기계 속으로: 암호화폐 사기꾼들의 수법
Bing 및 DuckDuckGo 하이재킹
SEMrush의 실시간 데이터를 바탕으로, 암호화폐 피싱 사이트를 Bing과 DuckDuckGo 검색 결과 상위에 노출시키기 위해 진행된 두 건의 병행 SEO 공격 작전을 폭로하는 조사 보고서입니다. 도메인 10개. 공격 경로 2개. 월 10만 명 이상의 잠재적 피해자.

본 보고서의 모든 데이터는 사이버 보안 연구 목적으로 SEMrush API 및 phishdestroy.io를 통해 수집되었습니다. 도메인 이름은 사용자에게 경고를 주기 위해 공개된 것이며, 이를 홍보하기 위한 것이 아닙니다.
두 가지 공격 경로
우리의 조사 결과 밝혀진 바에 따르면 완전히 서로 다른 두 개의 병렬 작업 피싱 사이트를 Bing과 DuckDuckGo 검색 결과 상단에 노출시키기 위해 동시에 진행되고 있다.
벡터 A: 야후 검색 결과 페이지(SERP) 주입 공격
이것은 틀림없이 기술적으로 가장 우아한 2026년에 우리가 기록한 블랙햇 SEO 공격입니다. 이 공격은 Bing이 링크 권위를 평가하는 방식에 내재된 근본적인 결함을 악용하는데, 구체적으로는 신뢰할 수 있는 도메인에서 생성된 진정한 편집 링크와 동적으로 생성된 검색 결과 페이지를 구분하지 못하는 점을 노립니다.

원리 — 단계별 설명
1단계 — 신뢰할 수 있는 캐리어 URL 생성. 공격자들은 여러 국제 하위 도메인에 걸쳐 야후의 모바일 검색 엔드포인트에서 URL을 조작합니다: no.search.yahoo.com (노르웨이), fr.search.yahoo.com (프랑스), mx.search.yahoo.com (멕시코), pl.search.yahoo.com (폴란드), gr.search.yahoo.com (그리스), qc.search.yahoo.com (퀘벡), chfr.search.yahoo.com (스위스 프랑스어), co.search.yahoo.com (콜롬비아). 이 페이지들에는 야후에서 계승된 권위 점수(Authority Score)인 23–24가 표시되어 있습니다.
2단계 — 피싱 앵커 삽입. 각 URL에는 “pele+fifa”, “Jean-Paul+Sartre”, “Radio+Stars”, “jucheck.exe”와 같이 완전히 무작위적이고 무해한 검색어가 포함되어 있지만, 앵커 텍스트에는 다음과 같이 적혀 있습니다: curvefi.co Curve Finance. 무작위 쿼리를 사용함으로써 스팸 필터에 의한 패턴 일치가 발생하지 않도록 합니다.
3단계 — 강제 크롤링 및 색인 생성. 공격자들은 대량 핑 서비스, 포럼/블로그 댓글 삽입, 자동 크롤링 유발 도구를 이용해 Bingbot이 해당 URL을 크롤링하도록 유도합니다.
구글의 알고리즘: “이 페이지는 동적 검색 결과 페이지입니다. 링크 권한이 전달되지 않습니다.”
Bing의 알고리즘: “yahoo.com에서 ‘Curve Finance DEX’라는 앵커 텍스트를 사용하여 curvefi.co로 링크를 걸었습니다. 순위 신호 인정됨. ✓”
결과: ‘Curve Finance’ 검색어에 대해 Bing과 DuckDuckGo에서 피싱 사이트가 상위 3위권으로 올라섰다.
SEMrush의 생생한 증거 — curvefi.co
| AS | 소스 도메인 | 앵커 텍스트 |
|---|---|---|
| 24 | chfr.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | co.search.yahoo.com | curvefi.co 커브 파이낸스 |
| 24 | fr.search.yahoo.com | curvefi.co 커브 파이낸스 |
| 24 | mx.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | no.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | pl.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | gr.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | qc.search.yahoo.com | curvefi.co 커브 파이낸스 |
잔혹한 아이러니: 이 사이트에는 0 자연 검색 키워드, 0 SEMrush 데이터베이스에는 트래픽이 기록되어 있지 않지만, 야후의 권위를 빌려온 덕분에 “Curve Finance”에 대한 Bing/DDG 검색 결과에 표시됩니다.
벡터 B: 조정된 PBN 네트워크
이 대목에서 수사는 정말로 우려스러운 국면을 맞이합니다. 총 5개의 별개의 피싱 사이트가 — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, keplr.me — 모두 공통적으로 동일한 백링크 출처 집합. 이것은 우연이 아닙니다. 이것은 단일 조직 범죄 활동 단일 인프라를 통해 여러 피싱 캠페인을 진행하는 것.

The Smoking Gun — 공유 인프라
| PBN 기증자 도메인 | AS | rabbys | dexscr | 모네로 | 트레조르 |
|---|---|---|---|---|---|
lewievuittton.com | 65 | ✓ | ✓ | ✓ | ✓ |
lyricamed.us.com | 61 | ✓ | ✓ | ✓ | ✓ |
creatfx.com | 60 | ✓ | ✓ | ✓ | ✓ |
jba.com.jo | 56 | ✓ | ✓ | ✓ | ✓ |
jornaldevinhedo.com | 56 | ✓ | ✓ | ✓ | ✓ |
jasaaspalhotmix.com | 54 | ✓ | ✓ | ✓ | ✓ |
magna-eg.com | 50 | ✓ | ✓ | ✓ | ✓ |
markjohnsonbuilders | 50 | ✓ | ✓ | ✓ | ✓ |
nextplayflix.com | 49 | ✓ | ✓ | ✓ | ✓ |
최상위 PBN 공급원(AS 65)은 그 자체로 루이 비통(Louis Vuitton)의 타이포스쿼팅 사이트입니다. 이 PBN 공급원은 다른 사기 사이트들을 떠받치는 사기 사이트로, 그 뿌리부터 끝까지 범죄 인프라로 이루어져 있습니다.
피싱 도메인 프로필
| 도메인 | 사칭하다 | 키워드 | 최우선 목표 | 권 |
|---|---|---|---|---|
dexscreener.at | DexScreener | 64 | “dexscreener” #42 | 월 60,500 |
rabbys.at | 래비 지갑 | 15 | “래비 지갑” #51 | 월 5,400 |
trezorsuite.at | Trezor Suite | 7 | “trezor suite” #32 | 월 4,400 |
aster-dex.at | Aster DEX | 13 | “아스터 거래소” #25 | 월 3,600 |
monero-wallet.at | 모네로 지갑 | 4 | “xmr 온라인 지갑” #26 | 월 210 |
keplr.me | Keplr 지갑 | 0 | 스팸 댓글 은폐 | 해당 사항 없음 |
bscscan.cfd | BSCScan | 0 | 대량 스팸 링크 | 해당 사항 없음 |
curvefinance.co | 커브 파이낸스 | 0 | 야후 인젝션 전용 | 해당 사항 없음 |
curvefi.co | 커브 파이낸스 | 0 | 야후 인젝션 전용 | 해당 사항 없음 |
app-crv.net | Curve 앱 | 0 | 혼합 기법 | 해당 사항 없음 |
검색 중인 사용자 “트레조어 스위트 다운로드” 지갑 소프트웨어를 설치하려고 적극적으로 찾고 있습니다. DuckDuckGo 검색 결과 3~5위에 나타나는 피싱 사이트로 인해 사용자들이 악성코드 하드웨어 지갑 인터페이스라고 생각하며. 이것은 이론적인 이야기가 아닙니다. 바로 지금 실제로 일어나고 있는 일입니다.
AI 기반 기사 양산 공장
aster-dex.at 변종은 혼합 접근법, 베트남, 이탈리아, 인도네시아, 스위스 전역에 걸쳐 해킹당했거나 이 목적을 위해 특별히 제작된 사이트에 게시된 AI 생성 블로그 콘텐츠와 야후 인젝션을 결합한 방식입니다.

블로그 게시물들의 제목은 모두 거의 똑같습니다: “왜 토큰 스왑과 유동성 풀이 노련한 DEX 트레이더들조차 여전히 당황하게 만드는가”, “왜 자동화된 시장 조성자들이 여전히 트레이더들을 놀라게 하는가”. 이들은 AI가 생성한 기사 AS 21–36이 할당된 사이트에 배치되었으며, 모두 aster-dex.at로 연결됩니다.
댓글 스팸 유입
keplr.me는 완전히 다른 방식을 취합니다. 바로 관련성이 없는 권위 높은 사이트에 순수한 댓글 스팸을 올리는 것입니다. “ZackaryThymn”, “Fritzkah”, “Jamesboach”와 같은 가짜 사용자 이름으로 철학 교육 사이트에 암호화폐 지갑 앵커 링크를 삽입합니다 (filozofija.edu.rs, AS 45), 직원 참여 플랫폼 (bavave.com, AS 63), 그리고 예술 축제(lea-festival.com, AS 50).

최악의 수준: 자동화된 도구 스팸
bscscan.cfd 가장 조잡한 방법을 사용하는데, 말 그대로 이름이 rankongoogle.agency 그리고 linksjump.click. 모든 출처의 AS 값은 0입니다. .cfd 최상위 도메인(TLD)은 알려진 스팸 지표입니다. 하지만 Bing에서는 이 방법조차 부분적으로 효과가 있습니다. 즉, 부정적인 이력이 전혀 없는 신규 도메인의 경우, 품질이 낮은 링크의 양이 검색 순위에 영향을 미칠 수 있습니다.

빙(Bing)과 덕덕고(DuckDuckGo)가 특히 취약한 이유

| 특징 | 구글 | Bing |
|---|---|---|
| 동적 페이지 감지 | 검색 결과 페이지에서는 링크 권한이 전달되지 않습니다 | 야후 검색 페이지가 편집 콘텐츠로 간주됨 |
| 스팸 머신러닝의 성숙도 | 15년 이상의 SpamBrain 훈련 데이터 | 성숙도가 낮음; PBN AS 50–65는 여전히 유효함 |
| 브랜드 보호 | 공격적; curvefinance.co가 빠르게 적발됨 | .at/.co 최상위 도메인(TLD) 사기 수법은 더 오랫동안 지속된다 |
| AI 콘텐츠 양산 업체 | 2023년 이후 배포된 탐지 기능 | .vn, .it 도메인의 AI 팜들은 여전히 합격점을 받고 있다 |
| 피싱 차단 | 안전한 브라우징 기능은 알려진 도메인을 신속하게 차단합니다 | SmartScreen이 새로 등록된 사기 도메인을 탐지하지 못함 |
DDG는 Bing의 색인을 주요 데이터 소스로 사용하며, 이를 계승하여 모두 Bing의 취약점들. DDG를 선호하는 개인정보 보호에 민감한 사용자들은 대개 암호화폐에 정통한 경우가 많아, 더 가치 있는 표적이 됩니다. DDG에는 독립적인 스팸 신고 시스템이 없으며, 신고 내용은 Bing으로 전달됩니다.
키워드 타겟팅 전략
키워드 프로필을 살펴보면 외과적 정밀도 타겟 선정 과정에서. 운영자들은 주요 브랜드 검색어뿐만 아니라 타이포스쿼트(“랍비 지갑”, “루비 지갑”, “dexscrenner”)는 물론 중국어 검색어(“아스터 거래소” (25위).

| 대상 키워드 | 월간 거래량 | 사기 도메인 | 직책 |
|---|---|---|---|
| dexscreener | 60,500 | dexscreener.at | #42 |
| 래비 지갑 | 5,400 | rabbys.at | #51–71 |
| 트레조르 제품군 | 4,400 | trezorsuite.at | #32–85 |
| 아스터 덱스 | 3,600 | aster-dex.at | #63 |
| dexscrenner오타 | 2,400 | dexscreener.at | #45 |
| 아스터 거래소중국어 | 1,000 | aster-dex.at | #25 |
| Trezor Suite 다운로드 | 260 | trezorsuite.at | #54 |
| 랍비 지갑오타 | 210 | rabbys.at | #54 |
| 온라인 XMR 지갑 | 210 | monero-wallet.at | #55–69 |
역사적 배경: 트러스트 월렛(Trust Wallet) / 덕덕고(DuckDuckGo) 문제
이러한 공격은 새로운 현상이 아닙니다. 문제는 훨씬 더 심각하다 Trust Wallet과 같은 지갑들이 DuckDuckGo를 기본 앱 내 검색 엔진. 지갑 내에서 DeFi 프로토콜을 검색하던 사용자들은 복잡한 SEO 작업 없이도 피싱 사이트가 첫 번째 검색 결과로 노출되는 상황을 겪었습니다. 스팸 탐지 기능이 취약한 개인정보 보호 중심 검색 엔진과 브라우저가 내장된 암호화폐 지갑의 조합으로 인해 완벽한 폭풍 피싱을 위해.
트러스트 월렛이 기본 검색 엔진으로 DDG를 사용하지 않게 된 후에도 근본적인 취약점은 여전히 남아 있습니다. 어떤 사용자가든 개인 정보 보호를 위해 DuckDuckGo를 직접 선택한다 — 암호화폐 사용자와 상당 부분 겹치는 이 인구 집단 —은 오늘날에도 여전히 바로 이러한 공격에 노출되어 있습니다. 본 보고서에 기록된 사기 조직들은 이 기법의 다양한 변형을 활용해 몇 년, 검색 엔진들이 개별 벡터를 서서히 수정해 나가는 데 맞춰 적응해 나간다.
자신을 보호하는 방법
REAL Curve Finance → curve.fi (.co, .net 제외) • DexScreener → dexscreener.com (NOT .at) • Rabby → rabby.io (.at, .me 제외) • Trezor Suite → suite.trezor.io (trezorsuite.at 아님) • Keplr → keplr.app (NOT .me) • BSCScan → bscscan.com (.cfd 아님)
- 절대 검색 결과에서 지갑을 연결하세요
- 즐겨찾기 합법적인 사이트를 직접
- DDG를 사용하세요
!bang바로가기:!g curve financeGoogle 검색을 강제합니다 - MetaMask의 피싱 탐지 확장 프로그램 설치하기
- 다음에서 원하는 도메인을 확인해 보세요 PhishDestroy 연결하기 전에
마이크로소프트/빙에 대한 제안
- 동적 페이지 감지: 검색 결과 페이지(야후, 바이두, 구글)를 분류하고, 외부 링크에서 링크 권위를 제거합니다.
- 협동 PBN 탐지: 9개의 도메인이 동일한 패턴을 보이는 5개의 서로 다른 사이트로 링크되어 있을 경우, 조작으로 표시하십시오.
- 브랜드 사칭 방지 계층: TLD 대체 공격 탐지 (
dexscreener.at≈dexscreener.com) - .AT 도메인 모니터링: 암호화폐 검색 결과 페이지(SERP)에서 새로 등록된 .at 도메인에 대한 심사가 강화됨
- DuckDuckGo 빠른 검색: DDG가 직접 액세스할 수 있는 전용 스팸 제거 API를 생성합니다.
결론
이것은 기회주의적인 스팸이 아닙니다. 이것은 전문적으로 체계화된, 다중 브랜드·다중 채널 SEO 운영 구글과 빙의 스팸 탐지 기능 간의 허점을 악용하기 위해 특별히 설계되었습니다. 오늘 DuckDuckGo에서 “Trezor Suite 다운로드”를 검색하는 모든 사용자는 실제 사이트보다 먼저, 지갑을 털어갈 피싱 사이트를 보게 될 수도 있습니다. 기술적인 해결책은 이미 존재합니다. 문제는 빙이 이를 적용할지 여부입니다.


운영사 1곳, 도메인 26개, 등록기관 1곳
우리는 총 26개의 피싱 도메인 모두에 대해 RDAP 쿼리를 실행했습니다. 모든 도메인에서 동일한 등록 기관이 반환되었습니다: NiceNIC 인터내셔널 그룹 유한공사. ‘대부분’이 아니다. ‘다수’도 아니다. 23건 중 23건 모두 쿼리 성공 — 동일한 등록 기관이며, 인증 전에 3건의 속도 제한 오류가 발생했습니다(두 기관의 인프라 패턴이 일치합니다).

RDAP 등록 데이터 — 일괄 등록 증빙 자료
| 도메인 | 사칭하다 | 생성됨 | Cloudflare NS 쌍 |
|---|---|---|---|
star-gate-finance-stargate.finance | 스타게이트 파이낸스 | 2025-09-08 | 테리/시메나 |
app-vesper.finance | 베스퍼 파이낸스 | 2025-09-08 | 테리/시메나 |
app-vvs.finance | VVS 파이낸스 | 2025-09-08 | 테리/시메나 |
orbit-protocol-lending.net | 오빗 프로토콜 | 2025-10-10 | 테리/시메나 |
vvsfnance.com | VVS 파이낸스 | 2025-07-12 | 에이프릴/케이든 |
spooky-swap.net | SpookySwap | 2025-04-15 | 에이프릴/케이든 |
thorwsap.com | THORSwap | 2025-07-24 | 에이프릴/케이든 |
hyperlokc.com | 하이퍼록 파이낸스 | 2025-07-12 | 아놀드/데스티니 |
shadow-ex.net | 섀도우 익스체인지 | 2025-06-24 | 아모스/트리샤 |
v2velodrome.com | 벨로드롬 파이낸스 | 2025-09-04 | 다야나/마빈 |
layerbank-v3.com | LayerBank | 2024-09-07 | 오스틴/셰릴 |
biasterswap.xyz | BiSwap | 2024-09-07 | 레이디/랭스턴 |
v2-olympusdao.com | OlympusDAO | 2026-03-29 | 내시/로미나 |
uncx.org | UNCX 네트워크 | 2025-12-24 | 코리/메건 |
amblent.cc | 앰비언트 파이낸스 | 2026-02-09 | 니콜/살바도르 |
juicefi.cc | 주스 파이낸스 | 2026-02-09 | 니콜/살바도르 |
rhea-finance.com | Rhea Finance | 2025-05-30 | — |
rhea-finance.net | Rhea Finance | 2025-05-30 | — |
rhea-rhea.org | Rhea Finance | 2025-05-30 | — |
silo-finance-silofinance.net | Silo Finance | 2025-05-30 | — |
공유된 Cloudflare NS 쌍과 동일한 생성 날짜는 일괄 등록을 입증합니다:
- 2025-09-08: star-gate + app-vesper + app-vvs (모두
terry/ximena) - 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (도메인 4개, 세션 1개)
- 2026-02-09: amblent.cc + juicefi.cc (
nicole/salvador) - 2024-09-07: layerbank-v3.com + biasterswap.xyz — 18개월 이상 진행 중인 운영
2달러 플레이북 — 단계별 안내
복잡한 SEO는 잊어버리세요. 몇 달에 걸친 링크 구축도 잊어버리세요. 바로 여기, Bing 검색 결과 1위를 차지하게 해주는 완벽하고 검증된 공격 순서가 있습니다.

1단계: 타이포스쿼트 레지스트리
| 실제 프로젝트 | 실제 도메인 | 피싱 도메인 | 기법 |
|---|---|---|---|
| VVS 파이낸스 | vvs.finance | vvsfnance.com | 빠진 글자 (i) |
| THORSwap | thorswap.com | thorwsap.com | 문자 혼동 (a/w) |
| 하이퍼록 | hyperlock.fi | hyperlokc.com | 문자 혼동 (c/k) |
| Arbitrum 브리지 | bridge.arbitrum.io | arbtrumbridge.cc | 스왑 + 저렴한 TLD |
| 앰비언트 파이낸스 | ambient.finance | amblent.cc | 발음상의 오기 |
| Thruster Finance | thruster.finance | thnuster.cc | 누락된 글자 (r→n) |
| 낙관주의의 다리 | app.optimism.io | optrnismbirdge.cc | 여러 군데 오타가 있습니다 |
| 스타게이트 파이낸스 | stargate.finance | star-gate-finance-stargate.finance | 키워드 남용 |
2단계: 타이틀 태그 복제 ($0, 5분)
운영자는 정확히 그 내용을 복사합니다. <title> 실제 프로젝트 웹사이트의 태그와 메타 설명. 이것이 가장 중요한 단계입니다. 이 페이지 자체가 지갑 자금을 털어가는 사이트이거나 시드 문구를 탈취하는 사이트입니다 — 하지만 <title> 이것이 바로 Bing이 순위를 매기는 기준입니다.
3단계: 클로크드 PBN에 제출하기 ($0, 1분)
운영자는 15곳의 PBN 사이트 중 한 곳을 방문합니다 (bye.fyi, atomizelink.icu, 등), “URL 입력”이라고 표시된 양식에 도메인을 입력한 뒤 “축약”을 클릭합니다. 한 번의 제출로 15개 사이트 모두에 동시에 페이지가 생성됩니다. 이 사이트들은 하나의 데이터베이스를 공유하기 때문입니다.
4단계: 대기 (2~8주, $0)
app.thnuster.cc “Thruster Finance” 검색어에서 Bing 검색 결과 1위를 차지했으며, 정확히 1개의 백링크 — 캐시된 야후 검색 결과 페이지. PBN은 애초에 필요조차 없었다.
총 비용 내역
| 무엇 | 비용 | 시간 |
|---|---|---|
| 도메인 (.cc/.com, NiceNIC을 통해) | $1-2 | 2분 |
| Cloudflare DNS (무료 요금제) | $0 | 1분 |
| 실제 사이트의 타이틀 태그 복사하기 | $0 | 5분 |
| PBN(bye.fyi 등)에 제출하기 | $0 | 1분 |
| 색인화가 완료될 때까지 기다리세요 | $0 | 2~8주 |
| 합계 | $1-2 | 약 10분 |
클로킹 엔진의 내부
저희는 PBN 네트워크에서 실제 HTML 소스 코드를 수집하여 분석했습니다. 모든 도메인의 모든 페이지에서 동일한 클로킹 엔진이 작동하고 있습니다.

z-index: 1000000 벽 뒤에는 3,500개의 링크가 숨겨져 있다페이지 구조: 400KB HTML, 3,500개 이상의 링크, 4개 레이어
<body style="overflow: hidden;">
<div style="position:absolute; top:0; left:0;
width:100%; height:5000px;
background:white; z-index:1000000;
font-size:32px; text-align:center;">
<p>The domain report has Expired!</p>
</div> 흰색 div가 뷰포트 전체를 덮습니다. z-index:1000000을 설정하면 그 위에 다른 요소가 렌더링되지 않습니다. overflow:hidden 화면에 표시되어 있으면 스크롤을 넘길 수 없습니다. 사용자는 “만료됨”이라는 메시지를 보고 페이지를 떠납니다.
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator"); 사용자가 흰색 벽을 우회하면, 자바스크립트가 scrib.li로 리디렉션합니다(제휴 수익 창출). 3중 보호 인간 방문객을 상대로.
Bingbot은 CSS 오버레이를 무시하고 원본 HTML을 분석합니다. 검색 양식이 있는 “URL 단축” 사이트를 확인합니다. 정상적으로 보입니다.
<p>Learn More Here <a rel="nofollow"
href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ... 이 피싱 도메인은 3,500개의 무작위 도메인 사이에 숨겨져 있습니다. 빙 간식 rel="nofollow" 지수화 신호로서 — 어쨌든 대상 사이트를 크롤링합니다.
증명: 하나의 네트워크, 하나의 데이터베이스
orbit-protocol-lending.net 여러 PBN 도메인에 걸쳐 나타나며 동일한 데이터베이스의 연속 ID:

| PBN 도메인 | URL 패턴 | ID |
|---|---|---|
blogsphere.top | /stats/49207 | 49207 |
optimizeflow.top | /stats/49207 | 49207 |
websites.freemyip.com | /share/49207 | 49207 |
shortenurls.eu | /share/49207 | 49207 |
jake.eu | /share/49207 | 49207 |
dailymusings.top | /stats/49208 | 49208 |
screenshots.wiki | /report/49208 | 49208 |
atomizelink.icu | /report/49208 | 49208 |
byteshort.xyz | /report/49208 | 49208 |
서로 다른 “브랜드” 간에 동일한 ID = 단일 백엔드, 단일 운영자. 15개의 도메인. 동일한 HTML 템플릿. 동일한 CSS (style.css). 동일한 자바스크립트 (work.js). 여전히 3,500개의 링크가 포함된 페이지들입니다.
두 번째 PBN — 도메인 체커 네트워크
별도로 구축된, 더욱 공격적인 링크 네트워크는 선별된 대상에 도팔로우 백링크를 제공합니다. 마스터 서버: all-aged-domains.com — 50~80개의 위성 도메인에 CSS, JS 및 템플릿을 제공하는 WordPress 6.6.2 설치 환경.
| 특징 | 네트워크 A (은폐형 PBN) | 네트워크 B (도메인 확인기) |
|---|---|---|
| 사이트 | ~15 | ~50-80 |
| 클로킹 | 예 (CSS + JS 리디렉션) | 아니요 |
| 링크 유형 | 99.4% nofollow | 99.99% 도팔로우 |
| 페이지당 링크 수 | ~3,500 | ~10,000 |
| 페이지 크기 | 400KB | 4MB |
| CMS | 사용자 정의 PHP | 워드프레스 6.6.2 |
| 마스터 서버 | 공유 데이터베이스 (순차 ID) | all-aged-domains.com |
| Google 태그 매니저 | 아니요 | 예 (트래픽을 추적합니다) |
백링크 수가 10배나 많고 모두 도팔로우(dofollow)임에도 불구하고, 네트워크 B는 다음을 목표로 삼고 있다 Bing 검색 결과 1위에 오르지 못했습니다. biasterswap.xyz에는 110개의 도팔로우 링크가 있습니다. layerbank-v3.com에는 98개가 있습니다. 두 사이트 모두 1위를 차지하지는 않습니다.
한편, app.thnuster.cc ~이 있다 백링크 1개 그리고 1위를 차지했습니다.
빙(Bing)의 경우, 노팔로우(nofollow) 클로킹이 적용된 PBN과 제목 일치 전략이 대량 도팔로우(dofollow) 스팸보다 더 효과적이다.
빙이 왜 이런 것에 속아 넘어가는가

타이틀 매치의 취약점
app.thnuster.cc 백링크가 딱 하나뿐인데, 바로 캐시된 야후 검색 결과 페이지입니다. 이 페이지는 빙에서 “Thruster Finance” 검색 시 1위를 차지하고 있습니다. 이는 경쟁이 적은 브랜드 관련 검색어에 대한 빙의 순위 결정이 주로 다음 요소에 의존한다는 것을 보여줍니다:
- 타이틀 태그의 정확한 일치 검색어에
- 도메인이 색인되었습니다 (어떤 신호든 — 노팔로우 링크 하나만 있어도 — 충분합니다)
- 부정적인 신뢰 신호가 없음 (도메인이 새로 개설되었으며, 이력이 깨끗합니다)
구글은 상당한 신뢰도 신호를 요구하며, 알려진 브랜드 도메인과 대조 확인을 거칩니다. 반면 빙은 그렇지 않습니다.
| 미터법 | Bing | 구글 |
|---|---|---|
| 피싱 도메인이 1위를 차지했습니다 | 7 | 0 |
| 상위 10개 피싱 도메인 | 7 | 0 |
| 도메인 생성 시점부터 순위를 매길 때입니다 | 2~8주 | 결코 |
Bing 검색 결과 1위 (SerpAPI를 통해 확인, 2026년 4월)
| 쿼리 | #1 Result (Phishing) | 백링크 |
|---|---|---|
| “스타게이트 파이낸스” | star-gate-finance-stargate.finance | 20 |
| “섀도우 익스체인지” | shadow-ex.net | 16 |
| “UNCX 네트워크” | www.uncx.org | 51 |
| “스러스터 파이낸스” | app.thnuster.cc | 1 |
| “오빗 프로토콜” | orbit-protocol-lending.net | 15 |
| “VVS 파이낸스” | vvsfnance.com (#1) + www.app-vvs.finance (#10) | 36 + 37 |
업데이트된 보호 목록 (제2부 브랜드)
스타게이트 파이낸스 → stargate.finance (star-gate-finance-stargate.finance 아님) • VVS Finance → vvs.finance (vvsfnance.com 아님) • THORSwap → thorswap.com (thorwsap.com 아님) • 벨로드롬 → velodrome.finance (v2velodrome.com 아님) • UNCX → uncx.network (uncx.org 아님) • SpookySwap → spooky.fi (spooky-swap.net 아님) • OlympusDAO → olympusdao.finance (v2-olympusdao.com 아님) • Thruster → thruster.finance (thnuster.cc 아님) • 앰비언트 → ambient.finance (amblent.cc가 아님)
권고 사항 (제2부)
마이크로소프트/빙 담당자께:
- 타이틀전만으로는 권위를 인정받을 수 없다. 일치하는 제목만으로는 새로운 도메인이 브랜드 관련 검색어에서 1위를 차지해서는 안 됩니다. 도메인 운영 기간, 백링크 권위 또는 브랜드 인증 신호를 필수 조건으로 삼아야 합니다.
- CSS 기반 클로킹을 탐지합니다. 사용자에게는 콘텐츠를 숨기지만 크롤러에게는 표시하는 z-index 오버레이를 사용하는 페이지는 표시되어야 합니다.
- 조직적으로 운영되는 PBN 네트워크를 탐지합니다. 하나의 백엔드를 공유하며 동일한 대상 페이지로 연결되는 15개의 도메인은 유기적인 링크 구축이 아닙니다.
- 암호화폐 검색 결과 페이지(SERP)에서 NiceNIC에 등록된 도메인을 표시 더 철저한 검토를 위해.
- DuckDuckGo 스팸 신속 처리 절차를 마련하십시오. DDG는 Bing의 모든 취약점을 그대로 물려받았으나, 독립적인 스팸 신고 기능은 갖추고 있지 않습니다.
NiceNIC International Group Co., Limited 귀하:
피싱 도메인 26개. 고객 1명. 18개월에 걸쳐 일괄 등록. 악용에 대한 조치는 전혀 취해지지 않음. 이 내용은 이제 공식적으로 기록되어 있습니다. 참조: 학대 신고가 무산될 때 그리고 NiceNIC: 체계적 촉진자.
Cloudflare 담당자께:
총 26개의 도메인 모두 Cloudflare DNS와 프록시를 사용하고 있습니다. 이 도메인들은 Cloudflare 인프라를 통해 지갑 자금을 탈취하는 프로그램과 시드 문구를 수집하는 프로그램을 운영하고 있습니다.
제2부 결론
이것은 기회주의적인 스팸이 아닙니다. 이것은 단일 운영자가 전문적으로 진행한 18개월간의 캠페인 $2짜리 도메인과 복사한 타이틀 태그만으로도 빙의 순위 알고리즘을 무력화할 수 있다는 사실을 발견한 사람. 현재 7개의 피싱 사이트가 빙 검색 결과 1위를 차지하고 있다 — 그들이 사칭하는 합법적인 플랫폼들보다 위에.
우리가 조사한 클로킹 인프라 — 데이터베이스를 공유하고, CSS를 기반으로 콘텐츠를 숨기며, 자바스크립트 리디렉션 대체 방식을 사용하는 15개의 동일한 사이트 — 는 대규모로 검색 엔진을 조작하기 위해 특별히 고안된 도구입니다.
구글은 26개 도메인 전부를 차단하고 있습니다. 빙은 그중 7개를 1위로 표시하고 있습니다. 기술적인 해결책은 이미 존재합니다. 증거는 공개되어 있습니다. 해당 도메인들은 기록에 남아 있습니다. 등록 기관도 확인되었습니다. 여전히 의문이 남는다. 과연 어떤 조치가 취해질 것인가?


