista tecnico attacco SEO black-hat che abbiamo documentato nel 2026. Esso sfrutta una falla fondamentale nel modo in cui Bing valuta l’autorità dei link — in particolare, la sua incapacità di distinguere tra link editoriali autentici e pagine di risultati di ricerca generate dinamicamente da domini affidabili.

Il meccanismo — Passo dopo passo
Fase 1 — Generazione dell'URL del gestore affidabile. Gli autori degli attacchi creano URL sugli endpoint di ricerca mobile di Yahoo su diversi sottodomini internazionali: no.search.yahoo.com (Norvegia), fr.search.yahoo.com (Francia), mx.search.yahoo.com (Messico), pl.search.yahoo.com (Polonia), gr.search.yahoo.com (Grecia), qc.search.yahoo.com (Quebec), chfr.search.yahoo.com (francese svizzero), co.search.yahoo.com (Colombia). Queste pagine riportano il punteggio di autorità ereditato da Yahoo: 23–24.
Fase 2 — Inserimento del link di phishing. Ogni URL contiene una query di ricerca del tutto casuale e innocua — “pele+fifa”, “Jean-Paul+Sartre”, “Radio+Stars”, “jucheck.exe” — ma il testo di ancoraggio recita: curvefi.co Curve Finance. Le query casuali garantiscono che i filtri antispam non rilevino alcuna corrispondenza con modelli prestabiliti.
Fase 3 — Crawling e indicizzazione forzati. Gli autori degli attacchi inducono Bingbot a eseguire la scansione di questi URL utilizzando servizi di ping di massa, l'inserimento di commenti su forum e blog e strumenti automatici per l'attivazione della scansione.
L'algoritmo di Google: “Questa è una pagina di ricerca dinamica. Non vi è alcun trasferimento di link equity.”
L'algoritmo di Bing: “yahoo.com rimanda a curvefi.co con l'ancora ‘Curve Finance DEX’. Segnale di posizionamento accettato. ✓”
Risultato: il sito di phishing entra nella TOP 3 dei risultati di ricerca per “Curve Finance” su Bing e DuckDuckGo.
Dati SEMrush non elaborati — curvefi.co
| AS | Dominio di origine | Testo di ancoraggio |
|---|---|---|
| 24 | chfr.search.yahoo.com | www.curvefi.coa Curve Finance |
| 24 | co.search.yahoo.com | curvefi.co Curve Finance |
| 24 | fr.search.yahoo.com | curvefi.co Curve Finance |
| 24 | mx.search.yahoo.com | www.curvefi.coa Curve Finance |
| 24 | no.search.yahoo.com | www.curvefi.coa Curve Finance |
| 24 | pl.search.yahoo.com | www.curvefi.coa Curve Finance |
| 23 | gr.search.yahoo.com | www.curvefi.coa Curve Finance |
| 23 | qc.search.yahoo.com | curvefi.co Curve Finance |
La crudele ironia: Il sito presenta zero parole chiave organiche, zero traffico nel database di SEMrush — eppure compare nei risultati di Bing/DDG per “Curve Finance” grazie all’autorità “presa in prestito” da Yahoo.
Vettore B: La rete PBN coordinata
È qui che l’indagine assume una piega davvero allarmante. Cinque siti di phishing distinti — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at e keplr.me — hanno tutti in comune un insieme identico di fonti di backlink. Non è una coincidenza. È una singola organizzazione criminale condurre più campagne di phishing da un'unica infrastruttura.

The Smoking Gun — Infrastruttura condivisa
| Dominio donatore PBN | AS | rabbys | dexscr | monero | trezor |
|---|---|---|---|---|---|
lewievuittton.com | 65 | ✓ | ✓ | ✓ | ✓ |
lyricamed.us.com | 61 | ✓ | ✓ | ✓ | ✓ |
creatfx.com | 60 | ✓ | ✓ | ✓ | ✓ |
jba.com.jo | 56 | ✓ | ✓ | ✓ | ✓ |
jornaldevinhedo.com | 56 | ✓ | ✓ | ✓ | ✓ |
jasaaspalhotmix.com | 54 | ✓ | ✓ | ✓ | ✓ |
magna-eg.com | 50 | ✓ | ✓ | ✓ | ✓ |
markjohnsonbuilders | 50 | ✓ | ✓ | ✓ | ✓ |
nextplayflix.com | 49 | ✓ | ✓ | ✓ | ✓ |
Il principale sito donatore di PBN (AS 65) è esso stesso un typosquat di Louis Vuitton. Questo sito donatore di PBN è un sito fraudolento che sostiene altri siti fraudolenti: un’infrastruttura criminale a tutti i livelli.
Profili dei domini utilizzati per il phishing
| Dominio | Si spaccia per | Parole chiave | Obiettivo principale | Volume |
|---|---|---|---|---|
dexscreener.at | DexScreener | 64 | “dexscreener” n. 42 | 60.500 al mese |
rabbys.at | Portafoglio Rabby | 15 | “portafoglio di coniglio” n. 51 | 5.400 al mese |
trezorsuite.at | Trezor Suite | 7 | “trezor suite” n. 32 | 4.400 al mese |
aster-dex.at | Aster DEX | 13 | “Borsa Aster” n. 25 | 3.600 al mese |
monero-wallet.at | Portafoglio Monero | 4 | “portafoglio XMR online” n. 26 | 210 al mese |
keplr.me | Portafoglio Keplr | 0 | Spam nei commenti in modalità invisibile | N/A |
bscscan.cfd | BSCScan | 0 | Link di spam in massa | N/A |
curvefinance.co | Curve Finance | 0 | Solo inserimento su Yahoo | N/A |
curvefi.co | Curve Finance | 0 | Solo inserimento su Yahoo | N/A |
app-crv.net | App Curve | 0 | Tecniche miste | N/A |
Utenti che effettuano ricerche “scarica Trezor Suite” stanno cercando attivamente di installare un software di portafoglio. Un sito di phishing che occupa le posizioni dalla 3 alla 5 su DuckDuckGo fa sì che gli utenti scarichino malware pensando che si tratti dell'interfaccia di un portafoglio hardware. Non è una ipotesi teorica: sta accadendo proprio in questo momento.
La "fabbrica di articoli" basata sull'intelligenza artificiale
La variante aster-dex.at utilizza un approccio ibrido, combinando l’iniezione di Yahoo con contenuti di blog generati dall’intelligenza artificiale e pubblicati su siti compromessi o creati appositamente in Vietnam, Italia, Indonesia e Svizzera.

Gli articoli del blog hanno tutti titoli quasi identici: “Perché gli swap di token e i pool di liquidità mettono ancora in difficoltà anche i trader DEX più esperti”, “Perché i market maker automatizzati continuano a sorprendere i trader”. Questi sono Articoli generati dall'intelligenza artificiale inseriti su siti con AS 21–36, tutti collegati a aster-dex.at.
Infiltrazione di spam nei commenti
keplr.me adotta un approccio completamente diverso: puro spam nei commenti su siti di grande autorevolezza ma non attinenti all’argomento. Nomi utente falsi come “ZackaryThymn”, “Fritzkah” e “Jamesboach” inseriscono link a portafogli crittografici in siti dedicati all’insegnamento della filosofia (filozofija.edu.rs, AS 45), piattaforme per il coinvolgimento dei dipendenti (bavave.com, AS 63), e festival artistici (lea-festival.com, AS 50).

Il fondo del barile: spam generato da strumenti automatizzati
bscscan.cfd ricorre al metodo più rozzo possibile: pacchetti a pagamento di backlink in blocco provenienti da siti che si chiamano letteralmente rankongoogle.agency e linksjump.click. Tutte le fonti hanno AS = 0. Il TLD .cfd è un noto indicatore di spam. Eppure su Bing funziona, almeno in parte: il volume di link di bassa qualità può influenzare il posizionamento anche su domini nuovissimi che non presentano precedenti negativi.

Perché Bing e DuckDuckGo sono particolarmente vulnerabili

| Caratteristica | Bing | |
|---|---|---|
| Rilevamento dinamico delle pagine | Nessun link equity dalle pagine dei risultati di ricerca | Le pagine di ricerca di Yahoo sono considerate contenuti editoriali |
| Maturità del modello di apprendimento automatico per lo spam | Oltre 15 anni di dati di addestramento di SpamBrain | Meno maturo; PBN AS 50–65 funziona ancora |
| Tutela del marchio | Aggressivo; curvefinance.co è stato segnalato rapidamente | Le truffe relative ai domini di primo livello .at e .co durano più a lungo |
| Fattorie di contenuti basate sull'intelligenza artificiale | Sistema di rilevamento implementato a partire dal 2023+ | Le "fabbriche di IA" con domini .vn e .it ottengono ancora punteggi sufficienti |
| Blocco del phishing | "Navigazione sicura" blocca rapidamente i domini noti | SmartScreen non rileva i domini truffaldini appena registrati |
DDG utilizza l'indice di Bing come fonte primaria di dati, ereditando tutti delle vulnerabilità di Bing. Gli utenti attenti alla privacy che preferiscono DDG sono spesso esperti di criptovalute, il che li rende obiettivi di maggior valore. DDG non dispone di un meccanismo indipendente di segnalazione dello spam; le segnalazioni vengono inoltrate a Bing.
Strategia di targeting per parole chiave
I profili delle parole chiave rivelano precisione chirurgica nella selezione dei termini di ricerca. Gli operatori non puntano solo sui termini principali relativi al marchio, ma anche sui typosquat (“portafoglio rabbi”, “portafoglio Rubby”, “dexscrenner”) e persino le ricerche in lingua cinese (“Borsa Aster” (al 25° posto).

| Parola chiave di riferimento | Volume mensile | Dominio fraudolento | Posizione |
|---|---|---|---|
| dexscreener | 60,500 | dexscreener.at | #42 |
| portafoglio Rabby | 5,400 | rabbys.at | #51–71 |
| Suite Trezor | 4,400 | trezorsuite.at | #32–85 |
| aster dex | 3,600 | aster-dex.at | #63 |
| dexscrennererrore di battitura | 2,400 | dexscreener.at | #45 |
| Borsa AsterCinese | 1,000 | aster-dex.at | #25 |
| Scarica Trezor Suite | 260 | trezorsuite.at | #54 |
| portafoglio rabbinicoerrore di battitura | 210 | rabbys.at | #54 |
| portafoglio XMR online | 210 | monero-wallet.at | #55–69 |
Contesto storico: il caso Trust Wallet / DuckDuckGo
Questi attacchi non sono una novità. Il problema era notevolmente più grave quando portafogli come Trust Wallet utilizzavano DuckDuckGo come loro motore di ricerca predefinito nell'app. Agli utenti che cercavano protocolli DeFi dal proprio wallet veniva proposto come primo risultato un sito di phishing — senza che fosse necessaria alcuna strategia SEO complessa. La combinazione di un motore di ricerca incentrato sulla privacy, dotato di un sistema di rilevamento dello spam poco efficace, e di un crypto wallet con browser integrato ha creato una tempesta perfetta per il phishing.
Anche dopo che Trust Wallet ha smesso di utilizzare DDG come impostazione predefinita, la vulnerabilità di fondo persiste. Qualsiasi utente che sceglie manualmente DuckDuckGo per motivi di privacy — una fascia demografica che si sovrappone in larga misura a quella degli utenti di criptovalute — rimane ancora oggi esposta proprio a questi attacchi. Le operazioni fraudolente documentate nel presente rapporto hanno utilizzato diverse varianti di questa tecnica per diversi anni, adattandosi man mano che i motori di ricerca correggono gradualmente i singoli vettori.
Come proteggersi
REAL Curve Finance → curve.fi (NON .co, .net) • DexScreener → dexscreener.com (NON .at) • Rabby → rabby.io (NON .at, .me) • Trezor Suite → suite.trezor.io (NON trezorsuite.at) • Keplr → keplr.app (NON .me) • BSCScan → bscscan.com (NON .cfd)
- MAI collega il tuo portafoglio da un risultato di ricerca
- Aggiungi ai preferiti siti affidabili direttamente
- Utilizza DDG
!bangscorciatoia:!g curve financeattiva la ricerca su Google - Installa l'estensione di MetaMask per il rilevamento del phishing
- Verifica qualsiasi dominio su PhishDestroy prima di effettuare il collegamento
Suggerimenti per Microsoft/Bing
- Rilevamento dinamico delle pagine: Classificare le pagine dei risultati di ricerca (Yahoo, Baidu, Google) ed eliminare l'equity dei link dai link in uscita
- Rilevamento coordinato del PBN: Quando 9 domini rimandano a 5 siti diversi con schemi identici, segnalarlo come manipolazione
- Livello di imitazione del marchio: Rilevare gli attacchi di sostituzione dei TLD (
dexscreener.at≈dexscreener.com) - Monitoraggio dei domini .AT: Maggiore attenzione ai domini .at di nuova registrazione nelle SERP relative alle criptovalute
- Guida rapida a DuckDuckGo: Creare un'API dedicata alla rimozione dello spam a cui DDG possa accedere direttamente
Conclusione
Non si tratta di spam opportunistico. Si tratta di un operazione SEO organizzata in modo professionale, multimarca e multicanale progettato appositamente per sfruttare il divario tra le capacità di rilevamento dello spam di Google e Bing. Ogni utente che oggi cerchi “Trezor Suite download” su DuckDuckGo potrebbe imbattersi in un sito di phishing che svuota il portafoglio prima ancora di vedere quello vero. La soluzione tecnica esiste. La domanda è se Bing la metterà in atto.


Un operatore, 26 domini, un registrar
Abbiamo eseguito delle query RDAP su tutti i 26 domini di phishing. Ognuno di essi ha restituito lo stesso registrar: NiceNIC International Group Co., Limited. Non la maggior parte. Non la maggioranza. Tutte le 23 richieste sono state elaborate con successo — stesso registrar, con 3 errori di limitazione della frequenza prima della verifica (i modelli delle loro infrastrutture coincidono).

Dati di registrazione RDAP — Prova di registrazione in blocco
| Dominio | Si spaccia per | Creato | Coppia di server NS di Cloudflare |
|---|---|---|---|
star-gate-finance-stargate.finance | Stargate Finance | 2025-09-08 | Terry/Ximena |
app-vesper.finance | Vesper Finance | 2025-09-08 | Terry/Ximena |
app-vvs.finance | VVS Finance | 2025-09-08 | Terry/Ximena |
orbit-protocol-lending.net | Protocollo Orbit | 2025-10-10 | Terry/Ximena |
vvsfnance.com | VVS Finance | 2025-07-12 | aprile/Kayden |
spooky-swap.net | SpookySwap | 2025-04-15 | aprile/Kayden |
thorwsap.com | THORSwap | 2025-07-24 | aprile/Kayden |
hyperlokc.com | Hyperlock Finance | 2025-07-12 | arnold/destiny |
shadow-ex.net | Shadow Exchange | 2025-06-24 | amos/tricia |
v2velodrome.com | Velodrome Finance | 2025-09-04 | dayana/marvin |
layerbank-v3.com | LayerBank | 2024-09-07 | austin/cheryl |
biasterswap.xyz | BiSwap | 2024-09-07 | signora/Langston |
v2-olympusdao.com | OlympusDAO | 2026-03-29 | nash/romina |
uncx.org | Rete UNCX | 2025-12-24 | Cory/Megan |
amblent.cc | Finanza ambientale | 2026-02-09 | Nicole/Salvador |
juicefi.cc | Juice Finance | 2026-02-09 | Nicole/Salvador |
rhea-finance.com | Rhea Finance | 2025-05-30 | — |
rhea-finance.net | Rhea Finance | 2025-05-30 | — |
rhea-rhea.org | Rhea Finance | 2025-05-30 | — |
silo-finance-silofinance.net | Silo Finance | 2025-05-30 | — |
Le coppie di NS Cloudflare condivise e le date di creazione identiche dimostrano che si tratta di una registrazione in blocco:
- 2025-09-08: star-gate + app-vesper + app-vvs (tutte
terry/ximena) - 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 domini, una sessione)
- 2026-02-09: amblent.cc + juicefi.cc (
nicole/salvador) - 2024-09-07: layerbank-v3.com + biasterswap.xyz — operazione della durata di oltre 18 mesi
La guida da 2 dollari — Passo dopo passo
Dimenticatevi delle tecniche SEO sofisticate. Dimenticatevi dei mesi dedicati alla creazione di link. Ecco la sequenza completa e collaudata che vi consentirà di ottenere il primo posto nei risultati di Bing.

Fase 1: Registro dei typosquat
| Progetto reale | Dominio reale | Dominio di phishing | Tecnica |
|---|---|---|---|
| VVS Finance | vvs.finance | vvsfnance.com | Lettera omessa (i) |
| THORSwap | thorswap.com | thorwsap.com | Lettere invertite (a/w) |
| Hyperlock | hyperlock.fi | hyperlokc.com | Lettere invertite (c/k) |
| Arbitrum Bridge | bridge.arbitrum.io | arbtrumbridge.cc | Swap + TLD a basso costo |
| Finanza ambientale | ambient.finance | amblent.cc | Errore ortografico di natura fonetica |
| Thruster Finance | thruster.finance | thnuster.cc | Lettera omessa (r→n) |
| Ponte dell'Ottimismo | app.optimism.io | optrnismbirdge.cc | Errori di battitura multipli |
| Stargate Finance | stargate.finance | star-gate-finance-stargate.finance | Eccesso di parole chiave |
Fase 2: Clonare il tag del titolo ($0, 5 minuti)
L'operatore copia esattamente il <title> tag e meta description tratti dal sito web del progetto vero e proprio. Questo è il passo più importante in assoluto. La pagina in sé è un modo per prosciugare il portafoglio o per rubare la frase seed — ma <title> è ciò che Bing posiziona nei risultati di ricerca.
Fase 3: Invia al PBN nascosto (0 $, 1 minuto)
L'operatore si reca in una qualsiasi delle 15 sedi PBN (bye.fyi, atomizelink.icu, ecc.), digita il dominio in un campo denominato “Inserisci il tuo URL” e fa clic su “Accorcia”. Con un solo clic viene creata una pagina su tutti e 15 i siti contemporaneamente: questi condividono infatti un unico database.
Fase 4: Attendere (2-8 settimane, 0 $)
app.thnuster.cc ha raggiunto il primo posto su Bing per la ricerca “Thruster Finance” con esattamente 1 backlink — una pagina SERP di Yahoo salvata nella cache. Il PBN non era nemmeno necessario.
Ripartizione del costo totale
| Cosa | Costo | Ora |
|---|---|---|
| Dominio (.cc/.com tramite NiceNIC) | $1-2 | 2 min |
| DNS di Cloudflare (piano gratuito) | $0 | 1 min |
| Clona il tag del titolo dal sito reale | $0 | 5 min |
| Invia a PBN (bye.fyi ecc.) | $0 | 1 min |
| Attendere l'indicizzazione | $0 | 2-8 settimane |
| TOTALE | $1-2 | circa 10 min |
All'interno del motore di occultamento
Abbiamo recuperato e analizzato il codice sorgente HTML effettivo della rete PBN. Ogni pagina di ogni dominio utilizza lo stesso motore di cloaking.

z-index: 1000000 La parete nasconde 3.500 collegamentiStruttura della pagina: 400 KB di codice HTML, oltre 3.500 link, 4 livelli
<body style="overflow: hidden;">
<div style="position:absolute; top:0; left:0;
width:100%; height:5000px;
background:white; z-index:1000000;
font-size:32px; text-align:center;">
<p>The domain report has Expired!</p>
</div> Il div bianco copre l'intero viewport. z-index:1000000 garantisce che nulla venga visualizzato sopra di esso. overflow:hidden sul corpo della pagina impedisce di scorrere oltre. L'utente vede la scritta “Scaduto” e abbandona la pagina.
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator"); Se l'utente supera il "white wall", JavaScript reindirizza a scrib.li (monetizzazione tramite affiliazione). Tripla protezione nei confronti dei visitatori umani.
Bingbot ignora l'overlay CSS: analizza l'HTML grezzo. Rileva un sito di “accorciamento URL” con un modulo di ricerca. Sembra legittimo.
<p>Learn More Here <a rel="nofollow"
href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ... Il dominio di phishing è nascosto tra 3.500 domini scelti a caso. Dolcetti Bing rel="nofollow" come segnale di indicizzazione — esegue comunque la scansione del sito di destinazione.
Prova: un'unica rete, un unico database
orbit-protocol-lending.net appare su più domini PBN con ID sequenziali provenienti dallo stesso database:

| Dominio PBN | Modello URL | ID |
|---|---|---|
blogsphere.top | /stats/49207 | 49207 |
optimizeflow.top | /stats/49207 | 49207 |
websites.freemyip.com | /share/49207 | 49207 |
shortenurls.eu | /share/49207 | 49207 |
jake.eu | /share/49207 | 49207 |
dailymusings.top | /stats/49208 | 49208 |
screenshots.wiki | /report/49208 | 49208 |
atomizelink.icu | /report/49208 | 49208 |
byteshort.xyz | /report/49208 | 49208 |
Stessi ID su diversi “marchi” = un unico backend, un unico operatore. 15 domini. Stesso modello HTML. Stesso CSS (style.css). Lo stesso codice JavaScript (work.js). Le stesse pagine da 3.500 link.
Il secondo PBN — Rete di verifica dei domini
Una rete di link separata e più aggressiva fornisce backlink dofollow a destinazioni selezionate. Server principale: all-aged-domains.com — un’installazione di WordPress 6.6.2 che fornisce file CSS, JS e modelli a 50-80 domini satellite.
| Caratteristica | Rete A (PBN occultata) | Rete B (Verifica dominio) |
|---|---|---|
| Siti | ~15 | ~50-80 |
| Cloaking | Sì (reindirizzamento CSS + JS) | No |
| Tipo di collegamento | 99,4% nofollow | 99,99% dofollow |
| Link per pagina | ~3,500 | ~10,000 |
| Dimensione della pagina | 400 KB | 4 MB |
| CMS | PHP personalizzato | WordPress 6.6.2 |
| Server principale | Database condiviso (ID sequenziali) | all-aged-domains.com |
| Google Tag Manager | No | Sì (monitora il traffico) |
Nonostante abbia 10 volte più backlink, tutti dofollow, la Rete B punta a NON è arrivato al primo posto su Bing. biasterswap.xyz ha 110 link dofollow. layerbank-v3.com ne ha 98. Nessuno dei due è al primo posto.
Nel frattempo, app.thnuster.cc ha 1 backlink e occupa il primo posto.
Per Bing, la strategia che combina una rete PBN con tag "nofollow" nascosti e corrispondenza dei titoli funziona meglio dello spam di massa con link "dofollow".
Perché Bing ci casca

La vulnerabilità "Title-Match"
app.thnuster.cc ha esattamente UN backlink: una pagina SERP di Yahoo salvata nella cache. Si posiziona al primo posto su Bing per la ricerca “Thruster Finance”. Ciò dimostra che il posizionamento di Bing per le ricerche relative a marchi con bassa concorrenza si basa principalmente su:
- Corrispondenza esatta del tag titolo alla query di ricerca
- Il dominio è indicizzato (basta qualsiasi segnale — anche un solo link “nofollow”)
- Nessun segnale negativo di fiducia (dominio nuovo, senza precedenti)
Google richiederebbe segnali di autorevolezza significativi ed effettuerebbe un controllo incrociato con i domini di marchi noti. Bing invece no.
| Metrico | Bing | |
|---|---|---|
| I domini di phishing al primo posto | 7 | 0 |
| I domini di phishing nella top 10 | 7 | 0 |
| Tempo trascorso dalla creazione del dominio | 2-8 settimane | mai |
Risultati n. 1 su Bing (verificati tramite SerpAPI, aprile 2026)
| Richiesta | #1 Result (Phishing) | Backlink |
|---|---|---|
| “Stargate Finance” | star-gate-finance-stargate.finance | 20 |
| “Shadow Exchange” | shadow-ex.net | 16 |
| “Rete UNCX” | www.uncx.org | 51 |
| “Thruster Finance” | app.thnuster.cc | 1 |
| “Orbit Protocol” | orbit-protocol-lending.net | 15 |
| “VVS Finance” | vvsfnance.com (#1) + www.app-vvs.finance (#10) | 36 + 37 |
Elenco aggiornato dei prodotti protetti (marchi della Parte II)
Stargate Finance → stargate.finance (NON star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (NON vvsfnance.com) • THORSwap → thorswap.com (NON thorwsap.com) • Velodromo → velodrome.finance (NON v2velodrome.com) • UNCX → uncx.network (NON uncx.org) • SpookySwap → spooky.fi (NON spooky-swap.net) • OlympusDAO → olympusdao.finance (NON v2-olympusdao.com) • Thruster → thruster.finance (NON thnuster.cc) • Ambient → ambient.finance (NON amblent.cc)
Raccomandazioni (Parte II)
A Microsoft/Bing:
- Il fatto che si tratti di un incontro valido per il titolo non è di per sé sinonimo di autorevolezza. Un titolo corrispondente non dovrebbe far posizionare un nuovo dominio al primo posto per le ricerche relative al marchio. È necessario che il dominio abbia una certa anzianità, che i backlink siano autorevoli o che vi siano segnali di verifica del marchio.
- Rileva il cloaking basato su CSS. Le pagine che utilizzano sovrapposizioni con z-index per nascondere i contenuti agli utenti ma renderli visibili ai crawler dovrebbero essere segnalate.
- Individuare reti PBN coordinate. 15 domini che condividono un unico backend e rimandano alle stesse destinazioni non costituiscono una strategia di link building organica.
- Contrassegna i domini registrati su NiceNIC nelle SERP relative alle criptovalute per un controllo più approfondito.
- Crea una procedura accelerata per lo spam su DuckDuckGo. DDG eredita tutte le vulnerabilità di Bing, ma non dispone di un meccanismo indipendente di segnalazione dello spam.
Alla NiceNIC International Group Co., Limited:
26 domini utilizzati per il phishing. Un solo cliente. Registrati in blocco nell'arco di 18 mesi. Nessuna misura adottata contro gli abusi. Questo fatto è ormai documentato pubblicamente. Riferimento: Quando le segnalazioni di abusi non portano a nulla e NiceNIC: Fattore abilitante sistemico.
A Cloudflare:
Tutti i 26 domini utilizzano il DNS e il proxy di Cloudflare. I domini ospitano programmi per lo svuotamento dei portafogli e per la raccolta delle frasi seed tramite l’infrastruttura di Cloudflare.
Parte II - Conclusione
Non si tratta di spam opportunistico. Si tratta di un campagna della durata di 18 mesi, gestita in modo professionale da un unico operatore che ha scoperto che l'algoritmo di posizionamento di Bing può essere aggirato con un dominio da 2 dollari e un tag del titolo copiato. Attualmente, sette siti di phishing occupano il primo posto su Bing — al di sopra delle piattaforme legittime di cui assumono l’identità.
L'infrastruttura di cloaking che abbiamo documentato — 15 siti identici con database condivisi, occultamento dei contenuti basato su CSS e reindirizzamenti di riserva tramite JavaScript — rappresenta uno strumento appositamente progettato per manipolare i motori di ricerca su larga scala.
Google blocca tutti i 26 domini. Bing li posiziona 7 al primo posto. La soluzione tecnica esiste. Le prove sono di dominio pubblico. I domini sono documentati. Il registrar è stato identificato. La domanda rimane: si farà qualcosa?


