Por dentro do esquema: como os golpistas de criptomoedas
Sequestrar o Bing e o DuckDuckGo
Uma reportagem investigativa com dados em tempo real do SEMrush que revela duas operações paralelas de ataque de SEO que estão levando sites de phishing relacionados a criptomoedas ao topo dos resultados de busca do Bing e do DuckDuckGo. 10 domínios. 2 vetores de ataque. Mais de 100.000 vítimas em potencial por mês.

Todos os dados contidos neste relatório foram coletados por meio da API da SEMrush e do site phishdestroy.io para fins de pesquisa em segurança cibernética. Os nomes de domínio são publicados com o objetivo de alertar os usuários, e não de promovê-los.
Os dois vetores de ataque
Nossa investigação revelou que duas operações paralelas e completamente diferentes em andamento simultaneamente para levar sites de phishing ao topo dos resultados do Bing e do DuckDuckGo.
Vetor A: O ataque de injeção na SERP do Yahoo
Pode-se dizer que este é o o mais elegante do ponto de vista técnico ataque de SEO black-hat que documentamos em 2026. Ele explora uma falha fundamental na forma como o Bing avalia a autoridade dos links — mais especificamente, sua incapacidade de distinguir entre links editoriais genuínos e páginas de resultados de busca geradas dinamicamente a partir de domínios confiáveis.

O mecanismo — passo a passo
Etapa 1 — Geração da URL da operadora confiável. Os invasores criam URLs nos pontos de acesso da pesquisa móvel do Yahoo em vários subdomínios internacionais: no.search.yahoo.com (Noruega), fr.search.yahoo.com (França), mx.search.yahoo.com (México), pl.search.yahoo.com (Polônia), gr.search.yahoo.com (Grécia), qc.search.yahoo.com (Quebec), chfr.search.yahoo.com (suíço-francês), co.search.yahoo.com (Colômbia). Essas páginas apresentam o Índice de Autoridade herdado do Yahoo: 23–24.
Etapa 2 — Inserção do link de phishing. Cada URL contém uma consulta de busca totalmente aleatória e inofensiva — “pele+fifa”, “Jean-Paul+Sartre”, “Radio+Stars”, “jucheck.exe” —, mas o texto de âncora diz: curvefi.co Curve Finance. As consultas aleatórias garantem que os filtros de spam não identifiquem nenhum padrão.
Etapa 3 — Rastreamento e indexação forçados. Os invasores fazem com que o Bingbot rastreie essas URLs por meio de serviços de ping em massa, injeções de comentários em fóruns e blogs e ferramentas automatizadas de acionamento de rastreamento.
O algoritmo do Google: “Esta é uma página de busca dinâmica. Não há transferência de autoridade de link.”
O algoritmo do Bing: “O site yahoo.com possui um link para curvefi.co com o texto de âncora ‘Curve Finance DEX’. Sinal de classificação aceito. ✓”
Resultado: site de phishing chega ao TOP 3 para “Curve Finance” no Bing e no DuckDuckGo.
Dados brutos da SEMrush — curvefi.co
| AS | Domínio de origem | Texto de âncora |
|---|---|---|
| 24 | chfr.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | co.search.yahoo.com | curvefi.co Curve Finance |
| 24 | fr.search.yahoo.com | curvefi.co Curve Finance |
| 24 | mx.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | no.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | pl.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | gr.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | qc.search.yahoo.com | curvefi.co Curve Finance |
A ironia brutal: O site tem zero palavras-chave orgânicas, zero tráfego no banco de dados da SEMrush — mas aparece nos resultados do Bing/DDG para “Curve Finance” devido à autoridade emprestada pelo Yahoo.
Vetor B: A rede PBN coordenada
É aqui que a investigação se torna realmente alarmante. Cinco sites de phishing distintos — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at e keplr.me — todos têm em comum um conjunto idêntico de fontes de backlinks. Isso não é coincidência. Isso é uma única operação criminosa organizada realizar várias campanhas de phishing a partir de uma única infraestrutura.

A Prova Irrefutável — Infraestrutura Compartilhada
| Domínio doador PBN | AS | rabbys | dexscr | monero | trezor |
|---|---|---|---|---|---|
lewievuittton.com | 65 | ✓ | ✓ | ✓ | ✓ |
lyricamed.us.com | 61 | ✓ | ✓ | ✓ | ✓ |
creatfx.com | 60 | ✓ | ✓ | ✓ | ✓ |
jba.com.jo | 56 | ✓ | ✓ | ✓ | ✓ |
jornaldevinhedo.com | 56 | ✓ | ✓ | ✓ | ✓ |
jasaaspalhotmix.com | 54 | ✓ | ✓ | ✓ | ✓ |
magna-eg.com | 50 | ✓ | ✓ | ✓ | ✓ |
markjohnsonbuilders | 50 | ✓ | ✓ | ✓ | ✓ |
nextplayflix.com | 49 | ✓ | ✓ | ✓ | ✓ |
O principal doador de PBN (AS 65) é, por si só, um typosquat da marca Louis Vuitton. Esse doador de PBN é um site fraudulento que sustenta outros sites fraudulentos — uma infraestrutura criminosa em toda a sua extensão.
Perfis de domínios de phishing
| Domínio | Finge ser | Palavras-chave | Alvo principal | Volume |
|---|---|---|---|---|
dexscreener.at | DexScreener | 64 | “dexscreener” n.º 42 | 60.500/mês |
rabbys.at | Carteira Rabby | 15 | “carteira do coelhinho” #51 | 5.400/mês |
trezorsuite.at | Trezor Suite | 7 | “trezor suite” n.º 32 | 4.400/mês |
aster-dex.at | Aster DEX | 13 | “Bolsa Aster” #25 | 3.600/mês |
monero-wallet.at | Carteira Monero | 4 | “carteira xmr online” #26 | 210/mês |
keplr.me | Carteira Keplr | 0 | Spam oculto nos comentários | N/A |
bscscan.cfd | BSCScan | 0 | Links de spam em massa | N/A |
curvefinance.co | Curve Finance | 0 | Apenas injeção do Yahoo | N/A |
curvefi.co | Curve Finance | 0 | Apenas injeção do Yahoo | N/A |
app-crv.net | Aplicativo Curve | 0 | Técnicas mistas | N/A |
Usuários que estão pesquisando “download do Trezor Suite” estão procurando ativamente instalar um software de carteira. Um site de phishing que aparece nas posições 3 a 5 no DuckDuckGo faz com que os usuários baixem malware achando que se trata da interface de uma carteira de hardware. Isso não é mera teoria — está acontecendo neste exato momento.
A fábrica de artigos alimentada por IA
A variante aster-dex.at utiliza um abordagem híbrida, combinando a técnica de injeção do Yahoo com conteúdo de blog gerado por IA, publicado em sites comprometidos ou criados especificamente para esse fim no Vietnã, na Itália, na Indonésia e na Suíça.

Todos os artigos do blog têm títulos quase idênticos: “Por que as trocas de tokens e os pools de liquidez ainda confundem até mesmo os traders mais experientes de DEX”, “Por que os formadores de mercado automatizados ainda surpreendem os operadores”. São eles: Artigos gerados por IA colocados em sites com AS 21–36, todos com links para aster-dex.at.
Infiltração de spam nos comentários
O keplr.me adota uma abordagem totalmente diferente — puro spam de comentários em sites de alta autoridade que não têm relação alguma com o assunto. Nomes de usuário falsos como “ZackaryThymn”, “Fritzkah” e “Jamesboach” inserem links para carteiras de criptomoedas em sites de ensino de filosofia (filozofija.edu.rs, AS 45), plataformas de engajamento dos funcionários (bavave.com, AS 63) e festivais de arte (lea-festival.com, AS 50).

O Pior de Todos: Spam de Ferramentas Automatizadas
bscscan.cfd usa o método mais rudimentar possível: pacotes pagos de backlinks em massa provenientes de sites cujos nomes são, literalmente, rankongoogle.agency e linksjump.click. Todas as fontes têm AS = 0. O TLD .cfd é um indicador conhecido de spam. No entanto, no Bing, mesmo isso funciona parcialmente — o volume de links de baixa qualidade pode influenciar as classificações em domínios totalmente novos, sem histórico negativo.

Por que o Bing e o DuckDuckGo são particularmente vulneráveis

| Destaque | Bing | |
|---|---|---|
| Detecção dinâmica de páginas | Não há equidade de links proveniente das páginas de resultados de pesquisa | Páginas de busca do Yahoo consideradas como conteúdo editorial |
| Maturidade do modelo de aprendizado de máquina para spam | Mais de 15 anos de dados de treinamento do SpamBrain | Menos maduro; o PBN AS 50–65 ainda funciona |
| Proteção da marca | Agressivo; o site curvefinance.co foi sinalizado rapidamente | Os golpes envolvendo os domínios de nível superior .at e .co duram mais tempo |
| Fábricas de conteúdo com IA | Detecção implementada a partir de 2023 | As fazendas de IA com domínios .vn e .it ainda obtêm notas de aprovação |
| Bloqueio de phishing | A Navegação Segura bloqueia domínios conhecidos rapidamente | O SmartScreen não detecta domínios fraudulentos recém-registrados |
O DDG utiliza o índice do Bing como sua principal fonte de dados, herdando todos das vulnerabilidades do Bing. Os usuários preocupados com a privacidade que preferem o DDG costumam ter conhecimento em criptografia — o que os torna alvos de maior valor. O DDG não possui um mecanismo independente de denúncia de spam; as denúncias são encaminhadas ao Bing.
Estratégia de segmentação por palavras-chave
Os perfis de palavras-chave revelam precisão cirúrgica na seleção de alvos. Os operadores visam não apenas termos de marca primários, mas também typosquats (“carteira rabino”, “carteira Rubby”, “dexscrenner”) e até mesmo consultas em chinês (“Bolsa Aster” (25º lugar).

| Palavra-chave alvo | Volume mensal | Domínio fraudulento | Cargo |
|---|---|---|---|
| dexscreener | 60,500 | dexscreener.at | #42 |
| carteira rabby | 5,400 | rabbys.at | #51–71 |
| Suíte Trezor | 4,400 | trezorsuite.at | #32–85 |
| aster dex | 3,600 | aster-dex.at | #63 |
| dexscrennererro de digitação | 2,400 | dexscreener.at | #45 |
| Bolsa AsterChinês | 1,000 | aster-dex.at | #25 |
| download do Trezor Suite | 260 | trezorsuite.at | #54 |
| carteira rabinoerro de digitação | 210 | rabbys.at | #54 |
| carteira online de XMR | 210 | monero-wallet.at | #55–69 |
Contexto histórico: O problema da Trust Wallet / DuckDuckGo
Esses ataques não são novidade. O problema era significativamente mais grave quando carteiras como a Trust Wallet usavam o DuckDuckGo como seu mecanismo de busca padrão do aplicativo. Os usuários que buscavam protocolos DeFi a partir de suas carteiras recebiam resultados de phishing como o primeiro resultado — sem a necessidade de nenhum trabalho complexo de SEO. A combinação de um mecanismo de busca voltado para a privacidade, com detecção de spam mais fraca, e uma carteira de criptomoedas com navegador integrado criou uma tempestade perfeita para phishing.
Mesmo depois que a Trust Wallet deixou de usar o DDG como padrão, a vulnerabilidade subjacente persiste. Qualquer usuário que escolhe manualmente o DuckDuckGo por uma questão de privacidade — um grupo demográfico que se sobrepõe amplamente aos usuários de criptomoedas — continua exposto a esses mesmos ataques até hoje. As operações fraudulentas documentadas neste relatório vêm utilizando variações dessa técnica há vários anos, adaptando-se à medida que os mecanismos de busca vão corrigindo, aos poucos, os vetores individuais.
Como se proteger
REAL Curve Finance → curve.fi (NÃO .co, .net) • DexScreener → dexscreener.com (NÃO .at) • Rabby → rabby.io (NÃO .at, .me) • Trezor Suite → suite.trezor.io (NÃO é trezorsuite.at) • Keplr → keplr.app (NÃO .me) • BSCScan → bscscan.com (NÃO .cfd)
- NUNCA conecte sua carteira a partir de um resultado de pesquisa
- Marcar como favorito sites legítimos diretamente
- Use o DDG’s
!bangatalho:!g curve financeforça a pesquisa no Google - Instale a extensão de detecção de phishing do MetaMask
- Verifique qualquer domínio em PhishDestroy antes de conectar
Recomendações para a Microsoft/Bing
- Detecção dinâmica de páginas: Classificar as páginas de resultados de busca (Yahoo, Baidu, Google) e remover a autoridade dos links externos
- Detecção coordenada de PBN: Quando 9 domínios apontam para 5 sites diferentes com padrões idênticos, sinalize como manipulação
- Camada de falsificação de marca: Detectar ataques de substituição de TLD (
dexscreener.at≈dexscreener.com) - Monitoramento de domínios .AT: Maior rigor na análise de domínios .at recém-registrados nas SERPs de criptomoedas
- Guia rápido do DuckDuckGo: Criar uma API dedicada à remoção de spam à qual o DDG possa acessar diretamente
Conclusão
Isso não é spam oportunista. Trata-se de um operação de SEO organizada profissionalmente, multimarcas e multicanal projetado especificamente para explorar a lacuna entre os recursos de detecção de spam do Google e do Bing. Qualquer usuário que pesquisar “download do Trezor Suite” no DuckDuckGo hoje pode se deparar com um site de phishing que esvazia a carteira antes mesmo de encontrar o site verdadeiro. A solução técnica já existe. A questão é se o Bing vai implementá-la.


Uma operadora, 26 domínios, um registrador
Executamos consultas RDAP em todos os 26 domínios de phishing. Todos, sem exceção, indicaram o mesmo registrador: NiceNIC International Group Co., Limited. Não a maioria. Não a maioria. Todos os 23 foram consultados com sucesso — registrador idêntico, com 3 erros de limite de taxa antes da verificação (os padrões de infraestrutura deles coincidem).

Dados de registro do RDAP — Comprovante de registro em lote
| Domínio | Finge ser | Criado | Par de servidores de nomes da Cloudflare |
|---|---|---|---|
star-gate-finance-stargate.finance | Stargate Finance | 2025-09-08 | Terry/Ximena |
app-vesper.finance | Vesper Finance | 2025-09-08 | Terry/Ximena |
app-vvs.finance | VVS Finance | 2025-09-08 | Terry/Ximena |
orbit-protocol-lending.net | Protocolo Orbit | 2025-10-10 | Terry/Ximena |
vvsfnance.com | VVS Finance | 2025-07-12 | abril/kayden |
spooky-swap.net | SpookySwap | 2025-04-15 | abril/kayden |
thorwsap.com | THORSwap | 2025-07-24 | abril/kayden |
hyperlokc.com | Hyperlock Finance | 2025-07-12 | arnold/destiny |
shadow-ex.net | Bolsa das Sombras | 2025-06-24 | amos/tricia |
v2velodrome.com | Finanças do Velódromo | 2025-09-04 | Dayana/Marvin |
layerbank-v3.com | LayerBank | 2024-09-07 | austin/cheryl |
biasterswap.xyz | BiSwap | 2024-09-07 | senhora/Langston |
v2-olympusdao.com | OlympusDAO | 2026-03-29 | nash/romina |
uncx.org | Rede UNCX | 2025-12-24 | Cory/Megan |
amblent.cc | Finanças Ambientais | 2026-02-09 | Nicole/Salvador |
juicefi.cc | Juice Finance | 2026-02-09 | Nicole/Salvador |
rhea-finance.com | Rhea Finance | 2025-05-30 | — |
rhea-finance.net | Rhea Finance | 2025-05-30 | — |
rhea-rhea.org | Rhea Finance | 2025-05-30 | — |
silo-finance-silofinance.net | Silo Finance | 2025-05-30 | — |
Os pares de servidores de nomes (NS) compartilhados da Cloudflare e as datas de criação idênticas comprovam que se trata de um registro em lote:
- 2025-09-08: star-gate + app-vesper + app-vvs (todos
terry/ximena) - 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 domínios, uma sessão)
- 2026-02-09: amblent.cc + juicefi.cc (
nicole/salvador) - 2024-09-07: layerbank-v3.com + biasterswap.xyz — operação com duração de mais de 18 meses
O Guia de US$ 2 — Passo a passo
Esqueça o SEO sofisticado. Esqueça meses de criação de links. Aqui está a sequência de ações completa e comprovada que garante o primeiro lugar nos resultados do Bing.

Etapa 1: Registro de Typosquats
| Projeto Real | Domínio Real | Domínio de phishing | Técnica |
|---|---|---|---|
| VVS Finance | vvs.finance | vvsfnance.com | Letra omitida (i) |
| THORSwap | thorswap.com | thorwsap.com | Letras trocadas (a/w) |
| Hyperlock | hyperlock.fi | hyperlokc.com | Letras trocadas (c/k) |
| Arbitrum Bridge | bridge.arbitrum.io | arbtrumbridge.cc | Troca + TLD barato |
| Finanças Ambientais | ambient.finance | amblent.cc | Erro ortográfico fonético |
| Thruster Finance | thruster.finance | thnuster.cc | Letra omitida (r → n) |
| Ponte do Otimismo | app.optimism.io | optrnismbirdge.cc | Vários erros de digitação |
| Stargate Finance | stargate.finance | star-gate-finance-stargate.finance | Excesso de palavras-chave |
Etapa 2: Clonar a tag de título (US$ 0, 5 minutos)
O operador copia exatamente o <title> tag e meta descrição do site do projeto real. Este é o passo mais importante de todos. A própria página é um site que esvazia carteiras ou rouba frases-semente — mas <title> é o que o Bing classifica.
Etapa 3: Enviar para a rede PBN oculta (US$ 0, 1 minuto)
O operador visita qualquer uma das 15 unidades da PBN (bye.fyi, atomizelink.icu, etc.), digita o domínio em um formulário intitulado “Insira sua URL” e clica em “Encurtar”. Um único envio cria uma página em todos os 15 sites simultaneamente — eles compartilham um único banco de dados.
Etapa 4: Aguardar (2 a 8 semanas, US$ 0)
app.thnuster.cc alcançou o primeiro lugar no Bing para “Thruster Finance” com exatamente 1 backlink — uma página da SERP do Yahoo armazenada em cache. A rede PBN nem sequer foi necessária.
Discriminação do custo total
| O que | Custo | Hora |
|---|---|---|
| Domínio (.cc/.com via NiceNIC) | $1-2 | 2 min |
| DNS da Cloudflare (plano gratuito) | $0 | 1 min |
| Copiar a tag de título do site original | $0 | 5 min |
| Enviar para o PBN (bye.fyi etc.) | $0 | 1 min |
| Aguarde a indexação | $0 | 2 a 8 semanas |
| TOTAL | $1-2 | ~10 min |
Por dentro do Mecanismo de Ocultação
Recolhemos e analisamos o código-fonte HTML real da rede PBN. Todas as páginas em todos os domínios utilizam o mesmo mecanismo de cloaking.

z-index: 1000000 a parede esconde 3.500 linksEstrutura da página: 400 KB de HTML, mais de 3.500 links, 4 camadas
<body style="overflow: hidden;">
<div style="position:absolute; top:0; left:0;
width:100%; height:5000px;
background:white; z-index:1000000;
font-size:32px; text-align:center;">
<p>The domain report has Expired!</p>
</div> O div branco cobre toda a janela de visualização. O z-index:1000000 garante que nada seja exibido acima dele. overflow:hidden No corpo da página, isso impede que o usuário role a tela para baixo. O usuário vê “Expirado” e sai.
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator"); Se o usuário contornar o bloqueio, o JavaScript o redireciona para o scrib.li (monetização por meio de afiliados). Proteção tripla contra visitantes humanos.
O Bingbot ignora a sobreposição de CSS — ele analisa o HTML bruto. Ele vê um site de “encurtador de URL” com um formulário de busca. Parece legítimo.
<p>Learn More Here <a rel="nofollow"
href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ... O domínio de phishing está escondido entre 3.500 domínios aleatórios. Guloseimas do Bing rel="nofollow" como um sinal de indexação — ele rastreia o alvo de qualquer maneira.
Prova: Uma rede, um banco de dados
orbit-protocol-lending.net aparece em vários domínios de PBN com IDs sequenciais do mesmo banco de dados:

| Domínio PBN | Padrão de URL | ID |
|---|---|---|
blogsphere.top | /stats/49207 | 49207 |
optimizeflow.top | /stats/49207 | 49207 |
websites.freemyip.com | /share/49207 | 49207 |
shortenurls.eu | /share/49207 | 49207 |
jake.eu | /share/49207 | 49207 |
dailymusings.top | /stats/49208 | 49208 |
screenshots.wiki | /report/49208 | 49208 |
atomizelink.icu | /report/49208 | 49208 |
byteshort.xyz | /report/49208 | 49208 |
Os mesmos IDs em diferentes “marcas” = um único backend, um único operador. 15 domínios. O mesmo modelo HTML. O mesmo CSS (style.css). O mesmo JavaScript (work.js). As mesmas páginas com 3.500 links.
A Segunda PBN — Rede de Verificadores de Domínios
Uma rede de links separada e mais agressiva fornece backlinks dofollow para destinos selecionados. Servidor principal: all-aged-domains.com — uma instalação do WordPress 6.6.2 que fornece CSS, JS e modelos para 50 a 80 domínios satélites.
| Destaque | Rede A (PBN oculta) | Rede B (Verificador de domínios) |
|---|---|---|
| Locais | ~15 | ~50-80 |
| Camuflagem | Sim (redirecionamento por CSS + JS) | Não |
| Tipo de link | 99,4% com atributo “nofollow” | 99,99% dofollow |
| Links por página | ~3,500 | ~10,000 |
| Tamanho da página | 400 KB | 4 MB |
| CMS | PHP personalizado | WordPress 6.6.2 |
| Servidor mestre | Banco de dados compartilhado (IDs sequenciais) | all-aged-domains.com |
| Google Tag Manager | Não | Sim (monitora o tráfego) |
Apesar de ter 10 vezes mais backlinks, todos dofollow, a Rede B tem como alvo NÃO alcançou o primeiro lugar no Bing. O site biasterswap.xyz tem 110 links dofollow. O site layerbank-v3.com tem 98. Nenhum dos dois ocupa a primeira posição.
Enquanto isso, app.thnuster.cc tem 1 backlink e ocupa o primeiro lugar.
A estratégia de PBN com links “nofollow” ocultos + correspondência de títulos funciona melhor do que o spam em massa com links “dofollow” para o Bing.
Por que o Bing cai nessa

A vulnerabilidade da luta pelo título
app.thnuster.cc tem exatamente UM backlink — uma página em cache da SERP do Yahoo. Ela ocupa a 1ª posição no Bing para a busca por “Thruster Finance”. Isso comprova que a classificação do Bing para consultas de marca com baixa concorrência se baseia principalmente em:
- Correspondência exata da tag de título para a consulta de busca
- O domínio está indexado (qualquer sinal — mesmo um único link “nofollow” — já é suficiente)
- Sem sinais negativos de confiança (o domínio é novo, sem histórico)
O Google exigiria sinais de autoridade substanciais e faria uma comparação cruzada com domínios de marcas conhecidas. O Bing não faz isso.
| Métrico | Bing | |
|---|---|---|
| Domínios de phishing em primeiro lugar | 7 | 0 |
| Domínios de phishing entre os 10 primeiros | 7 | 0 |
| Tempo para aparecer nos resultados de busca a partir da criação do domínio | 2 a 8 semanas | nunca |
Resultados nº 1 do Bing (verificados via SerpAPI, abril de 2026)
| Consulta | #1 Result (Phishing) | Links de retorno |
|---|---|---|
| “Stargate Finance” | star-gate-finance-stargate.finance | 20 |
| “Shadow Exchange” | shadow-ex.net | 16 |
| “Rede UNCX” | www.uncx.org | 51 |
| “Thruster Finance” | app.thnuster.cc | 1 |
| “Protocolo Orbit” | orbit-protocol-lending.net | 15 |
| “VVS Finance” | vvsfnance.com (#1) + www.app-vvs.finance (#10) | 36 + 37 |
Lista de Proteção Atualizada (Marcas da Parte II)
Stargate Finance → stargate.finance (NÃO é star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (NÃO é vvsfnance.com) • THORSwap → thorswap.com (NÃO é thorwsap.com) • Velódromo → velodrome.finance (NÃO é v2velodrome.com) • UNCX → uncx.network (NÃO é o uncx.org) • SpookySwap → spooky.fi (NÃO é o spooky-swap.net) • OlympusDAO → olympusdao.finance (NÃO v2-olympusdao.com) • Thruster → thruster.finance (NÃO é thnuster.cc) • Ambiente → ambient.finance (NÃO é o amblent.cc)
Recomendações (Parte II)
À Microsoft/Bing:
- A disputa pelo título, por si só, não constitui autoridade. Um título correspondente não deve fazer com que um novo domínio ocupe a primeira posição nos resultados de pesquisa para consultas relacionadas à marca. É necessário que haja idade do domínio, autoridade de backlinks ou sinais de verificação da marca.
- Detectar cloaking baseado em CSS. As páginas que utilizam sobreposições com z-index para ocultar o conteúdo dos usuários, mas exibi-lo aos rastreadores, devem ser sinalizadas.
- Detectar redes PBN coordenadas. 15 domínios que compartilham um único backend e apontam para os mesmos destinos não constituem uma estratégia orgânica de construção de links.
- Marcar domínios registrados no NiceNIC nos resultados de busca de criptomoedas para uma análise mais aprofundada.
- Criar uma fila prioritária para spam no DuckDuckGo. O DDG herda todas as vulnerabilidades do Bing, mas não possui um mecanismo independente de denúncia de spam.
À NiceNIC International Group Co., Limited:
26 domínios de phishing. Um cliente. Registrados em lote ao longo de 18 meses. Nenhuma medida contra abusos foi tomada. Isso já está documentado publicamente. Referência: Quando as denúncias de abuso não dão em nada e NiceNIC: Facilitador sistêmico.
À Cloudflare:
Todos os 26 domínios utilizam o DNS e o proxy da Cloudflare. Esses domínios hospedam programas que esvaziam carteiras e coletam frases-semente por meio da infraestrutura da Cloudflare.
Parte II – Conclusão
Isso não é spam oportunista. Trata-se de um campanha de 18 meses, conduzida de forma profissional por um único operador que descobriu que o algoritmo de classificação do Bing pode ser burlado com um domínio de US$ 2 e uma tag de título copiada. Atualmente, sete sites de phishing ocupam a primeira posição no Bing — acima das plataformas legítimas das quais se fazem passar.
A infraestrutura de ocultação que documentamos — 15 sites idênticos com bancos de dados compartilhados, ocultação de conteúdo baseada em CSS e redirecionamentos de contingência via JavaScript — representa uma ferramenta criada especificamente para manipular mecanismos de busca em grande escala.
O Google bloqueia todos os 26 domínios. O Bing coloca 7 deles na primeira posição. A solução técnica já existe. As evidências são públicas. Os domínios estão documentados. O registrador foi identificado. A questão permanece: será que alguma medida será tomada?


