PhishDestroy Наживо
Назад до новин
Активна загроза

«За лаштунками»: як діють криптошахраї
Перенаправлення Bing та DuckDuckGo

Розслідувальний звіт із даними SEMrush у режимі реального часу, що викриває дві паралельні SEO-атаки, спрямовані на просування фішингових сайтів, пов’язаних із криптовалютами, на перші позиції у результатах пошуку Bing та DuckDuckGo. 10 доменів. 2 вектори атак. Понад 100 000 потенційних жертв щомісяця.

30 березня 2026 року Дослідження PhishDestroy 22 хв. на читання Дані API SEMrush
Криптошахраї, які маніпулюють результатами пошуку в Bing та DuckDuckGo — візуалізація у стилі кіберпанк
Пошукові системи під загрозою: організовані операції виштовхують фішингові сайти на перші позиції, витісняючи легітимні криптоплатформи
10Фішингові домени
9Донори PBN
60,500+Щоденний контакт
100 тис.+Кількість жертв на місяць
2Вектори атак
Застереження

Усі дані, наведені в цьому звіті, були зібрані за допомогою API-інтерфейсу SEMrush та веб-сайту phishdestroy.io з метою проведення досліджень у сфері кібербезпеки. Доменні імена оприлюднюються з метою попередження користувачів, а не для їх просування.

Два вектори атаки

Наше розслідування виявило, що дві абсолютно різні, паралельні операції які працюють одночасно, щоб вивести фішингові сайти на перші позиції у результатах пошуку Bing та DuckDuckGo.

Вектор А: Впровадження в пошукову видачу Yahoo
Використовує авторитет домену Yahoo (AS 24) через мобільні пошукові сторінки. Bing отримує довіру від динамічно згенерованих пошукових URL-адрес Yahoo, що містять фішингові анкори. Цілі: curvefinance.co, curvefi.co, aster-dex.at
Вектор B: Координована мережа PBN
9 скомпрометованих/придбаних доменів із AS 49–65 одночасно ведуть на кілька фішингових сайтів. Діє проти ВСІХ пошукових систем. Цілі: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, keplr.me

Вектор А: Атака типу «SERP Injection» на Yahoo

Це, мабуть, найбільш витончене з технічної точки зору атака «чорного SEO», яку ми зафіксували у 2026 році. Вона використовує фундаментальний недолік у тому, як Bing оцінює авторитетність посилань — а саме, його нездатність розрізняти справжні редакційні посилання та динамічно згенеровані сторінки результатів пошуку з надійних доменів.

Технічна схема, що ілюструє алгоритм атаки типу «SERP-ін’єкція» з Yahoo на рейтинги Bing
Отриманий від Yahoo показник авторитетності (AS 24) передається через сторінки мобільного пошуку на фішингові домени — Bing сприймає цей сигнал як достовірний

Механізм — крок за кроком

Створити URL-адресу на Yahoo8 і більше субдоменів країн
Вбудувати анкорВипадковий запит + фішингове посилання
Примусове скануванняСлужби Ping + спам
Індекси BingУспадковує Yahoo AS 24
1-е місцеФішинговий сайт у топ-результатах

Крок 1 — Створення URL-адреси надійного оператора. Зловмисники створюють URL-адреси на мобільних пошукових серверах Yahoo у різних міжнародних піддоменах: no.search.yahoo.com (Норвегія), fr.search.yahoo.com (Франція), mx.search.yahoo.com (Мексика), pl.search.yahoo.com (Польща), gr.search.yahoo.com (Греція), qc.search.yahoo.com (Квебек), chfr.search.yahoo.com (швейцарський французький), co.search.yahoo.com (Колумбія). Ці сторінки мають показник авторитетності, успадкований від Yahoo: 23–24.

Крок 2 — Вставлення фішингового посилання. Кожен URL містить абсолютно випадковий, нешкідливий пошуковий запит — «pele+fifa», «Jean-Paul+Sartre», «Radio+Stars», «jucheck.exe» — але текст посилання виглядає так: curvefi.co Curve Finance. Рандомізовані запити гарантують, що спам-фільтри не зможуть виявити закономірності.

Крок 3 — Примусове сканування та індексація. Зловмисники змушують Bingbot сканувати ці URL-адреси, використовуючи сервіси масового пінгу, вставку коментарів на форумах та в блогах, а також інструменти для автоматичного запуску сканування.

Алгоритмічна помилка Bing

Алгоритм Google: «Це динамічна сторінка пошуку. Передача ваги посилань не відбувається».
Алгоритм Bing: «На сайті yahoo.com розміщено посилання на curvefi.co з анкором «Curve Finance DEX». Сигнал для ранжування прийнято. ✓»

Результат: фішинговий сайт потрапив до трійки лідерів за запитом «Curve Finance» у пошукових системах Bing та DuckDuckGo.

Необроблені дані SEMrush — curvefi.co

API SEMrush Backlink Analytics | 30.03.2026 | Ціль: curvefi.co
ASДомен-джерелоАнкорний текст
24chfr.search.yahoo.comwww.curvefi.co Curve Finance
24co.search.yahoo.comcurvefi.co Curve Finance
24fr.search.yahoo.comcurvefi.co Curve Finance
24mx.search.yahoo.comwww.curvefi.co Curve Finance
24no.search.yahoo.comwww.curvefi.co Curve Finance
24pl.search.yahoo.comwww.curvefi.co Curve Finance
23gr.search.yahoo.comwww.curvefi.co Curve Finance
23qc.search.yahoo.comcurvefi.co Curve Finance

Жорстока іронія: На сайті є нуль органічні ключові слова, нуль трафік у базі даних SEMrush — проте він з’являється у результатах Bing/DDG за запитом «Curve Finance» завдяки авторитету, запозиченому у Yahoo.

Вектор B: Скоординована мережа PBN

Саме тут розслідування набуває справді тривожного характеру. П’ять окремих фішингових сайтів — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at та keplr.me — всі вони мають спільну однаковий набір джерел зворотних посилань. Це не випадковість. Це єдина організована злочинна операція проведення декількох фішингових кампаній з однієї інфраструктури.

Візуалізація злочинної мережі PBN — 9 доменів-донорів, що посилаються на 5 фішингових цілей
Один оператор, 9 донорів PBN, 5 об’єктів фішингових атак — ймовірність того, що це збіг, становить приблизно 0,00001%

«The Smoking Gun» — Спільна інфраструктура

API SEMrush | Міждоменний аналіз | 30.03.2026
Домен-донор PBNASrabbysdexscrmonerotrezor
lewievuittton.com65✓✓✓✓
lyricamed.us.com61✓✓✓✓
creatfx.com60✓✓✓✓
jba.com.jo56✓✓✓✓
jornaldevinhedo.com56✓✓✓✓
jasaaspalhotmix.com54✓✓✓✓
magna-eg.com50✓✓✓✓
markjohnsonbuilders50✓✓✓✓
nextplayflix.com49✓✓✓✓
Примітка на сайті lewievuittton.com

Головний донор PBN (AS 65) сам по собі є типосквотом бренду «Louis Vuitton». Цей донор PBN — це шахрайський сайт, який підтримує інші шахрайські сайти — це суцільна злочинна інфраструктура.

Профілі фішингових доменів

Огляд домену SEMrush | Березень 2026 року
ДоменВидає себе за когось іншогоКлючові словаГоловна цільОбсяг
dexscreener.atDexScreener64«dexscreener» № 4260 500 на місяць
rabbys.atГаманець «Rabby»15«гаманець Rabby» № 515 400 на місяць
trezorsuite.atTrezor Suite7«trezor suite» № 324 400 на місяць
aster-dex.atAster DEX13«Біржа Aster» № 253 600 на місяць
monero-wallet.atГаманець Monero4«онлайн-гаманець xmr» № 26210 на місяць
keplr.meГаманець Keplr0Прихований спам у коментаряхНемає даних
bscscan.cfdBSCScan0Масові спам-посиланняНемає даних
curvefinance.coCurve Finance0Тільки введення через YahooНемає даних
curvefi.coCurve Finance0Тільки введення через YahooНемає даних
app-crv.netДодаток Curve0Комбіновані технікиНемає даних
Важливо: Завантаження Trezor Suite

Користувачі, які здійснюють пошук «Завантажити Trezor Suite» активно шукають, як встановити програмне забезпечення для гаманця. Фішинговий сайт, що посідає 3–5-те місце в рейтингу DuckDuckGo, означає, що користувачі завантажують шкідливе програмне забезпечення вважаючи, що це інтерфейс апаратного гаманця. Це не теорія — це відбувається прямо зараз.

«Стаття-ферма» на базі штучного інтелекту

У варіанті aster-dex.at використовується гібридний підхід, поєднуючи вставку посилань на Yahoo з контентом блогів, згенерованим за допомогою штучного інтелекту, який розміщувався на зламаних або спеціально створених для цього сайтах у В’єтнамі, Італії, Індонезії та Швейцарії.

Фабрика, що створює однакові блог-дописи, згенеровані штучним інтелектом, з посиланнями на фішингові сайти
Статті, створені штучним інтелектом, на зламаних сайтах — однакові заголовки, різні домени, усі з посиланнями на один і той самий фішинговий ресурс

Усі статті в блозі мають майже однакові заголовки: «Чому обмін токенів і пули ліквідності досі стають каменем спотикання навіть для досвідчених трейдерів на DEX», «Чому автоматизовані маркет-мейкери досі дивують трейдерів». Це Статті, створені за допомогою штучного інтелекту розміщені на сайтах з AS 21–36, усі з яких містять посилання на aster-dex.at.

Проникнення спаму у коментарях

keplr.me використовує зовсім інший підхід — суто спам у коментарях на не пов’язаних між собою сайтах з високим авторитетом. Під вигаданими іменами користувачів, такими як «ZackaryThymn», «Fritzkah», «Jamesboach», на сайтах, присвячених філософії та освіті, розміщуються посилання на криптовалютні гаманці (filozofija.edu.rs, AS 45), платформи для підвищення залученості співробітників (bavave.com, AS 63) та мистецькі фестивалі (lea-festival.com, AS 50).

Легітимний веб-сайт із прихованими фішинговими посиланнями у розділі коментарів
Законні сайти, які, не знаючи про це, розміщують фішингові посилання — приховані серед коментарів користувачів, що виглядають цілком звичайно

Дно бочки: спам з автоматизованими інструментами

bscscan.cfd використовує найпримітивніший із можливих методів: платні пакети масових зворотних посилань із сайтів, які буквально називаються rankongoogle.agency та linksjump.click. Усі джерела мають показник AS = 0. Домен верхнього рівня .cfd є відомим індикатором спаму. Проте в Bing навіть це частково працює — кількість посилань низької якості може впливати на позиції в рейтингу на абсолютно нових доменах, які не мають негативної історії.

Ринок зворотних посилань за безцінь у стилі кіберпанк
«1000 зворотних посилань за 9,99 доларів» — найдешевші шахрайські інструменти для SEO досі частково працюють у Bing

Чому саме Bing і DuckDuckGo є особливо вразливими

«Фортеця Google» проти «Фортеці Bing» — порівняння вразливостей
Багаторівневий захист Google від спаму проти менш досконалого механізму виявлення Bing — ця різниця, якою користуються шахраї
Алгоритмічні відмінності, якими активно користуються шахраї
ОсобливістьGoogleBing
Динамічне виявлення сторінокВідсутність посилальної ваги зі сторінок результатів пошукуСторінки пошуку Yahoo розглядаються як редакційний контент
Рівень зрілості моделей машинного навчання для боротьби зі спамомПонад 15 років даних для навчання SpamBrainМенш зрілий; PBN AS 50–65 все ще працює
Захист брендуАгресивний; сайт curvefinance.co швидко потрапив у чорний списокШахрайські схеми з доменами верхнього рівня .at та .co існують довше
«Контент-ферми» на основі штучного інтелектуСистема виявлення, введена в експлуатацію у 2023 році та пізнішеШтучний інтелект на доменах .vn та .it все ще отримує задовільні оцінки
Блокування фішингуФункція «Безпечний перегляд» швидко блокує відомі домениSmartScreen не виявляє нещодавно зареєстровані шахрайські домени
Специфічна вразливість DuckDuckGo

DDG використовує індекс Bing як основне джерело даних, успадковуючи всі про вразливості Bing. Користувачі, які приділяють особливу увагу конфіденційності та віддають перевагу DDG, часто добре розбираються у криптовалютах, що робить їх більш привабливими цілями для зловмисників. DDG не має власного механізму повідомлення про спам; всі повідомлення надходять до Bing.

Стратегія таргетингу за ключовими словами

Профілі ключових слів показують, що хірургічна точність при виборі цільових слів. Оператори орієнтуються не лише на основні терміни, пов’язані з брендом, а й на типосквоти («гаманець раббі», «гаманець Рубі», «dexscrenner») і навіть запити китайською мовою («Біржа Aster» 25-те місце).

Карта світу, на якій показано багатомовне таргетування за ключовими словами криптовалютними шахраями
Багатомовне охоплення: англійська, французька, китайська, в’єтнамська — діяльність охоплює різні континенти
Аналіз бренду та обсягу пошукових запитів | SEMrush (США) | Березень 2026 року
Цільове ключове словоМісячний обсягШахрайський доменПосада
dexscreener60,500dexscreener.at#42
гаманець «Rabby»5,400rabbys.at#51–71
пакет Trezor4,400trezorsuite.at#32–85
aster dex3,600aster-dex.at#63
dexscrennerорфографічна помилка2,400dexscreener.at#45
Біржа AsterКитайська1,000aster-dex.at#25
завантажити Trezor Suite260trezorsuite.at#54
гаманець «Раббі»орфографічна помилка210rabbys.at#54
онлайн-гаманець XMR210monero-wallet.at#55–69

Історичний контекст: Проблема з Trust Wallet та DuckDuckGo

Ця проблема має глибокі корені

Ці атаки не є чимось новим. Проблема полягала в тому, що значно важчий коли такі гаманці, як Trust Wallet, використовували DuckDuckGo як свій вбудована пошукова система за замовчуванням. Користувачам, які шукали протоколи DeFi безпосередньо зі свого гаманця, у якості першого результату видавалися фішингові посилання — і для цього не знадобилося жодних складних заходів з пошукової оптимізації. Поєднання пошукової системи, орієнтованої на конфіденційність, зі слабким виявленням спаму та криптогаманця з вбудованим браузером створило ідеальний шторм з метою фішингу.

Навіть після того, як Trust Wallet відмовився від використання DDG як пошукової системи за замовчуванням, ця вразливість залишається. Будь-який користувач, який ручним способом обирає DuckDuckGo з міркувань конфіденційності — група населення, яка значною мірою збігається з колом користувачів криптовалют, — і досі залишається вразливою саме до таких атак. Шахрайські операції, описані в цьому звіті, використовують різні варіації цієї техніки вже протягом кілька років, пристосовуючись до того, як пошукові системи поступово усувають окремі вразливості.

Як захистити себе

Завжди перевіряйте точну назву домену

REAL Curve Finance → curve.fi (НЕ .co, .net) • DexScreener → dexscreener.com (НЕ .at) • Rabby → rabby.io (КРІМ .at, .me) • Trezor Suite → suite.trezor.io (НЕ trezorsuite.at) • Keplr → keplr.app (НЕ .me) • BSCScan → bscscan.com (НЕ .cfd)

Рекомендації для Microsoft/Bing

  1. Динамічне виявлення сторінок: Класифікувати сторінки результатів пошуку (Yahoo, Baidu, Google) та виключати вагу посилань із вихідних посилань
  2. Координоване виявлення PBN: Якщо 9 доменів посилаються на 5 різних сайтів за однаковою схемою, позначте це як маніпуляцію
  3. Рівень імітації бренду: Виявлення атак із заміною доменів верхнього рівня (dexscreener.atdexscreener.com)
  4. Моніторинг домену .AT: Посилений контроль за новозареєстрованими доменами .at у пошуковій видачі за криптовалютами
  5. Швидкий доступ до DuckDuckGo: Створити спеціальний API для видалення спаму, до якого DDG матиме прямий доступ

Висновок

Це не спам, спрямований на вигоду. Це — професійно організована, мультибрендова, багатовекторна SEO-кампанія спеціально розроблений для того, щоб скористатися розбіжністю у можливостях Google та Bing щодо виявлення спаму. Кожен користувач, який сьогодні шукає «Trezor Suite download» у DuckDuckGo, може натрапити на фішинговий сайт, що викрадає кошти з гаманця, перш ніж побачить справжній. Технічне рішення існує. Питання в тому, чи впровадить його Bing.

Драматична сцена в суді — судовий процес над криптошахраями з демонстрацією доказів
Докази є загальнодоступними. Домени задокументовані. Жертви — реальні. Вирішення проблеми — у руках Microsoft.
Подальше розслідування — 17 квітня 2026 року

Частина II: «Посібник за 2 долари» — 26 фішингових сайтів, 1 реєстратор, 7 результатів на першому місці в Bing

У ході подальшого розслідування, проведеного в березні, було встановлено, що 26 нових фішингових доменів — усі вони видають себе за протоколи DeFi — наразі посідають #1 on Bing за їхніми цільовими запитами щодо бренду. Використовуючи дані про зворотні посилання з API SEMrush, записи про реєстрацію в RDAP та аналіз вихідного коду, ми простежили кожен окремий домен до один оператор, один реєстратор (NiceNIC) та одна прихована мережа PBN, що складається з 15 сайтів. Вартість одного домену: 2 долари. Час: 10 хвилин.

Один оператор, 26 фішингових приманок, одна пошукова система, яка не перевіряє
Один оператор. 26 фішингових посилань у Bing. Вартість: 2 долари за домен.
26Фішингові домени
1Реєстратор (NiceNIC)
7Перші позиції в Bing
15Приховані сайти PBN
0Рейтинги Google

Один оператор, 26 доменів, один реєстратор

Ми провели пошук за RDAP для всіх 26 фішингових доменів. Кожен із них вказав на одного й того самого реєстратора: NiceNIC International Group Co., Limited. Не «більшість». Не «переважна більшість». Усі 23 запити з 23 виконано успішно — один і той самий реєстратор, у якого до перевірки було зафіксовано 3 помилки, пов’язані з обмеженням частоти запитів (моделі їхньої інфраструктури збігаються).

Таблиця розслідування OSINT, що показує 23 з 23 доменів, зареєстрованих через NiceNIC
23 з 23 перевірено. Той самий реєстратор. Той самий клієнт. Жодних заходів щодо зловживань.

Реєстраційні дані RDAP — Докази пакетної реєстрації

Результати запиту RDAP | Квітень 2026 року | 23 із 26 запитів виконано успішно
ДоменВидає себе за когось іншогоСтвореноПара NS-серверів Cloudflare
star-gate-finance-stargate.financeStargate Finance2025-09-08Террі/Ксімена
app-vesper.financeVesper Finance2025-09-08Террі/Ксімена
app-vvs.financeVVS Finance2025-09-08Террі/Ксімена
orbit-protocol-lending.netПротокол Orbit2025-10-10Террі/Ксімена
vvsfnance.comVVS Finance2025-07-12квітень/Кейден
spooky-swap.netSpookySwap2025-04-15квітень/Кейден
thorwsap.comTHORSwap2025-07-24квітень/Кейден
hyperlokc.comHyperlock Finance2025-07-12арнольд/доля
shadow-ex.net«Тіньова біржа»2025-06-24Амос/Трісія
v2velodrome.com«Велодром Фінанс»2025-09-04Даяна/Марвін
layerbank-v3.comLayerBank2024-09-07Остін/Шеріл
biasterswap.xyzBiSwap2024-09-07леді/Лангстон
v2-olympusdao.comOlympusDAO2026-03-29nash/romina
uncx.orgМережа UNCX2025-12-24Корі/Меган
amblent.ccАмбієнт Фінанс2026-02-09Ніколь/Сальвадор
juicefi.ccJuice Finance2026-02-09Ніколь/Сальвадор
rhea-finance.comRhea Finance2025-05-30
rhea-finance.netRhea Finance2025-05-30
rhea-rhea.orgRhea Finance2025-05-30
silo-finance-silofinance.netSilo Finance2025-05-30
Пакетна реєстрація — один оператор, багато сеансів

Спільні пари іменних серверів Cloudflare та однакові дати створення свідчать про пакетну реєстрацію:

  • 2025-09-08: star-gate + app-vesper + app-vvs (усі terry/ximena)
  • 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 домени, одна сесія)
  • 2026-02-09: amblent.cc + juicefi.cc (nicole/salvador)
  • 2024-09-07: layerbank-v3.com + biasterswap.xyz — операція, що триває понад 18 місяців

Посібник за 2 долари — крок за кроком

Забудьте про складне SEO. Забудьте про місяці роботи над розбудовою посилань. Ось повна, перевірена послідовність дій, яка забезпечує перше місце в результатах пошуку Bing.

Чотири кроки, щоб вивести фішинговий сайт на перше місце в Bing за 2 долари
Чотири кроки, 2 долари — і Bing виводить фішинговий сайт на перше місце
Зареєструвати домен з помилкою в назві$1-2 at NiceNIC
Скопіювати тег заголовкаКопія з реального сайту
Надіслати до PBNдо побачення. До відома: 15 сайтів
Зачекайте 2–8 тижнівBing індексує та ранжує
Bing № 1Приклад реального проєкту

Крок 1: Реєстр «typosquat»

Методи «типосквоту» у 8 із 26 доменів
Реальний проєктРеальний доменФішинговий доменТехніка
VVS Financevvs.financevvsfnance.comПропущена літера (i)
THORSwapthorswap.comthorwsap.comПереставлені літери (a/w)
Hyperlockhyperlock.fihyperlokc.comПереставлені літери (c/k)
Міст Arbitrumbridge.arbitrum.ioarbtrumbridge.ccОбмін + дешевий домен верхнього рівня
Амбієнт Фінансambient.financeamblent.ccФонетична помилка в написанні
Thruster Financethruster.financethnuster.ccПропущена літера (r→n)
Міст оптимізмуapp.optimism.iooptrnismbirdge.ccЧисленні друкарські помилки
Stargate Financestargate.financestar-gate-finance-stargate.financeНадмірне використання ключових слів

Крок 2: Створити копію тегу заголовка ($0, 5 хвилин)

Оператор копіює точну <title> тег і метаопис з веб-сайту реального проєкту. Це найважливіший крок. Сама сторінка призначена для викачування коштів із гаманців або викрадення фраз-сімен — але <title> саме це й враховує Bing при ранжуванні.

Крок 3: Додати посилання до прихованої мережі PBN (0 доларів, 1 хвилина)

Оператор відвідує будь-який із 15 об’єктів PBN (bye.fyi, atomizelink.icu, тощо), вводить домен у поле з написом «Введіть URL-адресу» та натискає кнопку «Скоротити». Одне натискання кнопки створює сторінку одночасно на всіх 15 сайтах — вони використовують одну базу даних.

Крок 4: Зачекайте (2–8 тижнів, 0 доларів)

Доказ: 1 зворотне посилання = 1-е місце в Bing

app.thnuster.cc посіла перше місце в пошуковій системі Bing за запитом «Thruster Finance» завдяки рівно 1 зворотне посилання — кешована сторінка результатів пошуку Yahoo. PBN навіть не знадобилася.

Розподіл загальних витрат

ЩоВартістьЧас
Домен (.cc/.com через NiceNIC)$1-22 хв
DNS від Cloudflare (безкоштовний тарифний план)$01 хв
Скопіювати тег заголовка з реального сайту$05 хв
Надіслати на PBN (bye.fyi тощо)$01 хв
Дочекайтеся індексації$02–8 тижнів
ВСЬОГО$1-2~10 хв

Всередині механізму маскування

Ми отримали та проаналізували фактичний вихідний HTML-код із мережі PBN. На кожній сторінці кожного домену працює одна й та сама система маскування.

Що бачать користувачі, а що бачить Bingbot — «стіна маскування»
Що бачать користувачі, а що бачить Bingbot — це z-index: 1000000 за цією стіною ховається 3 500 посилань

Архітектура сторінки: 400 КБ HTML, понад 3 500 посилань, 4 рівні

Рівень 1 — «Стіна маскування» (те, що бачать користувачі)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

Білий div займає весь вікно перегляду. Значення z-index:1000000 гарантує, що над ним нічого не відображатиметься. overflow:hidden на тілі сторінки не дозволяє прокрутити далі. Користувач бачить напис «Термін дії закінчився» і залишає сторінку.

Рівень 2 — Перенаправлення JS (резервний захист)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Якщо користувач пройде повз білу стіну, JavaScript перенаправить його на scrib.li (монетизація за партнерською програмою). Потрійний захист проти відвідувачів-людей.

Рівень 3 — Фальшивий фасад (те, що бачать боти)

Bingbot ігнорує CSS-накладення — він аналізує необроблений HTML-код. Він бачить сайт «URL Shortener» із формою пошуку. Виглядає як справжній сайт.

Рівень 4 — Маса посилань (3 500 посилань з атрибутом nofollow)
<p>Learn More Here <a rel="nofollow"
     href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ...

Фішинговий домен прихований серед 3 500 випадкових доменів. Ласощі від Bing rel="nofollow" як сигнал індексації — він все одно сканує ціль.

Доказ: Одна мережа, одна база даних

orbit-protocol-lending.net зустрічається на багатьох доменах PBN разом із послідовні ідентифікатори з однієї бази даних:

Одна база даних, 15 доменів — усі вони надають однаковий контент з одного серверного боку
Одна база даних. 15 доменів інтерфейсу. На всіх екранах відображається однаковий вміст із одного серверного модуля.
Послідовні ідентифікатори у «різних» брендах PBN — доказ використання спільного бекенду
Домен PBNШаблон URL-адресиID
blogsphere.top/stats/4920749207
optimizeflow.top/stats/4920749207
websites.freemyip.com/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
dailymusings.top/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
byteshort.xyz/report/4920849208

Однакові ідентифікатори для різних «брендів» = один сервер, один оператор. 15 доменів. Один і той самий HTML-шаблон. Один і той самий CSS (style.css). Той самий JavaScript (work.js). Ті самі сторінки з 3 500 посиланнями.

Друга мережа PBN — Мережа перевірки доменів

Окрема, більш агресивна мережа посилань забезпечує зворотні посилання з атрибутом «dofollow» на обрані цілі. Головний сервер: all-aged-domains.com — інсталяція WordPress 6.6.2, яка забезпечує CSS, JS та шаблони для 50–80 доменів-сателітів.

Прихована PBN (мережа А) проти Domain Checker (мережа Б)
ОсобливістьМережа А (прихована PBN)Мережа B (Перевірка доменів)
Сайти~15~50-80
МаскуванняТак (перенаправлення за допомогою CSS та JS)Ні
Тип посилання99,4 % з атрибутом nofollow99,99 % посилань типу «dofollow»
Кількість посилань на сторінці~3,500~10,000
Розмір сторінки400 КБ4 МБ
CMSPHP на замовленняWordPress 6.6.2
Головний серверСпільна база даних (послідовні ідентифікатори)all-aged-domains.com
Google Tag ManagerНіТак (відстежує трафік)
Іронія

Незважаючи на те, що мережа B має в 10 разів більше зворотних посилань, і всі вони є дофоллоу, вона націлена на НЕ посіла 1-е місце в Bing. Сайт biasterswap.xyz має 110 посилань дофоллоу. Сайт layerbank-v3.com має 98. Жоден із них не посідає 1-го місця.

Тим часом, app.thnuster.cc має 1 зворотне посилання і посідає 1-е місце.

Для Bing комбінація прихованої мережі PBN із атрибутом nofollow та збігом заголовків працює ефективніше, ніж масовий спам із атрибутом dofollow.

Чому Bing на це ведеться

Броньований робот від Google, що блокує фішинг біля входу, проти привітного швейцара від Bing, який тримає двері відчиненими
Броньований робот від Google блокує фішинг ще на вході. А привітний швейцар від Bing тримає двері відчиненими.

Уразливість «Title-Match»

app.thnuster.cc має рівно ОДИН зворотний посилання — кешовану сторінку результатів пошуку Yahoo. Він посідає 1-е місце в Bing за запитом «Thruster Finance». Це доводить, що ранжування Bing для брендових запитів з низькою конкуренцією базується переважно на:

  1. Тег заголовка з точним збігом до пошукового запиту
  2. Домен індексовано (достатньо будь-якого сигналу — навіть одного посилання з атрибутом nofollow)
  3. Відсутність негативних сигналів щодо довіри (домен новий, без історії)

Google вимагатиме наявності вагомих ознак авторитетності та проводитиме перехресну перевірку з відомими доменами брендів. Bing цього не робить.

Bing проти Google — результати рейтингування у 26 доменах
Метрична системаBingGoogle
Фішингові домени на першому місці70
Фішингові домени в топ-1070
Час для ранжування з моменту створення домену2–8 тижнівніколи

Результати пошуку Bing № 1 (перевірено за допомогою SerpAPI, квітень 2026 року)

Запит#1 Result (Phishing)Зворотні посилання
«Stargate Finance»star-gate-finance-stargate.finance20
«Тіньова біржа»shadow-ex.net16
«Мережа UNCX»www.uncx.org51
«Thruster Finance»app.thnuster.cc1
«Orbit Protocol»orbit-protocol-lending.net15
«VVS Finance»vvsfnance.com (#1) + www.app-vvs.finance (#10)36 + 37

Оновлений перелік засобів захисту (бренди, частина II)

Завжди перевіряйте точну назву домену

Stargate Finance → stargate.finance (НЕ star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (НЕ vvsfnance.com) • THORSwap → thorswap.com (НЕ thorwsap.com) • Велодром → velodrome.finance (НЕ v2velodrome.com) • UNCX → uncx.network (НЕ uncx.org) • SpookySwap → spooky.fi (НЕ spooky-swap.net) • OlympusDAO → olympusdao.finance (НЕ v2-olympusdao.com) • Thruster → thruster.finance (НЕ thnuster.cc) • Ембієнт → ambient.finance (НЕ amblent.cc)

Рекомендації (Частина II)

До Microsoft/Bing:

  1. Сам по собі титульний поєдинок ще не означає авторитету. Відповідний заголовок не повинен виводити новий домен на перше місце в рейтингу за запитами, пов’язаними з брендом. Необхідно враховувати вік домену, авторитетність зворотних посилань або ознаки підтвердження бренду.
  2. Виявлення маскування на основі CSS. Сторінки, на яких використовуються накладки з атрибутом z-index, що приховують вміст від користувачів, але відображають його для пошукових роботів, слід позначати.
  3. Виявляти скоординовані мережі PBN. 15 доменів, що використовують один і той самий бекенд та посилаються на ті самі цільові сторінки, не є органічним побудовою посилань.
  4. Позначати домени, зареєстровані через NiceNIC, у результатах пошуку за криптовалютами для більш ретельного аналізу.
  5. Створити прискорений маршрут для спаму в DuckDuckGo. DDG успадковує всі вразливості Bing, але не має власного механізму повідомлення про спам.

Компанії «NiceNIC International Group Co., Limited»:

26 фішингових доменів. Один клієнт. Реєстрація партіями протягом 18 місяців. Жодних заходів щодо боротьби зі зловживаннями не вжито. Це тепер офіційно задокументовано. Джерело: Коли повідомлення про зловживання залишаються без наслідків та NiceNIC: Системний каталізатор.

До Cloudflare:

Усі 26 доменів використовують DNS та проксі-сервери Cloudflare. Ці домени обслуговують програми, що викачують кошти з гаманців, та програми, що збирають посівні фрази, за допомогою інфраструктури Cloudflare.

Частина II. Висновки

Це не спам, спрямований на вигоду. Це — професійно організована кампанія тривалістю 18 місяців, що проводилася одним оператором який виявив, що алгоритм ранжування Bing можна обійти за допомогою домену за 2 долари та скопійованого тегу заголовка. Наразі сім фішингових сайтів посідають перше місце в рейтингу Bing — над тими легальними платформами, за які вони себе видають.

Інфраструктура маскування, яку ми задокументували — 15 ідентичних сайтів зі спільними базами даних, приховуванням контенту за допомогою CSS та резервними перенаправленнями на JavaScript — є спеціально розробленим інструментом для маніпулювання пошуковими системами у великих масштабах.

Google блокує всі 26 доменів. Bing виводить 7 із них на перше місце. Технічне рішення існує. Докази є загальнодоступними. Домени задокументовані. Реєстратор встановлено. Залишається питання: чи буде щось зроблено?