«Изнутри»: как действуют криптовалютные мошенники
Перенаправление Bing и DuckDuckGo
Расследование с использованием оперативных данных SEMrush, раскрывающее две параллельные SEO-атаки, в результате которых криптовалютные фишинговые сайты выводятся на первые позиции в результатах поиска Bing и DuckDuckGo. 10 доменов. 2 вектора атаки. Более 100 000 потенциальных жертв в месяц.

Все данные, приведенные в данном отчете, были собраны с помощью API SEMrush и сайта phishdestroy.io в целях исследования в области кибербезопасности. Доменные имена публикуются с целью предупреждения пользователей, а не для их продвижения.
Два вектора атаки
В ходе нашего расследования выяснилось, что две совершенно разные, параллельные операции работающие одновременно, чтобы вывести фишинговые сайты на первые места в результатах поиска Bing и DuckDuckGo.
Вектор A: Атака типа «SERP Injection» на Yahoo
Это, пожалуй, наиболее изящное с технической точки зрения атака «черной» SEO-оптимизации, которую мы зафиксировали в 2026 году. Она использует фундаментальный недостаток в алгоритме оценки авторитетности ссылок поисковой системой Bing — а именно, её неспособность отличить подлинные редакционные ссылки от динамически сгенерированных страниц результатов поиска с доверенных доменов.

Механизм — шаг за шагом
Шаг 1 — Формирование URL-адреса доверенного оператора. Злоумышленники создают URL-адреса на мобильных поисковых серверах Yahoo, расположенных в различных международных субдоменах: no.search.yahoo.com (Норвегия), fr.search.yahoo.com (Франция), mx.search.yahoo.com (Мексика), pl.search.yahoo.com (Польша), gr.search.yahoo.com (Греция), qc.search.yahoo.com (Квебек), chfr.search.yahoo.com (швейцарский французский), co.search.yahoo.com (Колумбия). На этих страницах указан унаследованный от Yahoo показатель авторитетности: 23–24.
Шаг 2 — Вставка фишинговой ссылки. Каждый URL содержит совершенно случайный, безобидный поисковый запрос — «pele+fifa», «Jean-Paul+Sartre», «Radio+Stars», «jucheck.exe» — но текст ссылки гласит: curvefi.co Curve Finance. Благодаря рандомизации запросов спам-фильтры не могут распознать в них повторяющиеся шаблоны.
Шаг 3 — Принудительное сканирование и индексация. Злоумышленники заставляют Bingbot сканировать эти URL-адреса с помощью сервисов массового пинга, вставки комментариев на форумах и в блогах, а также инструментов для автоматического запуска сканирования.
Алгоритм Google: «Это страница динамического поиска. Передача веса ссылок не происходит».
Алгоритм Bing: «Сайт yahoo.com содержит ссылку на curvefi.co с анкором „Curve Finance DEX“. Сигнал ранжирования принят. ✓»
Результат: фишинговый сайт вошел в тройку лидеров по запросу «Curve Finance» в поисковых системах Bing и DuckDuckGo.
Необработанные данные SEMrush — curvefi.co
| AS | Исходный домен | Анкор-текст |
|---|---|---|
| 24 | chfr.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | co.search.yahoo.com | curvefi.co Curve Finance |
| 24 | fr.search.yahoo.com | curvefi.co Curve Finance |
| 24 | mx.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | no.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | pl.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | gr.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | qc.search.yahoo.com | curvefi.co Curve Finance |
Жестокая ирония: На сайте есть ноль органические ключевые слова, ноль трафик в базе данных SEMrush — однако он появляется в результатах Bing/DDG по запросу «Curve Finance» благодаря авторитету, заимствованному у Yahoo.
Вектор B: Координированная сеть PBN
Именно здесь расследование приобретает по-настоящему тревожный оборот. Пять отдельных фишинговых сайтов — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at и keplr.me — все они имеют одну общую черту одинаковый набор источников обратных ссылок. Это не совпадение. Это единая организованная преступная группировка проведение нескольких фишинговых кампаний с использованием одной инфраструктуры.

«Неопровержимое доказательство» — Общая инфраструктура
| Домен-донор PBN | AS | rabbys | dexscr | monero | trezor |
|---|---|---|---|---|---|
lewievuittton.com | 65 | ✓ | ✓ | ✓ | ✓ |
lyricamed.us.com | 61 | ✓ | ✓ | ✓ | ✓ |
creatfx.com | 60 | ✓ | ✓ | ✓ | ✓ |
jba.com.jo | 56 | ✓ | ✓ | ✓ | ✓ |
jornaldevinhedo.com | 56 | ✓ | ✓ | ✓ | ✓ |
jasaaspalhotmix.com | 54 | ✓ | ✓ | ✓ | ✓ |
magna-eg.com | 50 | ✓ | ✓ | ✓ | ✓ |
markjohnsonbuilders | 50 | ✓ | ✓ | ✓ | ✓ |
nextplayflix.com | 49 | ✓ | ✓ | ✓ | ✓ |
Крупнейший донор PBN (AS 65) сам по себе является сайтом, созданным на основе опечатки в названии бренда Louis Vuitton. Этот донор PBN представляет собой мошеннический сайт, поддерживающий другие мошеннические сайты — это преступная инфраструктура на всех уровнях.
Профили фишинговых доменов
| Домен | Выдаёт себя за | Ключевые слова | Главная цель | Объем |
|---|---|---|---|---|
dexscreener.at | DexScreener | 64 | «dexscreener» № 42 | 60 500 в месяц |
rabbys.at | Кошелек «Rabby» | 15 | «Кошелек Рабби» № 51 | 5 400 в месяц |
trezorsuite.at | Trezor Suite | 7 | «trezor suite» № 32 | 4 400 в месяц |
aster-dex.at | Aster DEX | 13 | «Биржа Aster» № 25 | 3 600 в месяц |
monero-wallet.at | Кошелек Monero | 4 | «онлайн-кошелек xmr» № 26 | 210 в месяц |
keplr.me | Кошелек Keplr | 0 | Скрытый спам в комментариях | Н/Д |
bscscan.cfd | BSCScan | 0 | Массовые спам-ссылки | Н/Д |
curvefinance.co | Curve Finance | 0 | Только для Yahoo | Н/Д |
curvefi.co | Curve Finance | 0 | Только для Yahoo | Н/Д |
app-crv.net | Приложение Curve | 0 | Смешанные техники | Н/Д |
Пользователи, осуществляющие поиск «Скачать Trezor Suite» активно ищут возможность установить программное обеспечение кошелька. Фишинговый сайт, занимающий 3–5-е места в результатах поиска DuckDuckGo, приводит к тому, что пользователи скачивают вредоносное ПО полагая, что это интерфейс аппаратного кошелька. Это не теория — это происходит прямо сейчас.
«Статья-ферма» на базе искусственного интеллекта
В варианте aster-dex.at используется гибридный подход, сочетая использование метода «Yahoo injection» с контентом блогов, сгенерированным с помощью искусственного интеллекта, который размещался на взломанных или специально созданных сайтах во Вьетнаме, Италии, Индонезии и Швейцарии.

Все статьи в блоге имеют практически одинаковые названия: «Почему обмен токенами и пулы ликвидности по-прежнему ставят в тупик даже опытных трейдеров на децентрализованных биржах», «Почему автоматизированные маркет-мейкеры по-прежнему удивляют трейдеров». Это Статьи, созданные с помощью искусственного интеллекта размещены на сайтах с кодами AS 21–36, все из которых содержат ссылки на aster-dex.at.
Проникновение спама в комментариях
keplr.me использует совершенно иной подход — чистый спам в комментариях на не связанных с темой сайтах с высоким авторитетом. Под вымышленными именами пользователей, такими как «ZackaryThymn», «Fritzkah», «Jamesboach», на сайтах, посвящённых философии и образованию, размещаются ссылки на криптовалютные кошельки (filozofija.edu.rs, AS 45), платформы для повышения вовлечённости сотрудников (bavave.com, AS 63) и фестивали искусств (lea-festival.com, AS 50).

Дно бочки: спам с предложениями автоматизированных инструментов
bscscan.cfd использует самый примитивный из возможных методов: покупку пакетов массовых обратных ссылок с сайтов, названия которых буквально звучат как rankongoogle.agency и linksjump.click. У всех источников показатель AS равен 0. Домен верхнего уровня .cfd является известным индикатором спама. Однако в Bing даже это частично срабатывает — количество некачественных ссылок может влиять на позиции в рейтинге совершенно новых доменов, не имеющих негативной истории.

Почему именно Bing и DuckDuckGo уязвимы

| Особенность | Bing | |
|---|---|---|
| Динамическое определение страниц | Отсутствие ссылочного веса со страниц результатов поиска | Страницы поиска Yahoo рассматриваются как редакционный контент |
| Степень зрелости модели машинного обучения для борьбы со спамом | Более 15 лет данных для обучения SpamBrain | Менее зрелый; PBN AS 50–65 по-прежнему работает |
| Защита бренда | Агрессивный; сайт curvefinance.co был быстро заблокирован | Мошеннические сайты с доменами верхнего уровня .at и .co остаются в сети дольше |
| «Контент-фермы» с использованием ИИ | Система обнаружения, введенная в эксплуатацию в 2023 году и позже | Фермы ИИ с доменами .vn и .it по-прежнему получают удовлетворительные оценки |
| Блокировка фишинга | Функция «Безопасный просмотр» быстро блокирует известные домены | SmartScreen не обнаруживает недавно зарегистрированные мошеннические домены |
DDG использует индекс Bing в качестве основного источника данных, унаследовав все уязвимостей Bing. Пользователи, заботящиеся о конфиденциальности и предпочитающие DDG, зачастую хорошо разбираются в криптовалютах, что делает их более ценными целями. У DDG нет собственного механизма подачи жалоб на спам; все жалобы поступают в Bing.
Стратегия таргетинга по ключевым словам
Профили ключевых слов показывают, что хирургическая точность при выборе целевых запросов. Операторы нацеливаются не только на основные брендовые запросы, но и на типосквоты («кошелек раввина», «кошелек Рубби», «dexscrenner») и даже запросы на китайском языке («Биржа Aster» (25-е место в рейтинге).

| Целевое ключевое слово | Месячный объем | Мошеннический домен | Должность |
|---|---|---|---|
| dexscreener | 60,500 | dexscreener.at | #42 |
| кошелек «Rabby» | 5,400 | rabbys.at | #51–71 |
| пакет Trezor | 4,400 | trezorsuite.at | #32–85 |
| aster dex | 3,600 | aster-dex.at | #63 |
| dexscrennerопечатка | 2,400 | dexscreener.at | #45 |
| Биржа AsterКитайский | 1,000 | aster-dex.at | #25 |
| Скачать Trezor Suite | 260 | trezorsuite.at | #54 |
| кошелек «Рабби»опечатка | 210 | rabbys.at | #54 |
| Онлайн-кошелек XMR | 210 | monero-wallet.at | #55–69 |
Исторический контекст: проблема с Trust Wallet и DuckDuckGo
Эти атаки — не новость. Проблема заключалась в том, что значительно более тяжелый когда такие кошельки, как Trust Wallet, использовали DuckDuckGo в качестве своего встроенная поисковая система по умолчанию. Пользователям, которые искали протоколы DeFi прямо из своего кошелька, в качестве первого результата выдавались фишинговые страницы — при этом не требовалось никаких сложных мер по поисковой оптимизации. Сочетание поисковой системы, ориентированной на конфиденциальность, с недостаточно эффективной системой обнаружения спама и криптокошелька со встроенным браузером привело к идеальный шторм для фишинга.
Даже после того, как Trust Wallet отказался от использования DDG в качестве поисковой системы по умолчанию, эта уязвимость по-прежнему существует. Любой пользователь, который вручную выбирает DuckDuckGo ради конфиденциальности — эта демографическая группа, которая в значительной степени пересекается с пользователями криптовалют, — и сегодня по-прежнему подвергается именно таким атакам. Мошеннические операции, описанные в данном отчете, используют различные варианты этой методики уже в течение несколько лет, приспосабливаясь по мере того, как поисковые системы постепенно устраняют отдельные уязвимости.
Как защитить себя
REAL Curve Finance → curve.fi (КРОМЕ .co, .net) • DexScreener → dexscreener.com (НЕ .at) • Rabby → rabby.io (КРОМЕ .at, .me) • Trezor Suite → suite.trezor.io (НЕ trezorsuite.at) • Keplr → keplr.app (НЕ .me) • BSCScan → bscscan.com (НЕ .cfd)
- НИКОГДА подключите свой кошелек из результатов поиска
- Добавить в закладки напрямую на официальные сайты
- Используйте DDG
!bangярлык:!g curve financeзапускает поиск в Google - Установите расширение MetaMask для обнаружения фишинга
- Проверить любой домен можно на сайте PhishDestroy перед подключением
Рекомендации для Microsoft/Bing
- Динамическое определение страниц: Классифицировать страницы результатов поиска (Yahoo, Baidu, Google) и исключить ссылочный вес из исходящих ссылок
- Координированное обнаружение PBN: Если 9 доменов ссылаются на 5 разных сайтов по одинаковой схеме, пометить это как манипуляцию
- Уровень имитации бренда: Обнаружение атак с подстановкой доменов верхнего уровня (
dexscreener.at≈dexscreener.com) - Мониторинг домена .AT: Усиленный контроль за вновь зарегистрированными доменами .at в результатах поиска по криптовалютам
- Краткое руководство по DuckDuckGo: Создать специальный API для удаления спама, к которому DDG сможет получить прямой доступ
Заключение
Это не спам, направленный на извлечение выгоды. Это профессионально организованная, мультибрендовая и многонаправленная SEO-кампания специально разработанный для того, чтобы воспользоваться разрывом в возможностях Google и Bing по обнаружению спама. Каждый пользователь, который сегодня вводит в поисковике DuckDuckGo запрос «Trezor Suite download», может увидеть фишинговый сайт, способный опустошить его кошелек, прежде чем он перейдёт на настоящий сайт. Техническое решение существует. Вопрос в том, внедрит ли его Bing.


Один оператор, 26 доменов, один регистратор
Мы провели запросы RDAP по всем 26 фишинговым доменам. Каждый из них указал на одного и того же регистратора: NiceNIC International Group Co., Limited. Не «большинство». Не «большая часть». Все 23 записи из 23 успешно обработаны — один и тот же регистратор, у которого до проверки было зафиксировано 3 ошибки, связанные с ограничением скорости (их инфраструктурные схемы совпадают).

Регистрационные данные RDAP — Документы, подтверждающие пакетную регистрацию
| Домен | Выдаёт себя за | Создано | Пара серверов имен Cloudflare |
|---|---|---|---|
star-gate-finance-stargate.finance | Stargate Finance | 2025-09-08 | Терри/Ксимена |
app-vesper.finance | Vesper Finance | 2025-09-08 | Терри/Ксимена |
app-vvs.finance | VVS Finance | 2025-09-08 | Терри/Ксимена |
orbit-protocol-lending.net | Протокол Orbit | 2025-10-10 | Терри/Ксимена |
vvsfnance.com | VVS Finance | 2025-07-12 | Эйприл/Кейден |
spooky-swap.net | SpookySwap | 2025-04-15 | Эйприл/Кейден |
thorwsap.com | THORSwap | 2025-07-24 | Эйприл/Кейден |
hyperlokc.com | Hyperlock Finance | 2025-07-12 | арнольд/судьба |
shadow-ex.net | «Теневая биржа» | 2025-06-24 | Амос/Триша |
v2velodrome.com | «Велодром Финанс» | 2025-09-04 | Даяна/Марвин |
layerbank-v3.com | LayerBank | 2024-09-07 | Остин/Шерил |
biasterswap.xyz | BiSwap | 2024-09-07 | леди/Лэнгстон |
v2-olympusdao.com | OlympusDAO | 2026-03-29 | nash/romina |
uncx.org | Сеть UNCX | 2025-12-24 | Кори/Меган |
amblent.cc | Амбиент Файнанс | 2026-02-09 | Николь/Сальвадор |
juicefi.cc | Juice Finance | 2026-02-09 | Николь/Сальвадор |
rhea-finance.com | Rhea Finance | 2025-05-30 | — |
rhea-finance.net | Rhea Finance | 2025-05-30 | — |
rhea-rhea.org | Rhea Finance | 2025-05-30 | — |
silo-finance-silofinance.net | Silo Finance | 2025-05-30 | — |
Совместное использование пар серверов имен Cloudflare и одинаковые даты создания свидетельствуют о пакетной регистрации:
- 2025-09-08: star-gate + app-vesper + app-vvs (все
terry/ximena) - 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 домена, один сеанс)
- 2026-02-09: amblent.cc + juicefi.cc (
nicole/salvador) - 2024-09-07: layerbank-v3.com + biasterswap.xyz — операция, продолжающаяся более 18 месяцев
«Руководство за 2 доллара» — пошаговая инструкция
Забудьте о сложных методах SEO. Забудьте о многомесячной работе по продвижению ссылок. Перед вами полная и проверенная последовательность действий, которая гарантирует первое место в результатах поиска Bing.

Шаг 1: Реестр «Typosquat»
| Реальный проект | Реальный домен | Фишинговый домен | Техника |
|---|---|---|---|
| VVS Finance | vvs.finance | vvsfnance.com | Пропущенная буква (i) |
| THORSwap | thorswap.com | thorwsap.com | Переставленные буквы (a/w) |
| Hyperlock | hyperlock.fi | hyperlokc.com | Перестановка букв (c/k) |
| Мост Arbitrum | bridge.arbitrum.io | arbtrumbridge.cc | Своп + недорогой домен верхнего уровня |
| Амбиент Файнанс | ambient.finance | amblent.cc | Фонетическая опечатка |
| Thruster Finance | thruster.finance | thnuster.cc | Пропущенная буква (r→n) |
| Мост оптимизма | app.optimism.io | optrnismbirdge.cc | Многочисленные опечатки |
| Stargate Finance | stargate.finance | star-gate-finance-stargate.finance | Перенасыщение ключевыми словами |
Шаг 2: Скопируйте тег title ($0, 5 минут)
Оператор копирует точно <title> тег и метаописание с сайта реального проекта. Это самый важный шаг. Сама по себе эта страница — средство для обмана пользователей с целью выманивания средств из кошельков или кражи сед-фраз, но <title> именно это и учитывает Bing при ранжировании.
Шаг 3: Размещение в скрытой PBN-сети (0 долларов, 1 минута)
Оператор посещает любой из 15 объектов PBN (bye.fyi, atomizelink.icu, и т. д.), вводит домен в поле с надписью «Введите URL» и нажимает кнопку «Сократить». Одно нажатие кнопки создает страницу одновременно на всех 15 сайтах — они используют одну базу данных.
Шаг 4: Ожидание (2–8 недель, 0 долларов)
app.thnuster.cc заняла первое место в поисковой системе Bing по запросу «Thruster Finance» благодаря ровно 1 обратная ссылка — страница результатов поиска Yahoo из кэша. PBN даже не понадобилась.
Разбивка общей стоимости
| Что | Стоимость | Время |
|---|---|---|
| Домен (.cc/.com через NiceNIC) | $1-2 | 2 мин |
| DNS Cloudflare (бесплатный тариф) | $0 | 1 мин |
| Скопировать тег title с реального сайта | $0 | 5 мин |
| Отправить в PBN (bye.fyi и т. д.) | $0 | 1 мин |
| Дождитесь индексации | $0 | 2–8 недель |
| ИТОГО | $1-2 | ~10 мин |
Внутри механизма маскировки
Мы получили и проанализировали фактический исходный код HTML из сети PBN. На каждой странице каждого домена используется один и тот же механизм маскировки.

z-index: 1000000 За этой стеной скрывается 3 500 ссылокСтруктура страницы: 400 КБ HTML, более 3 500 ссылок, 4 уровня
<body style="overflow: hidden;">
<div style="position:absolute; top:0; left:0;
width:100%; height:5000px;
background:white; z-index:1000000;
font-size:32px; text-align:center;">
<p>The domain report has Expired!</p>
</div> Белый div занимает всю область просмотра. Значение z-index:1000000 гарантирует, что над ним ничего не отобразится. overflow:hidden на странице не позволяет прокрутить дальше. Пользователь видит надпись «Срок истек» и уходит.
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator"); Если пользователь проходит мимо белой стены, JavaScript перенаправляет его на сайт scrib.li (партнерская монетизация). Тройная защита против посетителей-людей.
Bingbot игнорирует CSS-наложения — он анализирует исходный HTML-код. Он видит сайт «URL Shortener» с формой поиска. Выглядит достоверно.
<p>Learn More Here <a rel="nofollow"
href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ... Фишинговый домен скрыт среди 3 500 случайных доменов. Лакомства от Bing rel="nofollow" в качестве сигнала индексации — он всё равно сканирует цель.
Доказательство: одна сеть, одна база данных
orbit-protocol-lending.net встречается на нескольких доменах PBN с последовательные идентификаторы из одной и той же базы данных:

| Домен PBN | Шаблон URL-адреса | ID |
|---|---|---|
blogsphere.top | /stats/49207 | 49207 |
optimizeflow.top | /stats/49207 | 49207 |
websites.freemyip.com | /share/49207 | 49207 |
shortenurls.eu | /share/49207 | 49207 |
jake.eu | /share/49207 | 49207 |
dailymusings.top | /stats/49208 | 49208 |
screenshots.wiki | /report/49208 | 49208 |
atomizelink.icu | /report/49208 | 49208 |
byteshort.xyz | /report/49208 | 49208 |
Одинаковые идентификаторы для разных «брендов» = один бэкенд, один оператор. 15 доменов. Один и тот же HTML-шаблон. Один и тот же CSS (style.css). Тот же JavaScript (work.js). Те же страницы по 3 500 ссылок.
Вторая сеть PBN — сеть для проверки доменов
Отдельная, более активная сеть ссылок обеспечивает обратные ссылки с атрибутом dofollow на выбранные целевые ресурсы. Главный сервер: all-aged-domains.com — установка WordPress версии 6.6.2, обслуживающая CSS, JS и шаблоны для 50–80 дочерних доменов.
| Особенность | Сеть A (скрытая PBN) | Сеть B (проверка домена) |
|---|---|---|
| Сайты | ~15 | ~50-80 |
| Маскировка | Да (перенаправление с помощью CSS и JS) | Нет |
| Тип ссылки | 99,4 % с атрибутом nofollow | 99,99 % ссылок с атрибутом dofollow |
| Количество ссылок на странице | ~3,500 | ~10,000 |
| Размер страницы | 400 КБ | 4 МБ |
| CMS | Пользовательский PHP | WordPress 6.6.2 |
| Главный сервер | Общая база данных (последовательные идентификаторы) | all-aged-domains.com |
| Google Tag Manager | Нет | Да (отслеживает трафик) |
Несмотря на то, что у сети B в 10 раз больше обратных ссылок, причём все они с атрибутом dofollow, она нацелена на НЕ занял 1-е место в Bing. У сайта biasterswap.xyz 110 ссылок с атрибутом dofollow. У сайта layerbank-v3.com — 98. Ни один из них не занимает первое место в рейтинге.
Между тем, app.thnuster.cc имеет 1 обратная ссылка и занимает первое место.
Для Bing комбинация скрытых PBN с атрибутом nofollow и совпадением в заголовках работает эффективнее, чем массовый спам с атрибутом dofollow.
Почему Bing попадается на эту уловку

Уязвимость «Title-Match»
app.thnuster.cc имеет ровно ОДНУ обратную ссылку — кэшированную страницу результатов поиска Yahoo. Сайт занимает 1-е место в Bing по запросу «Thruster Finance». Это доказывает, что ранжирование Bing по брендовым запросам с низкой конкуренцией основывается в первую очередь на:
- Тег title с точным совпадением по поисковому запросу
- Домен проиндексирован (достаточно любого сигнала — даже одной ссылки с атрибутом nofollow)
- Отсутствие негативных сигналов, вызывающих недоверие (домен новый, с чистой историей)
Google требует наличия весомых сигналов авторитетности и проводит перекрёстную проверку по известным доменам брендов. Bing этого не делает.
| Метрическая система | Bing | |
|---|---|---|
| Фишинговые домены на первом месте | 7 | 0 |
| Фишинговые домены в топ-10 | 7 | 0 |
| Срок для ранжирования с момента создания домена | 2–8 недель | никогда |
Результаты поиска Bing № 1 (проверено с помощью SerpAPI, апрель 2026 г.)
| Запрос | #1 Result (Phishing) | Обратные ссылки |
|---|---|---|
| «Stargate Finance» | star-gate-finance-stargate.finance | 20 |
| «Теневая биржа» | shadow-ex.net | 16 |
| «UNCX Network» | www.uncx.org | 51 |
| «Thruster Finance» | app.thnuster.cc | 1 |
| «Orbit Protocol» | orbit-protocol-lending.net | 15 |
| «VVS Finance» | vvsfnance.com (#1) + www.app-vvs.finance (#10) | 36 + 37 |
Обновлённый список средств защиты (бренды, часть II)
Stargate Finance → stargate.finance (НЕ star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (НЕ vvsfnance.com) • THORSwap → thorswap.com (НЕ thorwsap.com) • Велодром → velodrome.finance (НЕ v2velodrome.com) • UNCX → uncx.network (НЕ uncx.org) • SpookySwap → spooky.fi (НЕ spooky-swap.net) • OlympusDAO → olympusdao.finance (НЕ v2-olympusdao.com) • Thruster → thruster.finance (НЕ thnuster.cc) • Эмбиент → ambient.finance (НЕ amblent.cc)
Рекомендации (Часть II)
В адрес Microsoft/Bing:
- Сам по себе титульный матч ещё не означает авторитет. Соответствующий заголовок не должен обеспечивать новому домену первое место в рейтинге по запросам, связанным с брендом. Необходимо учитывать возраст домена, авторитет обратных ссылок или сигналы подтверждения бренда.
- Обнаружение маскировки на основе CSS. Страницы, на которых используются наложения с атрибутом z-index, скрывающие контент от пользователей, но отображающие его для поисковых роботов, должны быть отмечены.
- Обнаружение скоординированных сетей PBN. 15 доменов, использующих один бэкенд и ссылающихся на одни и те же целевые страницы, — это не органическое продвижение сайта с помощью ссылок.
- Отмечать домены, зарегистрированные через NiceNIC, в результатах поиска по криптовалютам для более тщательной проверки.
- Создать ускоренную процедуру обработки спама в DuckDuckGo. DDG унаследовал все уязвимости Bing, но не имеет собственного механизма подачи жалоб на спам.
Компании «NiceNIC International Group Co., Limited»:
26 фишинговых доменов. Один клиент. Пакетная регистрация в течение 18 месяцев. Никаких мер по борьбе со злоупотреблениями не было принято. Теперь это официально зафиксировано. Ссылка: Когда сообщения о злоупотреблениях остаются без внимания и NiceNIC: Системный катализатор.
В адрес Cloudflare:
Все 26 доменов используют DNS и прокси-серверы Cloudflare. Эти домены обслуживают программы, похищающие средства из кошельков, и программы, собирающие сед-фразы, за счет инфраструктуры Cloudflare.
Часть II. Заключение
Это не спам, направленный на извлечение выгоды. Это профессионально организованная кампания, проводившаяся одним оператором в течение 18 месяцев который обнаружил, что алгоритм ранжирования Bing можно обойти с помощью домена за 2 доллара и скопированного тега title. В настоящее время семь фишинговых сайтов занимают первое место в рейтинге Bing — над теми легальными платформами, за которые они выдают себя.
Инфраструктура маскировки, которую мы задокументировали — 15 идентичных сайтов с общими базами данных, скрытием контента с помощью CSS и резервными вариантами перенаправления на основе JavaScript — представляет собой специально разработанный инструмент для манипулирования поисковыми системами в широких масштабах.
Google блокирует все 26 доменов. Bing выводит 7 из них на первое место в рейтинге. Техническое решение проблемы существует. Доказательства находятся в открытом доступе. Домены зафиксированы в документах. Регистратор установлен. Остаётся вопрос: будут ли приняты какие-либо меры?


