PhishDestroy In diretta
Torna alle notizie
Minaccia attiva

Dietro le quinte: come operano i truffatori nel mondo delle criptovalute
Dirottare Bing e DuckDuckGo

Un reportage investigativo basato su dati SEMrush in tempo reale che svela due operazioni di attacco SEO parallele volte a portare siti di phishing legati alle criptovalute in cima ai risultati di ricerca di Bing e DuckDuckGo. 10 domini. 2 vettori di attacco. Oltre 100.000 potenziali vittime al mese.

30 marzo 2026 Ricerca PhishDestroy 22 minuti di lettura Dati dell'API di SEMrush
I truffatori del mondo delle criptovalute manipolano i risultati di ricerca su Bing e DuckDuckGo — visualizzazione in stile cyberpunk
I motori di ricerca sotto assedio: operazioni organizzate fanno scalare i siti di phishing al di sopra delle piattaforme di criptovalute legittime
10Domini di phishing
9Donatori PBN
60,500+Esposizione giornaliera
100.000+Vittime/mese
2Vettori di attacco
Dichiarazione di non responsabilità

Tutti i dati contenuti nel presente rapporto sono stati raccolti tramite l'API di SEMrush e phishdestroy.io a fini di ricerca nel campo della sicurezza informatica. I nomi di dominio vengono pubblicati per mettere in guardia gli utenti, non per promuoverli.

I due vettori di attacco

La nostra indagine ha rivelato che due operazioni parallele completamente diverse condotte contemporaneamente per portare i siti di phishing in cima ai risultati di Bing e DuckDuckGo.

Vettore A: Iniezione nella SERP di Yahoo
Sfrutta l’autorità di dominio di Yahoo (AS 24) tramite le pagine di ricerca da dispositivi mobili. Bing eredita la fiducia dagli URL di ricerca di Yahoo generati dinamicamente che contengono anchor di phishing. Obiettivi: curvefinance.co, curvefi.co, aster-dex.at
Vettore B: Rete PBN coordinata
9 domini compromessi/acquistati con AS 49–65 rimandano contemporaneamente a più siti di phishing. Funziona con TUTTI i motori di ricerca. Obiettivi: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, keplr.me

Vettore A: L'attacco di iniezione nella SERP di Yahoo

Si potrebbe dire che questo sia il il più elegante dal punto di vista tecnico attacco SEO black-hat che abbiamo documentato nel 2026. Esso sfrutta una falla fondamentale nel modo in cui Bing valuta l’autorità dei link — in particolare, la sua incapacità di distinguere tra link editoriali autentici e pagine di risultati di ricerca generate dinamicamente da domini affidabili.

Schema tecnico che illustra il flusso dell'attacco di iniezione nelle SERP di Yahoo sulle classifiche di Bing
L'Authority Score (AS 24) ereditato da Yahoo viene trasmesso dalle pagine di ricerca mobile ai domini di phishing — Bing accetta il segnale come legittimo

Il meccanismo — Passo dopo passo

Crea l'URL di Yahoo8 o più sottodomini nazionali
Incorpora un collegamentoRichiesta casuale + link di phishing
Strisciata forzataServizi Ping + spam
Indici di BingEredita Yahoo AS 24
1° postoSito di phishing tra i primi risultati

Fase 1 — Generazione dell'URL del gestore affidabile. Gli autori degli attacchi creano URL sugli endpoint di ricerca mobile di Yahoo su diversi sottodomini internazionali: no.search.yahoo.com (Norvegia), fr.search.yahoo.com (Francia), mx.search.yahoo.com (Messico), pl.search.yahoo.com (Polonia), gr.search.yahoo.com (Grecia), qc.search.yahoo.com (Quebec), chfr.search.yahoo.com (francese svizzero), co.search.yahoo.com (Colombia). Queste pagine riportano il punteggio di autorità ereditato da Yahoo: 23–24.

Fase 2 — Inserimento del link di phishing. Ogni URL contiene una query di ricerca del tutto casuale e innocua — “pele+fifa”, “Jean-Paul+Sartre”, “Radio+Stars”, “jucheck.exe” — ma il testo di ancoraggio recita: curvefi.co Curve Finance. Le query casuali garantiscono che i filtri antispam non rilevino alcuna corrispondenza con modelli prestabiliti.

Fase 3 — Crawling e indicizzazione forzati. Gli autori degli attacchi inducono Bingbot a eseguire la scansione di questi URL utilizzando servizi di ping di massa, l'inserimento di commenti su forum e blog e strumenti automatici per l'attivazione della scansione.

Il fallimento dell'algoritmo di Bing

L'algoritmo di Google: “Questa è una pagina di ricerca dinamica. Non vi è alcun trasferimento di link equity.”
L'algoritmo di Bing: “yahoo.com rimanda a curvefi.co con l'ancora ‘Curve Finance DEX’. Segnale di posizionamento accettato. ✓”

Risultato: il sito di phishing entra nella TOP 3 dei risultati di ricerca per “Curve Finance” su Bing e DuckDuckGo.

Dati SEMrush non elaborati — curvefi.co

API SEMrush Backlink Analytics | 30.03.2026 | Destinazione: curvefi.co
ASDominio di origineTesto di ancoraggio
24chfr.search.yahoo.comwww.curvefi.coa Curve Finance
24co.search.yahoo.comcurvefi.co Curve Finance
24fr.search.yahoo.comcurvefi.co Curve Finance
24mx.search.yahoo.comwww.curvefi.coa Curve Finance
24no.search.yahoo.comwww.curvefi.coa Curve Finance
24pl.search.yahoo.comwww.curvefi.coa Curve Finance
23gr.search.yahoo.comwww.curvefi.coa Curve Finance
23qc.search.yahoo.comcurvefi.co Curve Finance

La crudele ironia: Il sito presenta zero parole chiave organiche, zero traffico nel database di SEMrush — eppure compare nei risultati di Bing/DDG per “Curve Finance” grazie all’autorità “presa in prestito” da Yahoo.

Vettore B: La rete PBN coordinata

È qui che l’indagine assume una piega davvero allarmante. Cinque siti di phishing distinti — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at e keplr.me — hanno tutti in comune un insieme identico di fonti di backlink. Non è una coincidenza. È una singola organizzazione criminale condurre più campagne di phishing da un'unica infrastruttura.

Visualizzazione della rete PBN criminale — 9 domini donatori collegati a 5 obiettivi di phishing
Un operatore, 9 donatori PBN, 5 bersagli di phishing: la probabilità che si tratti di una coincidenza è pari a circa lo 0,00001%

The Smoking Gun — Infrastruttura condivisa

API SEMrush | Analisi interdominio | 30/03/2026
Dominio donatore PBNASrabbysdexscrmonerotrezor
lewievuittton.com65
lyricamed.us.com61
creatfx.com60
jba.com.jo56
jornaldevinhedo.com56
jasaaspalhotmix.com54
magna-eg.com50
markjohnsonbuilders50
nextplayflix.com49
Nota su lewievuittton.com

Il principale sito donatore di PBN (AS 65) è esso stesso un typosquat di Louis Vuitton. Questo sito donatore di PBN è un sito fraudolento che sostiene altri siti fraudolenti: un’infrastruttura criminale a tutti i livelli.

Profili dei domini utilizzati per il phishing

Panoramica sui domini di SEMrush | Marzo 2026
DominioSi spaccia perParole chiaveObiettivo principaleVolume
dexscreener.atDexScreener64“dexscreener” n. 4260.500 al mese
rabbys.atPortafoglio Rabby15“portafoglio di coniglio” n. 515.400 al mese
trezorsuite.atTrezor Suite7“trezor suite” n. 324.400 al mese
aster-dex.atAster DEX13“Borsa Aster” n. 253.600 al mese
monero-wallet.atPortafoglio Monero4“portafoglio XMR online” n. 26210 al mese
keplr.mePortafoglio Keplr0Spam nei commenti in modalità invisibileN/A
bscscan.cfdBSCScan0Link di spam in massaN/A
curvefinance.coCurve Finance0Solo inserimento su YahooN/A
curvefi.coCurve Finance0Solo inserimento su YahooN/A
app-crv.netApp Curve0Tecniche misteN/A
Importante: download di Trezor Suite

Utenti che effettuano ricerche “scarica Trezor Suite” stanno cercando attivamente di installare un software di portafoglio. Un sito di phishing che occupa le posizioni dalla 3 alla 5 su DuckDuckGo fa sì che gli utenti scarichino malware pensando che si tratti dell'interfaccia di un portafoglio hardware. Non è una ipotesi teorica: sta accadendo proprio in questo momento.

La "fabbrica di articoli" basata sull'intelligenza artificiale

La variante aster-dex.at utilizza un approccio ibrido, combinando l’iniezione di Yahoo con contenuti di blog generati dall’intelligenza artificiale e pubblicati su siti compromessi o creati appositamente in Vietnam, Italia, Indonesia e Svizzera.

Azienda che produce post identici per blog generati dall'intelligenza artificiale, contenenti link a siti di phishing
Articoli generati dall'intelligenza artificiale su siti compromessi: titoli identici, domini diversi, tutti con link allo stesso sito di phishing

Gli articoli del blog hanno tutti titoli quasi identici: “Perché gli swap di token e i pool di liquidità mettono ancora in difficoltà anche i trader DEX più esperti”, “Perché i market maker automatizzati continuano a sorprendere i trader”. Questi sono Articoli generati dall'intelligenza artificiale inseriti su siti con AS 21–36, tutti collegati a aster-dex.at.

Infiltrazione di spam nei commenti

keplr.me adotta un approccio completamente diverso: puro spam nei commenti su siti di grande autorevolezza ma non attinenti all’argomento. Nomi utente falsi come “ZackaryThymn”, “Fritzkah” e “Jamesboach” inseriscono link a portafogli crittografici in siti dedicati all’insegnamento della filosofia (filozofija.edu.rs, AS 45), piattaforme per il coinvolgimento dei dipendenti (bavave.com, AS 63), e festival artistici (lea-festival.com, AS 50).

Sito web legittimo con link di phishing nascosti nella sezione dei commenti
Siti legittimi che ospitano inconsapevolmente link di phishing — nascosti tra commenti degli utenti dall’aspetto normale

Il fondo del barile: spam generato da strumenti automatizzati

bscscan.cfd ricorre al metodo più rozzo possibile: pacchetti a pagamento di backlink in blocco provenienti da siti che si chiamano letteralmente rankongoogle.agency e linksjump.click. Tutte le fonti hanno AS = 0. Il TLD .cfd è un noto indicatore di spam. Eppure su Bing funziona, almeno in parte: il volume di link di bassa qualità può influenzare il posizionamento anche su domini nuovissimi che non presentano precedenti negativi.

Mercato di backlink a prezzi stracciati in stile cyberpunk
“1000 backlink a 9,99 $” — gli strumenti SEO fasulli più economici funzionano ancora, almeno in parte, su Bing

Perché Bing e DuckDuckGo sono particolarmente vulnerabili

La fortezza di Google contro la fortezza di Bing — Confronto delle vulnerabilità
La difesa multilivello di Google contro lo spam contro il sistema di rilevamento meno maturo di Bing: il divario di cui approfittano i truffatori
Differenze algoritmiche che i truffatori sfruttano attivamente
CaratteristicaGoogleBing
Rilevamento dinamico delle pagineNessun link equity dalle pagine dei risultati di ricercaLe pagine di ricerca di Yahoo sono considerate contenuti editoriali
Maturità del modello di apprendimento automatico per lo spamOltre 15 anni di dati di addestramento di SpamBrainMeno maturo; PBN AS 50–65 funziona ancora
Tutela del marchioAggressivo; curvefinance.co è stato segnalato rapidamenteLe truffe relative ai domini di primo livello .at e .co durano più a lungo
Fattorie di contenuti basate sull'intelligenza artificialeSistema di rilevamento implementato a partire dal 2023+Le "fabbriche di IA" con domini .vn e .it ottengono ancora punteggi sufficienti
Blocco del phishing"Navigazione sicura" blocca rapidamente i domini notiSmartScreen non rileva i domini truffaldini appena registrati
Punto debole specifico di DuckDuckGo

DDG utilizza l'indice di Bing come fonte primaria di dati, ereditando tutti delle vulnerabilità di Bing. Gli utenti attenti alla privacy che preferiscono DDG sono spesso esperti di criptovalute, il che li rende obiettivi di maggior valore. DDG non dispone di un meccanismo indipendente di segnalazione dello spam; le segnalazioni vengono inoltrate a Bing.

Strategia di targeting per parole chiave

I profili delle parole chiave rivelano precisione chirurgica nella selezione dei termini di ricerca. Gli operatori non puntano solo sui termini principali relativi al marchio, ma anche sui typosquat (“portafoglio rabbi”, “portafoglio Rubby”, “dexscrenner”) e persino le ricerche in lingua cinese (“Borsa Aster” (al 25° posto).

Mappa del mondo che mostra il targeting multilingue basato su parole chiave da parte dei truffatori nel settore delle criptovalute
Targeting multilingue: inglese, francese, cinese, vietnamita — l’operazione abbraccia diversi continenti
Analisi del marchio e del volume di ricerca | SEMrush USA | Marzo 2026
Parola chiave di riferimentoVolume mensileDominio fraudolentoPosizione
dexscreener60,500dexscreener.at#42
portafoglio Rabby5,400rabbys.at#51–71
Suite Trezor4,400trezorsuite.at#32–85
aster dex3,600aster-dex.at#63
dexscrennererrore di battitura2,400dexscreener.at#45
Borsa AsterCinese1,000aster-dex.at#25
Scarica Trezor Suite260trezorsuite.at#54
portafoglio rabbinicoerrore di battitura210rabbys.at#54
portafoglio XMR online210monero-wallet.at#55–69

Contesto storico: il caso Trust Wallet / DuckDuckGo

Questo problema ha radici profonde

Questi attacchi non sono una novità. Il problema era notevolmente più grave quando portafogli come Trust Wallet utilizzavano DuckDuckGo come loro motore di ricerca predefinito nell'app. Agli utenti che cercavano protocolli DeFi dal proprio wallet veniva proposto come primo risultato un sito di phishing — senza che fosse necessaria alcuna strategia SEO complessa. La combinazione di un motore di ricerca incentrato sulla privacy, dotato di un sistema di rilevamento dello spam poco efficace, e di un crypto wallet con browser integrato ha creato una tempesta perfetta per il phishing.

Anche dopo che Trust Wallet ha smesso di utilizzare DDG come impostazione predefinita, la vulnerabilità di fondo persiste. Qualsiasi utente che sceglie manualmente DuckDuckGo per motivi di privacy — una fascia demografica che si sovrappone in larga misura a quella degli utenti di criptovalute — rimane ancora oggi esposta proprio a questi attacchi. Le operazioni fraudolente documentate nel presente rapporto hanno utilizzato diverse varianti di questa tecnica per diversi anni, adattandosi man mano che i motori di ricerca correggono gradualmente i singoli vettori.

Come proteggersi

Verifica sempre il dominio esatto

REAL Curve Finance → curve.fi (NON .co, .net) • DexScreener → dexscreener.com (NON .at) • Rabby → rabby.io (NON .at, .me) • Trezor Suite → suite.trezor.io (NON trezorsuite.at) • Keplr → keplr.app (NON .me) • BSCScan → bscscan.com (NON .cfd)

Suggerimenti per Microsoft/Bing

  1. Rilevamento dinamico delle pagine: Classificare le pagine dei risultati di ricerca (Yahoo, Baidu, Google) ed eliminare l'equity dei link dai link in uscita
  2. Rilevamento coordinato del PBN: Quando 9 domini rimandano a 5 siti diversi con schemi identici, segnalarlo come manipolazione
  3. Livello di imitazione del marchio: Rilevare gli attacchi di sostituzione dei TLD (dexscreener.atdexscreener.com)
  4. Monitoraggio dei domini .AT: Maggiore attenzione ai domini .at di nuova registrazione nelle SERP relative alle criptovalute
  5. Guida rapida a DuckDuckGo: Creare un'API dedicata alla rimozione dello spam a cui DDG possa accedere direttamente

Conclusione

Non si tratta di spam opportunistico. Si tratta di un operazione SEO organizzata in modo professionale, multimarca e multicanale progettato appositamente per sfruttare il divario tra le capacità di rilevamento dello spam di Google e Bing. Ogni utente che oggi cerchi “Trezor Suite download” su DuckDuckGo potrebbe imbattersi in un sito di phishing che svuota il portafoglio prima ancora di vedere quello vero. La soluzione tecnica esiste. La domanda è se Bing la metterà in atto.

Scena drammatica in aula: i truffatori delle criptovalute sotto processo con le prove esposte
Le prove sono di dominio pubblico. I domini sono documentati. Le vittime sono reali. La soluzione è nelle mani di Microsoft.
Indagine di approfondimento — 17 aprile 2026

Parte II: Il manuale da 2 dollari — 26 siti di phishing, 1 registrar, 7 risultati al primo posto su Bing

Un’indagine successiva, condotta a marzo, ha individuato 26 nuovi domini di phishing — tutti che si spacciano per protocolli DeFi — attualmente in classifica #1 on Bing per le ricerche relative al marchio di loro interesse. Utilizzando i dati sui backlink dell’API di SEMrush, i registri di registrazione RDAP e l’analisi diretta del codice sorgente, abbiamo rintracciato ogni singolo dominio fino a un operatore, un registrar (NiceNIC) e una rete PBN occultata composta da 15 siti. Costo per dominio: 2 $. Tempo: 10 minuti.

Un operatore, 26 esche di phishing, un motore di ricerca che non effettua controlli
Un operatore. 26 esche di phishing su Bing. Costo: 2 dollari per dominio.
26Domini di phishing
1Registrar (NiceNIC)
7Posizioni n. 1 su Bing
15Siti PBN nascosti
0Posizionamento su Google

Un operatore, 26 domini, un registrar

Abbiamo eseguito delle query RDAP su tutti i 26 domini di phishing. Ognuno di essi ha restituito lo stesso registrar: NiceNIC International Group Co., Limited. Non la maggior parte. Non la maggioranza. Tutte le 23 richieste sono state elaborate con successo — stesso registrar, con 3 errori di limitazione della frequenza prima della verifica (i modelli delle loro infrastrutture coincidono).

Scheda di indagine OSINT che mostra 23 domini su 23 registrati tramite NiceNIC
23 su 23 controllati. Stesso registrar. Stesso cliente. Nessuna azione per abuso.

Dati di registrazione RDAP — Prova di registrazione in blocco

Risultati della ricerca RDAP | Aprile 2026 | 23 su 26 recuperati con successo
DominioSi spaccia perCreatoCoppia di server NS di Cloudflare
star-gate-finance-stargate.financeStargate Finance2025-09-08Terry/Ximena
app-vesper.financeVesper Finance2025-09-08Terry/Ximena
app-vvs.financeVVS Finance2025-09-08Terry/Ximena
orbit-protocol-lending.netProtocollo Orbit2025-10-10Terry/Ximena
vvsfnance.comVVS Finance2025-07-12aprile/Kayden
spooky-swap.netSpookySwap2025-04-15aprile/Kayden
thorwsap.comTHORSwap2025-07-24aprile/Kayden
hyperlokc.comHyperlock Finance2025-07-12arnold/destiny
shadow-ex.netShadow Exchange2025-06-24amos/tricia
v2velodrome.comVelodrome Finance2025-09-04dayana/marvin
layerbank-v3.comLayerBank2024-09-07austin/cheryl
biasterswap.xyzBiSwap2024-09-07signora/Langston
v2-olympusdao.comOlympusDAO2026-03-29nash/romina
uncx.orgRete UNCX2025-12-24Cory/Megan
amblent.ccFinanza ambientale2026-02-09Nicole/Salvador
juicefi.ccJuice Finance2026-02-09Nicole/Salvador
rhea-finance.comRhea Finance2025-05-30
rhea-finance.netRhea Finance2025-05-30
rhea-rhea.orgRhea Finance2025-05-30
silo-finance-silofinance.netSilo Finance2025-05-30
Registrazione in batch — Un solo operatore, più sessioni

Le coppie di NS Cloudflare condivise e le date di creazione identiche dimostrano che si tratta di una registrazione in blocco:

  • 2025-09-08: star-gate + app-vesper + app-vvs (tutte terry/ximena)
  • 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 domini, una sessione)
  • 2026-02-09: amblent.cc + juicefi.cc (nicole/salvador)
  • 2024-09-07: layerbank-v3.com + biasterswap.xyz — operazione della durata di oltre 18 mesi

La guida da 2 dollari — Passo dopo passo

Dimenticatevi delle tecniche SEO sofisticate. Dimenticatevi dei mesi dedicati alla creazione di link. Ecco la sequenza completa e collaudata che vi consentirà di ottenere il primo posto nei risultati di Bing.

Quattro passaggi per portare un sito di phishing al primo posto su Bing con soli 2 dollari
Quattro passaggi, 2 dollari e Bing incorona un sito di phishing al primo posto
Registra un typosquat$1-2 at NiceNIC
Clona il tag del titoloCopia dal sito originale
Invia a PBNCiao. Per tua informazione, 15 siti
Attendere da 2 a 8 settimaneBing indicizza e classifica
Bing n. 1Progetto reale sopra riportato

Fase 1: Registro dei typosquat

Tecniche di typosquatting in 8 dei 26 domini
Progetto realeDominio realeDominio di phishingTecnica
VVS Financevvs.financevvsfnance.comLettera omessa (i)
THORSwapthorswap.comthorwsap.comLettere invertite (a/w)
Hyperlockhyperlock.fihyperlokc.comLettere invertite (c/k)
Arbitrum Bridgebridge.arbitrum.ioarbtrumbridge.ccSwap + TLD a basso costo
Finanza ambientaleambient.financeamblent.ccErrore ortografico di natura fonetica
Thruster Financethruster.financethnuster.ccLettera omessa (r→n)
Ponte dell'Ottimismoapp.optimism.iooptrnismbirdge.ccErrori di battitura multipli
Stargate Financestargate.financestar-gate-finance-stargate.financeEccesso di parole chiave

Fase 2: Clonare il tag del titolo ($0, 5 minuti)

L'operatore copia esattamente il <title> tag e meta description tratti dal sito web del progetto vero e proprio. Questo è il passo più importante in assoluto. La pagina in sé è un modo per prosciugare il portafoglio o per rubare la frase seed — ma <title> è ciò che Bing posiziona nei risultati di ricerca.

Fase 3: Invia al PBN nascosto (0 $, 1 minuto)

L'operatore si reca in una qualsiasi delle 15 sedi PBN (bye.fyi, atomizelink.icu, ecc.), digita il dominio in un campo denominato “Inserisci il tuo URL” e fa clic su “Accorcia”. Con un solo clic viene creata una pagina su tutti e 15 i siti contemporaneamente: questi condividono infatti un unico database.

Fase 4: Attendere (2-8 settimane, 0 $)

Prova: 1 backlink = 1° posto su Bing

app.thnuster.cc ha raggiunto il primo posto su Bing per la ricerca “Thruster Finance” con esattamente 1 backlink — una pagina SERP di Yahoo salvata nella cache. Il PBN non era nemmeno necessario.

Ripartizione del costo totale

CosaCostoOra
Dominio (.cc/.com tramite NiceNIC)$1-22 min
DNS di Cloudflare (piano gratuito)$01 min
Clona il tag del titolo dal sito reale$05 min
Invia a PBN (bye.fyi ecc.)$01 min
Attendere l'indicizzazione$02-8 settimane
TOTALE$1-2circa 10 min

All'interno del motore di occultamento

Abbiamo recuperato e analizzato il codice sorgente HTML effettivo della rete PBN. Ogni pagina di ogni dominio utilizza lo stesso motore di cloaking.

Ciò che vedono gli utenti rispetto a ciò che vede Bingbot: il muro del cloaking
Ciò che vedono gli utenti rispetto a ciò che vede Bingbot — il z-index: 1000000 La parete nasconde 3.500 collegamenti

Struttura della pagina: 400 KB di codice HTML, oltre 3.500 link, 4 livelli

Livello 1 — Il muro di occultamento (ciò che vedono gli utenti)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

Il div bianco copre l'intero viewport. z-index:1000000 garantisce che nulla venga visualizzato sopra di esso. overflow:hidden sul corpo della pagina impedisce di scorrere oltre. L'utente vede la scritta “Scaduto” e abbandona la pagina.

Livello 2 — Il reindirizzamento JS (protezione di backup)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Se l'utente supera il "white wall", JavaScript reindirizza a scrib.li (monetizzazione tramite affiliazione). Tripla protezione nei confronti dei visitatori umani.

Livello 3 — La facciata fittizia (ciò che vedono i bot)

Bingbot ignora l'overlay CSS: analizza l'HTML grezzo. Rileva un sito di “accorciamento URL” con un modulo di ricerca. Sembra legittimo.

Livello 4 — La massa di link (3.500 link nofollow)
<p>Learn More Here <a rel="nofollow"
     href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ...

Il dominio di phishing è nascosto tra 3.500 domini scelti a caso. Dolcetti Bing rel="nofollow" come segnale di indicizzazione — esegue comunque la scansione del sito di destinazione.

Prova: un'unica rete, un unico database

orbit-protocol-lending.net appare su più domini PBN con ID sequenziali provenienti dallo stesso database:

Un unico database, 15 domini front-end: tutti pubblicano contenuti identici provenienti dallo stesso back-end
Un unico database. 15 domini front-end. Tutte le schermate mostrano contenuti identici provenienti dallo stesso back-end.
ID sequenziali tra marchi PBN “diversi” — prova del backend condiviso
Dominio PBNModello URLID
blogsphere.top/stats/4920749207
optimizeflow.top/stats/4920749207
websites.freemyip.com/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
dailymusings.top/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
byteshort.xyz/report/4920849208

Stessi ID su diversi “marchi” = un unico backend, un unico operatore. 15 domini. Stesso modello HTML. Stesso CSS (style.css). Lo stesso codice JavaScript (work.js). Le stesse pagine da 3.500 link.

Il secondo PBN — Rete di verifica dei domini

Una rete di link separata e più aggressiva fornisce backlink dofollow a destinazioni selezionate. Server principale: all-aged-domains.com — un’installazione di WordPress 6.6.2 che fornisce file CSS, JS e modelli a 50-80 domini satellite.

PBN occultato (Rete A) contro Domain Checker (Rete B)
CaratteristicaRete A (PBN occultata)Rete B (Verifica dominio)
Siti~15~50-80
CloakingSì (reindirizzamento CSS + JS)No
Tipo di collegamento99,4% nofollow99,99% dofollow
Link per pagina~3,500~10,000
Dimensione della pagina400 KB4 MB
CMSPHP personalizzatoWordPress 6.6.2
Server principaleDatabase condiviso (ID sequenziali)all-aged-domains.com
Google Tag ManagerNoSì (monitora il traffico)
L'ironia

Nonostante abbia 10 volte più backlink, tutti dofollow, la Rete B punta a NON è arrivato al primo posto su Bing. biasterswap.xyz ha 110 link dofollow. layerbank-v3.com ne ha 98. Nessuno dei due è al primo posto.

Nel frattempo, app.thnuster.cc ha 1 backlink e occupa il primo posto.

Per Bing, la strategia che combina una rete PBN con tag "nofollow" nascosti e corrispondenza dei titoli funziona meglio dello spam di massa con link "dofollow".

Perché Bing ci casca

Il robot corazzato di Google che blocca il phishing all’ingresso contro il cordiale portiere di Bing che tiene la porta aperta
Il robot corazzato di Google blocca il phishing all’ingresso. Il simpatico portiere di Bing tiene la porta aperta.

La vulnerabilità "Title-Match"

app.thnuster.cc ha esattamente UN backlink: una pagina SERP di Yahoo salvata nella cache. Si posiziona al primo posto su Bing per la ricerca “Thruster Finance”. Ciò dimostra che il posizionamento di Bing per le ricerche relative a marchi con bassa concorrenza si basa principalmente su:

  1. Corrispondenza esatta del tag titolo alla query di ricerca
  2. Il dominio è indicizzato (basta qualsiasi segnale — anche un solo link “nofollow”)
  3. Nessun segnale negativo di fiducia (dominio nuovo, senza precedenti)

Google richiederebbe segnali di autorevolezza significativi ed effettuerebbe un controllo incrociato con i domini di marchi noti. Bing invece no.

Bing contro Google — Risultati di posizionamento in 26 domini
MetricoBingGoogle
I domini di phishing al primo posto70
I domini di phishing nella top 1070
Tempo trascorso dalla creazione del dominio2-8 settimanemai

Risultati n. 1 su Bing (verificati tramite SerpAPI, aprile 2026)

Richiesta#1 Result (Phishing)Backlink
“Stargate Finance”star-gate-finance-stargate.finance20
“Shadow Exchange”shadow-ex.net16
“Rete UNCX”www.uncx.org51
“Thruster Finance”app.thnuster.cc1
“Orbit Protocol”orbit-protocol-lending.net15
“VVS Finance”vvsfnance.com (#1) + www.app-vvs.finance (#10)36 + 37

Elenco aggiornato dei prodotti protetti (marchi della Parte II)

Verifica sempre il dominio esatto

Stargate Finance → stargate.finance (NON star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (NON vvsfnance.com) • THORSwap → thorswap.com (NON thorwsap.com) • Velodromo → velodrome.finance (NON v2velodrome.com) • UNCX → uncx.network (NON uncx.org) • SpookySwap → spooky.fi (NON spooky-swap.net) • OlympusDAO → olympusdao.finance (NON v2-olympusdao.com) • Thruster → thruster.finance (NON thnuster.cc) • Ambient → ambient.finance (NON amblent.cc)

Raccomandazioni (Parte II)

A Microsoft/Bing:

  1. Il fatto che si tratti di un incontro valido per il titolo non è di per sé sinonimo di autorevolezza. Un titolo corrispondente non dovrebbe far posizionare un nuovo dominio al primo posto per le ricerche relative al marchio. È necessario che il dominio abbia una certa anzianità, che i backlink siano autorevoli o che vi siano segnali di verifica del marchio.
  2. Rileva il cloaking basato su CSS. Le pagine che utilizzano sovrapposizioni con z-index per nascondere i contenuti agli utenti ma renderli visibili ai crawler dovrebbero essere segnalate.
  3. Individuare reti PBN coordinate. 15 domini che condividono un unico backend e rimandano alle stesse destinazioni non costituiscono una strategia di link building organica.
  4. Contrassegna i domini registrati su NiceNIC nelle SERP relative alle criptovalute per un controllo più approfondito.
  5. Crea una procedura accelerata per lo spam su DuckDuckGo. DDG eredita tutte le vulnerabilità di Bing, ma non dispone di un meccanismo indipendente di segnalazione dello spam.

Alla NiceNIC International Group Co., Limited:

26 domini utilizzati per il phishing. Un solo cliente. Registrati in blocco nell'arco di 18 mesi. Nessuna misura adottata contro gli abusi. Questo fatto è ormai documentato pubblicamente. Riferimento: Quando le segnalazioni di abusi non portano a nulla e NiceNIC: Fattore abilitante sistemico.

A Cloudflare:

Tutti i 26 domini utilizzano il DNS e il proxy di Cloudflare. I domini ospitano programmi per lo svuotamento dei portafogli e per la raccolta delle frasi seed tramite l’infrastruttura di Cloudflare.

Parte II - Conclusione

Non si tratta di spam opportunistico. Si tratta di un campagna della durata di 18 mesi, gestita in modo professionale da un unico operatore che ha scoperto che l'algoritmo di posizionamento di Bing può essere aggirato con un dominio da 2 dollari e un tag del titolo copiato. Attualmente, sette siti di phishing occupano il primo posto su Bing — al di sopra delle piattaforme legittime di cui assumono l’identità.

L'infrastruttura di cloaking che abbiamo documentato — 15 siti identici con database condivisi, occultamento dei contenuti basato su CSS e reindirizzamenti di riserva tramite JavaScript — rappresenta uno strumento appositamente progettato per manipolare i motori di ricerca su larga scala.

Google blocca tutti i 26 domini. Bing li posiziona 7 al primo posto. La soluzione tecnica esiste. Le prove sono di dominio pubblico. I domini sono documentati. Il registrar è stato identificato. La domanda rimane: si farà qualcosa?