PhishDestroy Canlı
Haberlere Geri Dön
Aktif Tehdit

Makinenin İçinde: Kripto Dolandırıcıları Nasıl Çalışıyor?
Bing ve DuckDuckGo’yu ele geçirmek

Canlı SEMrush verilerini içeren ve kripto para dolandırıcılığı sitelerini Bing ile DuckDuckGo arama sonuçlarının en üst sıralarına taşıyan iki paralel SEO saldırı operasyonunu ortaya çıkaran bir araştırma raporu. 10 alan adı. 2 saldırı vektörü. Ayda 100.000'den fazla potansiyel kurban.

30 Mart 2026 PhishDestroy Araştırması Okuma süresi: 22 dakika SEMrush API Verileri
Bing ve DuckDuckGo arama sonuçlarını manipüle eden kripto dolandırıcıları — siberpunk görselleştirme
Arama motorları kuşatma altında: Organize operasyonlar, kimlik avı sitelerini meşru kripto platformlarının önüne çıkarıyor
10Kimlik Avı Alan Adları
9PBN Bağışçıları
60,500+Günlük Maruz Kalma
100.000+Mağdur Sayısı/Ay
2Saldırı Vektörleri
Yasal Uyarı

Bu rapordaki tüm veriler, siber güvenlik araştırma amaçlarıyla SEMrush API ve phishdestroy.io aracılığıyla toplanmıştır. Alan adları, kullanıcıları uyarmak amacıyla yayınlanmıştır; tanıtım amacıyla değil.

İki Saldırı Vektörü

Yaptığımız araştırma sonucunda ortaya çıktı ki tamamen farklı, birbirinden bağımsız iki işlem Bing ve DuckDuckGo arama sonuçlarında kimlik avı sitelerini en üst sıralara çıkarmak amacıyla eşzamanlı olarak yürütülen faaliyetler.

Vektör A: Yahoo Arama Sonuç Sayfası Enjeksiyonu
Mobil arama sayfaları aracılığıyla Yahoo’nun alan otoritesinden (AS 24) yararlanır. Bing, kimlik avı bağlantıları içeren dinamik olarak oluşturulan Yahoo arama URL’lerinden güveni devralır. Hedefler: curvefinance.co, curvefi.co, aster-dex.at
Vektör B: Koordineli PBN Ağı
AS 49–65 aralığındaki 9 ele geçirilmiş/satın alınmış alan adı, aynı anda birden fazla kimlik avı sitesine bağlantı vermektedir. TÜM arama motorlarında faaliyet göstermektedir. Hedefler: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, keplr.me

Vektör A: Yahoo Arama Sonuç Sayfası (SERP) Enjeksiyon Saldırısı

Bu, tartışmasız en... teknik açıdan en zarif 2026 yılında belgelediğimiz bir black-hat SEO saldırısı. Bu saldırı, Bing’in bağlantı otoritesini değerlendirme yöntemindeki temel bir kusuru istismar ediyor — özellikle de Bing’in, güvenilir alan adlarından gelen gerçek editoryal bağlantılar ile dinamik olarak oluşturulan arama sonucu sayfaları arasında ayrım yapamamasını.

Yahoo SERP enjeksiyon saldırısının Bing sıralamalarına etkisini gösteren teknik şema
Yahoo’dan devralınan Otorite Puanı (AS 24), mobil arama sayfaları üzerinden kimlik avı alan adlarına aktarılıyor — Bing bu sinyali meşru olarak kabul ediyor

İşleyiş — Adım Adım

Yahoo URL'si Oluştur8'den fazla ülke alt etki alanı
Bağlantıyı YerleştirRastgele sorgu + kimlik avı bağlantısı
Zorla TaramaPing hizmetleri + spam
Bing DizinleriYahoo AS 24'ü devralır
1. SıraEn üst sıralarda yer alan bir kimlik avı sitesi

1. Adım — Güvenilir taşıyıcı URL’sinin oluşturulması. Saldırganlar, Yahoo’nun mobil arama uç noktalarında çok sayıda uluslararası alt etki alanı üzerinden URL’ler oluşturuyor: no.search.yahoo.com (Norveç), fr.search.yahoo.com (Fransa), mx.search.yahoo.com (Meksika), pl.search.yahoo.com (Polonya), gr.search.yahoo.com (Yunanistan), qc.search.yahoo.com (Quebec), chfr.search.yahoo.com (İsviçre Fransızcası), co.search.yahoo.com (Kolombiya). Bu sayfalarda Yahoo’dan devralınan Otorite Puanı: 23–24 yer almaktadır.

2. Adım — Kimlik avı bağlantısını ekleme. Her URL, tamamen rastgele ve masum bir arama sorgusu içeriyor — “pele+fifa”, “Jean-Paul+Sartre”, “Radio+Stars”, “jucheck.exe” — ancak bağlantı metni şöyle: curvefi.co Curve Finance. Rastgele oluşturulan sorgular, spam filtreleri tarafından herhangi bir kalıp eşleşmesinin önlenmesini sağlar.

3. Adım — Zorunlu tarama ve indeksleme. Saldırganlar, toplu ping hizmetleri, forum/blog yorum enjeksiyonları ve otomatik tarama tetikleme araçlarını kullanarak Bingbot’un bu URL’leri taramasını sağlıyor.

Bing’in Algoritmik Hatası

Google’ın algoritması: “Bu, dinamik bir arama sayfasıdır. Bağlantı değeri aktarımı yoktur.”
Bing’in algoritması: “yahoo.com, ‘Curve Finance DEX’ bağlantı metniyle curvefi.co adresine bağlantı vermektedir. Sıralama sinyali kabul edildi. ✓”

Sonuç: Kimlik avı sitesi, Bing ve DuckDuckGo’da “Curve Finance” aramasında ilk 3’e yükseldi.

SEMrush’tan Doğrudan Kanıt — curvefi.co

SEMrush Backlink Analytics API | 30.03.2026 | Hedef: curvefi.co
ASKaynak Etki AlanıBağlantı Metni
24chfr.search.yahoo.comwww.curvefi.co Curve Finance
24co.search.yahoo.comcurvefi.co Curve Finance
24fr.search.yahoo.comcurvefi.co Curve Finance
24mx.search.yahoo.comwww.curvefi.co Curve Finance
24no.search.yahoo.comwww.curvefi.co Curve Finance
24pl.search.yahoo.comwww.curvefi.co Curve Finance
23gr.search.yahoo.comwww.curvefi.co Curve Finance
23qc.search.yahoo.comcurvefi.co Curve Finance

Acımasız bir ironi: Sitede şunlar bulunmaktadır: sıfır organik anahtar kelimeler, sıfır SEMrush veritabanındaki trafik — ancak Yahoo’nun ödünç aldığı otorite sayesinde “Curve Finance” aramalarında Bing/DDG sonuçlarında görünüyor.

Vektör B: Koordineli PBN Ağı

İşte bu noktada soruşturma gerçekten endişe verici bir hal alıyor. Beş ayrı kimlik avı sitesi — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at ve keplr.me — hepsinin ortak bir aynı geri bağlantı kaynakları kümesi. Bu bir tesadüf değil. Bu tek bir organize suç örgütü tek bir altyapıdan birden fazla kimlik avı kampanyası yürütmek.

Suç amaçlı PBN ağının görselleştirilmesi — 5 kimlik avı hedefine bağlantı veren 9 bağışçı alan adı
Bir operatör, 9 PBN bağışçısı, 5 kimlik avı hedefi — bunun tesadüf olma olasılığı yaklaşık %0,00001’dir

The Smoking Gun — Ortak Altyapı

SEMrush API | Etki alanları arası analiz | 30.03.2026
PBN Bağışçı Etki AlanıASrabbysdexscrmonerotrezor
lewievuittton.com65
lyricamed.us.com61
creatfx.com60
jba.com.jo56
jornaldevinhedo.com56
jasaaspalhotmix.com54
magna-eg.com50
markjohnsonbuilders50
nextplayflix.com49
lewievuittton.com ile ilgili not

En büyük PBN kaynağı (AS 65), kendisi de Louis Vuitton markasının yazım hatasından yararlanan bir sitedir. Bu PBN kaynağı, diğer dolandırıcılık sitelerini destekleyen bir dolandırıcılık sitesidir — baştan sona suç altyapısıdır.

Kimlik Avı Alan Adı Profilleri

SEMrush Etki Alanı Genel Bakışı | Mart 2026
Etki AlanıTaklit ederAnahtar kelimelerEn Önemli HedefHacim
dexscreener.atDexScreener64“dexscreener” #42ayda 60.500
rabbys.atRabby Cüzdan15“rabby cüzdan” #51Ayda 5.400
trezorsuite.atTrezor Suite7“trezor suite” #32Ayda 4.400
aster-dex.atAster DEX13“Aster Borsası” #25Ayda 3.600
monero-wallet.atMonero Cüzdanı4“xmr çevrimiçi cüzdan” #26Ayda 210
keplr.meKeplr Cüzdanı0Gizli yorum spam'ıYok
bscscan.cfdBSCScan0Toplu spam bağlantılarıYok
curvefinance.coCurve Finance0Yalnızca Yahoo enjeksiyonuYok
curvefi.coCurve Finance0Yalnızca Yahoo enjeksiyonuYok
app-crv.netCurve uygulaması0Karışık tekniklerYok
Önemli: Trezor Suite İndirme

Arama yapan kullanıcılar “Trezor Suite indirme” aktif olarak cüzdan yazılımı yüklemeye çalışıyorlar. DuckDuckGo’da 3–5. sıralarda yer alan bir kimlik avı sitesi, kullanıcıların şu yazılımı indirmesine neden oluyor: kötü amaçlı yazılım bunun bir donanım cüzdanı arayüzü olduğunu sanarak. Bu teorik bir durum değil — şu anda gerçekten yaşanıyor.

Yapay Zeka Destekli Makale Üretim Merkezi

aster-dex.at sürümü bir melez yaklaşım, Yahoo enjeksiyonunu, Vietnam, İtalya, Endonezya ve İsviçre’deki ele geçirilmiş ya da bu amaçla oluşturulmuş sitelere yerleştirilen yapay zeka tarafından üretilen blog içeriğiyle birleştirerek.

Oltalama sitelerine bağlantı veren, yapay zeka tarafından üretilmiş birbirinin aynısı blog yazıları yayınlayan fabrika
Güvenliği ihlal edilmiş sitelerde yer alan yapay zeka tarafından üretilmiş makaleler — aynı başlıklar, farklı alan adları, hepsi de aynı kimlik avı hedefine yönlendiriyor

Blog makalelerinin başlıkları neredeyse birbirinin aynısı: “Token Takasları ve Likidite Havuzları Neden Deneyimli DEX Yatırımcılarını Bile Zorluyor?”, “Otomatik Piyasa Yapıcılar Neden Hâlâ Yatırımcıları Şaşırtıyor?”. Bunlar şunlardır: Yapay zeka tarafından oluşturulan makaleler AS 21–36 numaralı sitelere yerleştirilmiş olup, hepsi aster-dex.at adresine yönlendirilmektedir.

Yorum Spamı Sızması

keplr.me ise tamamen farklı bir yaklaşım benimsiyor — konuyla ilgisi olmayan, yüksek otoriteye sahip sitelerde saf yorum spam’ı. “ZackaryThymn”, “Fritzkah”, “Jamesboach” gibi sahte kullanıcı adları, felsefe eğitimi sitelerine kripto cüzdan bağlantılarını yerleştiriyor (filozofija.edu.rs, AS 45), çalışan bağlılığı platformları (bavave.com, AS 63) ve sanat festivalleri (lea-festival.com, AS 50).

Yorum bölümünde gizli kimlik avı bağlantıları bulunan meşru bir web sitesi
Normal görünümlü kullanıcı yorumlarının arasına gizlenmiş kimlik avı bağlantılarını farkında olmadan barındıran meşru siteler

En Dipsiz Kuyu: Otomatik Araç Spam'ı

bscscan.cfd olabilecek en kaba yöntemi kullanıyor: adları tam anlamıyla rankongoogle.agency ve linksjump.click. Tüm kaynakların AS değeri 0’dır. .cfd TLD’si bilinen bir spam göstergesidir. Yine de Bing’de bu yöntem kısmen işe yarıyor — düşük kaliteli bağlantıların sayısı, olumsuz bir geçmişi olmayan yepyeni alan adlarında sıralamaları etkileyebilir.

Cyberpunk tarzında ucuz backlink pazarı
“1000 Geri Bağlantı 9,99 $” — en ucuz SEO dolandırıcılık araçları, Bing’de hâlâ kısmen işe yarıyor

Bing ve DuckDuckGo’nun Neden Özellikle Güvenlik Açığına Sahip Olduğu

Google Kalesi ve Bing Kalesi — Güvenlik Açıkları Karşılaştırması
Google’ın çok katmanlı spam savunması ile Bing’in daha az gelişmiş algılama sistemi — dolandırıcıların istismar ettiği bu fark
Dolandırıcıların aktif olarak istismar ettiği algoritmik farklılıklar
ÖzellikGoogleBing
Dinamik sayfa algılamaArama sonuç sayfalarından bağlantı değeri aktarımı yapılmazYahoo arama sayfaları, editoryal içerik olarak değerlendiriliyor
Spam Makine Öğrenimi olgunluk düzeyi15 yılı aşkın SpamBrain eğitim verileriDaha az olgun; PBN AS 50–65 hâlâ işe yarıyor
Marka korumasıSaldırgan; curvefinance.co kısa sürede uyarıya konu oldu.at/.co alan adı dolandırıcılıkları daha uzun süre devam ediyor
Yapay zeka içerik üretim tesisleri2023+'da devreye alınan algılama sistemi.vn ve .it uzantılı yapay zeka sitelerinin puanları hâlâ geçer not seviyesinde
Kimlik avı engellemeGüvenli Tarama, bilinen alan adlarını hızla engellerSmartScreen, yeni kaydedilen dolandırıcılık amaçlı alan adlarını tespit edemiyor
DuckDuckGo’ya Özgü Bir Zayıflık

DDG, Bing’in dizinini birincil veri kaynağı olarak kullanır ve hepsi Bing’in güvenlik açıkları. DDG’yi tercih eden gizlilik odaklı kullanıcılar genellikle kripto konusunda bilgilidir — bu da onları daha değerli hedefler haline getirir. DDG’nin bağımsız bir spam bildirim mekanizması yoktur; bildirimler Bing’e iletilir.

Anahtar Kelime Hedefleme Stratejisi

Anahtar kelime profilleri şunu ortaya koyuyor: cerrahi hassasiyet hedef seçiminde. Operatörler sadece birincil marka terimlerini değil, aynı zamanda yazım hatası içeren alan adlarını da hedef alırlar (“rabbi cüzdanı”, “Rubby cüzdanı”, “dexscrenner”) ve hatta Çince aramalar (“Aster Borsası” (25. sırada).

Kripto dolandırıcılarının çok dilli anahtar kelime hedeflemelerini gösteren dünya haritası
Çok dilli hedefleme: İngilizce, Fransızca, Çince, Vietnamca — operasyon kıtalar arasında uzanıyor
Marka + Arama Hacmi Analizi | SEMrush ABD | Mart 2026
Hedef Anahtar KelimeAylık HacimDolandırıcılık Amaçlı Alan AdıPozisyon
dexscreener60,500dexscreener.at#42
Rabby cüzdanı5,400rabbys.at#51–71
Trezor paketi4,400trezorsuite.at#32–85
aster dex3,600aster-dex.at#63
dexscrenneryazım hatası2,400dexscreener.at#45
aster BorsasıÇince1,000aster-dex.at#25
Trezor Suite indirme260trezorsuite.at#54
rabbi cüzdanıyazım hatası210rabbys.at#54
xmr çevrimiçi cüzdanı210monero-wallet.at#55–69

Tarihsel Bağlam: Trust Wallet / DuckDuckGo Sorunu

Bu Sorunun Kökenleri Çok Derin

Bu saldırılar yeni bir şey değil. Sorun şuydu ki önemli ölçüde daha şiddetli Trust Wallet gibi cüzdanlar, DuckDuckGo’yu arama motoru olarak kullandıklarında varsayılan uygulama içi arama motoru. Cüzdanlarından DeFi protokollerini arayan kullanıcılara, karmaşık bir SEO çalışması gerektirmeden, en üst sırada kimlik avı sonuçları gösterildi. Gizlilik odaklı ancak spam algılama özelliği zayıf bir arama motoru ile yerleşik tarayıcısı olan bir kripto cüzdanının bir araya gelmesi, bir mükemmel fırtına kimlik avı amacıyla.

Trust Wallet, varsayılan arama motoru olarak DDG’yi terk etmesine rağmen, altta yatan güvenlik açığı hâlâ devam ediyor. Herhangi bir kullanıcı ki gizlilik nedeniyle DuckDuckGo’yu manuel olarak seçer — kripto kullanıcılarıyla büyük ölçüde örtüşen bir demografik grup — bugün hâlâ tam da bu tür saldırılara maruz kalmaya devam ediyor. Bu raporda belgelenen dolandırıcılık operasyonları, bu tekniğin çeşitli varyasyonlarını birkaç yıl, arama motorlarının tek tek vektörleri yavaş yavaş düzelttikçe buna uyum sağlayarak.

Kendinizi Nasıl Koruyabilirsiniz?

Her Zaman Tam Etki Alanını Doğrulayın

GERÇEK Curve Finance → curve.fi ( .co, .net hariç) • DexScreener → dexscreener.com (NOT .at) • Rabby → rabby.io ( .at, .me hariç) • Trezor Suite → suite.trezor.io (trezorsuite.at DEĞİL) • Keplr → keplr.app (NOT .me) • BSCScan → bscscan.com (.cfd DEĞİL)

Microsoft/Bing’e yönelik öneriler

  1. Dinamik sayfa algılama: Arama sonuç sayfalarını (Yahoo, Baidu, Google) sınıflandırın ve giden bağlantılardan bağlantı değerini çıkarın
  2. Koordineli PBN tespiti: 9 alan adı, aynı kalıplara sahip 5 farklı siteye bağlantı verdiğinde, bunu manipülasyon olarak işaretleyin
  3. Marka taklidi katmanı: TLD değiştirme saldırılarını tespit etme (dexscreener.atdexscreener.com)
  4. .AT alan adı izleme: Kripto arama sonuç sayfalarında yeni kaydedilen .at alan adlarına yönelik daha sıkı inceleme
  5. DuckDuckGo hızlı erişim: DDG’nin doğrudan erişebileceği, spam temizlemeye özel bir API oluşturun

Sonuç

Bu, fırsatçı bir spam değildir. Bu bir profesyonelce organize edilmiş, çok markalı, çok yönlü bir SEO çalışması Google ile Bing’in spam algılama yetenekleri arasındaki boşluğu istismar etmek üzere özel olarak tasarlanmıştır. Bugün DuckDuckGo’da “Trezor Suite indirme” araması yapan her kullanıcı, gerçek siteyi görmeden önce cüzdanını boşaltacak bir kimlik avı sitesiyle karşılaşabilir. Teknik çözüm mevcut. Asıl soru, Bing’in bunu uygulayıp uygulamayacağı.

Dramatik mahkeme salonu sahnesi — kripto dolandırıcıları, delillerin sunulduğu duruşmada yargılanıyor
Kanıtlar herkese açıktır. Alan adları kayıt altına alınmıştır. Mağdurlar gerçektir. Çözüm Microsoft’un elindedir.
Takip Soruşturması — 17 Nisan 2026

Bölüm II: 2 Dolarlık Strateji — 26 Kimlik Avı Sitesi, 1 Alan Adı Kayıt Şirketi, 7 Bing’de 1. Sırada Yer Alan Sonuç

Bu Mart ayında yapılan soruşturmanın devamında şunlar tespit edildi: 26 yeni kimlik avı alan adı — hepsi DeFi protokollerini taklit eden — şu anda sıralamada #1 on Bing hedef marka aramaları için. SEMrush API geri bağlantı verilerini, RDAP kayıt bilgilerini ve doğrudan kaynak kodu analizini kullanarak, her bir alan adını şu adrese kadar izledik: tek bir operatör, tek bir kayıt kuruluşu (NiceNIC) ve 15 siteden oluşan gizlenmiş bir PBN ağı. Alan adı başına maliyet: 2 $. Süre: 10 dakika.

Bir operatör, 26 adet kimlik avı tuzağı, kontrol yapmayan bir arama motoru
Tek bir operatör. Bing’de 26 adet kimlik avı tuzağı. Maliyet: Alan adı başına 2 dolar.
26Kimlik Avı Alan Adları
1Kayıt Kuruluşu (NiceNIC)
7Bing'de 1. Sıra
15Gizlenmiş PBN Siteleri
0Google Sıralamaları

Tek Operatör, 26 Alan Adı, Tek Kayıt Kuruluşu

26 adet kimlik avı alan adının tamamı üzerinde RDAP sorguları gerçekleştirdik. Her birinden aynı kayıt kuruluşu çıktı: NiceNIC International Group Co., Limited. Çoğu değil. Çoğunluk değil. 23 sorgunun tamamı başarıyla gerçekleştirildi — aynı kayıt kuruluşu; doğrulama öncesinde 3 adet hız sınırı hatası (altyapı yapıları birbiriyle örtüşüyor).

NiceNIC aracılığıyla kaydedilmiş 23 alan adının 23’ünü gösteren OSINT araştırma tablosu
23'ün 23'ü kontrol edildi. Aynı kayıt kuruluşu. Aynı müşteri. Kötüye kullanımla ilgili herhangi bir işlem yok.

RDAP Kayıt Verileri — Toplu Kayıt Kanıtı

RDAP sorgu sonuçları | Nisan 2026 | 26 sorgudan 23'ü başarıyla gerçekleştirildi
Etki AlanıTaklit ederOluşturulduCloudflare NS Çifti
star-gate-finance-stargate.financeStargate Finance2025-09-08Terry/Ximena
app-vesper.financeVesper Finance2025-09-08Terry/Ximena
app-vvs.financeVVS Finance2025-09-08Terry/Ximena
orbit-protocol-lending.netOrbit Protokolü2025-10-10Terry/Ximena
vvsfnance.comVVS Finance2025-07-12april/kayden
spooky-swap.netSpookySwap2025-04-15april/kayden
thorwsap.comTHORSwap2025-07-24april/kayden
hyperlokc.comHyperlock Finance2025-07-12arnold/kader
shadow-ex.netGölge Borsası2025-06-24amos/tricia
v2velodrome.comVelodrome Finans2025-09-04dayana/marvin
layerbank-v3.comLayerBank2024-09-07austin/cheryl
biasterswap.xyzBiSwap2024-09-07bayan/langston
v2-olympusdao.comOlympusDAO2026-03-29nash/romina
uncx.orgUNCX Ağı2025-12-24Cory/Megan
amblent.ccAmbient Finance2026-02-09nicole/salvador
juicefi.ccJuice Finance2026-02-09nicole/salvador
rhea-finance.comRhea Finance2025-05-30
rhea-finance.netRhea Finance2025-05-30
rhea-rhea.orgRhea Finance2025-05-30
silo-finance-silofinance.netSilo Finance2025-05-30
Toplu Kayıt — Tek Operatör, Birçok Oturum

Paylaşılan Cloudflare NS çiftleri ve aynı oluşturma tarihleri, toplu kayıt yapıldığını kanıtlamaktadır:

  • 2025-09-08: star-gate + app-vesper + app-vvs (hepsi terry/ximena)
  • 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 alan adı, tek oturum)
  • 2026-02-09: amblent.cc + juicefi.cc (nicole/salvador)
  • 2024-09-07: layerbank-v3.com + biasterswap.xyz — 18 aydan fazla süren operasyon

2 Dolarlık Strateji Kılavuzu — Adım Adım

Karmaşık SEO’yu unutun. Aylarca süren bağlantı oluşturma çalışmalarını unutun. İşte Bing’de 1. sırada yer almanızı sağlayan, eksiksiz ve doğrulanmış saldırı dizisi.

2 dolara bir kimlik avı sitesini Bing’de 1. sıraya çıkarmak için dört adım
Dört adım, 2 dolar ve Bing bir kimlik avı sitesini 1 numaraya taşıyor
Yazım hatası içeren alan adını kaydet$1-2 at NiceNIC
Başlık etiketini kopyalaGerçek siteden kopyala
PBN’ye gönderHoşça kal. Bilginize, 15 site
2-8 hafta bekleyinBing, sayfaları indeksler ve sıralar
Bing #1Yukarıdaki gerçek proje

1. Adım: Typosquat Kayıt Defteri

26 alan adından 8’inde görülen yazım hatası istismarı teknikleri
Gerçek ProjeGerçek Etki AlanıKimlik Avı Alan AdıTeknik
VVS Financevvs.financevvsfnance.comEksik harf (i)
THORSwapthorswap.comthorwsap.comYerleri değişmiş harfler (a/w)
Hyperlockhyperlock.fihyperlokc.comYerleri değişmiş harfler (c/k)
Arbitrum Köprüsübridge.arbitrum.ioarbtrumbridge.ccTakas + ucuz TLD
Ambient Financeambient.financeamblent.ccFonetik yazım hatası
Thruster Financethruster.financethnuster.ccEksik harf (r→n)
İyimserlik Köprüsüapp.optimism.iooptrnismbirdge.ccBirden fazla yazım hatası
Stargate Financestargate.financestar-gate-finance-stargate.financeAnahtar kelime doldurma

2. Adım: Başlık Etiketini Kopyala ($0, 5 dakika)

Operatör, tam olarak şunu kopyalar: <title> gerçek projenin web sitesinden alınan etiket ve meta açıklaması. Bu, en önemli adımdır. Sayfanın kendisi bir cüzdan boşaltıcı ya da tohum cümlesi toplayıcıdır — ancak <title> Bing'in sıralamaya aldığı şey budur.

3. Adım: Gizlenmiş PBN’ye gönderin (0 $, 1 dakika)

Operatör, 15 PBN tesisinden herhangi birini ziyaret eder (bye.fyi, atomizelink.icu, vb.), “URL’nizi girin” etiketli forma alan adını yazıp “Kısalt” düğmesine tıklar. Tek bir gönderme işlemiyle 15 sitenin hepsinde aynı anda bir sayfa oluşturulur — bu siteler tek bir veritabanını paylaşır.

4. Adım: Bekleyin (2-8 hafta, 0 $)

Kanıt: 1 geri bağlantı = Bing'de 1. sıra

app.thnuster.cc “Thruster Finance” aramasında Bing’de 1. sıraya yükseldi tam olarak 1 geri bağlantı — Yahoo arama sonuç sayfası (SERP) önbellek kopyası. PBN’ye bile gerek yoktu.

Toplam Maliyet Dağılımı

NeMaliyetZaman
Alan adı (.cc/.com – NiceNIC aracılığıyla)$1-22 dakika
Cloudflare DNS (ücretsiz plan)$01 dakika
Gerçek siteden başlık etiketini kopyala$05 dakika
PBN’ye gönder (bye.fyi vb.)$01 dakika
Endeksleme işleminin tamamlanmasını bekleyin$02-8 hafta
TOPLAM$1-2~10 dakika

Gizleme Motoru’nun İçinde

PBN ağından gerçek HTML kaynak kodunu aldık ve analiz ettik. Her alan adındaki her sayfa aynı gizleme motorunu kullanıyor.

Kullanıcıların gördükleri ile Bingbot’un gördükleri arasındaki fark — gizleme duvarı
Kullanıcıların gördükleri ile Bingbot’un gördükleri arasındaki fark — z-index: 1000000 Duvarın arkasında 3.500 bağlantı gizli

Sayfa Yapısı: 400 KB HTML, 3.500'den fazla bağlantı, 4 katman

1. Katman — Gizleme Duvarı (kullanıcıların gördüğü kısım)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

Beyaz div, görüntü alanının tamamını kaplar. z-index:1000000 ayarı, bunun üzerine hiçbir öğenin görüntülenmemesini sağlar. overflow:hidden sayfanın üst kısmında yer alması, kullanıcının sayfayı aşağı kaydırmasını engeller. Kullanıcı “Süresi doldu” mesajını görür ve sayfadan ayrılır.

2. Katman — JS Yönlendirmesi (yedekleme koruması)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Kullanıcı beyaz duvarı atlarsa, JavaScript, scrib.li sitesine yönlendirir (ortaklık programı üzerinden gelir elde etme). Üçlü koruma insan ziyaretçilere karşı.

3. Katman — Sahte Cephe (botların gördüğü şey)

Bingbot, CSS katmanını göz ardı eder — ham HTML kodunu çözümler. Arama formu içeren bir “URL Kısaltıcı” sitesi görür. Meşru görünüyor.

4. Katman — Bağlantı Topluluğu (3.500 nofollow bağlantısı)
<p>Learn More Here <a rel="nofollow"
     href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ...

Oltalama alan adı, 3.500 rastgele alan adı arasında gizlenmiş durumda. Bing ikramları rel="nofollow" endeksleme sinyali olarak — yine de hedefi tarar.

Kanıt: Tek Ağ, Tek Veritabanı

orbit-protocol-lending.net birden fazla PBN alan adında şu şekilde görünür: aynı veritabanından alınan ardışık kimlik numaraları:

Tek bir veritabanı, 15 ön uç etki alanı — hepsi aynı arka uçtan aynı içeriği sunuyor
Tek bir veritabanı. 15 ön uç etki alanı. Tüm ekranlar, aynı arka uçtan alınan aynı içeriği gösterir.
“Farklı” PBN markaları arasında sıralı kimlik numaraları — ortak arka uç kanıtı
PBN Alan AdıURL DeseniKimlik
blogsphere.top/stats/4920749207
optimizeflow.top/stats/4920749207
websites.freemyip.com/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
dailymusings.top/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
byteshort.xyz/report/4920849208

Farklı “markalar” arasında aynı kimlikler = tek bir arka uç, tek bir operatör. 15 alan adı. Aynı HTML şablonu. Aynı CSS (style.css). Aynı JavaScript (work.js). Yine aynı 3.500 bağlantı içeren sayfalar.

İkinci PBN — Alan Adı Kontrol Ağı

Ayrı ve daha etkili bir bağlantı ağı, belirli hedeflere dofollow geri bağlantılar sağlar. Ana sunucu: all-aged-domains.com — 50-80 uydu etki alanına CSS, JS ve şablonlar sunan bir WordPress 6.6.2 kurulumu.

Gizlenmiş PBN (A Ağı) ile Domain Checker (B Ağı) Karşılaştırması
ÖzellikA Ağı (Gizlenmiş PBN)Ağ B (Etki Alanı Denetleyicisi)
Siteler~15~50-80
GizlemeEvet (CSS + JS yönlendirmesi)Hayır
Bağlantı türü%99,4'ü nofollow%99,99 dofollow
Sayfa başına bağlantı sayısı~3,500~10,000
Sayfa boyutu400 KB4 MB
CMSÖzel PHPWordPress 6.6.2
Ana sunucuPaylaşılan veritabanı (sıralı kimlikler)all-aged-domains.com
Google Etiket YöneticisiHayırEvet (trafiği izler)
İroni

10 kat daha fazla geri bağlantıya sahip olmasına ve bunların hepsinin dofollow olmasına rağmen, Ağ B’nin hedefi Bing’de 1. sıraya YOKSA da. biasterswap.xyz’de 110 adet dofollow bağlantı var. layerbank-v3.com’da ise 98 tane var. İkisi de 1. sırada yer almıyor.

Bu arada, app.thnuster.cc var 1 geri bağlantı ve 1. sırada yer alıyor.

Bing için, nofollow etiketli gizlenmiş PBN + başlık eşleşmesi, toplu dofollow spam’inden daha iyi sonuç veriyor.

Bing Neden Buna Kanıyor?

Kapıda kimlik hırsızlığını engelleyen Google’ın zırhlı robotu ile kapıyı açık tutan Bing’in güler yüzlü kapıcısı
Google’ın zırhlı robotu, girişte kimlik hırsızlığını engelliyor. Bing’in cana yakın kapıcısı ise kapıyı açık tutuyor.

Başlık Maçı Güvenlik Açığı

app.thnuster.cc Tam olarak TEK bir geri bağlantısı var — önbelleğe alınmış bir Yahoo arama sonuçları sayfası. “Thruster Finance” aramasında Bing’de 1. sırada yer alıyor. Bu durum, rekabetin düşük olduğu marka aramalarında Bing’in sıralamasının esas olarak şunlara dayandığını kanıtlıyor:

  1. Başlık etiketinde tam eşleşme arama sorgusuna
  2. Etki alanı indekslenmiştir (herhangi bir işaret — tek bir nofollow bağlantısı bile — yeterlidir)
  3. Olumsuz güven sinyali yok (alan adı yenidir, geçmişi temizdir)

Google, önemli ölçüde güvenilirlik göstergeleri talep eder ve bunları bilinen marka alan adlarıyla karşılaştırır. Bing ise bunu yapmaz.

Bing ve Google — 26 alan adında sıralama sonuçları
MetrikBingGoogle
1. sırada yer alan kimlik avı alan adları70
En çok görülen 10 kimlik avı alan adı70
Alan adının oluşturulduğu tarihten itibaren sıralama zamanı2-8 haftaasla

Bing'de 1. Sıradaki Sonuçlar (SerpAPI aracılığıyla doğrulanmıştır, Nisan 2026)

Sorgu#1 Result (Phishing)Geri bağlantılar
“Stargate Finance”star-gate-finance-stargate.finance20
“Gölge Borsası”shadow-ex.net16
“UNCX Ağı”www.uncx.org51
“Thruster Finance”app.thnuster.cc1
“Orbit Protokolü”orbit-protocol-lending.net15
“VVS Finance”vvsfnance.com (#1) + www.app-vvs.finance (#10)36 + 37

Güncellenmiş Koruma Listesi (II. Kısım markaları)

Her Zaman Tam Etki Alanını Doğrulayın

Stargate Finance → stargate.finance (star-gate-finance-stargate.finance DEĞİL) • VVS Finance → vvs.finance (vvsfnance.com DEĞİL) • THORSwap → thorswap.com (thorwsap.com DEĞİL) • Velodrom → velodrome.finance (v2velodrome.com DEĞİL) • UNCX → uncx.network (uncx.org DEĞİL) • SpookySwap → spooky.fi (spooky-swap.net DEĞİL) • OlympusDAO → olympusdao.finance (v2-olympusdao.com DEĞİL) • Thruster → thruster.finance (thnuster.cc DEĞİL) • Ambient → ambient.finance (amblent.cc DEĞİL)

Öneriler (2. Bölüm)

Microsoft/Bing’e:

  1. Sadece şampiyonluk maçı tek başına bir otorite değildir. Eşleşen bir başlık, yeni bir alan adının marka aramalarında 1. sıraya yükselmesine neden olmamalıdır. Alan adı yaşı, geri bağlantı otoritesi veya marka doğrulama sinyallerinin bulunması şarttır.
  2. CSS tabanlı gizlemeyi tespit et. Kullanıcılardan içeriği gizleyen ancak tarayıcılara gösteren z-index üst katmanları kullanan sayfalar işaretlenmelidir.
  3. Koordineli PBN ağlarını tespit etmek. Aynı hedeflere bağlantı veren tek bir arka uç sistemini paylaşan 15 alan adı, organik bağlantı oluşturma sayılmaz.
  4. Kripto arama sonuç sayfalarında NiceNIC'te kayıtlı alan adlarını işaretleyin daha ayrıntılı inceleme amacıyla.
  5. DuckDuckGo için bir spam hızlı filtreleme sistemi oluşturun. DDG, Bing’in tüm güvenlik açıklarını devralmaktadır ancak bağımsız bir spam bildirim mekanizmasına sahip değildir.

NiceNIC International Group Co., Limited’e:

26 adet kimlik avı alan adı. Tek bir müşteri. 18 ay boyunca toplu olarak kaydedildi. Herhangi bir kötüye kullanım önlemi alınmadı. Bu durum artık kamuya açık bir şekilde belgelenmiştir. Kaynak: İstismar Bildirimleri Sonuçsuz Kaldığında ve NiceNIC: Sistem Çapında Bir Kolaylaştırıcı.

Cloudflare’e:

26 alan adının tamamı Cloudflare DNS ve proxy hizmetlerini kullanmaktadır. Bu alan adları, Cloudflare’in altyapısı üzerinden cüzdan boşaltıcı ve tohum cümlesi toplayıcılarına hizmet vermektedir.

Bölüm II Sonuç

Bu, fırsatçı bir spam değildir. Bu bir tek bir operatör tarafından profesyonel bir şekilde yürütülen, 18 ay süren kampanya Bing’in sıralama algoritmasının 2 dolarlık bir alan adı ve kopyalanmış bir başlık etiketi ile alt edilebileceğini keşfeden kişi. Şu anda yedi kimlik avı sitesi Bing’de 1. sırada yer alıyor — taklit ettikleri meşru platformların üzerinde.

Belgelediğimiz gizleme altyapısı — ortak veritabanlarına sahip 15 adet özdeş site, CSS tabanlı içerik gizleme ve JavaScript yönlendirme yedekleri — arama motorlarını büyük ölçekte manipüle etmek için özel olarak tasarlanmış bir aracı temsil etmektedir.

Google, 26 alan adının tamamını engelliyor. Bing ise bunlardan 7’sini 1. sırada gösteriyor. Teknik çözüm mevcut. Kanıtlar herkese açık. Alan adları belgelenmiş durumda. Kayıt kuruluşu tespit edildi. Soru hâlâ şu: Bir şeyler yapılacak mı?