PhishDestroy Ao vivo
Voltar às notícias
Ameaça ativa

Por dentro do esquema: como os golpistas de criptomoedas
Sequestrar o Bing e o DuckDuckGo

Uma reportagem investigativa com dados em tempo real do SEMrush que revela duas operações paralelas de ataque de SEO que estão levando sites de phishing relacionados a criptomoedas ao topo dos resultados de busca do Bing e do DuckDuckGo. 10 domínios. 2 vetores de ataque. Mais de 100.000 vítimas em potencial por mês.

30 de março de 2026 Pesquisa PhishDestroy 22 minutos de leitura Dados da API da SEMrush
Golpistas de criptomoedas manipulam resultados de busca do Bing e do DuckDuckGo — visualização cyberpunk
Motores de busca sob ataque: operações organizadas levam sites de phishing a superar plataformas legítimas de criptomoedas
10Domínios de phishing
9Doadores da PBN
60,500+Exposição diária
Mais de 100 milVítimas/mês
2Vetores de ataque
Isenção de responsabilidade

Todos os dados contidos neste relatório foram coletados por meio da API da SEMrush e do site phishdestroy.io para fins de pesquisa em segurança cibernética. Os nomes de domínio são publicados com o objetivo de alertar os usuários, e não de promovê-los.

Os dois vetores de ataque

Nossa investigação revelou que duas operações paralelas e completamente diferentes em andamento simultaneamente para levar sites de phishing ao topo dos resultados do Bing e do DuckDuckGo.

Vetor A: Injeção na SERP do Yahoo
Aproveita a autoridade de domínio do Yahoo (AS 24) por meio de páginas de busca para dispositivos móveis. O Bing herda a confiança de URLs de busca do Yahoo geradas dinamicamente que contêm âncoras de phishing. Metas: curvefinance.co, curvefi.co, aster-dex.at
Vetor B: Rede PBN coordenada
9 domínios comprometidos/adquiridos com o AS 49–65 redirecionam simultaneamente para vários sites de phishing. Funciona em TODOS os mecanismos de busca. Metas: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, keplr.me

Vetor A: O ataque de injeção na SERP do Yahoo

Pode-se dizer que este é o o mais elegante do ponto de vista técnico ataque de SEO black-hat que documentamos em 2026. Ele explora uma falha fundamental na forma como o Bing avalia a autoridade dos links — mais especificamente, sua incapacidade de distinguir entre links editoriais genuínos e páginas de resultados de busca geradas dinamicamente a partir de domínios confiáveis.

Diagrama técnico que mostra o fluxo do ataque de injeção na SERP do Yahoo nos rankings do Bing
O Authority Score herdado do Yahoo (AS 24) é transmitido pelas páginas de busca em dispositivos móveis para domínios de phishing — o Bing aceita esse sinal como legítimo

O mecanismo — passo a passo

Criar URL do Yahoo! CraftMais de 8 subdomínios de países
Incorporar âncoraConsulta aleatória + link de phishing
Rastejo ForçadoServiços de ping + spam
Índices do BingHerdado do Yahoo AS 24
1º lugarSite de phishing entre os primeiros resultados

Etapa 1 — Geração da URL da operadora confiável. Os invasores criam URLs nos pontos de acesso da pesquisa móvel do Yahoo em vários subdomínios internacionais: no.search.yahoo.com (Noruega), fr.search.yahoo.com (França), mx.search.yahoo.com (México), pl.search.yahoo.com (Polônia), gr.search.yahoo.com (Grécia), qc.search.yahoo.com (Quebec), chfr.search.yahoo.com (suíço-francês), co.search.yahoo.com (Colômbia). Essas páginas apresentam o Índice de Autoridade herdado do Yahoo: 23–24.

Etapa 2 — Inserção do link de phishing. Cada URL contém uma consulta de busca totalmente aleatória e inofensiva — “pele+fifa”, “Jean-Paul+Sartre”, “Radio+Stars”, “jucheck.exe” —, mas o texto de âncora diz: curvefi.co Curve Finance. As consultas aleatórias garantem que os filtros de spam não identifiquem nenhum padrão.

Etapa 3 — Rastreamento e indexação forçados. Os invasores fazem com que o Bingbot rastreie essas URLs por meio de serviços de ping em massa, injeções de comentários em fóruns e blogs e ferramentas automatizadas de acionamento de rastreamento.

A falha algorítmica do Bing

O algoritmo do Google: “Esta é uma página de busca dinâmica. Não há transferência de autoridade de link.”
O algoritmo do Bing: “O site yahoo.com possui um link para curvefi.co com o texto de âncora ‘Curve Finance DEX’. Sinal de classificação aceito. ✓”

Resultado: site de phishing chega ao TOP 3 para “Curve Finance” no Bing e no DuckDuckGo.

Dados brutos da SEMrush — curvefi.co

API de análise de backlinks da SEMrush | 30/03/2026 | Destino: curvefi.co
ASDomínio de origemTexto de âncora
24chfr.search.yahoo.comwww.curvefi.co Curve Finance
24co.search.yahoo.comcurvefi.co Curve Finance
24fr.search.yahoo.comcurvefi.co Curve Finance
24mx.search.yahoo.comwww.curvefi.co Curve Finance
24no.search.yahoo.comwww.curvefi.co Curve Finance
24pl.search.yahoo.comwww.curvefi.co Curve Finance
23gr.search.yahoo.comwww.curvefi.co Curve Finance
23qc.search.yahoo.comcurvefi.co Curve Finance

A ironia brutal: O site tem zero palavras-chave orgânicas, zero tráfego no banco de dados da SEMrush — mas aparece nos resultados do Bing/DDG para “Curve Finance” devido à autoridade emprestada pelo Yahoo.

Vetor B: A rede PBN coordenada

É aqui que a investigação se torna realmente alarmante. Cinco sites de phishing distintos — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at e keplr.me — todos têm em comum um conjunto idêntico de fontes de backlinks. Isso não é coincidência. Isso é uma única operação criminosa organizada realizar várias campanhas de phishing a partir de uma única infraestrutura.

Visualização da rede PBN criminosa — 9 domínios doadores com links para 5 alvos de phishing
Um operador, 9 doadores de PBN, 5 alvos de phishing — a probabilidade de isso ser uma coincidência é de aproximadamente 0,00001%

A Prova Irrefutável — Infraestrutura Compartilhada

API da SEMrush | Análise entre domínios | 30/03/2026
Domínio doador PBNASrabbysdexscrmonerotrezor
lewievuittton.com65✓✓✓✓
lyricamed.us.com61✓✓✓✓
creatfx.com60✓✓✓✓
jba.com.jo56✓✓✓✓
jornaldevinhedo.com56✓✓✓✓
jasaaspalhotmix.com54✓✓✓✓
magna-eg.com50✓✓✓✓
markjohnsonbuilders50✓✓✓✓
nextplayflix.com49✓✓✓✓
Nota sobre o site lewievuittton.com

O principal doador de PBN (AS 65) é, por si só, um typosquat da marca Louis Vuitton. Esse doador de PBN é um site fraudulento que sustenta outros sites fraudulentos — uma infraestrutura criminosa em toda a sua extensão.

Perfis de domínios de phishing

Visão geral do domínio da SEMrush | Março de 2026
DomínioFinge serPalavras-chaveAlvo principalVolume
dexscreener.atDexScreener64“dexscreener” n.º 4260.500/mês
rabbys.atCarteira Rabby15“carteira do coelhinho” #515.400/mês
trezorsuite.atTrezor Suite7“trezor suite” n.º 324.400/mês
aster-dex.atAster DEX13“Bolsa Aster” #253.600/mês
monero-wallet.atCarteira Monero4“carteira xmr online” #26210/mês
keplr.meCarteira Keplr0Spam oculto nos comentáriosN/A
bscscan.cfdBSCScan0Links de spam em massaN/A
curvefinance.coCurve Finance0Apenas injeção do YahooN/A
curvefi.coCurve Finance0Apenas injeção do YahooN/A
app-crv.netAplicativo Curve0Técnicas mistasN/A
Importante: Download do Trezor Suite

Usuários que estão pesquisando “download do Trezor Suite” estão procurando ativamente instalar um software de carteira. Um site de phishing que aparece nas posições 3 a 5 no DuckDuckGo faz com que os usuários baixem malware achando que se trata da interface de uma carteira de hardware. Isso não é mera teoria — está acontecendo neste exato momento.

A fábrica de artigos alimentada por IA

A variante aster-dex.at utiliza um abordagem híbrida, combinando a técnica de injeção do Yahoo com conteúdo de blog gerado por IA, publicado em sites comprometidos ou criados especificamente para esse fim no Vietnã, na Itália, na Indonésia e na Suíça.

Fábrica que produz posts de blog idênticos, gerados por IA, com links para sites de phishing
Artigos gerados por IA em sites invadidos — títulos idênticos, domínios diferentes, todos com links para o mesmo alvo de phishing

Todos os artigos do blog têm títulos quase idênticos: “Por que as trocas de tokens e os pools de liquidez ainda confundem até mesmo os traders mais experientes de DEX”, “Por que os formadores de mercado automatizados ainda surpreendem os operadores”. São eles: Artigos gerados por IA colocados em sites com AS 21–36, todos com links para aster-dex.at.

Infiltração de spam nos comentários

O keplr.me adota uma abordagem totalmente diferente — puro spam de comentários em sites de alta autoridade que não têm relação alguma com o assunto. Nomes de usuário falsos como “ZackaryThymn”, “Fritzkah” e “Jamesboach” inserem links para carteiras de criptomoedas em sites de ensino de filosofia (filozofija.edu.rs, AS 45), plataformas de engajamento dos funcionários (bavave.com, AS 63) e festivais de arte (lea-festival.com, AS 50).

Site legítimo com links de phishing ocultos na seção de comentários
Sites legítimos que, sem saber, hospedam links de phishing — ocultos entre comentários de usuários que parecem normais

O Pior de Todos: Spam de Ferramentas Automatizadas

bscscan.cfd usa o método mais rudimentar possível: pacotes pagos de backlinks em massa provenientes de sites cujos nomes são, literalmente, rankongoogle.agency e linksjump.click. Todas as fontes têm AS = 0. O TLD .cfd é um indicador conhecido de spam. No entanto, no Bing, mesmo isso funciona parcialmente — o volume de links de baixa qualidade pode influenciar as classificações em domínios totalmente novos, sem histórico negativo.

Mercado de backlinks a preços de pechincha no estilo cyberpunk
“1.000 backlinks por US$ 9,99” — as ferramentas de SEO fraudulentas mais baratas ainda funcionam parcialmente no Bing

Por que o Bing e o DuckDuckGo são particularmente vulneráveis

A fortaleza do Google x a fortaleza do Bing — comparação de vulnerabilidades
A defesa contra spam em várias camadas do Google versus a detecção menos madura do Bing — a lacuna que os golpistas exploram
Diferenças algorítmicas que os golpistas exploram ativamente
DestaqueGoogleBing
Detecção dinâmica de páginasNão há equidade de links proveniente das páginas de resultados de pesquisaPáginas de busca do Yahoo consideradas como conteúdo editorial
Maturidade do modelo de aprendizado de máquina para spamMais de 15 anos de dados de treinamento do SpamBrainMenos maduro; o PBN AS 50–65 ainda funciona
Proteção da marcaAgressivo; o site curvefinance.co foi sinalizado rapidamenteOs golpes envolvendo os domínios de nível superior .at e .co duram mais tempo
Fábricas de conteúdo com IADetecção implementada a partir de 2023As fazendas de IA com domínios .vn e .it ainda obtêm notas de aprovação
Bloqueio de phishingA Navegação Segura bloqueia domínios conhecidos rapidamenteO SmartScreen não detecta domínios fraudulentos recém-registrados
Fraqueza específica do DuckDuckGo

O DDG utiliza o índice do Bing como sua principal fonte de dados, herdando todos das vulnerabilidades do Bing. Os usuários preocupados com a privacidade que preferem o DDG costumam ter conhecimento em criptografia — o que os torna alvos de maior valor. O DDG não possui um mecanismo independente de denúncia de spam; as denúncias são encaminhadas ao Bing.

Estratégia de segmentação por palavras-chave

Os perfis de palavras-chave revelam precisão cirúrgica na seleção de alvos. Os operadores visam não apenas termos de marca primários, mas também typosquats (“carteira rabino”, “carteira Rubby”, “dexscrenner”) e até mesmo consultas em chinês (“Bolsa Aster” (25º lugar).

Mapa-múndi mostrando a segmentação por palavras-chave em vários idiomas utilizada por golpistas do mundo das criptomoedas
Segmentação multilíngue: inglês, francês, chinês, vietnamita — a operação abrange vários continentes
Análise de marca + volume de pesquisa | SEMrush EUA | março de 2026
Palavra-chave alvoVolume mensalDomínio fraudulentoCargo
dexscreener60,500dexscreener.at#42
carteira rabby5,400rabbys.at#51–71
Suíte Trezor4,400trezorsuite.at#32–85
aster dex3,600aster-dex.at#63
dexscrennererro de digitação2,400dexscreener.at#45
Bolsa AsterChinês1,000aster-dex.at#25
download do Trezor Suite260trezorsuite.at#54
carteira rabinoerro de digitação210rabbys.at#54
carteira online de XMR210monero-wallet.at#55–69

Contexto histórico: O problema da Trust Wallet / DuckDuckGo

Esse problema tem raízes profundas

Esses ataques não são novidade. O problema era significativamente mais grave quando carteiras como a Trust Wallet usavam o DuckDuckGo como seu mecanismo de busca padrão do aplicativo. Os usuários que buscavam protocolos DeFi a partir de suas carteiras recebiam resultados de phishing como o primeiro resultado — sem a necessidade de nenhum trabalho complexo de SEO. A combinação de um mecanismo de busca voltado para a privacidade, com detecção de spam mais fraca, e uma carteira de criptomoedas com navegador integrado criou uma tempestade perfeita para phishing.

Mesmo depois que a Trust Wallet deixou de usar o DDG como padrão, a vulnerabilidade subjacente persiste. Qualquer usuário que escolhe manualmente o DuckDuckGo por uma questão de privacidade — um grupo demográfico que se sobrepõe amplamente aos usuários de criptomoedas — continua exposto a esses mesmos ataques até hoje. As operações fraudulentas documentadas neste relatório vêm utilizando variações dessa técnica há vários anos, adaptando-se à medida que os mecanismos de busca vão corrigindo, aos poucos, os vetores individuais.

Como se proteger

Sempre verifique o domínio exato

REAL Curve Finance → curve.fi (NÃO .co, .net) • DexScreener → dexscreener.com (NÃO .at) • Rabby → rabby.io (NÃO .at, .me) • Trezor Suite → suite.trezor.io (NÃO é trezorsuite.at) • Keplr → keplr.app (NÃO .me) • BSCScan → bscscan.com (NÃO .cfd)

Recomendações para a Microsoft/Bing

  1. Detecção dinâmica de páginas: Classificar as páginas de resultados de busca (Yahoo, Baidu, Google) e remover a autoridade dos links externos
  2. Detecção coordenada de PBN: Quando 9 domínios apontam para 5 sites diferentes com padrões idênticos, sinalize como manipulação
  3. Camada de falsificação de marca: Detectar ataques de substituição de TLD (dexscreener.atdexscreener.com)
  4. Monitoramento de domínios .AT: Maior rigor na análise de domínios .at recém-registrados nas SERPs de criptomoedas
  5. Guia rápido do DuckDuckGo: Criar uma API dedicada à remoção de spam à qual o DDG possa acessar diretamente

Conclusão

Isso não é spam oportunista. Trata-se de um operação de SEO organizada profissionalmente, multimarcas e multicanal projetado especificamente para explorar a lacuna entre os recursos de detecção de spam do Google e do Bing. Qualquer usuário que pesquisar “download do Trezor Suite” no DuckDuckGo hoje pode se deparar com um site de phishing que esvazia a carteira antes mesmo de encontrar o site verdadeiro. A solução técnica já existe. A questão é se o Bing vai implementá-la.

Cena dramática no tribunal — golpistas de criptomoedas em julgamento, com as provas expostas
As evidências são de domínio público. Os domínios estão documentados. As vítimas são reais. A solução está nas mãos da Microsoft.
Investigação de acompanhamento — 17 de abril de 2026

Parte II: O Manual dos US$ 2 — 26 sites de phishing, 1 registrador, 7 resultados em primeiro lugar no Bing

Uma investigação complementar à realizada em março identificou 26 novos domínios de phishing — todos se passando por protocolos DeFi — que atualmente ocupam as primeiras posições #1 on Bing para as consultas relacionadas às marcas-alvo. Utilizando dados de backlinks da API da SEMrush, registros de cadastro no RDAP e análise direta do código-fonte, rastreamos cada um dos domínios até um operador, um registrador (NiceNIC) e uma rede PBN camuflada composta por 15 sites. Custo por domínio: US$ 2. Tempo: 10 minutos.

Um operador, 26 iscas de phishing, um mecanismo de busca que não verifica
Um operador. 26 iscas de phishing no Bing. Custo: US$ 2 por domínio.
26Domínios de phishing
1Registrador (NiceNIC)
7Primeiras posições no Bing
15Sites PBN ocultos
0Classificações do Google

Uma operadora, 26 domínios, um registrador

Executamos consultas RDAP em todos os 26 domínios de phishing. Todos, sem exceção, indicaram o mesmo registrador: NiceNIC International Group Co., Limited. Não a maioria. Não a maioria. Todos os 23 foram consultados com sucesso — registrador idêntico, com 3 erros de limite de taxa antes da verificação (os padrões de infraestrutura deles coincidem).

Painel de investigação OSINT mostrando 23 dos 23 domínios registrados pela NiceNIC
23 de 23 verificados. Mesmo registrador. Mesmo cliente. Nenhuma ação por abuso.

Dados de registro do RDAP — Comprovante de registro em lote

Resultados da consulta RDAP | abril de 2026 | 23 de 26 consultados com sucesso
DomínioFinge serCriadoPar de servidores de nomes da Cloudflare
star-gate-finance-stargate.financeStargate Finance2025-09-08Terry/Ximena
app-vesper.financeVesper Finance2025-09-08Terry/Ximena
app-vvs.financeVVS Finance2025-09-08Terry/Ximena
orbit-protocol-lending.netProtocolo Orbit2025-10-10Terry/Ximena
vvsfnance.comVVS Finance2025-07-12abril/kayden
spooky-swap.netSpookySwap2025-04-15abril/kayden
thorwsap.comTHORSwap2025-07-24abril/kayden
hyperlokc.comHyperlock Finance2025-07-12arnold/destiny
shadow-ex.netBolsa das Sombras2025-06-24amos/tricia
v2velodrome.comFinanças do Velódromo2025-09-04Dayana/Marvin
layerbank-v3.comLayerBank2024-09-07austin/cheryl
biasterswap.xyzBiSwap2024-09-07senhora/Langston
v2-olympusdao.comOlympusDAO2026-03-29nash/romina
uncx.orgRede UNCX2025-12-24Cory/Megan
amblent.ccFinanças Ambientais2026-02-09Nicole/Salvador
juicefi.ccJuice Finance2026-02-09Nicole/Salvador
rhea-finance.comRhea Finance2025-05-30
rhea-finance.netRhea Finance2025-05-30
rhea-rhea.orgRhea Finance2025-05-30
silo-finance-silofinance.netSilo Finance2025-05-30
Registro em lote — Um operador, várias sessões

Os pares de servidores de nomes (NS) compartilhados da Cloudflare e as datas de criação idênticas comprovam que se trata de um registro em lote:

  • 2025-09-08: star-gate + app-vesper + app-vvs (todos terry/ximena)
  • 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 domínios, uma sessão)
  • 2026-02-09: amblent.cc + juicefi.cc (nicole/salvador)
  • 2024-09-07: layerbank-v3.com + biasterswap.xyz — operação com duração de mais de 18 meses

O Guia de US$ 2 — Passo a passo

Esqueça o SEO sofisticado. Esqueça meses de criação de links. Aqui está a sequência de ações completa e comprovada que garante o primeiro lugar nos resultados do Bing.

Quatro passos para colocar um site de phishing em primeiro lugar no Bing por US$ 2
Quatro passos, US$ 2, e o Bing coloca um site de phishing em primeiro lugar
Registrar um typosquat$1-2 at NiceNIC
Clonar a tag de títuloCópia do site original
Enviar para a PBNtchau. só pra você saber, 15 sites
Aguarde de 2 a 8 semanasO Bing indexa e classifica
Bing nº 1Projeto real acima

Etapa 1: Registro de Typosquats

Técnicas de typosquat em 8 dos 26 domínios
Projeto RealDomínio RealDomínio de phishingTécnica
VVS Financevvs.financevvsfnance.comLetra omitida (i)
THORSwapthorswap.comthorwsap.comLetras trocadas (a/w)
Hyperlockhyperlock.fihyperlokc.comLetras trocadas (c/k)
Arbitrum Bridgebridge.arbitrum.ioarbtrumbridge.ccTroca + TLD barato
Finanças Ambientaisambient.financeamblent.ccErro ortográfico fonético
Thruster Financethruster.financethnuster.ccLetra omitida (r → n)
Ponte do Otimismoapp.optimism.iooptrnismbirdge.ccVários erros de digitação
Stargate Financestargate.financestar-gate-finance-stargate.financeExcesso de palavras-chave

Etapa 2: Clonar a tag de título (US$ 0, 5 minutos)

O operador copia exatamente o <title> tag e meta descrição do site do projeto real. Este é o passo mais importante de todos. A própria página é um site que esvazia carteiras ou rouba frases-semente — mas <title> é o que o Bing classifica.

Etapa 3: Enviar para a rede PBN oculta (US$ 0, 1 minuto)

O operador visita qualquer uma das 15 unidades da PBN (bye.fyi, atomizelink.icu, etc.), digita o domínio em um formulário intitulado “Insira sua URL” e clica em “Encurtar”. Um único envio cria uma página em todos os 15 sites simultaneamente — eles compartilham um único banco de dados.

Etapa 4: Aguardar (2 a 8 semanas, US$ 0)

Prova: 1 backlink = 1º lugar no Bing

app.thnuster.cc alcançou o primeiro lugar no Bing para “Thruster Finance” com exatamente 1 backlink — uma página da SERP do Yahoo armazenada em cache. A rede PBN nem sequer foi necessária.

Discriminação do custo total

O queCustoHora
Domínio (.cc/.com via NiceNIC)$1-22 min
DNS da Cloudflare (plano gratuito)$01 min
Copiar a tag de título do site original$05 min
Enviar para o PBN (bye.fyi etc.)$01 min
Aguarde a indexação$02 a 8 semanas
TOTAL$1-2~10 min

Por dentro do Mecanismo de Ocultação

Recolhemos e analisamos o código-fonte HTML real da rede PBN. Todas as páginas em todos os domínios utilizam o mesmo mecanismo de cloaking.

O que os usuários veem versus o que o Bingbot vê — a barreira do cloaking
O que os usuários veem x o que o Bingbot vê — o z-index: 1000000 a parede esconde 3.500 links

Estrutura da página: 400 KB de HTML, mais de 3.500 links, 4 camadas

Camada 1 — A Parede de Ocultação (o que os usuários veem)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

O div branco cobre toda a janela de visualização. O z-index:1000000 garante que nada seja exibido acima dele. overflow:hidden No corpo da página, isso impede que o usuário role a tela para baixo. O usuário vê “Expirado” e sai.

Camada 2 — O redirecionamento em JS (proteção de backup)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Se o usuário contornar o bloqueio, o JavaScript o redireciona para o scrib.li (monetização por meio de afiliados). Proteção tripla contra visitantes humanos.

Camada 3 — A fachada falsa (o que os bots veem)

O Bingbot ignora a sobreposição de CSS — ele analisa o HTML bruto. Ele vê um site de “encurtador de URL” com um formulário de busca. Parece legítimo.

Camada 4 — A massa de links (3.500 links nofollow)
<p>Learn More Here <a rel="nofollow"
     href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ...

O domínio de phishing está escondido entre 3.500 domínios aleatórios. Guloseimas do Bing rel="nofollow" como um sinal de indexação — ele rastreia o alvo de qualquer maneira.

Prova: Uma rede, um banco de dados

orbit-protocol-lending.net aparece em vários domínios de PBN com IDs sequenciais do mesmo banco de dados:

Um banco de dados, 15 domínios de front-end — todos exibindo o mesmo conteúdo a partir do mesmo back-end
Um banco de dados. 15 domínios de front-end. Todas as telas exibem o mesmo conteúdo a partir do mesmo back-end.
IDs sequenciais em marcas “diferentes” da PBN — prova de back-end compartilhado
Domínio PBNPadrão de URLID
blogsphere.top/stats/4920749207
optimizeflow.top/stats/4920749207
websites.freemyip.com/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
dailymusings.top/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
byteshort.xyz/report/4920849208

Os mesmos IDs em diferentes “marcas” = um único backend, um único operador. 15 domínios. O mesmo modelo HTML. O mesmo CSS (style.css). O mesmo JavaScript (work.js). As mesmas páginas com 3.500 links.

A Segunda PBN — Rede de Verificadores de Domínios

Uma rede de links separada e mais agressiva fornece backlinks dofollow para destinos selecionados. Servidor principal: all-aged-domains.com — uma instalação do WordPress 6.6.2 que fornece CSS, JS e modelos para 50 a 80 domínios satélites.

PBN camuflada (Rede A) x Verificador de domínios (Rede B)
DestaqueRede A (PBN oculta)Rede B (Verificador de domínios)
Locais~15~50-80
CamuflagemSim (redirecionamento por CSS + JS)Não
Tipo de link99,4% com atributo “nofollow”99,99% dofollow
Links por página~3,500~10,000
Tamanho da página400 KB4 MB
CMSPHP personalizadoWordPress 6.6.2
Servidor mestreBanco de dados compartilhado (IDs sequenciais)all-aged-domains.com
Google Tag ManagerNãoSim (monitora o tráfego)
A ironia

Apesar de ter 10 vezes mais backlinks, todos dofollow, a Rede B tem como alvo NÃO alcançou o primeiro lugar no Bing. O site biasterswap.xyz tem 110 links dofollow. O site layerbank-v3.com tem 98. Nenhum dos dois ocupa a primeira posição.

Enquanto isso, app.thnuster.cc tem 1 backlink e ocupa o primeiro lugar.

A estratégia de PBN com links “nofollow” ocultos + correspondência de títulos funciona melhor do que o spam em massa com links “dofollow” para o Bing.

Por que o Bing cai nessa

O robô blindado do Google bloqueando tentativas de phishing na entrada versus o simpático porteiro do Bing mantendo a porta aberta
O robô blindado do Google bloqueia o phishing logo na entrada. O simpático porteiro do Bing mantém a porta aberta.

A vulnerabilidade da luta pelo título

app.thnuster.cc tem exatamente UM backlink — uma página em cache da SERP do Yahoo. Ela ocupa a 1ª posição no Bing para a busca por “Thruster Finance”. Isso comprova que a classificação do Bing para consultas de marca com baixa concorrência se baseia principalmente em:

  1. Correspondência exata da tag de título para a consulta de busca
  2. O domínio está indexado (qualquer sinal — mesmo um único link “nofollow” — já é suficiente)
  3. Sem sinais negativos de confiança (o domínio é novo, sem histórico)

O Google exigiria sinais de autoridade substanciais e faria uma comparação cruzada com domínios de marcas conhecidas. O Bing não faz isso.

Bing x Google — resultados de classificação em 26 domínios
MétricoBingGoogle
Domínios de phishing em primeiro lugar70
Domínios de phishing entre os 10 primeiros70
Tempo para aparecer nos resultados de busca a partir da criação do domínio2 a 8 semanasnunca

Resultados nº 1 do Bing (verificados via SerpAPI, abril de 2026)

Consulta#1 Result (Phishing)Links de retorno
“Stargate Finance”star-gate-finance-stargate.finance20
“Shadow Exchange”shadow-ex.net16
“Rede UNCX”www.uncx.org51
“Thruster Finance”app.thnuster.cc1
“Protocolo Orbit”orbit-protocol-lending.net15
“VVS Finance”vvsfnance.com (#1) + www.app-vvs.finance (#10)36 + 37

Lista de Proteção Atualizada (Marcas da Parte II)

Sempre verifique o domínio exato

Stargate Finance → stargate.finance (NÃO é star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (NÃO é vvsfnance.com) • THORSwap → thorswap.com (NÃO é thorwsap.com) • Velódromo → velodrome.finance (NÃO é v2velodrome.com) • UNCX → uncx.network (NÃO é o uncx.org) • SpookySwap → spooky.fi (NÃO é o spooky-swap.net) • OlympusDAO → olympusdao.finance (NÃO v2-olympusdao.com) • Thruster → thruster.finance (NÃO é thnuster.cc) • Ambiente → ambient.finance (NÃO é o amblent.cc)

Recomendações (Parte II)

À Microsoft/Bing:

  1. A disputa pelo título, por si só, não constitui autoridade. Um título correspondente não deve fazer com que um novo domínio ocupe a primeira posição nos resultados de pesquisa para consultas relacionadas à marca. É necessário que haja idade do domínio, autoridade de backlinks ou sinais de verificação da marca.
  2. Detectar cloaking baseado em CSS. As páginas que utilizam sobreposições com z-index para ocultar o conteúdo dos usuários, mas exibi-lo aos rastreadores, devem ser sinalizadas.
  3. Detectar redes PBN coordenadas. 15 domínios que compartilham um único backend e apontam para os mesmos destinos não constituem uma estratégia orgânica de construção de links.
  4. Marcar domínios registrados no NiceNIC nos resultados de busca de criptomoedas para uma análise mais aprofundada.
  5. Criar uma fila prioritária para spam no DuckDuckGo. O DDG herda todas as vulnerabilidades do Bing, mas não possui um mecanismo independente de denúncia de spam.

À NiceNIC International Group Co., Limited:

26 domínios de phishing. Um cliente. Registrados em lote ao longo de 18 meses. Nenhuma medida contra abusos foi tomada. Isso já está documentado publicamente. Referência: Quando as denúncias de abuso não dão em nada e NiceNIC: Facilitador sistêmico.

À Cloudflare:

Todos os 26 domínios utilizam o DNS e o proxy da Cloudflare. Esses domínios hospedam programas que esvaziam carteiras e coletam frases-semente por meio da infraestrutura da Cloudflare.

Parte II – Conclusão

Isso não é spam oportunista. Trata-se de um campanha de 18 meses, conduzida de forma profissional por um único operador que descobriu que o algoritmo de classificação do Bing pode ser burlado com um domínio de US$ 2 e uma tag de título copiada. Atualmente, sete sites de phishing ocupam a primeira posição no Bing — acima das plataformas legítimas das quais se fazem passar.

A infraestrutura de ocultação que documentamos — 15 sites idênticos com bancos de dados compartilhados, ocultação de conteúdo baseada em CSS e redirecionamentos de contingência via JavaScript — representa uma ferramenta criada especificamente para manipular mecanismos de busca em grande escala.

O Google bloqueia todos os 26 domínios. O Bing coloca 7 deles na primeira posição. A solução técnica já existe. As evidências são públicas. Os domínios estão documentados. O registrador foi identificado. A questão permanece: será que alguma medida será tomada?