Makinenin İçinde: Kripto Dolandırıcıları Nasıl Çalışıyor?
Bing ve DuckDuckGo’yu ele geçirmek
Canlı SEMrush verilerini içeren ve kripto para dolandırıcılığı sitelerini Bing ile DuckDuckGo arama sonuçlarının en üst sıralarına taşıyan iki paralel SEO saldırı operasyonunu ortaya çıkaran bir araştırma raporu. 10 alan adı. 2 saldırı vektörü. Ayda 100.000'den fazla potansiyel kurban.

Bu rapordaki tüm veriler, siber güvenlik araştırma amaçlarıyla SEMrush API ve phishdestroy.io aracılığıyla toplanmıştır. Alan adları, kullanıcıları uyarmak amacıyla yayınlanmıştır; tanıtım amacıyla değil.
İki Saldırı Vektörü
Yaptığımız araştırma sonucunda ortaya çıktı ki tamamen farklı, birbirinden bağımsız iki işlem Bing ve DuckDuckGo arama sonuçlarında kimlik avı sitelerini en üst sıralara çıkarmak amacıyla eşzamanlı olarak yürütülen faaliyetler.
Vektör A: Yahoo Arama Sonuç Sayfası (SERP) Enjeksiyon Saldırısı
Bu, tartışmasız en... teknik açıdan en zarif 2026 yılında belgelediğimiz bir black-hat SEO saldırısı. Bu saldırı, Bing’in bağlantı otoritesini değerlendirme yöntemindeki temel bir kusuru istismar ediyor — özellikle de Bing’in, güvenilir alan adlarından gelen gerçek editoryal bağlantılar ile dinamik olarak oluşturulan arama sonucu sayfaları arasında ayrım yapamamasını.

İşleyiş — Adım Adım
1. Adım — Güvenilir taşıyıcı URL’sinin oluşturulması. Saldırganlar, Yahoo’nun mobil arama uç noktalarında çok sayıda uluslararası alt etki alanı üzerinden URL’ler oluşturuyor: no.search.yahoo.com (Norveç), fr.search.yahoo.com (Fransa), mx.search.yahoo.com (Meksika), pl.search.yahoo.com (Polonya), gr.search.yahoo.com (Yunanistan), qc.search.yahoo.com (Quebec), chfr.search.yahoo.com (İsviçre Fransızcası), co.search.yahoo.com (Kolombiya). Bu sayfalarda Yahoo’dan devralınan Otorite Puanı: 23–24 yer almaktadır.
2. Adım — Kimlik avı bağlantısını ekleme. Her URL, tamamen rastgele ve masum bir arama sorgusu içeriyor — “pele+fifa”, “Jean-Paul+Sartre”, “Radio+Stars”, “jucheck.exe” — ancak bağlantı metni şöyle: curvefi.co Curve Finance. Rastgele oluşturulan sorgular, spam filtreleri tarafından herhangi bir kalıp eşleşmesinin önlenmesini sağlar.
3. Adım — Zorunlu tarama ve indeksleme. Saldırganlar, toplu ping hizmetleri, forum/blog yorum enjeksiyonları ve otomatik tarama tetikleme araçlarını kullanarak Bingbot’un bu URL’leri taramasını sağlıyor.
Google’ın algoritması: “Bu, dinamik bir arama sayfasıdır. Bağlantı değeri aktarımı yoktur.”
Bing’in algoritması: “yahoo.com, ‘Curve Finance DEX’ bağlantı metniyle curvefi.co adresine bağlantı vermektedir. Sıralama sinyali kabul edildi. ✓”
Sonuç: Kimlik avı sitesi, Bing ve DuckDuckGo’da “Curve Finance” aramasında ilk 3’e yükseldi.
SEMrush’tan Doğrudan Kanıt — curvefi.co
| AS | Kaynak Etki Alanı | Bağlantı Metni |
|---|---|---|
| 24 | chfr.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | co.search.yahoo.com | curvefi.co Curve Finance |
| 24 | fr.search.yahoo.com | curvefi.co Curve Finance |
| 24 | mx.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | no.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | pl.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | gr.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | qc.search.yahoo.com | curvefi.co Curve Finance |
Acımasız bir ironi: Sitede şunlar bulunmaktadır: sıfır organik anahtar kelimeler, sıfır SEMrush veritabanındaki trafik — ancak Yahoo’nun ödünç aldığı otorite sayesinde “Curve Finance” aramalarında Bing/DDG sonuçlarında görünüyor.
Vektör B: Koordineli PBN Ağı
İşte bu noktada soruşturma gerçekten endişe verici bir hal alıyor. Beş ayrı kimlik avı sitesi — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at ve keplr.me — hepsinin ortak bir aynı geri bağlantı kaynakları kümesi. Bu bir tesadüf değil. Bu tek bir organize suç örgütü tek bir altyapıdan birden fazla kimlik avı kampanyası yürütmek.

The Smoking Gun — Ortak Altyapı
| PBN Bağışçı Etki Alanı | AS | rabbys | dexscr | monero | trezor |
|---|---|---|---|---|---|
lewievuittton.com | 65 | ✓ | ✓ | ✓ | ✓ |
lyricamed.us.com | 61 | ✓ | ✓ | ✓ | ✓ |
creatfx.com | 60 | ✓ | ✓ | ✓ | ✓ |
jba.com.jo | 56 | ✓ | ✓ | ✓ | ✓ |
jornaldevinhedo.com | 56 | ✓ | ✓ | ✓ | ✓ |
jasaaspalhotmix.com | 54 | ✓ | ✓ | ✓ | ✓ |
magna-eg.com | 50 | ✓ | ✓ | ✓ | ✓ |
markjohnsonbuilders | 50 | ✓ | ✓ | ✓ | ✓ |
nextplayflix.com | 49 | ✓ | ✓ | ✓ | ✓ |
En büyük PBN kaynağı (AS 65), kendisi de Louis Vuitton markasının yazım hatasından yararlanan bir sitedir. Bu PBN kaynağı, diğer dolandırıcılık sitelerini destekleyen bir dolandırıcılık sitesidir — baştan sona suç altyapısıdır.
Kimlik Avı Alan Adı Profilleri
| Etki Alanı | Taklit eder | Anahtar kelimeler | En Önemli Hedef | Hacim |
|---|---|---|---|---|
dexscreener.at | DexScreener | 64 | “dexscreener” #42 | ayda 60.500 |
rabbys.at | Rabby Cüzdan | 15 | “rabby cüzdan” #51 | Ayda 5.400 |
trezorsuite.at | Trezor Suite | 7 | “trezor suite” #32 | Ayda 4.400 |
aster-dex.at | Aster DEX | 13 | “Aster Borsası” #25 | Ayda 3.600 |
monero-wallet.at | Monero Cüzdanı | 4 | “xmr çevrimiçi cüzdan” #26 | Ayda 210 |
keplr.me | Keplr Cüzdanı | 0 | Gizli yorum spam'ı | Yok |
bscscan.cfd | BSCScan | 0 | Toplu spam bağlantıları | Yok |
curvefinance.co | Curve Finance | 0 | Yalnızca Yahoo enjeksiyonu | Yok |
curvefi.co | Curve Finance | 0 | Yalnızca Yahoo enjeksiyonu | Yok |
app-crv.net | Curve uygulaması | 0 | Karışık teknikler | Yok |
Arama yapan kullanıcılar “Trezor Suite indirme” aktif olarak cüzdan yazılımı yüklemeye çalışıyorlar. DuckDuckGo’da 3–5. sıralarda yer alan bir kimlik avı sitesi, kullanıcıların şu yazılımı indirmesine neden oluyor: kötü amaçlı yazılım bunun bir donanım cüzdanı arayüzü olduğunu sanarak. Bu teorik bir durum değil — şu anda gerçekten yaşanıyor.
Yapay Zeka Destekli Makale Üretim Merkezi
aster-dex.at sürümü bir melez yaklaşım, Yahoo enjeksiyonunu, Vietnam, İtalya, Endonezya ve İsviçre’deki ele geçirilmiş ya da bu amaçla oluşturulmuş sitelere yerleştirilen yapay zeka tarafından üretilen blog içeriğiyle birleştirerek.

Blog makalelerinin başlıkları neredeyse birbirinin aynısı: “Token Takasları ve Likidite Havuzları Neden Deneyimli DEX Yatırımcılarını Bile Zorluyor?”, “Otomatik Piyasa Yapıcılar Neden Hâlâ Yatırımcıları Şaşırtıyor?”. Bunlar şunlardır: Yapay zeka tarafından oluşturulan makaleler AS 21–36 numaralı sitelere yerleştirilmiş olup, hepsi aster-dex.at adresine yönlendirilmektedir.
Yorum Spamı Sızması
keplr.me ise tamamen farklı bir yaklaşım benimsiyor — konuyla ilgisi olmayan, yüksek otoriteye sahip sitelerde saf yorum spam’ı. “ZackaryThymn”, “Fritzkah”, “Jamesboach” gibi sahte kullanıcı adları, felsefe eğitimi sitelerine kripto cüzdan bağlantılarını yerleştiriyor (filozofija.edu.rs, AS 45), çalışan bağlılığı platformları (bavave.com, AS 63) ve sanat festivalleri (lea-festival.com, AS 50).

En Dipsiz Kuyu: Otomatik Araç Spam'ı
bscscan.cfd olabilecek en kaba yöntemi kullanıyor: adları tam anlamıyla rankongoogle.agency ve linksjump.click. Tüm kaynakların AS değeri 0’dır. .cfd TLD’si bilinen bir spam göstergesidir. Yine de Bing’de bu yöntem kısmen işe yarıyor — düşük kaliteli bağlantıların sayısı, olumsuz bir geçmişi olmayan yepyeni alan adlarında sıralamaları etkileyebilir.

Bing ve DuckDuckGo’nun Neden Özellikle Güvenlik Açığına Sahip Olduğu

| Özellik | Bing | |
|---|---|---|
| Dinamik sayfa algılama | Arama sonuç sayfalarından bağlantı değeri aktarımı yapılmaz | Yahoo arama sayfaları, editoryal içerik olarak değerlendiriliyor |
| Spam Makine Öğrenimi olgunluk düzeyi | 15 yılı aşkın SpamBrain eğitim verileri | Daha az olgun; PBN AS 50–65 hâlâ işe yarıyor |
| Marka koruması | Saldırgan; curvefinance.co kısa sürede uyarıya konu oldu | .at/.co alan adı dolandırıcılıkları daha uzun süre devam ediyor |
| Yapay zeka içerik üretim tesisleri | 2023+'da devreye alınan algılama sistemi | .vn ve .it uzantılı yapay zeka sitelerinin puanları hâlâ geçer not seviyesinde |
| Kimlik avı engelleme | Güvenli Tarama, bilinen alan adlarını hızla engeller | SmartScreen, yeni kaydedilen dolandırıcılık amaçlı alan adlarını tespit edemiyor |
DDG, Bing’in dizinini birincil veri kaynağı olarak kullanır ve hepsi Bing’in güvenlik açıkları. DDG’yi tercih eden gizlilik odaklı kullanıcılar genellikle kripto konusunda bilgilidir — bu da onları daha değerli hedefler haline getirir. DDG’nin bağımsız bir spam bildirim mekanizması yoktur; bildirimler Bing’e iletilir.
Anahtar Kelime Hedefleme Stratejisi
Anahtar kelime profilleri şunu ortaya koyuyor: cerrahi hassasiyet hedef seçiminde. Operatörler sadece birincil marka terimlerini değil, aynı zamanda yazım hatası içeren alan adlarını da hedef alırlar (“rabbi cüzdanı”, “Rubby cüzdanı”, “dexscrenner”) ve hatta Çince aramalar (“Aster Borsası” (25. sırada).

| Hedef Anahtar Kelime | Aylık Hacim | Dolandırıcılık Amaçlı Alan Adı | Pozisyon |
|---|---|---|---|
| dexscreener | 60,500 | dexscreener.at | #42 |
| Rabby cüzdanı | 5,400 | rabbys.at | #51–71 |
| Trezor paketi | 4,400 | trezorsuite.at | #32–85 |
| aster dex | 3,600 | aster-dex.at | #63 |
| dexscrenneryazım hatası | 2,400 | dexscreener.at | #45 |
| aster BorsasıÇince | 1,000 | aster-dex.at | #25 |
| Trezor Suite indirme | 260 | trezorsuite.at | #54 |
| rabbi cüzdanıyazım hatası | 210 | rabbys.at | #54 |
| xmr çevrimiçi cüzdanı | 210 | monero-wallet.at | #55–69 |
Tarihsel Bağlam: Trust Wallet / DuckDuckGo Sorunu
Bu saldırılar yeni bir şey değil. Sorun şuydu ki önemli ölçüde daha şiddetli Trust Wallet gibi cüzdanlar, DuckDuckGo’yu arama motoru olarak kullandıklarında varsayılan uygulama içi arama motoru. Cüzdanlarından DeFi protokollerini arayan kullanıcılara, karmaşık bir SEO çalışması gerektirmeden, en üst sırada kimlik avı sonuçları gösterildi. Gizlilik odaklı ancak spam algılama özelliği zayıf bir arama motoru ile yerleşik tarayıcısı olan bir kripto cüzdanının bir araya gelmesi, bir mükemmel fırtına kimlik avı amacıyla.
Trust Wallet, varsayılan arama motoru olarak DDG’yi terk etmesine rağmen, altta yatan güvenlik açığı hâlâ devam ediyor. Herhangi bir kullanıcı ki gizlilik nedeniyle DuckDuckGo’yu manuel olarak seçer — kripto kullanıcılarıyla büyük ölçüde örtüşen bir demografik grup — bugün hâlâ tam da bu tür saldırılara maruz kalmaya devam ediyor. Bu raporda belgelenen dolandırıcılık operasyonları, bu tekniğin çeşitli varyasyonlarını birkaç yıl, arama motorlarının tek tek vektörleri yavaş yavaş düzelttikçe buna uyum sağlayarak.
Kendinizi Nasıl Koruyabilirsiniz?
GERÇEK Curve Finance → curve.fi ( .co, .net hariç) • DexScreener → dexscreener.com (NOT .at) • Rabby → rabby.io ( .at, .me hariç) • Trezor Suite → suite.trezor.io (trezorsuite.at DEĞİL) • Keplr → keplr.app (NOT .me) • BSCScan → bscscan.com (.cfd DEĞİL)
- ASLA Arama sonucundan cüzdanınızı bağlayın
- Yer imi doğrudan güvenilir siteler
- DDG’leri kullanın
!bangkısayol:!g curve financeGoogle aramasını zorlar - MetaMask’ın kimlik avı algılama eklentisini yükleyin
- Herhangi bir alan adını şu adresten kontrol edin: PhishDestroy bağlanmadan önce
Microsoft/Bing’e yönelik öneriler
- Dinamik sayfa algılama: Arama sonuç sayfalarını (Yahoo, Baidu, Google) sınıflandırın ve giden bağlantılardan bağlantı değerini çıkarın
- Koordineli PBN tespiti: 9 alan adı, aynı kalıplara sahip 5 farklı siteye bağlantı verdiğinde, bunu manipülasyon olarak işaretleyin
- Marka taklidi katmanı: TLD değiştirme saldırılarını tespit etme (
dexscreener.at≈dexscreener.com) - .AT alan adı izleme: Kripto arama sonuç sayfalarında yeni kaydedilen .at alan adlarına yönelik daha sıkı inceleme
- DuckDuckGo hızlı erişim: DDG’nin doğrudan erişebileceği, spam temizlemeye özel bir API oluşturun
Sonuç
Bu, fırsatçı bir spam değildir. Bu bir profesyonelce organize edilmiş, çok markalı, çok yönlü bir SEO çalışması Google ile Bing’in spam algılama yetenekleri arasındaki boşluğu istismar etmek üzere özel olarak tasarlanmıştır. Bugün DuckDuckGo’da “Trezor Suite indirme” araması yapan her kullanıcı, gerçek siteyi görmeden önce cüzdanını boşaltacak bir kimlik avı sitesiyle karşılaşabilir. Teknik çözüm mevcut. Asıl soru, Bing’in bunu uygulayıp uygulamayacağı.


Tek Operatör, 26 Alan Adı, Tek Kayıt Kuruluşu
26 adet kimlik avı alan adının tamamı üzerinde RDAP sorguları gerçekleştirdik. Her birinden aynı kayıt kuruluşu çıktı: NiceNIC International Group Co., Limited. Çoğu değil. Çoğunluk değil. 23 sorgunun tamamı başarıyla gerçekleştirildi — aynı kayıt kuruluşu; doğrulama öncesinde 3 adet hız sınırı hatası (altyapı yapıları birbiriyle örtüşüyor).

RDAP Kayıt Verileri — Toplu Kayıt Kanıtı
| Etki Alanı | Taklit eder | Oluşturuldu | Cloudflare NS Çifti |
|---|---|---|---|
star-gate-finance-stargate.finance | Stargate Finance | 2025-09-08 | Terry/Ximena |
app-vesper.finance | Vesper Finance | 2025-09-08 | Terry/Ximena |
app-vvs.finance | VVS Finance | 2025-09-08 | Terry/Ximena |
orbit-protocol-lending.net | Orbit Protokolü | 2025-10-10 | Terry/Ximena |
vvsfnance.com | VVS Finance | 2025-07-12 | april/kayden |
spooky-swap.net | SpookySwap | 2025-04-15 | april/kayden |
thorwsap.com | THORSwap | 2025-07-24 | april/kayden |
hyperlokc.com | Hyperlock Finance | 2025-07-12 | arnold/kader |
shadow-ex.net | Gölge Borsası | 2025-06-24 | amos/tricia |
v2velodrome.com | Velodrome Finans | 2025-09-04 | dayana/marvin |
layerbank-v3.com | LayerBank | 2024-09-07 | austin/cheryl |
biasterswap.xyz | BiSwap | 2024-09-07 | bayan/langston |
v2-olympusdao.com | OlympusDAO | 2026-03-29 | nash/romina |
uncx.org | UNCX Ağı | 2025-12-24 | Cory/Megan |
amblent.cc | Ambient Finance | 2026-02-09 | nicole/salvador |
juicefi.cc | Juice Finance | 2026-02-09 | nicole/salvador |
rhea-finance.com | Rhea Finance | 2025-05-30 | — |
rhea-finance.net | Rhea Finance | 2025-05-30 | — |
rhea-rhea.org | Rhea Finance | 2025-05-30 | — |
silo-finance-silofinance.net | Silo Finance | 2025-05-30 | — |
Paylaşılan Cloudflare NS çiftleri ve aynı oluşturma tarihleri, toplu kayıt yapıldığını kanıtlamaktadır:
- 2025-09-08: star-gate + app-vesper + app-vvs (hepsi
terry/ximena) - 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 alan adı, tek oturum)
- 2026-02-09: amblent.cc + juicefi.cc (
nicole/salvador) - 2024-09-07: layerbank-v3.com + biasterswap.xyz — 18 aydan fazla süren operasyon
2 Dolarlık Strateji Kılavuzu — Adım Adım
Karmaşık SEO’yu unutun. Aylarca süren bağlantı oluşturma çalışmalarını unutun. İşte Bing’de 1. sırada yer almanızı sağlayan, eksiksiz ve doğrulanmış saldırı dizisi.

1. Adım: Typosquat Kayıt Defteri
| Gerçek Proje | Gerçek Etki Alanı | Kimlik Avı Alan Adı | Teknik |
|---|---|---|---|
| VVS Finance | vvs.finance | vvsfnance.com | Eksik harf (i) |
| THORSwap | thorswap.com | thorwsap.com | Yerleri değişmiş harfler (a/w) |
| Hyperlock | hyperlock.fi | hyperlokc.com | Yerleri değişmiş harfler (c/k) |
| Arbitrum Köprüsü | bridge.arbitrum.io | arbtrumbridge.cc | Takas + ucuz TLD |
| Ambient Finance | ambient.finance | amblent.cc | Fonetik yazım hatası |
| Thruster Finance | thruster.finance | thnuster.cc | Eksik harf (r→n) |
| İyimserlik Köprüsü | app.optimism.io | optrnismbirdge.cc | Birden fazla yazım hatası |
| Stargate Finance | stargate.finance | star-gate-finance-stargate.finance | Anahtar kelime doldurma |
2. Adım: Başlık Etiketini Kopyala ($0, 5 dakika)
Operatör, tam olarak şunu kopyalar: <title> gerçek projenin web sitesinden alınan etiket ve meta açıklaması. Bu, en önemli adımdır. Sayfanın kendisi bir cüzdan boşaltıcı ya da tohum cümlesi toplayıcıdır — ancak <title> Bing'in sıralamaya aldığı şey budur.
3. Adım: Gizlenmiş PBN’ye gönderin (0 $, 1 dakika)
Operatör, 15 PBN tesisinden herhangi birini ziyaret eder (bye.fyi, atomizelink.icu, vb.), “URL’nizi girin” etiketli forma alan adını yazıp “Kısalt” düğmesine tıklar. Tek bir gönderme işlemiyle 15 sitenin hepsinde aynı anda bir sayfa oluşturulur — bu siteler tek bir veritabanını paylaşır.
4. Adım: Bekleyin (2-8 hafta, 0 $)
app.thnuster.cc “Thruster Finance” aramasında Bing’de 1. sıraya yükseldi tam olarak 1 geri bağlantı — Yahoo arama sonuç sayfası (SERP) önbellek kopyası. PBN’ye bile gerek yoktu.
Toplam Maliyet Dağılımı
| Ne | Maliyet | Zaman |
|---|---|---|
| Alan adı (.cc/.com – NiceNIC aracılığıyla) | $1-2 | 2 dakika |
| Cloudflare DNS (ücretsiz plan) | $0 | 1 dakika |
| Gerçek siteden başlık etiketini kopyala | $0 | 5 dakika |
| PBN’ye gönder (bye.fyi vb.) | $0 | 1 dakika |
| Endeksleme işleminin tamamlanmasını bekleyin | $0 | 2-8 hafta |
| TOPLAM | $1-2 | ~10 dakika |
Gizleme Motoru’nun İçinde
PBN ağından gerçek HTML kaynak kodunu aldık ve analiz ettik. Her alan adındaki her sayfa aynı gizleme motorunu kullanıyor.

z-index: 1000000 Duvarın arkasında 3.500 bağlantı gizliSayfa Yapısı: 400 KB HTML, 3.500'den fazla bağlantı, 4 katman
<body style="overflow: hidden;">
<div style="position:absolute; top:0; left:0;
width:100%; height:5000px;
background:white; z-index:1000000;
font-size:32px; text-align:center;">
<p>The domain report has Expired!</p>
</div> Beyaz div, görüntü alanının tamamını kaplar. z-index:1000000 ayarı, bunun üzerine hiçbir öğenin görüntülenmemesini sağlar. overflow:hidden sayfanın üst kısmında yer alması, kullanıcının sayfayı aşağı kaydırmasını engeller. Kullanıcı “Süresi doldu” mesajını görür ve sayfadan ayrılır.
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator"); Kullanıcı beyaz duvarı atlarsa, JavaScript, scrib.li sitesine yönlendirir (ortaklık programı üzerinden gelir elde etme). Üçlü koruma insan ziyaretçilere karşı.
Bingbot, CSS katmanını göz ardı eder — ham HTML kodunu çözümler. Arama formu içeren bir “URL Kısaltıcı” sitesi görür. Meşru görünüyor.
<p>Learn More Here <a rel="nofollow"
href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ... Oltalama alan adı, 3.500 rastgele alan adı arasında gizlenmiş durumda. Bing ikramları rel="nofollow" endeksleme sinyali olarak — yine de hedefi tarar.
Kanıt: Tek Ağ, Tek Veritabanı
orbit-protocol-lending.net birden fazla PBN alan adında şu şekilde görünür: aynı veritabanından alınan ardışık kimlik numaraları:

| PBN Alan Adı | URL Deseni | Kimlik |
|---|---|---|
blogsphere.top | /stats/49207 | 49207 |
optimizeflow.top | /stats/49207 | 49207 |
websites.freemyip.com | /share/49207 | 49207 |
shortenurls.eu | /share/49207 | 49207 |
jake.eu | /share/49207 | 49207 |
dailymusings.top | /stats/49208 | 49208 |
screenshots.wiki | /report/49208 | 49208 |
atomizelink.icu | /report/49208 | 49208 |
byteshort.xyz | /report/49208 | 49208 |
Farklı “markalar” arasında aynı kimlikler = tek bir arka uç, tek bir operatör. 15 alan adı. Aynı HTML şablonu. Aynı CSS (style.css). Aynı JavaScript (work.js). Yine aynı 3.500 bağlantı içeren sayfalar.
İkinci PBN — Alan Adı Kontrol Ağı
Ayrı ve daha etkili bir bağlantı ağı, belirli hedeflere dofollow geri bağlantılar sağlar. Ana sunucu: all-aged-domains.com — 50-80 uydu etki alanına CSS, JS ve şablonlar sunan bir WordPress 6.6.2 kurulumu.
| Özellik | A Ağı (Gizlenmiş PBN) | Ağ B (Etki Alanı Denetleyicisi) |
|---|---|---|
| Siteler | ~15 | ~50-80 |
| Gizleme | Evet (CSS + JS yönlendirmesi) | Hayır |
| Bağlantı türü | %99,4'ü nofollow | %99,99 dofollow |
| Sayfa başına bağlantı sayısı | ~3,500 | ~10,000 |
| Sayfa boyutu | 400 KB | 4 MB |
| CMS | Özel PHP | WordPress 6.6.2 |
| Ana sunucu | Paylaşılan veritabanı (sıralı kimlikler) | all-aged-domains.com |
| Google Etiket Yöneticisi | Hayır | Evet (trafiği izler) |
10 kat daha fazla geri bağlantıya sahip olmasına ve bunların hepsinin dofollow olmasına rağmen, Ağ B’nin hedefi Bing’de 1. sıraya YOKSA da. biasterswap.xyz’de 110 adet dofollow bağlantı var. layerbank-v3.com’da ise 98 tane var. İkisi de 1. sırada yer almıyor.
Bu arada, app.thnuster.cc var 1 geri bağlantı ve 1. sırada yer alıyor.
Bing için, nofollow etiketli gizlenmiş PBN + başlık eşleşmesi, toplu dofollow spam’inden daha iyi sonuç veriyor.
Bing Neden Buna Kanıyor?

Başlık Maçı Güvenlik Açığı
app.thnuster.cc Tam olarak TEK bir geri bağlantısı var — önbelleğe alınmış bir Yahoo arama sonuçları sayfası. “Thruster Finance” aramasında Bing’de 1. sırada yer alıyor. Bu durum, rekabetin düşük olduğu marka aramalarında Bing’in sıralamasının esas olarak şunlara dayandığını kanıtlıyor:
- Başlık etiketinde tam eşleşme arama sorgusuna
- Etki alanı indekslenmiştir (herhangi bir işaret — tek bir nofollow bağlantısı bile — yeterlidir)
- Olumsuz güven sinyali yok (alan adı yenidir, geçmişi temizdir)
Google, önemli ölçüde güvenilirlik göstergeleri talep eder ve bunları bilinen marka alan adlarıyla karşılaştırır. Bing ise bunu yapmaz.
| Metrik | Bing | |
|---|---|---|
| 1. sırada yer alan kimlik avı alan adları | 7 | 0 |
| En çok görülen 10 kimlik avı alan adı | 7 | 0 |
| Alan adının oluşturulduğu tarihten itibaren sıralama zamanı | 2-8 hafta | asla |
Bing'de 1. Sıradaki Sonuçlar (SerpAPI aracılığıyla doğrulanmıştır, Nisan 2026)
| Sorgu | #1 Result (Phishing) | Geri bağlantılar |
|---|---|---|
| “Stargate Finance” | star-gate-finance-stargate.finance | 20 |
| “Gölge Borsası” | shadow-ex.net | 16 |
| “UNCX Ağı” | www.uncx.org | 51 |
| “Thruster Finance” | app.thnuster.cc | 1 |
| “Orbit Protokolü” | orbit-protocol-lending.net | 15 |
| “VVS Finance” | vvsfnance.com (#1) + www.app-vvs.finance (#10) | 36 + 37 |
Güncellenmiş Koruma Listesi (II. Kısım markaları)
Stargate Finance → stargate.finance (star-gate-finance-stargate.finance DEĞİL) • VVS Finance → vvs.finance (vvsfnance.com DEĞİL) • THORSwap → thorswap.com (thorwsap.com DEĞİL) • Velodrom → velodrome.finance (v2velodrome.com DEĞİL) • UNCX → uncx.network (uncx.org DEĞİL) • SpookySwap → spooky.fi (spooky-swap.net DEĞİL) • OlympusDAO → olympusdao.finance (v2-olympusdao.com DEĞİL) • Thruster → thruster.finance (thnuster.cc DEĞİL) • Ambient → ambient.finance (amblent.cc DEĞİL)
Öneriler (2. Bölüm)
Microsoft/Bing’e:
- Sadece şampiyonluk maçı tek başına bir otorite değildir. Eşleşen bir başlık, yeni bir alan adının marka aramalarında 1. sıraya yükselmesine neden olmamalıdır. Alan adı yaşı, geri bağlantı otoritesi veya marka doğrulama sinyallerinin bulunması şarttır.
- CSS tabanlı gizlemeyi tespit et. Kullanıcılardan içeriği gizleyen ancak tarayıcılara gösteren z-index üst katmanları kullanan sayfalar işaretlenmelidir.
- Koordineli PBN ağlarını tespit etmek. Aynı hedeflere bağlantı veren tek bir arka uç sistemini paylaşan 15 alan adı, organik bağlantı oluşturma sayılmaz.
- Kripto arama sonuç sayfalarında NiceNIC'te kayıtlı alan adlarını işaretleyin daha ayrıntılı inceleme amacıyla.
- DuckDuckGo için bir spam hızlı filtreleme sistemi oluşturun. DDG, Bing’in tüm güvenlik açıklarını devralmaktadır ancak bağımsız bir spam bildirim mekanizmasına sahip değildir.
NiceNIC International Group Co., Limited’e:
26 adet kimlik avı alan adı. Tek bir müşteri. 18 ay boyunca toplu olarak kaydedildi. Herhangi bir kötüye kullanım önlemi alınmadı. Bu durum artık kamuya açık bir şekilde belgelenmiştir. Kaynak: İstismar Bildirimleri Sonuçsuz Kaldığında ve NiceNIC: Sistem Çapında Bir Kolaylaştırıcı.
Cloudflare’e:
26 alan adının tamamı Cloudflare DNS ve proxy hizmetlerini kullanmaktadır. Bu alan adları, Cloudflare’in altyapısı üzerinden cüzdan boşaltıcı ve tohum cümlesi toplayıcılarına hizmet vermektedir.
Bölüm II Sonuç
Bu, fırsatçı bir spam değildir. Bu bir tek bir operatör tarafından profesyonel bir şekilde yürütülen, 18 ay süren kampanya Bing’in sıralama algoritmasının 2 dolarlık bir alan adı ve kopyalanmış bir başlık etiketi ile alt edilebileceğini keşfeden kişi. Şu anda yedi kimlik avı sitesi Bing’de 1. sırada yer alıyor — taklit ettikleri meşru platformların üzerinde.
Belgelediğimiz gizleme altyapısı — ortak veritabanlarına sahip 15 adet özdeş site, CSS tabanlı içerik gizleme ve JavaScript yönlendirme yedekleri — arama motorlarını büyük ölçekte manipüle etmek için özel olarak tasarlanmış bir aracı temsil etmektedir.
Google, 26 alan adının tamamını engelliyor. Bing ise bunlardan 7’sini 1. sırada gösteriyor. Teknik çözüm mevcut. Kanıtlar herkese açık. Alan adları belgelenmiş durumda. Kayıt kuruluşu tespit edildi. Soru hâlâ şu: Bir şeyler yapılacak mı?


