PhishDestroy 라이브
뉴스로 돌아가기
실제 위협

기계 속으로: 암호화폐 사기꾼들의 수법
Bing 및 DuckDuckGo 하이재킹

SEMrush의 실시간 데이터를 바탕으로, 암호화폐 피싱 사이트를 Bing과 DuckDuckGo 검색 결과 상위에 노출시키기 위해 진행된 두 건의 병행 SEO 공격 작전을 폭로하는 조사 보고서입니다. 도메인 10개. 공격 경로 2개. 월 10만 명 이상의 잠재적 피해자.

2026년 3월 30일 PhishDestroy 연구 읽는 데 22분 소요 SEMrush API 데이터
빙(Bing)과 덕덕고(DuckDuckGo) 검색 결과를 조작하는 암호화폐 사기꾼들 — 사이버펑크 스타일의 시각화
위기에 처한 검색 엔진: 조직적인 공세로 인해 피싱 사이트가 합법적인 암호화폐 플랫폼보다 상위에 노출되고 있다
10피싱 도메인
9PBN 기부자
60,500+일일 노출량
10만 이상월별 피해자 수
2공격 경로
면책 조항

본 보고서의 모든 데이터는 사이버 보안 연구 목적으로 SEMrush API 및 phishdestroy.io를 통해 수집되었습니다. 도메인 이름은 사용자에게 경고를 주기 위해 공개된 것이며, 이를 홍보하기 위한 것이 아닙니다.

두 가지 공격 경로

우리의 조사 결과 밝혀진 바에 따르면 완전히 서로 다른 두 개의 병렬 작업 피싱 사이트를 Bing과 DuckDuckGo 검색 결과 상단에 노출시키기 위해 동시에 진행되고 있다.

벡터 A: 야후 검색 결과 페이지(SERP) 삽입
모바일 검색 페이지를 통해 야후의 도메인 권위(AS 24)를 악용합니다. 빙은 피싱 앵커가 포함된 동적으로 생성된 야후 검색 URL로부터 신뢰도를 물려받습니다. 목표: curvefinance.co, curvefi.co, aster-dex.at
벡터 B: 조정된 PBN 네트워크
AS 49–65에 속한 9개의 해킹당했거나 구매된 도메인이 여러 피싱 사이트로 동시에 연결됩니다. 모든 검색 엔진에서 작동합니다. 목표: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, keplr.me

벡터 A: 야후 검색 결과 페이지(SERP) 주입 공격

이것은 틀림없이 기술적으로 가장 우아한 2026년에 우리가 기록한 블랙햇 SEO 공격입니다. 이 공격은 Bing이 링크 권위를 평가하는 방식에 내재된 근본적인 결함을 악용하는데, 구체적으로는 신뢰할 수 있는 도메인에서 생성된 진정한 편집 링크와 동적으로 생성된 검색 결과 페이지를 구분하지 못하는 점을 노립니다.

야후 검색 결과 페이지(SERP)를 통한 빙(Bing) 순위 조작 공격의 진행 과정을 보여주는 기술 도식
야후에서 계승된 권위 점수(AS 24)가 모바일 검색 페이지를 통해 피싱 도메인으로 전달되는데, 빙은 이 신호를 합법적인 것으로 인정한다

원리 — 단계별 설명

Yahoo URL 생성하기8개 이상의 국가별 하위 도메인
앵커 삽입무작위 문의 + 피싱 링크
강제 크롤링핑 서비스 + 스팸
Bing 색인Yahoo AS 24를 상속받음
1위상위 검색 결과에 나타난 피싱 사이트

1단계 — 신뢰할 수 있는 캐리어 URL 생성. 공격자들은 여러 국제 하위 도메인에 걸쳐 야후의 모바일 검색 엔드포인트에서 URL을 조작합니다: no.search.yahoo.com (노르웨이), fr.search.yahoo.com (프랑스), mx.search.yahoo.com (멕시코), pl.search.yahoo.com (폴란드), gr.search.yahoo.com (그리스), qc.search.yahoo.com (퀘벡), chfr.search.yahoo.com (스위스 프랑스어), co.search.yahoo.com (콜롬비아). 이 페이지들에는 야후에서 계승된 권위 점수(Authority Score)인 23–24가 표시되어 있습니다.

2단계 — 피싱 앵커 삽입. 각 URL에는 “pele+fifa”, “Jean-Paul+Sartre”, “Radio+Stars”, “jucheck.exe”와 같이 완전히 무작위적이고 무해한 검색어가 포함되어 있지만, 앵커 텍스트에는 다음과 같이 적혀 있습니다: curvefi.co Curve Finance. 무작위 쿼리를 사용함으로써 스팸 필터에 의한 패턴 일치가 발생하지 않도록 합니다.

3단계 — 강제 크롤링 및 색인 생성. 공격자들은 대량 핑 서비스, 포럼/블로그 댓글 삽입, 자동 크롤링 유발 도구를 이용해 Bingbot이 해당 URL을 크롤링하도록 유도합니다.

빙의 알고리즘 실패

구글의 알고리즘: “이 페이지는 동적 검색 결과 페이지입니다. 링크 권한이 전달되지 않습니다.”
Bing의 알고리즘: “yahoo.com에서 ‘Curve Finance DEX’라는 앵커 텍스트를 사용하여 curvefi.co로 링크를 걸었습니다. 순위 신호 인정됨. ✓”

결과: ‘Curve Finance’ 검색어에 대해 Bing과 DuckDuckGo에서 피싱 사이트가 상위 3위권으로 올라섰다.

SEMrush의 생생한 증거 — curvefi.co

SEMrush 백링크 분석 API | 2026년 3월 30일 | 대상: curvefi.co
AS소스 도메인앵커 텍스트
24chfr.search.yahoo.comwww.curvefi.co Curve Finance
24co.search.yahoo.comcurvefi.co 커브 파이낸스
24fr.search.yahoo.comcurvefi.co 커브 파이낸스
24mx.search.yahoo.comwww.curvefi.co Curve Finance
24no.search.yahoo.comwww.curvefi.co Curve Finance
24pl.search.yahoo.comwww.curvefi.co Curve Finance
23gr.search.yahoo.comwww.curvefi.co Curve Finance
23qc.search.yahoo.comcurvefi.co 커브 파이낸스

잔혹한 아이러니: 이 사이트에는 0 자연 검색 키워드, 0 SEMrush 데이터베이스에는 트래픽이 기록되어 있지 않지만, 야후의 권위를 빌려온 덕분에 “Curve Finance”에 대한 Bing/DDG 검색 결과에 표시됩니다.

벡터 B: 조정된 PBN 네트워크

이 대목에서 수사는 정말로 우려스러운 국면을 맞이합니다. 총 5개의 별개의 피싱 사이트가 — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, keplr.me — 모두 공통적으로 동일한 백링크 출처 집합. 이것은 우연이 아닙니다. 이것은 단일 조직 범죄 활동 단일 인프라를 통해 여러 피싱 캠페인을 진행하는 것.

범죄 PBN 네트워크 시각화 — 5개의 피싱 대상 사이트로 연결되는 9개의 도너 도메인
운영자 1명, PBN 기부자 9명, 피싱 표적 5명 — 이것이 우연의 일치일 확률은 약 0.00001%입니다.

The Smoking Gun — 공유 인프라

SEMrush API | 도메인 간 분석 | 2026년 3월 30일
PBN 기증자 도메인ASrabbysdexscr모네로트레조르
lewievuittton.com65
lyricamed.us.com61
creatfx.com60
jba.com.jo56
jornaldevinhedo.com56
jasaaspalhotmix.com54
magna-eg.com50
markjohnsonbuilders50
nextplayflix.com49
lewievuittton.com에 대한 참고 사항

최상위 PBN 공급원(AS 65)은 그 자체로 루이 비통(Louis Vuitton)의 타이포스쿼팅 사이트입니다. 이 PBN 공급원은 다른 사기 사이트들을 떠받치는 사기 사이트로, 그 뿌리부터 끝까지 범죄 인프라로 이루어져 있습니다.

피싱 도메인 프로필

SEMrush 도메인 개요 | 2026년 3월
도메인사칭하다키워드최우선 목표
dexscreener.atDexScreener64“dexscreener” #42월 60,500
rabbys.at래비 지갑15“래비 지갑” #51월 5,400
trezorsuite.atTrezor Suite7“trezor suite” #32월 4,400
aster-dex.atAster DEX13“아스터 거래소” #25월 3,600
monero-wallet.at모네로 지갑4“xmr 온라인 지갑” #26월 210
keplr.meKeplr 지갑0스팸 댓글 은폐해당 사항 없음
bscscan.cfdBSCScan0대량 스팸 링크해당 사항 없음
curvefinance.co커브 파이낸스0야후 인젝션 전용해당 사항 없음
curvefi.co커브 파이낸스0야후 인젝션 전용해당 사항 없음
app-crv.netCurve 앱0혼합 기법해당 사항 없음
중요: Trezor Suite 다운로드

검색 중인 사용자 “트레조어 스위트 다운로드” 지갑 소프트웨어를 설치하려고 적극적으로 찾고 있습니다. DuckDuckGo 검색 결과 3~5위에 나타나는 피싱 사이트로 인해 사용자들이 악성코드 하드웨어 지갑 인터페이스라고 생각하며. 이것은 이론적인 이야기가 아닙니다. 바로 지금 실제로 일어나고 있는 일입니다.

AI 기반 기사 양산 공장

aster-dex.at 변종은 혼합 접근법, 베트남, 이탈리아, 인도네시아, 스위스 전역에 걸쳐 해킹당했거나 이 목적을 위해 특별히 제작된 사이트에 게시된 AI 생성 블로그 콘텐츠와 야후 인젝션을 결합한 방식입니다.

피싱 사이트로 연결되는 똑같은 AI 생성 블로그 게시물을 양산하는 공장
해킹당한 사이트에 게시된 AI 생성 기사 — 제목은 똑같고 도메인은 다르며, 모두 동일한 피싱 사이트로 연결됨

블로그 게시물들의 제목은 모두 거의 똑같습니다: “왜 토큰 스왑과 유동성 풀이 노련한 DEX 트레이더들조차 여전히 당황하게 만드는가”, “왜 자동화된 시장 조성자들이 여전히 트레이더들을 놀라게 하는가”. 이들은 AI가 생성한 기사 AS 21–36이 할당된 사이트에 배치되었으며, 모두 aster-dex.at로 연결됩니다.

댓글 스팸 유입

keplr.me는 완전히 다른 방식을 취합니다. 바로 관련성이 없는 권위 높은 사이트에 순수한 댓글 스팸을 올리는 것입니다. “ZackaryThymn”, “Fritzkah”, “Jamesboach”와 같은 가짜 사용자 이름으로 철학 교육 사이트에 암호화폐 지갑 앵커 링크를 삽입합니다 (filozofija.edu.rs, AS 45), 직원 참여 플랫폼 (bavave.com, AS 63), 그리고 예술 축제(lea-festival.com, AS 50).

댓글란에 피싱 링크가 숨겨진 합법적인 웹사이트
정상적인 사이트들이 자신도 모르게 피싱 링크를 호스팅하고 있는데, 이 링크들은 겉보기에는 평범해 보이는 사용자 댓글 사이에 숨겨져 있다

최악의 수준: 자동화된 도구 스팸

bscscan.cfd 가장 조잡한 방법을 사용하는데, 말 그대로 이름이 rankongoogle.agency 그리고 linksjump.click. 모든 출처의 AS 값은 0입니다. .cfd 최상위 도메인(TLD)은 알려진 스팸 지표입니다. 하지만 Bing에서는 이 방법조차 부분적으로 효과가 있습니다. 즉, 부정적인 이력이 전혀 없는 신규 도메인의 경우, 품질이 낮은 링크의 양이 검색 순위에 영향을 미칠 수 있습니다.

사이버펑크 스타일의 초저가 백링크 마켓플레이스
“백링크 1,000개, 9.99달러” — 가장 저렴한 SEO 사기 도구들이 여전히 Bing에서는 부분적으로 효과가 있다

빙(Bing)과 덕덕고(DuckDuckGo)가 특히 취약한 이유

구글 요새 대 빙 요새 — 취약점 비교
구글의 다층적 스팸 방어 체계 대 빙의 미흡한 탐지 능력 — 사기꾼들이 악용하는 격차
사기꾼들이 적극적으로 악용하는 알고리즘상의 차이점
특징구글Bing
동적 페이지 감지검색 결과 페이지에서는 링크 권한이 전달되지 않습니다야후 검색 페이지가 편집 콘텐츠로 간주됨
스팸 머신러닝의 성숙도15년 이상의 SpamBrain 훈련 데이터성숙도가 낮음; PBN AS 50–65는 여전히 유효함
브랜드 보호공격적; curvefinance.co가 빠르게 적발됨.at/.co 최상위 도메인(TLD) 사기 수법은 더 오랫동안 지속된다
AI 콘텐츠 양산 업체2023년 이후 배포된 탐지 기능.vn, .it 도메인의 AI 팜들은 여전히 합격점을 받고 있다
피싱 차단안전한 브라우징 기능은 알려진 도메인을 신속하게 차단합니다SmartScreen이 새로 등록된 사기 도메인을 탐지하지 못함
DuckDuckGo의 특정한 취약점

DDG는 Bing의 색인을 주요 데이터 소스로 사용하며, 이를 계승하여 모두 Bing의 취약점들. DDG를 선호하는 개인정보 보호에 민감한 사용자들은 대개 암호화폐에 정통한 경우가 많아, 더 가치 있는 표적이 됩니다. DDG에는 독립적인 스팸 신고 시스템이 없으며, 신고 내용은 Bing으로 전달됩니다.

키워드 타겟팅 전략

키워드 프로필을 살펴보면 외과적 정밀도 타겟 선정 과정에서. 운영자들은 주요 브랜드 검색어뿐만 아니라 타이포스쿼트(“랍비 지갑”, “루비 지갑”, “dexscrenner”)는 물론 중국어 검색어(“아스터 거래소” (25위).

암호화폐 사기꾼들의 다국어 키워드 타겟팅을 보여주는 세계 지도
다국어 타겟팅: 영어, 프랑스어, 중국어, 베트남어 — 이 사업은 대륙을 아우릅니다
브랜드 + 검색량 분석 | SEMrush 미국 | 2026년 3월
대상 키워드월간 거래량사기 도메인직책
dexscreener60,500dexscreener.at#42
래비 지갑5,400rabbys.at#51–71
트레조르 제품군4,400trezorsuite.at#32–85
아스터 덱스3,600aster-dex.at#63
dexscrenner오타2,400dexscreener.at#45
아스터 거래소중국어1,000aster-dex.at#25
Trezor Suite 다운로드260trezorsuite.at#54
랍비 지갑오타210rabbys.at#54
온라인 XMR 지갑210monero-wallet.at#55–69

역사적 배경: 트러스트 월렛(Trust Wallet) / 덕덕고(DuckDuckGo) 문제

이 문제는 뿌리가 깊다

이러한 공격은 새로운 현상이 아닙니다. 문제는 훨씬 더 심각하다 Trust Wallet과 같은 지갑들이 DuckDuckGo를 기본 앱 내 검색 엔진. 지갑 내에서 DeFi 프로토콜을 검색하던 사용자들은 복잡한 SEO 작업 없이도 피싱 사이트가 첫 번째 검색 결과로 노출되는 상황을 겪었습니다. 스팸 탐지 기능이 취약한 개인정보 보호 중심 검색 엔진과 브라우저가 내장된 암호화폐 지갑의 조합으로 인해 완벽한 폭풍 피싱을 위해.

트러스트 월렛이 기본 검색 엔진으로 DDG를 사용하지 않게 된 후에도 근본적인 취약점은 여전히 남아 있습니다. 어떤 사용자가든 개인 정보 보호를 위해 DuckDuckGo를 직접 선택한다 — 암호화폐 사용자와 상당 부분 겹치는 이 인구 집단 —은 오늘날에도 여전히 바로 이러한 공격에 노출되어 있습니다. 본 보고서에 기록된 사기 조직들은 이 기법의 다양한 변형을 활용해 몇 년, 검색 엔진들이 개별 벡터를 서서히 수정해 나가는 데 맞춰 적응해 나간다.

자신을 보호하는 방법

항상 정확한 도메인 이름을 확인하십시오

REAL Curve Finance → curve.fi (.co, .net 제외) • DexScreener → dexscreener.com (NOT .at) • Rabby → rabby.io (.at, .me 제외) • Trezor Suite → suite.trezor.io (trezorsuite.at 아님) • Keplr → keplr.app (NOT .me) • BSCScan → bscscan.com (.cfd 아님)

마이크로소프트/빙에 대한 제안

  1. 동적 페이지 감지: 검색 결과 페이지(야후, 바이두, 구글)를 분류하고, 외부 링크에서 링크 권위를 제거합니다.
  2. 협동 PBN 탐지: 9개의 도메인이 동일한 패턴을 보이는 5개의 서로 다른 사이트로 링크되어 있을 경우, 조작으로 표시하십시오.
  3. 브랜드 사칭 방지 계층: TLD 대체 공격 탐지 (dexscreener.atdexscreener.com)
  4. .AT 도메인 모니터링: 암호화폐 검색 결과 페이지(SERP)에서 새로 등록된 .at 도메인에 대한 심사가 강화됨
  5. DuckDuckGo 빠른 검색: DDG가 직접 액세스할 수 있는 전용 스팸 제거 API를 생성합니다.

결론

이것은 기회주의적인 스팸이 아닙니다. 이것은 전문적으로 체계화된, 다중 브랜드·다중 채널 SEO 운영 구글과 빙의 스팸 탐지 기능 간의 허점을 악용하기 위해 특별히 설계되었습니다. 오늘 DuckDuckGo에서 “Trezor Suite 다운로드”를 검색하는 모든 사용자는 실제 사이트보다 먼저, 지갑을 털어갈 피싱 사이트를 보게 될 수도 있습니다. 기술적인 해결책은 이미 존재합니다. 문제는 빙이 이를 적용할지 여부입니다.

극적인 법정 장면 — 증거물이 제시된 가운데 재판을 받고 있는 암호화폐 사기범들
증거는 공개되어 있습니다. 도메인 정보도 기록되어 있습니다. 피해자들은 실존합니다. 해결책은 마이크로소프트의 손에 달려 있습니다.
후속 조사 — 2026년 4월 17일

제2부: 2달러 전략 — 피싱 사이트 26곳, 등록 기관 1곳, 빙 검색 결과 1위 7건

지난 3월 조사 이후 진행된 후속 조사에서 밝혀진 바에 따르면 신규 피싱 도메인 26개 — 모두 DeFi 프로토콜을 사칭하고 있는 — 현재 순위는 #1 on Bing 대상 브랜드 검색어에 대해. SEMrush API 백링크 데이터, RDAP 등록 기록 및 직접 소스 코드 분석을 활용하여, 우리는 모든 도메인을 하나하나 추적하여 운영자 1명, 등록기관 1곳(NiceNIC), 그리고 15개 사이트로 구성된 위장된 PBN 네트워크 1개. 도메인당 비용: 2달러. 소요 시간: 10분.

운영자 1명, 피싱 미끼 26개, 검증을 하지 않는 검색 엔진 1개
운영자 1명. 빙(Bing) 내 피싱 유인 장치 26개. 비용: 도메인당 2달러.
26피싱 도메인
1등록기관 (NiceNIC)
7Bing 검색 결과 1위
15은폐된 PBN 사이트
0구글 검색 순위

운영사 1곳, 도메인 26개, 등록기관 1곳

우리는 총 26개의 피싱 도메인 모두에 대해 RDAP 쿼리를 실행했습니다. 모든 도메인에서 동일한 등록 기관이 반환되었습니다: NiceNIC 인터내셔널 그룹 유한공사. ‘대부분’이 아니다. ‘다수’도 아니다. 23건 중 23건 모두 쿼리 성공 — 동일한 등록 기관이며, 인증 전에 3건의 속도 제한 오류가 발생했습니다(두 기관의 인프라 패턴이 일치합니다).

NiceNIC을 통해 등록된 23개 도메인 중 23개를 보여주는 OSINT 조사 보드
23건 중 23건 모두 확인됨. 동일한 등록기관. 동일한 고객. 악용 조치 없음.

RDAP 등록 데이터 — 일괄 등록 증빙 자료

RDAP 쿼리 결과 | 2026년 4월 | 26건 중 23건 쿼리 성공
도메인사칭하다생성됨Cloudflare NS 쌍
star-gate-finance-stargate.finance스타게이트 파이낸스2025-09-08테리/시메나
app-vesper.finance베스퍼 파이낸스2025-09-08테리/시메나
app-vvs.financeVVS 파이낸스2025-09-08테리/시메나
orbit-protocol-lending.net오빗 프로토콜2025-10-10테리/시메나
vvsfnance.comVVS 파이낸스2025-07-12에이프릴/케이든
spooky-swap.netSpookySwap2025-04-15에이프릴/케이든
thorwsap.comTHORSwap2025-07-24에이프릴/케이든
hyperlokc.com하이퍼록 파이낸스2025-07-12아놀드/데스티니
shadow-ex.net섀도우 익스체인지2025-06-24아모스/트리샤
v2velodrome.com벨로드롬 파이낸스2025-09-04다야나/마빈
layerbank-v3.comLayerBank2024-09-07오스틴/셰릴
biasterswap.xyzBiSwap2024-09-07레이디/랭스턴
v2-olympusdao.comOlympusDAO2026-03-29내시/로미나
uncx.orgUNCX 네트워크2025-12-24코리/메건
amblent.cc앰비언트 파이낸스2026-02-09니콜/살바도르
juicefi.cc주스 파이낸스2026-02-09니콜/살바도르
rhea-finance.comRhea Finance2025-05-30
rhea-finance.netRhea Finance2025-05-30
rhea-rhea.orgRhea Finance2025-05-30
silo-finance-silofinance.netSilo Finance2025-05-30
일괄 등록 — 운영자 1명, 여러 세션

공유된 Cloudflare NS 쌍과 동일한 생성 날짜는 일괄 등록을 입증합니다:

  • 2025-09-08: star-gate + app-vesper + app-vvs (모두 terry/ximena)
  • 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (도메인 4개, 세션 1개)
  • 2026-02-09: amblent.cc + juicefi.cc (nicole/salvador)
  • 2024-09-07: layerbank-v3.com + biasterswap.xyz — 18개월 이상 진행 중인 운영

2달러 플레이북 — 단계별 안내

복잡한 SEO는 잊어버리세요. 몇 달에 걸친 링크 구축도 잊어버리세요. 바로 여기, Bing 검색 결과 1위를 차지하게 해주는 완벽하고 검증된 공격 순서가 있습니다.

2달러로 피싱 사이트를 Bing 검색 결과 1위에 올리는 4단계
단 4단계, 2달러면 빙이 피싱 사이트를 1위로 선정한다
타이포스쿼트 등록$1-2 at NiceNIC
타이틀 태그 복제실제 사이트에서 복사
PBN에 제출하기안녕. 참고로, 15개 사이트
2~8주 정도 기다리세요Bing의 색인 및 순위 결정
Bing #1위의 실제 프로젝트

1단계: 타이포스쿼트 레지스트리

26개 도메인 중 8개 도메인에 걸친 타이포스쿼팅 기법
실제 프로젝트실제 도메인피싱 도메인기법
VVS 파이낸스vvs.financevvsfnance.com빠진 글자 (i)
THORSwapthorswap.comthorwsap.com문자 혼동 (a/w)
하이퍼록hyperlock.fihyperlokc.com문자 혼동 (c/k)
Arbitrum 브리지bridge.arbitrum.ioarbtrumbridge.cc스왑 + 저렴한 TLD
앰비언트 파이낸스ambient.financeamblent.cc발음상의 오기
Thruster Financethruster.financethnuster.cc누락된 글자 (r→n)
낙관주의의 다리app.optimism.iooptrnismbirdge.cc여러 군데 오타가 있습니다
스타게이트 파이낸스stargate.financestar-gate-finance-stargate.finance키워드 남용

2단계: 타이틀 태그 복제 ($0, 5분)

운영자는 정확히 그 내용을 복사합니다. <title> 실제 프로젝트 웹사이트의 태그와 메타 설명. 이것이 가장 중요한 단계입니다. 이 페이지 자체가 지갑 자금을 털어가는 사이트이거나 시드 문구를 탈취하는 사이트입니다 — 하지만 <title> 이것이 바로 Bing이 순위를 매기는 기준입니다.

3단계: 클로크드 PBN에 제출하기 ($0, 1분)

운영자는 15곳의 PBN 사이트 중 한 곳을 방문합니다 (bye.fyi, atomizelink.icu, 등), “URL 입력”이라고 표시된 양식에 도메인을 입력한 뒤 “축약”을 클릭합니다. 한 번의 제출로 15개 사이트 모두에 동시에 페이지가 생성됩니다. 이 사이트들은 하나의 데이터베이스를 공유하기 때문입니다.

4단계: 대기 (2~8주, $0)

증거: 백링크 1개 = Bing 1위

app.thnuster.cc “Thruster Finance” 검색어에서 Bing 검색 결과 1위를 차지했으며, 정확히 1개의 백링크 — 캐시된 야후 검색 결과 페이지. PBN은 애초에 필요조차 없었다.

총 비용 내역

무엇비용시간
도메인 (.cc/.com, NiceNIC을 통해)$1-22분
Cloudflare DNS (무료 요금제)$01분
실제 사이트의 타이틀 태그 복사하기$05분
PBN(bye.fyi 등)에 제출하기$01분
색인화가 완료될 때까지 기다리세요$02~8주
합계$1-2약 10분

클로킹 엔진의 내부

저희는 PBN 네트워크에서 실제 HTML 소스 코드를 수집하여 분석했습니다. 모든 도메인의 모든 페이지에서 동일한 클로킹 엔진이 작동하고 있습니다.

사용자가 보는 것과 Bingbot이 보는 것 — 클로킹의 벽
사용자가 보는 것과 Bingbot이 보는 것 — z-index: 1000000 벽 뒤에는 3,500개의 링크가 숨겨져 있다

페이지 구조: 400KB HTML, 3,500개 이상의 링크, 4개 레이어

레이어 1 — 클로킹 월 (사용자에게 보이는 화면)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

흰색 div가 뷰포트 전체를 덮습니다. z-index:1000000을 설정하면 그 위에 다른 요소가 렌더링되지 않습니다. overflow:hidden 화면에 표시되어 있으면 스크롤을 넘길 수 없습니다. 사용자는 “만료됨”이라는 메시지를 보고 페이지를 떠납니다.

레이어 2 — JS 리디렉션 (백업 보호)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

사용자가 흰색 벽을 우회하면, 자바스크립트가 scrib.li로 리디렉션합니다(제휴 수익 창출). 3중 보호 인간 방문객을 상대로.

3층 — 가짜 외관 (봇이 보는 것)

Bingbot은 CSS 오버레이를 무시하고 원본 HTML을 분석합니다. 검색 양식이 있는 “URL 단축” 사이트를 확인합니다. 정상적으로 보입니다.

4단계 — 링크 모음 (3,500개의 nofollow 링크)
<p>Learn More Here <a rel="nofollow"
     href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ...

이 피싱 도메인은 3,500개의 무작위 도메인 사이에 숨겨져 있습니다. 빙 간식 rel="nofollow" 지수화 신호로서 — 어쨌든 대상 사이트를 크롤링합니다.

증명: 하나의 네트워크, 하나의 데이터베이스

orbit-protocol-lending.net 여러 PBN 도메인에 걸쳐 나타나며 동일한 데이터베이스의 연속 ID:

단 하나의 데이터베이스, 15개의 프론트엔드 도메인 — 모두 동일한 백엔드에서 동일한 콘텐츠를 제공합니다
단 하나의 데이터베이스. 15개의 프론트엔드 도메인. 모든 화면은 동일한 백엔드에서 제공되는 동일한 콘텐츠를 표시합니다.
“서로 다른” PBN 브랜드 전반에 걸친 연속 ID — 공유 백엔드 증거
PBN 도메인URL 패턴ID
blogsphere.top/stats/4920749207
optimizeflow.top/stats/4920749207
websites.freemyip.com/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
dailymusings.top/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
byteshort.xyz/report/4920849208

서로 다른 “브랜드” 간에 동일한 ID = 단일 백엔드, 단일 운영자. 15개의 도메인. 동일한 HTML 템플릿. 동일한 CSS (style.css). 동일한 자바스크립트 (work.js). 여전히 3,500개의 링크가 포함된 페이지들입니다.

두 번째 PBN — 도메인 체커 네트워크

별도로 구축된, 더욱 공격적인 링크 네트워크는 선별된 대상에 도팔로우 백링크를 제공합니다. 마스터 서버: all-aged-domains.com — 50~80개의 위성 도메인에 CSS, JS 및 템플릿을 제공하는 WordPress 6.6.2 설치 환경.

은폐형 PBN(네트워크 A) 대 도메인 검사기(네트워크 B)
특징네트워크 A (은폐형 PBN)네트워크 B (도메인 확인기)
사이트~15~50-80
클로킹예 (CSS + JS 리디렉션)아니요
링크 유형99.4% nofollow99.99% 도팔로우
페이지당 링크 수~3,500~10,000
페이지 크기400KB4MB
CMS사용자 정의 PHP워드프레스 6.6.2
마스터 서버공유 데이터베이스 (순차 ID)all-aged-domains.com
Google 태그 매니저아니요예 (트래픽을 추적합니다)
아이러니

백링크 수가 10배나 많고 모두 도팔로우(dofollow)임에도 불구하고, 네트워크 B는 다음을 목표로 삼고 있다 Bing 검색 결과 1위에 오르지 못했습니다. biasterswap.xyz에는 110개의 도팔로우 링크가 있습니다. layerbank-v3.com에는 98개가 있습니다. 두 사이트 모두 1위를 차지하지는 않습니다.

한편, app.thnuster.cc ~이 있다 백링크 1개 그리고 1위를 차지했습니다.

빙(Bing)의 경우, 노팔로우(nofollow) 클로킹이 적용된 PBN과 제목 일치 전략이 대량 도팔로우(dofollow) 스팸보다 더 효과적이다.

빙이 왜 이런 것에 속아 넘어가는가

입구에서 피싱을 막아내는 구글의 ‘갑옷을 입은’ 로봇 vs 문을 활짝 열어주는 빙의 친절한 문지기
구글의 장갑을 입은 로봇은 입구에서 피싱을 차단합니다. 빙의 친절한 문지기는 문을 열어줍니다.

타이틀 매치의 취약점

app.thnuster.cc 백링크가 딱 하나뿐인데, 바로 캐시된 야후 검색 결과 페이지입니다. 이 페이지는 빙에서 “Thruster Finance” 검색 시 1위를 차지하고 있습니다. 이는 경쟁이 적은 브랜드 관련 검색어에 대한 빙의 순위 결정이 주로 다음 요소에 의존한다는 것을 보여줍니다:

  1. 타이틀 태그의 정확한 일치 검색어에
  2. 도메인이 색인되었습니다 (어떤 신호든 — 노팔로우 링크 하나만 있어도 — 충분합니다)
  3. 부정적인 신뢰 신호가 없음 (도메인이 새로 개설되었으며, 이력이 깨끗합니다)

구글은 상당한 신뢰도 신호를 요구하며, 알려진 브랜드 도메인과 대조 확인을 거칩니다. 반면 빙은 그렇지 않습니다.

Bing 대 Google — 26개 도메인에 걸친 검색 순위 결과
미터법Bing구글
피싱 도메인이 1위를 차지했습니다70
상위 10개 피싱 도메인70
도메인 생성 시점부터 순위를 매길 때입니다2~8주결코

Bing 검색 결과 1위 (SerpAPI를 통해 확인, 2026년 4월)

쿼리#1 Result (Phishing)백링크
“스타게이트 파이낸스”star-gate-finance-stargate.finance20
“섀도우 익스체인지”shadow-ex.net16
“UNCX 네트워크”www.uncx.org51
“스러스터 파이낸스”app.thnuster.cc1
“오빗 프로토콜”orbit-protocol-lending.net15
“VVS 파이낸스”vvsfnance.com (#1) + www.app-vvs.finance (#10)36 + 37

업데이트된 보호 목록 (제2부 브랜드)

항상 정확한 도메인 이름을 확인하십시오

스타게이트 파이낸스 → stargate.finance (star-gate-finance-stargate.finance 아님) • VVS Finance → vvs.finance (vvsfnance.com 아님) • THORSwap → thorswap.com (thorwsap.com 아님) • 벨로드롬 → velodrome.finance (v2velodrome.com 아님) • UNCX → uncx.network (uncx.org 아님) • SpookySwap → spooky.fi (spooky-swap.net 아님) • OlympusDAO → olympusdao.finance (v2-olympusdao.com 아님) • Thruster → thruster.finance (thnuster.cc 아님) • 앰비언트 → ambient.finance (amblent.cc가 아님)

권고 사항 (제2부)

마이크로소프트/빙 담당자께:

  1. 타이틀전만으로는 권위를 인정받을 수 없다. 일치하는 제목만으로는 새로운 도메인이 브랜드 관련 검색어에서 1위를 차지해서는 안 됩니다. 도메인 운영 기간, 백링크 권위 또는 브랜드 인증 신호를 필수 조건으로 삼아야 합니다.
  2. CSS 기반 클로킹을 탐지합니다. 사용자에게는 콘텐츠를 숨기지만 크롤러에게는 표시하는 z-index 오버레이를 사용하는 페이지는 표시되어야 합니다.
  3. 조직적으로 운영되는 PBN 네트워크를 탐지합니다. 하나의 백엔드를 공유하며 동일한 대상 페이지로 연결되는 15개의 도메인은 유기적인 링크 구축이 아닙니다.
  4. 암호화폐 검색 결과 페이지(SERP)에서 NiceNIC에 등록된 도메인을 표시 더 철저한 검토를 위해.
  5. DuckDuckGo 스팸 신속 처리 절차를 마련하십시오. DDG는 Bing의 모든 취약점을 그대로 물려받았으나, 독립적인 스팸 신고 기능은 갖추고 있지 않습니다.

NiceNIC International Group Co., Limited 귀하:

피싱 도메인 26개. 고객 1명. 18개월에 걸쳐 일괄 등록. 악용에 대한 조치는 전혀 취해지지 않음. 이 내용은 이제 공식적으로 기록되어 있습니다. 참조: 학대 신고가 무산될 때 그리고 NiceNIC: 체계적 촉진자.

Cloudflare 담당자께:

총 26개의 도메인 모두 Cloudflare DNS와 프록시를 사용하고 있습니다. 이 도메인들은 Cloudflare 인프라를 통해 지갑 자금을 탈취하는 프로그램과 시드 문구를 수집하는 프로그램을 운영하고 있습니다.

제2부 결론

이것은 기회주의적인 스팸이 아닙니다. 이것은 단일 운영자가 전문적으로 진행한 18개월간의 캠페인 $2짜리 도메인과 복사한 타이틀 태그만으로도 빙의 순위 알고리즘을 무력화할 수 있다는 사실을 발견한 사람. 현재 7개의 피싱 사이트가 빙 검색 결과 1위를 차지하고 있다 — 그들이 사칭하는 합법적인 플랫폼들보다 위에.

우리가 조사한 클로킹 인프라 — 데이터베이스를 공유하고, CSS를 기반으로 콘텐츠를 숨기며, 자바스크립트 리디렉션 대체 방식을 사용하는 15개의 동일한 사이트 — 는 대규모로 검색 엔진을 조작하기 위해 특별히 고안된 도구입니다.

구글은 26개 도메인 전부를 차단하고 있습니다. 빙은 그중 7개를 1위로 표시하고 있습니다. 기술적인 해결책은 이미 존재합니다. 증거는 공개되어 있습니다. 해당 도메인들은 기록에 남아 있습니다. 등록 기관도 확인되었습니다. 여전히 의문이 남는다. 과연 어떤 조치가 취해질 것인가?