PhishDestroy В прямом эфире
Вернуться к новостям
Активная угроза

«Изнутри»: как действуют криптовалютные мошенники
Перенаправление Bing и DuckDuckGo

Расследование с использованием оперативных данных SEMrush, раскрывающее две параллельные SEO-атаки, в результате которых криптовалютные фишинговые сайты выводятся на первые позиции в результатах поиска Bing и DuckDuckGo. 10 доменов. 2 вектора атаки. Более 100 000 потенциальных жертв в месяц.

30 марта 2026 года Исследование PhishDestroy Время чтения: 22 мин Данные API SEMrush
Криптовалютные мошенники, манипулирующие результатами поиска в Bing и DuckDuckGo — визуализация в стиле киберпанк
Поисковые системы под прицелом: организованные операции вытесняют легитимные криптовалютные платформы, выдвигая на первые позиции фишинговые сайты
10Фишинговые домены
9Доноры PBN
60,500+Ежедневная доза облучения
100K+Число пострадавших в месяц
2Векторы атак
Отказ от ответственности

Все данные, приведенные в данном отчете, были собраны с помощью API SEMrush и сайта phishdestroy.io в целях исследования в области кибербезопасности. Доменные имена публикуются с целью предупреждения пользователей, а не для их продвижения.

Два вектора атаки

В ходе нашего расследования выяснилось, что две совершенно разные, параллельные операции работающие одновременно, чтобы вывести фишинговые сайты на первые места в результатах поиска Bing и DuckDuckGo.

Вектор A: Внедрение в SERP Yahoo
Использует авторитет домена Yahoo (AS 24) через страницы мобильного поиска. Bing получает доверие от динамически сгенерированных URL-адресов поиска Yahoo, содержащих фишинговые анкоры. Цели: curvefinance.co, curvefi.co, aster-dex.at
Вектор B: Координированная сеть PBN
9 взломанных/приобретенных доменов с AS 49–65 одновременно перенаправляют на несколько фишинговых сайтов. Работает во ВСЕХ поисковых системах. Цели: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, keplr.me

Вектор A: Атака типа «SERP Injection» на Yahoo

Это, пожалуй, наиболее изящное с технической точки зрения атака «черной» SEO-оптимизации, которую мы зафиксировали в 2026 году. Она использует фундаментальный недостаток в алгоритме оценки авторитетности ссылок поисковой системой Bing — а именно, её неспособность отличить подлинные редакционные ссылки от динамически сгенерированных страниц результатов поиска с доверенных доменов.

Техническая схема, иллюстрирующая алгоритм атаки по внедрению результатов поиска Yahoo в рейтинг Bing
Унаследованный от Yahoo показатель авторитетности (AS 24) передается через страницы мобильного поиска на фишинговые домены — Bing воспринимает этот сигнал как достоверный

Механизм — шаг за шагом

Создать URL-адрес на Yahoo8 и более субдоменов стран
Вставить анкорСлучайный запрос + фишинговая ссылка
Принудительное ползаниеСлужбы Ping + спам
Индексы BingНаследует Yahoo AS 24
1-е местоФишинговый сайт в верхних строчках результатов поиска

Шаг 1 — Формирование URL-адреса доверенного оператора. Злоумышленники создают URL-адреса на мобильных поисковых серверах Yahoo, расположенных в различных международных субдоменах: no.search.yahoo.com (Норвегия), fr.search.yahoo.com (Франция), mx.search.yahoo.com (Мексика), pl.search.yahoo.com (Польша), gr.search.yahoo.com (Греция), qc.search.yahoo.com (Квебек), chfr.search.yahoo.com (швейцарский французский), co.search.yahoo.com (Колумбия). На этих страницах указан унаследованный от Yahoo показатель авторитетности: 23–24.

Шаг 2 — Вставка фишинговой ссылки. Каждый URL содержит совершенно случайный, безобидный поисковый запрос — «pele+fifa», «Jean-Paul+Sartre», «Radio+Stars», «jucheck.exe» — но текст ссылки гласит: curvefi.co Curve Finance. Благодаря рандомизации запросов спам-фильтры не могут распознать в них повторяющиеся шаблоны.

Шаг 3 — Принудительное сканирование и индексация. Злоумышленники заставляют Bingbot сканировать эти URL-адреса с помощью сервисов массового пинга, вставки комментариев на форумах и в блогах, а также инструментов для автоматического запуска сканирования.

Сбой алгоритма Bing

Алгоритм Google: «Это страница динамического поиска. Передача веса ссылок не происходит».
Алгоритм Bing: «Сайт yahoo.com содержит ссылку на curvefi.co с анкором „Curve Finance DEX“. Сигнал ранжирования принят. ✓»

Результат: фишинговый сайт вошел в тройку лидеров по запросу «Curve Finance» в поисковых системах Bing и DuckDuckGo.

Необработанные данные SEMrush — curvefi.co

API SEMrush Backlink Analytics | 30.03.2026 | Цель: curvefi.co
ASИсходный доменАнкор-текст
24chfr.search.yahoo.comwww.curvefi.co Curve Finance
24co.search.yahoo.comcurvefi.co Curve Finance
24fr.search.yahoo.comcurvefi.co Curve Finance
24mx.search.yahoo.comwww.curvefi.co Curve Finance
24no.search.yahoo.comwww.curvefi.co Curve Finance
24pl.search.yahoo.comwww.curvefi.co Curve Finance
23gr.search.yahoo.comwww.curvefi.co Curve Finance
23qc.search.yahoo.comcurvefi.co Curve Finance

Жестокая ирония: На сайте есть ноль органические ключевые слова, ноль трафик в базе данных SEMrush — однако он появляется в результатах Bing/DDG по запросу «Curve Finance» благодаря авторитету, заимствованному у Yahoo.

Вектор B: Координированная сеть PBN

Именно здесь расследование приобретает по-настоящему тревожный оборот. Пять отдельных фишинговых сайтов — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at и keplr.me — все они имеют одну общую черту одинаковый набор источников обратных ссылок. Это не совпадение. Это единая организованная преступная группировка проведение нескольких фишинговых кампаний с использованием одной инфраструктуры.

Визуализация преступной сети PBN — 9 донов, ссылающихся на 5 фишинговых сайтов
Один оператор, 9 доноров PBN, 5 целей фишинговых атак — вероятность того, что это просто совпадение, составляет примерно 0,00001 %

«Неопровержимое доказательство» — Общая инфраструктура

API SEMrush | Междоменный анализ | 30.03.2026
Домен-донор PBNASrabbysdexscrmonerotrezor
lewievuittton.com65
lyricamed.us.com61
creatfx.com60
jba.com.jo56
jornaldevinhedo.com56
jasaaspalhotmix.com54
magna-eg.com50
markjohnsonbuilders50
nextplayflix.com49
Примечание на сайте lewievuittton.com

Крупнейший донор PBN (AS 65) сам по себе является сайтом, созданным на основе опечатки в названии бренда Louis Vuitton. Этот донор PBN представляет собой мошеннический сайт, поддерживающий другие мошеннические сайты — это преступная инфраструктура на всех уровнях.

Профили фишинговых доменов

Обзор домена SEMrush | Март 2026 года
ДоменВыдаёт себя заКлючевые словаГлавная цельОбъем
dexscreener.atDexScreener64«dexscreener» № 4260 500 в месяц
rabbys.atКошелек «Rabby»15«Кошелек Рабби» № 515 400 в месяц
trezorsuite.atTrezor Suite7«trezor suite» № 324 400 в месяц
aster-dex.atAster DEX13«Биржа Aster» № 253 600 в месяц
monero-wallet.atКошелек Monero4«онлайн-кошелек xmr» № 26210 в месяц
keplr.meКошелек Keplr0Скрытый спам в комментарияхН/Д
bscscan.cfdBSCScan0Массовые спам-ссылкиН/Д
curvefinance.coCurve Finance0Только для YahooН/Д
curvefi.coCurve Finance0Только для YahooН/Д
app-crv.netПриложение Curve0Смешанные техникиН/Д
Важно: Загрузка Trezor Suite

Пользователи, осуществляющие поиск «Скачать Trezor Suite» активно ищут возможность установить программное обеспечение кошелька. Фишинговый сайт, занимающий 3–5-е места в результатах поиска DuckDuckGo, приводит к тому, что пользователи скачивают вредоносное ПО полагая, что это интерфейс аппаратного кошелька. Это не теория — это происходит прямо сейчас.

«Статья-ферма» на базе искусственного интеллекта

В варианте aster-dex.at используется гибридный подход, сочетая использование метода «Yahoo injection» с контентом блогов, сгенерированным с помощью искусственного интеллекта, который размещался на взломанных или специально созданных сайтах во Вьетнаме, Италии, Индонезии и Швейцарии.

Фабрика, производящая одинаковые блог-посты, сгенерированные искусственным интеллектом, с ссылками на фишинговые сайты
Статьи, сгенерированные искусственным интеллектом на взломанных сайтах — одинаковые заголовки, разные домены, все со ссылками на один и тот же фишинговый сайт

Все статьи в блоге имеют практически одинаковые названия: «Почему обмен токенами и пулы ликвидности по-прежнему ставят в тупик даже опытных трейдеров на децентрализованных биржах», «Почему автоматизированные маркет-мейкеры по-прежнему удивляют трейдеров». Это Статьи, созданные с помощью искусственного интеллекта размещены на сайтах с кодами AS 21–36, все из которых содержат ссылки на aster-dex.at.

Проникновение спама в комментариях

keplr.me использует совершенно иной подход — чистый спам в комментариях на не связанных с темой сайтах с высоким авторитетом. Под вымышленными именами пользователей, такими как «ZackaryThymn», «Fritzkah», «Jamesboach», на сайтах, посвящённых философии и образованию, размещаются ссылки на криптовалютные кошельки (filozofija.edu.rs, AS 45), платформы для повышения вовлечённости сотрудников (bavave.com, AS 63) и фестивали искусств (lea-festival.com, AS 50).

Легальный веб-сайт со скрытыми фишинговыми ссылками в разделе комментариев
Легальные сайты, на которых, сами того не подозревая, размещаются фишинговые ссылки — скрытые среди выглядящих вполне обычными комментариев пользователей

Дно бочки: спам с предложениями автоматизированных инструментов

bscscan.cfd использует самый примитивный из возможных методов: покупку пакетов массовых обратных ссылок с сайтов, названия которых буквально звучат как rankongoogle.agency и linksjump.click. У всех источников показатель AS равен 0. Домен верхнего уровня .cfd является известным индикатором спама. Однако в Bing даже это частично срабатывает — количество некачественных ссылок может влиять на позиции в рейтинге совершенно новых доменов, не имеющих негативной истории.

Рынок обратных ссылок по бросовым ценам в стиле киберпанк
«1000 обратных ссылок за 9,99 долларов» — самые дешёвые мошеннические инструменты для SEO до сих пор частично работают в Bing

Почему именно Bing и DuckDuckGo уязвимы

«Крепость Google» против «Крепости Bing» — сравнение уязвимостей
Многоуровневая система защиты от спама Google против менее отлаженной системы обнаружения Bing — разрыв, которым пользуются мошенники
Алгоритмические различия, которыми активно пользуются мошенники
ОсобенностьGoogleBing
Динамическое определение страницОтсутствие ссылочного веса со страниц результатов поискаСтраницы поиска Yahoo рассматриваются как редакционный контент
Степень зрелости модели машинного обучения для борьбы со спамомБолее 15 лет данных для обучения SpamBrainМенее зрелый; PBN AS 50–65 по-прежнему работает
Защита брендаАгрессивный; сайт curvefinance.co был быстро заблокированМошеннические сайты с доменами верхнего уровня .at и .co остаются в сети дольше
«Контент-фермы» с использованием ИИСистема обнаружения, введенная в эксплуатацию в 2023 году и позжеФермы ИИ с доменами .vn и .it по-прежнему получают удовлетворительные оценки
Блокировка фишингаФункция «Безопасный просмотр» быстро блокирует известные доменыSmartScreen не обнаруживает недавно зарегистрированные мошеннические домены
Специфическая уязвимость DuckDuckGo

DDG использует индекс Bing в качестве основного источника данных, унаследовав все уязвимостей Bing. Пользователи, заботящиеся о конфиденциальности и предпочитающие DDG, зачастую хорошо разбираются в криптовалютах, что делает их более ценными целями. У DDG нет собственного механизма подачи жалоб на спам; все жалобы поступают в Bing.

Стратегия таргетинга по ключевым словам

Профили ключевых слов показывают, что хирургическая точность при выборе целевых запросов. Операторы нацеливаются не только на основные брендовые запросы, но и на типосквоты («кошелек раввина», «кошелек Рубби», «dexscrenner») и даже запросы на китайском языке («Биржа Aster» (25-е место в рейтинге).

Карта мира, на которой показано многоязычное таргетирование по ключевым словам криптовалютными мошенниками
Многоязычный охват: английский, французский, китайский, вьетнамский — деятельность компании охватывает несколько континентов
Анализ бренда и объема поисковых запросов | SEMrush (США) | Март 2026 г.
Целевое ключевое словоМесячный объемМошеннический доменДолжность
dexscreener60,500dexscreener.at#42
кошелек «Rabby»5,400rabbys.at#51–71
пакет Trezor4,400trezorsuite.at#32–85
aster dex3,600aster-dex.at#63
dexscrennerопечатка2,400dexscreener.at#45
Биржа AsterКитайский1,000aster-dex.at#25
Скачать Trezor Suite260trezorsuite.at#54
кошелек «Рабби»опечатка210rabbys.at#54
Онлайн-кошелек XMR210monero-wallet.at#55–69

Исторический контекст: проблема с Trust Wallet и DuckDuckGo

У этой проблемы глубокие корни

Эти атаки — не новость. Проблема заключалась в том, что значительно более тяжелый когда такие кошельки, как Trust Wallet, использовали DuckDuckGo в качестве своего встроенная поисковая система по умолчанию. Пользователям, которые искали протоколы DeFi прямо из своего кошелька, в качестве первого результата выдавались фишинговые страницы — при этом не требовалось никаких сложных мер по поисковой оптимизации. Сочетание поисковой системы, ориентированной на конфиденциальность, с недостаточно эффективной системой обнаружения спама и криптокошелька со встроенным браузером привело к идеальный шторм для фишинга.

Даже после того, как Trust Wallet отказался от использования DDG в качестве поисковой системы по умолчанию, эта уязвимость по-прежнему существует. Любой пользователь, который вручную выбирает DuckDuckGo ради конфиденциальности — эта демографическая группа, которая в значительной степени пересекается с пользователями криптовалют, — и сегодня по-прежнему подвергается именно таким атакам. Мошеннические операции, описанные в данном отчете, используют различные варианты этой методики уже в течение несколько лет, приспосабливаясь по мере того, как поисковые системы постепенно устраняют отдельные уязвимости.

Как защитить себя

Всегда проверяйте точное название домена

REAL Curve Finance → curve.fi (КРОМЕ .co, .net) • DexScreener → dexscreener.com (НЕ .at) • Rabby → rabby.io (КРОМЕ .at, .me) • Trezor Suite → suite.trezor.io (НЕ trezorsuite.at) • Keplr → keplr.app (НЕ .me) • BSCScan → bscscan.com (НЕ .cfd)

Рекомендации для Microsoft/Bing

  1. Динамическое определение страниц: Классифицировать страницы результатов поиска (Yahoo, Baidu, Google) и исключить ссылочный вес из исходящих ссылок
  2. Координированное обнаружение PBN: Если 9 доменов ссылаются на 5 разных сайтов по одинаковой схеме, пометить это как манипуляцию
  3. Уровень имитации бренда: Обнаружение атак с подстановкой доменов верхнего уровня (dexscreener.atdexscreener.com)
  4. Мониторинг домена .AT: Усиленный контроль за вновь зарегистрированными доменами .at в результатах поиска по криптовалютам
  5. Краткое руководство по DuckDuckGo: Создать специальный API для удаления спама, к которому DDG сможет получить прямой доступ

Заключение

Это не спам, направленный на извлечение выгоды. Это профессионально организованная, мультибрендовая и многонаправленная SEO-кампания специально разработанный для того, чтобы воспользоваться разрывом в возможностях Google и Bing по обнаружению спама. Каждый пользователь, который сегодня вводит в поисковике DuckDuckGo запрос «Trezor Suite download», может увидеть фишинговый сайт, способный опустошить его кошелек, прежде чем он перейдёт на настоящий сайт. Техническое решение существует. Вопрос в том, внедрит ли его Bing.

Драматическая сцена в зале суда — судебный процесс над криптовалютными мошенниками с демонстрацией доказательств
Доказательства находятся в открытом доступе. Домены зафиксированы. Жертвы существуют на самом деле. Решение проблемы находится в руках Microsoft.
Дополнительное расследование — 17 апреля 2026 года

Часть II: «Схема за 2 доллара» — 26 фишинговых сайтов, 1 регистратор, 7 результатов под номером 1 в Bing

В ходе последующего расследования, проведённого в марте, было установлено, что 26 новых фишинговых доменов — все они выдают себя за протоколы DeFi — и в настоящее время занимают #1 on Bing по запросам, связанным с целевыми брендами. Используя данные об обратных ссылках из API SEMrush, записи о регистрации в RDAP и прямой анализ исходного кода, мы отследили каждый отдельный домен до один оператор, один регистратор (NiceNIC) и одна скрытая сеть PBN, состоящая из 15 сайтов. Стоимость одного домена: 2 доллара. Время: 10 минут.

Один оператор, 26 фишинговых приманок, один поисковик, который не проводит проверку
Один оператор. 26 фишинговых ссылок в Bing. Стоимость: 2 доллара за домен.
26Фишинговые домены
1Регистратор (NiceNIC)
7Первые позиции в Bing
15Скрытые сайты PBN
0Рейтинги Google

Один оператор, 26 доменов, один регистратор

Мы провели запросы RDAP по всем 26 фишинговым доменам. Каждый из них указал на одного и того же регистратора: NiceNIC International Group Co., Limited. Не «большинство». Не «большая часть». Все 23 записи из 23 успешно обработаны — один и тот же регистратор, у которого до проверки было зафиксировано 3 ошибки, связанные с ограничением скорости (их инфраструктурные схемы совпадают).

Таблица результатов расследования OSINT, в которой указаны 23 из 23 доменов, зарегистрированных через NiceNIC
Проверено 23 из 23. Один и тот же регистратор. Один и тот же клиент. Никаких мер в связи со злоупотреблениями.

Регистрационные данные RDAP — Документы, подтверждающие пакетную регистрацию

Результаты запроса RDAP | Апрель 2026 г. | 23 из 26 запросов выполнены успешно
ДоменВыдаёт себя заСозданоПара серверов имен Cloudflare
star-gate-finance-stargate.financeStargate Finance2025-09-08Терри/Ксимена
app-vesper.financeVesper Finance2025-09-08Терри/Ксимена
app-vvs.financeVVS Finance2025-09-08Терри/Ксимена
orbit-protocol-lending.netПротокол Orbit2025-10-10Терри/Ксимена
vvsfnance.comVVS Finance2025-07-12Эйприл/Кейден
spooky-swap.netSpookySwap2025-04-15Эйприл/Кейден
thorwsap.comTHORSwap2025-07-24Эйприл/Кейден
hyperlokc.comHyperlock Finance2025-07-12арнольд/судьба
shadow-ex.net«Теневая биржа»2025-06-24Амос/Триша
v2velodrome.com«Велодром Финанс»2025-09-04Даяна/Марвин
layerbank-v3.comLayerBank2024-09-07Остин/Шерил
biasterswap.xyzBiSwap2024-09-07леди/Лэнгстон
v2-olympusdao.comOlympusDAO2026-03-29nash/romina
uncx.orgСеть UNCX2025-12-24Кори/Меган
amblent.ccАмбиент Файнанс2026-02-09Николь/Сальвадор
juicefi.ccJuice Finance2026-02-09Николь/Сальвадор
rhea-finance.comRhea Finance2025-05-30
rhea-finance.netRhea Finance2025-05-30
rhea-rhea.orgRhea Finance2025-05-30
silo-finance-silofinance.netSilo Finance2025-05-30
Пакетная регистрация — один оператор, несколько сеансов

Совместное использование пар серверов имен Cloudflare и одинаковые даты создания свидетельствуют о пакетной регистрации:

  • 2025-09-08: star-gate + app-vesper + app-vvs (все terry/ximena)
  • 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 домена, один сеанс)
  • 2026-02-09: amblent.cc + juicefi.cc (nicole/salvador)
  • 2024-09-07: layerbank-v3.com + biasterswap.xyz — операция, продолжающаяся более 18 месяцев

«Руководство за 2 доллара» — пошаговая инструкция

Забудьте о сложных методах SEO. Забудьте о многомесячной работе по продвижению ссылок. Перед вами полная и проверенная последовательность действий, которая гарантирует первое место в результатах поиска Bing.

Четыре шага, чтобы вывести фишинговый сайт на первое место в Bing за 2 доллара
Четыре шага, 2 доллара — и Bing выводит фишинговый сайт на первое место
Зарегистрировать домен с опечаткой$1-2 at NiceNIC
Скопировать тег titleКопия с реального сайта
Отправить в PBNПока. К сведению: 15 сайтов
Подождите 2–8 недельBing индексирует и ранжирует
Bing № 1Пример реального проекта

Шаг 1: Реестр «Typosquat»

Методы «типосквотинга» в 8 из 26 доменов
Реальный проектРеальный доменФишинговый доменТехника
VVS Financevvs.financevvsfnance.comПропущенная буква (i)
THORSwapthorswap.comthorwsap.comПереставленные буквы (a/w)
Hyperlockhyperlock.fihyperlokc.comПерестановка букв (c/k)
Мост Arbitrumbridge.arbitrum.ioarbtrumbridge.ccСвоп + недорогой домен верхнего уровня
Амбиент Файнансambient.financeamblent.ccФонетическая опечатка
Thruster Financethruster.financethnuster.ccПропущенная буква (r→n)
Мост оптимизмаapp.optimism.iooptrnismbirdge.ccМногочисленные опечатки
Stargate Financestargate.financestar-gate-finance-stargate.financeПеренасыщение ключевыми словами

Шаг 2: Скопируйте тег title ($0, 5 минут)

Оператор копирует точно <title> тег и метаописание с сайта реального проекта. Это самый важный шаг. Сама по себе эта страница — средство для обмана пользователей с целью выманивания средств из кошельков или кражи сед-фраз, но <title> именно это и учитывает Bing при ранжировании.

Шаг 3: Размещение в скрытой PBN-сети (0 долларов, 1 минута)

Оператор посещает любой из 15 объектов PBN (bye.fyi, atomizelink.icu, и т. д.), вводит домен в поле с надписью «Введите URL» и нажимает кнопку «Сократить». Одно нажатие кнопки создает страницу одновременно на всех 15 сайтах — они используют одну базу данных.

Шаг 4: Ожидание (2–8 недель, 0 долларов)

Доказательство: 1 обратная ссылка = 1-е место в Bing

app.thnuster.cc заняла первое место в поисковой системе Bing по запросу «Thruster Finance» благодаря ровно 1 обратная ссылка — страница результатов поиска Yahoo из кэша. PBN даже не понадобилась.

Разбивка общей стоимости

ЧтоСтоимостьВремя
Домен (.cc/.com через NiceNIC)$1-22 мин
DNS Cloudflare (бесплатный тариф)$01 мин
Скопировать тег title с реального сайта$05 мин
Отправить в PBN (bye.fyi и т. д.)$01 мин
Дождитесь индексации$02–8 недель
ИТОГО$1-2~10 мин

Внутри механизма маскировки

Мы получили и проанализировали фактический исходный код HTML из сети PBN. На каждой странице каждого домена используется один и тот же механизм маскировки.

Что видят пользователи и что видит Bingbot — «стена маскировки»
Что видят пользователи и что видит Bingbot — z-index: 1000000 За этой стеной скрывается 3 500 ссылок

Структура страницы: 400 КБ HTML, более 3 500 ссылок, 4 уровня

Уровень 1 — «Скрывающая стена» (то, что видят пользователи)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

Белый div занимает всю область просмотра. Значение z-index:1000000 гарантирует, что над ним ничего не отобразится. overflow:hidden на странице не позволяет прокрутить дальше. Пользователь видит надпись «Срок истек» и уходит.

Уровень 2 — Перенаправление JS (резервная защита)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Если пользователь проходит мимо белой стены, JavaScript перенаправляет его на сайт scrib.li (партнерская монетизация). Тройная защита против посетителей-людей.

Уровень 3 — Фальшивый фасад (то, что видят боты)

Bingbot игнорирует CSS-наложения — он анализирует исходный HTML-код. Он видит сайт «URL Shortener» с формой поиска. Выглядит достоверно.

Уровень 4 — Массив ссылок (3 500 ссылок с атрибутом nofollow)
<p>Learn More Here <a rel="nofollow"
     href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ...

Фишинговый домен скрыт среди 3 500 случайных доменов. Лакомства от Bing rel="nofollow" в качестве сигнала индексации — он всё равно сканирует цель.

Доказательство: одна сеть, одна база данных

orbit-protocol-lending.net встречается на нескольких доменах PBN с последовательные идентификаторы из одной и той же базы данных:

Одна база данных, 15 доменных имен — все они предоставляют одинаковый контент с одного и того же бэкенда
Одна база данных. 15 доменных имен. На всех экранах отображается одинаковое содержимое из одного и того же бэкенда.
Последовательные идентификаторы в «разных» брендах PBN — доказательство использования общего бэкенда
Домен PBNШаблон URL-адресаID
blogsphere.top/stats/4920749207
optimizeflow.top/stats/4920749207
websites.freemyip.com/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
dailymusings.top/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
byteshort.xyz/report/4920849208

Одинаковые идентификаторы для разных «брендов» = один бэкенд, один оператор. 15 доменов. Один и тот же HTML-шаблон. Один и тот же CSS (style.css). Тот же JavaScript (work.js). Те же страницы по 3 500 ссылок.

Вторая сеть PBN — сеть для проверки доменов

Отдельная, более активная сеть ссылок обеспечивает обратные ссылки с атрибутом dofollow на выбранные целевые ресурсы. Главный сервер: all-aged-domains.com — установка WordPress версии 6.6.2, обслуживающая CSS, JS и шаблоны для 50–80 дочерних доменов.

Скрытая PBN (сеть A) против Domain Checker (сеть B)
ОсобенностьСеть A (скрытая PBN)Сеть B (проверка домена)
Сайты~15~50-80
МаскировкаДа (перенаправление с помощью CSS и JS)Нет
Тип ссылки99,4 % с атрибутом nofollow99,99 % ссылок с атрибутом dofollow
Количество ссылок на странице~3,500~10,000
Размер страницы400 КБ4 МБ
CMSПользовательский PHPWordPress 6.6.2
Главный серверОбщая база данных (последовательные идентификаторы)all-aged-domains.com
Google Tag ManagerНетДа (отслеживает трафик)
Ирония

Несмотря на то, что у сети B в 10 раз больше обратных ссылок, причём все они с атрибутом dofollow, она нацелена на НЕ занял 1-е место в Bing. У сайта biasterswap.xyz 110 ссылок с атрибутом dofollow. У сайта layerbank-v3.com — 98. Ни один из них не занимает первое место в рейтинге.

Между тем, app.thnuster.cc имеет 1 обратная ссылка и занимает первое место.

Для Bing комбинация скрытых PBN с атрибутом nofollow и совпадением в заголовках работает эффективнее, чем массовый спам с атрибутом dofollow.

Почему Bing попадается на эту уловку

Бронированный робот от Google, блокирующий фишинг у входа, против дружелюбного швейцара от Bing, держащего дверь открытой
Бронированный робот от Google блокирует фишинг у входа. А приветливый швейцар от Bing держит дверь открытой.

Уязвимость «Title-Match»

app.thnuster.cc имеет ровно ОДНУ обратную ссылку — кэшированную страницу результатов поиска Yahoo. Сайт занимает 1-е место в Bing по запросу «Thruster Finance». Это доказывает, что ранжирование Bing по брендовым запросам с низкой конкуренцией основывается в первую очередь на:

  1. Тег title с точным совпадением по поисковому запросу
  2. Домен проиндексирован (достаточно любого сигнала — даже одной ссылки с атрибутом nofollow)
  3. Отсутствие негативных сигналов, вызывающих недоверие (домен новый, с чистой историей)

Google требует наличия весомых сигналов авторитетности и проводит перекрёстную проверку по известным доменам брендов. Bing этого не делает.

Bing против Google — результаты ранжирования по 26 доменам
Метрическая системаBingGoogle
Фишинговые домены на первом месте70
Фишинговые домены в топ-1070
Срок для ранжирования с момента создания домена2–8 недельникогда

Результаты поиска Bing № 1 (проверено с помощью SerpAPI, апрель 2026 г.)

Запрос#1 Result (Phishing)Обратные ссылки
«Stargate Finance»star-gate-finance-stargate.finance20
«Теневая биржа»shadow-ex.net16
«UNCX Network»www.uncx.org51
«Thruster Finance»app.thnuster.cc1
«Orbit Protocol»orbit-protocol-lending.net15
«VVS Finance»vvsfnance.com (#1) + www.app-vvs.finance (#10)36 + 37

Обновлённый список средств защиты (бренды, часть II)

Всегда проверяйте точное название домена

Stargate Finance → stargate.finance (НЕ star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (НЕ vvsfnance.com) • THORSwap → thorswap.com (НЕ thorwsap.com) • Велодром → velodrome.finance (НЕ v2velodrome.com) • UNCX → uncx.network (НЕ uncx.org) • SpookySwap → spooky.fi (НЕ spooky-swap.net) • OlympusDAO → olympusdao.finance (НЕ v2-olympusdao.com) • Thruster → thruster.finance (НЕ thnuster.cc) • Эмбиент → ambient.finance (НЕ amblent.cc)

Рекомендации (Часть II)

В адрес Microsoft/Bing:

  1. Сам по себе титульный матч ещё не означает авторитет. Соответствующий заголовок не должен обеспечивать новому домену первое место в рейтинге по запросам, связанным с брендом. Необходимо учитывать возраст домена, авторитет обратных ссылок или сигналы подтверждения бренда.
  2. Обнаружение маскировки на основе CSS. Страницы, на которых используются наложения с атрибутом z-index, скрывающие контент от пользователей, но отображающие его для поисковых роботов, должны быть отмечены.
  3. Обнаружение скоординированных сетей PBN. 15 доменов, использующих один бэкенд и ссылающихся на одни и те же целевые страницы, — это не органическое продвижение сайта с помощью ссылок.
  4. Отмечать домены, зарегистрированные через NiceNIC, в результатах поиска по криптовалютам для более тщательной проверки.
  5. Создать ускоренную процедуру обработки спама в DuckDuckGo. DDG унаследовал все уязвимости Bing, но не имеет собственного механизма подачи жалоб на спам.

Компании «NiceNIC International Group Co., Limited»:

26 фишинговых доменов. Один клиент. Пакетная регистрация в течение 18 месяцев. Никаких мер по борьбе со злоупотреблениями не было принято. Теперь это официально зафиксировано. Ссылка: Когда сообщения о злоупотреблениях остаются без внимания и NiceNIC: Системный катализатор.

В адрес Cloudflare:

Все 26 доменов используют DNS и прокси-серверы Cloudflare. Эти домены обслуживают программы, похищающие средства из кошельков, и программы, собирающие сед-фразы, за счет инфраструктуры Cloudflare.

Часть II. Заключение

Это не спам, направленный на извлечение выгоды. Это профессионально организованная кампания, проводившаяся одним оператором в течение 18 месяцев который обнаружил, что алгоритм ранжирования Bing можно обойти с помощью домена за 2 доллара и скопированного тега title. В настоящее время семь фишинговых сайтов занимают первое место в рейтинге Bing — над теми легальными платформами, за которые они выдают себя.

Инфраструктура маскировки, которую мы задокументировали — 15 идентичных сайтов с общими базами данных, скрытием контента с помощью CSS и резервными вариантами перенаправления на основе JavaScript — представляет собой специально разработанный инструмент для манипулирования поисковыми системами в широких масштабах.

Google блокирует все 26 доменов. Bing выводит 7 из них на первое место в рейтинге. Техническое решение проблемы существует. Доказательства находятся в открытом доступе. Домены зафиксированы в документах. Регистратор установлен. Остаётся вопрос: будут ли приняты какие-либо меры?