«За лаштунками»: як діють криптошахраї
Перенаправлення Bing та DuckDuckGo
Розслідувальний звіт із даними SEMrush у режимі реального часу, що викриває дві паралельні SEO-атаки, спрямовані на просування фішингових сайтів, пов’язаних із криптовалютами, на перші позиції у результатах пошуку Bing та DuckDuckGo. 10 доменів. 2 вектори атак. Понад 100 000 потенційних жертв щомісяця.

Усі дані, наведені в цьому звіті, були зібрані за допомогою API-інтерфейсу SEMrush та веб-сайту phishdestroy.io з метою проведення досліджень у сфері кібербезпеки. Доменні імена оприлюднюються з метою попередження користувачів, а не для їх просування.
Два вектори атаки
Наше розслідування виявило, що дві абсолютно різні, паралельні операції які працюють одночасно, щоб вивести фішингові сайти на перші позиції у результатах пошуку Bing та DuckDuckGo.
Вектор А: Атака типу «SERP Injection» на Yahoo
Це, мабуть, найбільш витончене з технічної точки зору атака «чорного SEO», яку ми зафіксували у 2026 році. Вона використовує фундаментальний недолік у тому, як Bing оцінює авторитетність посилань — а саме, його нездатність розрізняти справжні редакційні посилання та динамічно згенеровані сторінки результатів пошуку з надійних доменів.

Механізм — крок за кроком
Крок 1 — Створення URL-адреси надійного оператора. Зловмисники створюють URL-адреси на мобільних пошукових серверах Yahoo у різних міжнародних піддоменах: no.search.yahoo.com (Норвегія), fr.search.yahoo.com (Франція), mx.search.yahoo.com (Мексика), pl.search.yahoo.com (Польща), gr.search.yahoo.com (Греція), qc.search.yahoo.com (Квебек), chfr.search.yahoo.com (швейцарський французький), co.search.yahoo.com (Колумбія). Ці сторінки мають показник авторитетності, успадкований від Yahoo: 23–24.
Крок 2 — Вставлення фішингового посилання. Кожен URL містить абсолютно випадковий, нешкідливий пошуковий запит — «pele+fifa», «Jean-Paul+Sartre», «Radio+Stars», «jucheck.exe» — але текст посилання виглядає так: curvefi.co Curve Finance. Рандомізовані запити гарантують, що спам-фільтри не зможуть виявити закономірності.
Крок 3 — Примусове сканування та індексація. Зловмисники змушують Bingbot сканувати ці URL-адреси, використовуючи сервіси масового пінгу, вставку коментарів на форумах та в блогах, а також інструменти для автоматичного запуску сканування.
Алгоритм Google: «Це динамічна сторінка пошуку. Передача ваги посилань не відбувається».
Алгоритм Bing: «На сайті yahoo.com розміщено посилання на curvefi.co з анкором «Curve Finance DEX». Сигнал для ранжування прийнято. ✓»
Результат: фішинговий сайт потрапив до трійки лідерів за запитом «Curve Finance» у пошукових системах Bing та DuckDuckGo.
Необроблені дані SEMrush — curvefi.co
| AS | Домен-джерело | Анкорний текст |
|---|---|---|
| 24 | chfr.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | co.search.yahoo.com | curvefi.co Curve Finance |
| 24 | fr.search.yahoo.com | curvefi.co Curve Finance |
| 24 | mx.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | no.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | pl.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | gr.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | qc.search.yahoo.com | curvefi.co Curve Finance |
Жорстока іронія: На сайті є нуль органічні ключові слова, нуль трафік у базі даних SEMrush — проте він з’являється у результатах Bing/DDG за запитом «Curve Finance» завдяки авторитету, запозиченому у Yahoo.
Вектор B: Скоординована мережа PBN
Саме тут розслідування набуває справді тривожного характеру. П’ять окремих фішингових сайтів — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at та keplr.me — всі вони мають спільну однаковий набір джерел зворотних посилань. Це не випадковість. Це єдина організована злочинна операція проведення декількох фішингових кампаній з однієї інфраструктури.

«The Smoking Gun» — Спільна інфраструктура
| Домен-донор PBN | AS | rabbys | dexscr | monero | trezor |
|---|---|---|---|---|---|
lewievuittton.com | 65 | ✓ | ✓ | ✓ | ✓ |
lyricamed.us.com | 61 | ✓ | ✓ | ✓ | ✓ |
creatfx.com | 60 | ✓ | ✓ | ✓ | ✓ |
jba.com.jo | 56 | ✓ | ✓ | ✓ | ✓ |
jornaldevinhedo.com | 56 | ✓ | ✓ | ✓ | ✓ |
jasaaspalhotmix.com | 54 | ✓ | ✓ | ✓ | ✓ |
magna-eg.com | 50 | ✓ | ✓ | ✓ | ✓ |
markjohnsonbuilders | 50 | ✓ | ✓ | ✓ | ✓ |
nextplayflix.com | 49 | ✓ | ✓ | ✓ | ✓ |
Головний донор PBN (AS 65) сам по собі є типосквотом бренду «Louis Vuitton». Цей донор PBN — це шахрайський сайт, який підтримує інші шахрайські сайти — це суцільна злочинна інфраструктура.
Профілі фішингових доменів
| Домен | Видає себе за когось іншого | Ключові слова | Головна ціль | Обсяг |
|---|---|---|---|---|
dexscreener.at | DexScreener | 64 | «dexscreener» № 42 | 60 500 на місяць |
rabbys.at | Гаманець «Rabby» | 15 | «гаманець Rabby» № 51 | 5 400 на місяць |
trezorsuite.at | Trezor Suite | 7 | «trezor suite» № 32 | 4 400 на місяць |
aster-dex.at | Aster DEX | 13 | «Біржа Aster» № 25 | 3 600 на місяць |
monero-wallet.at | Гаманець Monero | 4 | «онлайн-гаманець xmr» № 26 | 210 на місяць |
keplr.me | Гаманець Keplr | 0 | Прихований спам у коментарях | Немає даних |
bscscan.cfd | BSCScan | 0 | Масові спам-посилання | Немає даних |
curvefinance.co | Curve Finance | 0 | Тільки введення через Yahoo | Немає даних |
curvefi.co | Curve Finance | 0 | Тільки введення через Yahoo | Немає даних |
app-crv.net | Додаток Curve | 0 | Комбіновані техніки | Немає даних |
Користувачі, які здійснюють пошук «Завантажити Trezor Suite» активно шукають, як встановити програмне забезпечення для гаманця. Фішинговий сайт, що посідає 3–5-те місце в рейтингу DuckDuckGo, означає, що користувачі завантажують шкідливе програмне забезпечення вважаючи, що це інтерфейс апаратного гаманця. Це не теорія — це відбувається прямо зараз.
«Стаття-ферма» на базі штучного інтелекту
У варіанті aster-dex.at використовується гібридний підхід, поєднуючи вставку посилань на Yahoo з контентом блогів, згенерованим за допомогою штучного інтелекту, який розміщувався на зламаних або спеціально створених для цього сайтах у В’єтнамі, Італії, Індонезії та Швейцарії.

Усі статті в блозі мають майже однакові заголовки: «Чому обмін токенів і пули ліквідності досі стають каменем спотикання навіть для досвідчених трейдерів на DEX», «Чому автоматизовані маркет-мейкери досі дивують трейдерів». Це Статті, створені за допомогою штучного інтелекту розміщені на сайтах з AS 21–36, усі з яких містять посилання на aster-dex.at.
Проникнення спаму у коментарях
keplr.me використовує зовсім інший підхід — суто спам у коментарях на не пов’язаних між собою сайтах з високим авторитетом. Під вигаданими іменами користувачів, такими як «ZackaryThymn», «Fritzkah», «Jamesboach», на сайтах, присвячених філософії та освіті, розміщуються посилання на криптовалютні гаманці (filozofija.edu.rs, AS 45), платформи для підвищення залученості співробітників (bavave.com, AS 63) та мистецькі фестивалі (lea-festival.com, AS 50).

Дно бочки: спам з автоматизованими інструментами
bscscan.cfd використовує найпримітивніший із можливих методів: платні пакети масових зворотних посилань із сайтів, які буквально називаються rankongoogle.agency та linksjump.click. Усі джерела мають показник AS = 0. Домен верхнього рівня .cfd є відомим індикатором спаму. Проте в Bing навіть це частково працює — кількість посилань низької якості може впливати на позиції в рейтингу на абсолютно нових доменах, які не мають негативної історії.

Чому саме Bing і DuckDuckGo є особливо вразливими

| Особливість | Bing | |
|---|---|---|
| Динамічне виявлення сторінок | Відсутність посилальної ваги зі сторінок результатів пошуку | Сторінки пошуку Yahoo розглядаються як редакційний контент |
| Рівень зрілості моделей машинного навчання для боротьби зі спамом | Понад 15 років даних для навчання SpamBrain | Менш зрілий; PBN AS 50–65 все ще працює |
| Захист бренду | Агресивний; сайт curvefinance.co швидко потрапив у чорний список | Шахрайські схеми з доменами верхнього рівня .at та .co існують довше |
| «Контент-ферми» на основі штучного інтелекту | Система виявлення, введена в експлуатацію у 2023 році та пізніше | Штучний інтелект на доменах .vn та .it все ще отримує задовільні оцінки |
| Блокування фішингу | Функція «Безпечний перегляд» швидко блокує відомі домени | SmartScreen не виявляє нещодавно зареєстровані шахрайські домени |
DDG використовує індекс Bing як основне джерело даних, успадковуючи всі про вразливості Bing. Користувачі, які приділяють особливу увагу конфіденційності та віддають перевагу DDG, часто добре розбираються у криптовалютах, що робить їх більш привабливими цілями для зловмисників. DDG не має власного механізму повідомлення про спам; всі повідомлення надходять до Bing.
Стратегія таргетингу за ключовими словами
Профілі ключових слів показують, що хірургічна точність при виборі цільових слів. Оператори орієнтуються не лише на основні терміни, пов’язані з брендом, а й на типосквоти («гаманець раббі», «гаманець Рубі», «dexscrenner») і навіть запити китайською мовою («Біржа Aster» 25-те місце).

| Цільове ключове слово | Місячний обсяг | Шахрайський домен | Посада |
|---|---|---|---|
| dexscreener | 60,500 | dexscreener.at | #42 |
| гаманець «Rabby» | 5,400 | rabbys.at | #51–71 |
| пакет Trezor | 4,400 | trezorsuite.at | #32–85 |
| aster dex | 3,600 | aster-dex.at | #63 |
| dexscrennerорфографічна помилка | 2,400 | dexscreener.at | #45 |
| Біржа AsterКитайська | 1,000 | aster-dex.at | #25 |
| завантажити Trezor Suite | 260 | trezorsuite.at | #54 |
| гаманець «Раббі»орфографічна помилка | 210 | rabbys.at | #54 |
| онлайн-гаманець XMR | 210 | monero-wallet.at | #55–69 |
Історичний контекст: Проблема з Trust Wallet та DuckDuckGo
Ці атаки не є чимось новим. Проблема полягала в тому, що значно важчий коли такі гаманці, як Trust Wallet, використовували DuckDuckGo як свій вбудована пошукова система за замовчуванням. Користувачам, які шукали протоколи DeFi безпосередньо зі свого гаманця, у якості першого результату видавалися фішингові посилання — і для цього не знадобилося жодних складних заходів з пошукової оптимізації. Поєднання пошукової системи, орієнтованої на конфіденційність, зі слабким виявленням спаму та криптогаманця з вбудованим браузером створило ідеальний шторм з метою фішингу.
Навіть після того, як Trust Wallet відмовився від використання DDG як пошукової системи за замовчуванням, ця вразливість залишається. Будь-який користувач, який ручним способом обирає DuckDuckGo з міркувань конфіденційності — група населення, яка значною мірою збігається з колом користувачів криптовалют, — і досі залишається вразливою саме до таких атак. Шахрайські операції, описані в цьому звіті, використовують різні варіації цієї техніки вже протягом кілька років, пристосовуючись до того, як пошукові системи поступово усувають окремі вразливості.
Як захистити себе
REAL Curve Finance → curve.fi (НЕ .co, .net) • DexScreener → dexscreener.com (НЕ .at) • Rabby → rabby.io (КРІМ .at, .me) • Trezor Suite → suite.trezor.io (НЕ trezorsuite.at) • Keplr → keplr.app (НЕ .me) • BSCScan → bscscan.com (НЕ .cfd)
- НІКОЛИ підключіть свій гаманець із результату пошуку
- Додати до закладок безпосередньо на офіційні сайти
- Використовуйте DDG
!bangскорочення:!g curve financeвикористовує пошук Google - Встановіть розширення MetaMask для виявлення фішингу
- Перевірте будь-який домен на сайті PhishDestroy перед підключенням
Рекомендації для Microsoft/Bing
- Динамічне виявлення сторінок: Класифікувати сторінки результатів пошуку (Yahoo, Baidu, Google) та виключати вагу посилань із вихідних посилань
- Координоване виявлення PBN: Якщо 9 доменів посилаються на 5 різних сайтів за однаковою схемою, позначте це як маніпуляцію
- Рівень імітації бренду: Виявлення атак із заміною доменів верхнього рівня (
dexscreener.at≈dexscreener.com) - Моніторинг домену .AT: Посилений контроль за новозареєстрованими доменами .at у пошуковій видачі за криптовалютами
- Швидкий доступ до DuckDuckGo: Створити спеціальний API для видалення спаму, до якого DDG матиме прямий доступ
Висновок
Це не спам, спрямований на вигоду. Це — професійно організована, мультибрендова, багатовекторна SEO-кампанія спеціально розроблений для того, щоб скористатися розбіжністю у можливостях Google та Bing щодо виявлення спаму. Кожен користувач, який сьогодні шукає «Trezor Suite download» у DuckDuckGo, може натрапити на фішинговий сайт, що викрадає кошти з гаманця, перш ніж побачить справжній. Технічне рішення існує. Питання в тому, чи впровадить його Bing.


Один оператор, 26 доменів, один реєстратор
Ми провели пошук за RDAP для всіх 26 фішингових доменів. Кожен із них вказав на одного й того самого реєстратора: NiceNIC International Group Co., Limited. Не «більшість». Не «переважна більшість». Усі 23 запити з 23 виконано успішно — один і той самий реєстратор, у якого до перевірки було зафіксовано 3 помилки, пов’язані з обмеженням частоти запитів (моделі їхньої інфраструктури збігаються).

Реєстраційні дані RDAP — Докази пакетної реєстрації
| Домен | Видає себе за когось іншого | Створено | Пара NS-серверів Cloudflare |
|---|---|---|---|
star-gate-finance-stargate.finance | Stargate Finance | 2025-09-08 | Террі/Ксімена |
app-vesper.finance | Vesper Finance | 2025-09-08 | Террі/Ксімена |
app-vvs.finance | VVS Finance | 2025-09-08 | Террі/Ксімена |
orbit-protocol-lending.net | Протокол Orbit | 2025-10-10 | Террі/Ксімена |
vvsfnance.com | VVS Finance | 2025-07-12 | квітень/Кейден |
spooky-swap.net | SpookySwap | 2025-04-15 | квітень/Кейден |
thorwsap.com | THORSwap | 2025-07-24 | квітень/Кейден |
hyperlokc.com | Hyperlock Finance | 2025-07-12 | арнольд/доля |
shadow-ex.net | «Тіньова біржа» | 2025-06-24 | Амос/Трісія |
v2velodrome.com | «Велодром Фінанс» | 2025-09-04 | Даяна/Марвін |
layerbank-v3.com | LayerBank | 2024-09-07 | Остін/Шеріл |
biasterswap.xyz | BiSwap | 2024-09-07 | леді/Лангстон |
v2-olympusdao.com | OlympusDAO | 2026-03-29 | nash/romina |
uncx.org | Мережа UNCX | 2025-12-24 | Корі/Меган |
amblent.cc | Амбієнт Фінанс | 2026-02-09 | Ніколь/Сальвадор |
juicefi.cc | Juice Finance | 2026-02-09 | Ніколь/Сальвадор |
rhea-finance.com | Rhea Finance | 2025-05-30 | — |
rhea-finance.net | Rhea Finance | 2025-05-30 | — |
rhea-rhea.org | Rhea Finance | 2025-05-30 | — |
silo-finance-silofinance.net | Silo Finance | 2025-05-30 | — |
Спільні пари іменних серверів Cloudflare та однакові дати створення свідчать про пакетну реєстрацію:
- 2025-09-08: star-gate + app-vesper + app-vvs (усі
terry/ximena) - 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 домени, одна сесія)
- 2026-02-09: amblent.cc + juicefi.cc (
nicole/salvador) - 2024-09-07: layerbank-v3.com + biasterswap.xyz — операція, що триває понад 18 місяців
Посібник за 2 долари — крок за кроком
Забудьте про складне SEO. Забудьте про місяці роботи над розбудовою посилань. Ось повна, перевірена послідовність дій, яка забезпечує перше місце в результатах пошуку Bing.

Крок 1: Реєстр «typosquat»
| Реальний проєкт | Реальний домен | Фішинговий домен | Техніка |
|---|---|---|---|
| VVS Finance | vvs.finance | vvsfnance.com | Пропущена літера (i) |
| THORSwap | thorswap.com | thorwsap.com | Переставлені літери (a/w) |
| Hyperlock | hyperlock.fi | hyperlokc.com | Переставлені літери (c/k) |
| Міст Arbitrum | bridge.arbitrum.io | arbtrumbridge.cc | Обмін + дешевий домен верхнього рівня |
| Амбієнт Фінанс | ambient.finance | amblent.cc | Фонетична помилка в написанні |
| Thruster Finance | thruster.finance | thnuster.cc | Пропущена літера (r→n) |
| Міст оптимізму | app.optimism.io | optrnismbirdge.cc | Численні друкарські помилки |
| Stargate Finance | stargate.finance | star-gate-finance-stargate.finance | Надмірне використання ключових слів |
Крок 2: Створити копію тегу заголовка ($0, 5 хвилин)
Оператор копіює точну <title> тег і метаопис з веб-сайту реального проєкту. Це найважливіший крок. Сама сторінка призначена для викачування коштів із гаманців або викрадення фраз-сімен — але <title> саме це й враховує Bing при ранжуванні.
Крок 3: Додати посилання до прихованої мережі PBN (0 доларів, 1 хвилина)
Оператор відвідує будь-який із 15 об’єктів PBN (bye.fyi, atomizelink.icu, тощо), вводить домен у поле з написом «Введіть URL-адресу» та натискає кнопку «Скоротити». Одне натискання кнопки створює сторінку одночасно на всіх 15 сайтах — вони використовують одну базу даних.
Крок 4: Зачекайте (2–8 тижнів, 0 доларів)
app.thnuster.cc посіла перше місце в пошуковій системі Bing за запитом «Thruster Finance» завдяки рівно 1 зворотне посилання — кешована сторінка результатів пошуку Yahoo. PBN навіть не знадобилася.
Розподіл загальних витрат
| Що | Вартість | Час |
|---|---|---|
| Домен (.cc/.com через NiceNIC) | $1-2 | 2 хв |
| DNS від Cloudflare (безкоштовний тарифний план) | $0 | 1 хв |
| Скопіювати тег заголовка з реального сайту | $0 | 5 хв |
| Надіслати на PBN (bye.fyi тощо) | $0 | 1 хв |
| Дочекайтеся індексації | $0 | 2–8 тижнів |
| ВСЬОГО | $1-2 | ~10 хв |
Всередині механізму маскування
Ми отримали та проаналізували фактичний вихідний HTML-код із мережі PBN. На кожній сторінці кожного домену працює одна й та сама система маскування.

z-index: 1000000 за цією стіною ховається 3 500 посиланьАрхітектура сторінки: 400 КБ HTML, понад 3 500 посилань, 4 рівні
<body style="overflow: hidden;">
<div style="position:absolute; top:0; left:0;
width:100%; height:5000px;
background:white; z-index:1000000;
font-size:32px; text-align:center;">
<p>The domain report has Expired!</p>
</div> Білий div займає весь вікно перегляду. Значення z-index:1000000 гарантує, що над ним нічого не відображатиметься. overflow:hidden на тілі сторінки не дозволяє прокрутити далі. Користувач бачить напис «Термін дії закінчився» і залишає сторінку.
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator"); Якщо користувач пройде повз білу стіну, JavaScript перенаправить його на scrib.li (монетизація за партнерською програмою). Потрійний захист проти відвідувачів-людей.
Bingbot ігнорує CSS-накладення — він аналізує необроблений HTML-код. Він бачить сайт «URL Shortener» із формою пошуку. Виглядає як справжній сайт.
<p>Learn More Here <a rel="nofollow"
href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ... Фішинговий домен прихований серед 3 500 випадкових доменів. Ласощі від Bing rel="nofollow" як сигнал індексації — він все одно сканує ціль.
Доказ: Одна мережа, одна база даних
orbit-protocol-lending.net зустрічається на багатьох доменах PBN разом із послідовні ідентифікатори з однієї бази даних:

| Домен PBN | Шаблон URL-адреси | ID |
|---|---|---|
blogsphere.top | /stats/49207 | 49207 |
optimizeflow.top | /stats/49207 | 49207 |
websites.freemyip.com | /share/49207 | 49207 |
shortenurls.eu | /share/49207 | 49207 |
jake.eu | /share/49207 | 49207 |
dailymusings.top | /stats/49208 | 49208 |
screenshots.wiki | /report/49208 | 49208 |
atomizelink.icu | /report/49208 | 49208 |
byteshort.xyz | /report/49208 | 49208 |
Однакові ідентифікатори для різних «брендів» = один сервер, один оператор. 15 доменів. Один і той самий HTML-шаблон. Один і той самий CSS (style.css). Той самий JavaScript (work.js). Ті самі сторінки з 3 500 посиланнями.
Друга мережа PBN — Мережа перевірки доменів
Окрема, більш агресивна мережа посилань забезпечує зворотні посилання з атрибутом «dofollow» на обрані цілі. Головний сервер: all-aged-domains.com — інсталяція WordPress 6.6.2, яка забезпечує CSS, JS та шаблони для 50–80 доменів-сателітів.
| Особливість | Мережа А (прихована PBN) | Мережа B (Перевірка доменів) |
|---|---|---|
| Сайти | ~15 | ~50-80 |
| Маскування | Так (перенаправлення за допомогою CSS та JS) | Ні |
| Тип посилання | 99,4 % з атрибутом nofollow | 99,99 % посилань типу «dofollow» |
| Кількість посилань на сторінці | ~3,500 | ~10,000 |
| Розмір сторінки | 400 КБ | 4 МБ |
| CMS | PHP на замовлення | WordPress 6.6.2 |
| Головний сервер | Спільна база даних (послідовні ідентифікатори) | all-aged-domains.com |
| Google Tag Manager | Ні | Так (відстежує трафік) |
Незважаючи на те, що мережа B має в 10 разів більше зворотних посилань, і всі вони є дофоллоу, вона націлена на НЕ посіла 1-е місце в Bing. Сайт biasterswap.xyz має 110 посилань дофоллоу. Сайт layerbank-v3.com має 98. Жоден із них не посідає 1-го місця.
Тим часом, app.thnuster.cc має 1 зворотне посилання і посідає 1-е місце.
Для Bing комбінація прихованої мережі PBN із атрибутом nofollow та збігом заголовків працює ефективніше, ніж масовий спам із атрибутом dofollow.
Чому Bing на це ведеться

Уразливість «Title-Match»
app.thnuster.cc має рівно ОДИН зворотний посилання — кешовану сторінку результатів пошуку Yahoo. Він посідає 1-е місце в Bing за запитом «Thruster Finance». Це доводить, що ранжування Bing для брендових запитів з низькою конкуренцією базується переважно на:
- Тег заголовка з точним збігом до пошукового запиту
- Домен індексовано (достатньо будь-якого сигналу — навіть одного посилання з атрибутом nofollow)
- Відсутність негативних сигналів щодо довіри (домен новий, без історії)
Google вимагатиме наявності вагомих ознак авторитетності та проводитиме перехресну перевірку з відомими доменами брендів. Bing цього не робить.
| Метрична система | Bing | |
|---|---|---|
| Фішингові домени на першому місці | 7 | 0 |
| Фішингові домени в топ-10 | 7 | 0 |
| Час для ранжування з моменту створення домену | 2–8 тижнів | ніколи |
Результати пошуку Bing № 1 (перевірено за допомогою SerpAPI, квітень 2026 року)
| Запит | #1 Result (Phishing) | Зворотні посилання |
|---|---|---|
| «Stargate Finance» | star-gate-finance-stargate.finance | 20 |
| «Тіньова біржа» | shadow-ex.net | 16 |
| «Мережа UNCX» | www.uncx.org | 51 |
| «Thruster Finance» | app.thnuster.cc | 1 |
| «Orbit Protocol» | orbit-protocol-lending.net | 15 |
| «VVS Finance» | vvsfnance.com (#1) + www.app-vvs.finance (#10) | 36 + 37 |
Оновлений перелік засобів захисту (бренди, частина II)
Stargate Finance → stargate.finance (НЕ star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (НЕ vvsfnance.com) • THORSwap → thorswap.com (НЕ thorwsap.com) • Велодром → velodrome.finance (НЕ v2velodrome.com) • UNCX → uncx.network (НЕ uncx.org) • SpookySwap → spooky.fi (НЕ spooky-swap.net) • OlympusDAO → olympusdao.finance (НЕ v2-olympusdao.com) • Thruster → thruster.finance (НЕ thnuster.cc) • Ембієнт → ambient.finance (НЕ amblent.cc)
Рекомендації (Частина II)
До Microsoft/Bing:
- Сам по собі титульний поєдинок ще не означає авторитету. Відповідний заголовок не повинен виводити новий домен на перше місце в рейтингу за запитами, пов’язаними з брендом. Необхідно враховувати вік домену, авторитетність зворотних посилань або ознаки підтвердження бренду.
- Виявлення маскування на основі CSS. Сторінки, на яких використовуються накладки з атрибутом z-index, що приховують вміст від користувачів, але відображають його для пошукових роботів, слід позначати.
- Виявляти скоординовані мережі PBN. 15 доменів, що використовують один і той самий бекенд та посилаються на ті самі цільові сторінки, не є органічним побудовою посилань.
- Позначати домени, зареєстровані через NiceNIC, у результатах пошуку за криптовалютами для більш ретельного аналізу.
- Створити прискорений маршрут для спаму в DuckDuckGo. DDG успадковує всі вразливості Bing, але не має власного механізму повідомлення про спам.
Компанії «NiceNIC International Group Co., Limited»:
26 фішингових доменів. Один клієнт. Реєстрація партіями протягом 18 місяців. Жодних заходів щодо боротьби зі зловживаннями не вжито. Це тепер офіційно задокументовано. Джерело: Коли повідомлення про зловживання залишаються без наслідків та NiceNIC: Системний каталізатор.
До Cloudflare:
Усі 26 доменів використовують DNS та проксі-сервери Cloudflare. Ці домени обслуговують програми, що викачують кошти з гаманців, та програми, що збирають посівні фрази, за допомогою інфраструктури Cloudflare.
Частина II. Висновки
Це не спам, спрямований на вигоду. Це — професійно організована кампанія тривалістю 18 місяців, що проводилася одним оператором який виявив, що алгоритм ранжування Bing можна обійти за допомогою домену за 2 долари та скопійованого тегу заголовка. Наразі сім фішингових сайтів посідають перше місце в рейтингу Bing — над тими легальними платформами, за які вони себе видають.
Інфраструктура маскування, яку ми задокументували — 15 ідентичних сайтів зі спільними базами даних, приховуванням контенту за допомогою CSS та резервними перенаправленнями на JavaScript — є спеціально розробленим інструментом для маніпулювання пошуковими системами у великих масштабах.
Google блокує всі 26 доменів. Bing виводить 7 із них на перше місце. Технічне рішення існує. Докази є загальнодоступними. Домени задокументовані. Реєстратор встановлено. Залишається питання: чи буде щось зроблено?


