PhishDestroy Trực tiếp
Quay lại trang Tin tức
Mối đe dọa đang diễn ra

Bên trong cỗ máy: Cách thức hoạt động của những kẻ lừa đảo tiền điện tử
Chiếm quyền điều khiển Bing và DuckDuckGo

Một báo cáo điều tra dựa trên dữ liệu thời gian thực từ SEMrush, vạch trần hai chiến dịch tấn công SEO song song nhằm đẩy các trang web lừa đảo tiền điện tử lên đầu kết quả tìm kiếm của Bing và DuckDuckGo. 10 tên miền. 2 phương thức tấn công. Hơn 100.000 nạn nhân tiềm năng mỗi tháng.

Ngày 30 tháng 3 năm 2026 Nghiên cứu PhishDestroy Thời gian đọc: 22 phút Dữ liệu API của SEMrush
Những kẻ lừa đảo tiền điện tử thao túng kết quả tìm kiếm trên Bing và DuckDuckGo — hình ảnh minh họa theo phong cách cyberpunk
Các công cụ tìm kiếm đang bị đe dọa: các hoạt động có tổ chức đẩy các trang web lừa đảo lên trên các nền tảng tiền điện tử hợp pháp
10Các tên miền lừa đảo
9Các nhà tài trợ PBN
60,500+Tiếp xúc hàng ngày
Hơn 100.000Số nạn nhân/tháng
2Các phương thức tấn công
Lưu ý

Tất cả dữ liệu trong báo cáo này được thu thập thông qua API của SEMrush và phishdestroy.io nhằm mục đích nghiên cứu an ninh mạng. Các tên miền được công bố nhằm cảnh báo người dùng, chứ không phải để quảng bá cho chúng.

Hai phương thức tấn công

Cuộc điều tra của chúng tôi đã phát hiện ra rằng hai hoạt động song song, hoàn toàn khác nhau hoạt động đồng thời nhằm đẩy các trang web lừa đảo lên đầu kết quả tìm kiếm của Bing và DuckDuckGo.

Vector A: Tiêm chèn vào trang kết quả tìm kiếm của Yahoo (SERP)
Lợi dụng chỉ số uy tín tên miền (AS 24) của Yahoo thông qua các trang tìm kiếm trên thiết bị di động. Bing thừa hưởng mức độ tin cậy từ các URL tìm kiếm của Yahoo được tạo động, trong đó chứa các liên kết dẫn đến trang lừa đảo. Mục tiêu: curvefinance.co, curvefi.co, aster-dex.at
Vectơ B: Mạng PBN có tọa độ
9 tên miền bị xâm nhập/mua lại thuộc AS 49–65 đang liên kết đồng thời đến nhiều trang web lừa đảo. Hoạt động trên TẤT CẢ các công cụ tìm kiếm. Mục tiêu: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, keplr.me

Vector A: Cuộc tấn công chèn kết quả tìm kiếm (SERP Injection) vào Yahoo

Đây có thể nói là tinh tế nhất về mặt kỹ thuật Cuộc tấn công SEO mũ đen mà chúng tôi đã ghi nhận vào năm 2026. Cuộc tấn công này khai thác một lỗ hổng cơ bản trong cách Bing đánh giá mức độ uy tín của liên kết — cụ thể là khả năng không thể phân biệt được giữa các liên kết biên tập thực sự và các trang kết quả tìm kiếm được tạo động từ các tên miền đáng tin cậy.

Sơ đồ kỹ thuật minh họa quy trình tấn công chèn kết quả tìm kiếm (SERP) của Yahoo vào bảng xếp hạng của Bing
Chỉ số Uy tín (AS 24) được kế thừa từ Yahoo được truyền qua các trang tìm kiếm trên thiết bị di động đến các tên miền lừa đảo — Bing chấp nhận tín hiệu này là hợp lệ

Cơ chế — Từng bước một

Tạo URL YahooHơn 8 tên miền phụ theo quốc gia
Chèn liên kết neoYêu cầu ngẫu nhiên + liên kết lừa đảo
Chế độ bòDịch vụ Ping + thư rác
Chỉ mục BingKế thừa Yahoo AS 24
Xếp hạng số 1Trang web lừa đảo xuất hiện trong các kết quả hàng đầu

Bước 1 — Tạo URL của nhà mạng đáng tin cậy. Những kẻ tấn công tạo ra các URL trên các điểm cuối tìm kiếm di động của Yahoo trên nhiều tên miền con quốc tế: no.search.yahoo.com (Na Uy), fr.search.yahoo.com (Pháp), mx.search.yahoo.com (Mexico), pl.search.yahoo.com (Ba Lan), gr.search.yahoo.com (Hy Lạp), qc.search.yahoo.com (Quebec), chfr.search.yahoo.com (tiếng Pháp Thụy Sĩ), co.search.yahoo.com (Colombia). Các trang này có chỉ số uy tín (Authority Score) được kế thừa từ Yahoo: 23–24.

Bước 2 — Chèn liên kết lừa đảo. Mỗi URL chứa một cụm từ tìm kiếm hoàn toàn ngẫu nhiên và vô hại — “pele+fifa”, “Jean-Paul+Sartre”, “Radio+Stars”, “jucheck.exe” — nhưng văn bản liên kết lại có nội dung như sau: curvefi.co Curve Finance. Các truy vấn được sắp xếp ngẫu nhiên giúp đảm bảo các bộ lọc thư rác không thể phát hiện ra bất kỳ mẫu nào.

Bước 3 — Thu thập dữ liệu và lập chỉ mục bắt buộc. Những kẻ tấn công lợi dụng Bingbot để thu thập dữ liệu từ các URL này thông qua các dịch vụ ping hàng loạt, việc chèn bình luận vào diễn đàn/blog và các công cụ kích hoạt thu thập dữ liệu tự động.

Sự thất bại của thuật toán Bing

Thuật toán của Google: “Đây là một trang tìm kiếm động. Không có sự chuyển giao giá trị liên kết.”
Thuật toán của Bing: “yahoo.com có liên kết đến curvefi.co với văn bản neo ‘Curve Finance DEX’. Tín hiệu xếp hạng đã được chấp nhận. ✓”

Kết quả: Trang web lừa đảo đã vươn lên vị trí TOP 3 cho từ khóa “Curve Finance” trên Bing và DuckDuckGo.

Bằng chứng thô từ SEMrush — curvefi.co

API Phân tích liên kết ngược của SEMrush | 30/03/2026 | Mục tiêu: curvefi.co
ASMiền nguồnVăn bản liên kết
24chfr.search.yahoo.comwww.curvefi.co Curve Finance
24co.search.yahoo.comcurvefi.co Curve Finance
24fr.search.yahoo.comcurvefi.co Curve Finance
24mx.search.yahoo.comwww.curvefi.co Curve Finance
24no.search.yahoo.comwww.curvefi.co Curve Finance
24pl.search.yahoo.comwww.curvefi.co Curve Finance
23gr.search.yahoo.comwww.curvefi.co Curve Finance
23qc.search.yahoo.comcurvefi.co Curve Finance

Sự trớ trêu tàn nhẫn: Trang web này có không từ khóa tự nhiên, không lưu lượng truy cập trong cơ sở dữ liệu của SEMrush — song nó vẫn xuất hiện trong kết quả tìm kiếm của Bing/DDG cho từ khóa “Curve Finance” nhờ vào uy tín được kế thừa từ Yahoo.

Vectơ B: Mạng lưới PBN được phối hợp

Đây chính là lúc cuộc điều tra trở nên thực sự đáng lo ngại. Năm trang web lừa đảo riêng biệt — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at và keplr.me — tất cả đều có chung một bộ nguồn liên kết ngược giống hệt nhau. Đây không phải là sự trùng hợp ngẫu nhiên. Đây là một hoạt động tội phạm có tổ chức duy nhất tiến hành nhiều chiến dịch lừa đảo từ một hệ thống cơ sở hạ tầng duy nhất.

Hình ảnh hóa mạng lưới PBN tội phạm — 9 tên miền nguồn liên kết đến 5 mục tiêu lừa đảo
Một nhà khai thác, 9 người đóng góp PBN, 5 mục tiêu lừa đảo — xác suất đây chỉ là sự trùng hợp ngẫu nhiên là khoảng 0,00001%

Bằng chứng quyết định — Cơ sở hạ tầng chung

API SEMrush | Phân tích liên miền | 30/03/2026
Miền nhà tài trợ PBNASrabbysdexscrMoneroTrezor
lewievuittton.com65✓✓✓✓
lyricamed.us.com61✓✓✓✓
creatfx.com60✓✓✓✓
jba.com.jo56✓✓✓✓
jornaldevinhedo.com56✓✓✓✓
jasaaspalhotmix.com54✓✓✓✓
magna-eg.com50✓✓✓✓
markjohnsonbuilders50✓✓✓✓
nextplayflix.com49✓✓✓✓
Lưu ý trên trang lewievuittton.com

Nguồn PBN hàng đầu (AS 65) chính là một trang web lợi dụng lỗi chính tả của thương hiệu Louis Vuitton. Nguồn PBN này là một trang web lừa đảo dùng để hỗ trợ các trang web lừa đảo khác — một hệ thống cơ sở hạ tầng tội phạm xuyên suốt từ trên xuống dưới.

Hồ sơ tên miền lừa đảo

Tổng quan về tên miền SEMrush | Tháng 3 năm 2026
MiềnMạo danhTừ khóaMục tiêu hàng đầuKhối lượng
dexscreener.atDexScreener64“dexscreener” #4260.500/tháng
rabbys.atVí Rabby15“rabby wallet” #515.400/tháng
trezorsuite.atBộ phần mềm Trezor7“Trezor Suite” #324.400/tháng
aster-dex.atAster DEX13“Sàn giao dịch Aster” #253.600/tháng
monero-wallet.atVí Monero4“ví XMR trực tuyến” #26210/tháng
keplr.meVí Keplr0Spam bình luận ẩn danhKhông áp dụng
bscscan.cfdBSCScan0Các liên kết spam hàng loạtKhông áp dụng
curvefinance.coCurve Finance0Chỉ hỗ trợ Yahoo injectionKhông áp dụng
curvefi.coCurve Finance0Chỉ hỗ trợ Yahoo injectionKhông áp dụng
app-crv.netỨng dụng Curve0Kỹ thuật hỗn hợpKhông áp dụng
Quan trọng: Tải xuống Trezor Suite

Người dùng đang tìm kiếm “Tải xuống Trezor Suite” đang tích cực tìm cách cài đặt phần mềm ví điện tử. Một trang web lừa đảo nằm ở vị trí thứ 3–5 trên DuckDuckGo có nghĩa là người dùng sẽ tải xuống phần mềm độc hại nghĩ rằng đó là giao diện của ví phần cứng. Điều này không chỉ là lý thuyết — nó đang diễn ra ngay lúc này.

Trang trại bài viết được hỗ trợ bởi trí tuệ nhân tạo

Biến thể aster-dex.at sử dụng một phương pháp kết hợp, kết hợp kỹ thuật “Yahoo injection” với nội dung blog do trí tuệ nhân tạo (AI) tạo ra, được đăng tải trên các trang web bị xâm nhập hoặc được thiết kế riêng cho mục đích này tại Việt Nam, Ý, Indonesia và Thụy Sĩ.

Nhà máy sản xuất các bài đăng blog giống hệt nhau do trí tuệ nhân tạo (AI) tạo ra, có chứa các liên kết dẫn đến các trang web lừa đảo
Các bài viết do AI tạo ra trên các trang web bị xâm nhập — tiêu đề giống hệt nhau, tên miền khác nhau, tất cả đều dẫn đến cùng một mục tiêu lừa đảo

Tất cả các bài viết trên blog đều có tiêu đề gần như giống hệt nhau: “Tại sao việc hoán đổi token và các bể thanh khoản vẫn khiến ngay cả những nhà giao dịch DEX dày dạn kinh nghiệm cũng gặp khó khăn”, “Tại sao các nhà tạo lập thị trường tự động vẫn khiến các nhà giao dịch bất ngờ”. Đó là Các bài viết do trí tuệ nhân tạo (AI) tạo ra được đặt trên các trang web có mã AS từ 21 đến 36, tất cả đều có liên kết đến aster-dex.at.

Sự xâm nhập của bình luận rác

keplr.me áp dụng một cách tiếp cận hoàn toàn khác — đó là spam bình luận thuần túy trên các trang web có uy tín cao nhưng không liên quan. Những tên người dùng giả mạo như “ZackaryThymn”, “Fritzkah”, “Jamesboach” chèn các liên kết đến ví tiền điện tử vào các trang web về giáo dục triết học (filozofija.edu.rs, AS 45), các nền tảng thúc đẩy sự gắn kết của nhân viên (bavave.com, AS 63), và các liên hoan nghệ thuật (lea-festival.com, AS 50).

Trang web hợp pháp có chứa các liên kết lừa đảo ẩn trong phần bình luận
Các trang web hợp pháp vô tình đăng tải các liên kết lừa đảo — ẩn mình giữa những bình luận của người dùng trông bình thường

Đáy thùng: Spam công cụ tự động

bscscan.cfd sử dụng phương pháp thô thiển nhất có thể: các gói liên kết ngược số lượng lớn trả phí từ những trang web có tên gọi đúng nghĩa là rankongoogle.agencylinksjump.click. Tất cả các nguồn đều có AS = 0. Tên miền cấp cao nhất (TLD) .cfd là một dấu hiệu spam đã được biết đến. Tuy nhiên, trên Bing, ngay cả điều này cũng phần nào có hiệu quả — số lượng liên kết chất lượng thấp có thể ảnh hưởng đến thứ hạng của các tên miền hoàn toàn mới, không có lịch sử tiêu cực.

Chợ liên kết giá rẻ theo phong cách cyberpunk
“1.000 liên kết ngược với giá 9,99 USD” — những công cụ lừa đảo SEO rẻ nhất này vẫn còn phần nào hiệu quả trên Bing

Tại sao Bing và DuckDuckGo lại đặc biệt dễ bị tấn công

Pháo đài Google so với pháo đài Bing — So sánh các lỗ hổng bảo mật
Hệ thống phòng chống spam nhiều lớp của Google so với hệ thống phát hiện chưa hoàn thiện của Bing — khoảng cách mà những kẻ lừa đảo đang lợi dụng
Những điểm khác biệt về thuật toán mà bọn lừa đảo đang tích cực lợi dụng
Tính năngGoogleBing
Phát hiện trang độngKhông có giá trị liên kết từ các trang kết quả tìm kiếmCác trang tìm kiếm của Yahoo được coi là nội dung biên tập
Mức độ trưởng thành của hệ thống học máy chống thư rácHơn 15 năm dữ liệu huấn luyện SpamBrainChưa chín hẳn; PBN AS 50–65 vẫn hoạt động bình thường
Bảo vệ thương hiệuCó dấu hiệu lừa đảo; curvefinance.co đã nhanh chóng bị cảnh báoCác vụ lừa đảo liên quan đến tên miền cấp cao nhất (.at/.co) tồn tại lâu hơn
Các trang web sản xuất nội dung hàng loạt dựa trên trí tuệ nhân tạoHệ thống phát hiện được triển khai từ năm 2023 trở điCác trang trại AI trên các tên miền .vn, .it vẫn đạt điểm vừa đủ
Chặn lừa đảo qua emailTính năng Duyệt web an toàn chặn các tên miền đã biết một cách nhanh chóngSmartScreen không phát hiện được các tên miền lừa đảo mới được đăng ký
Điểm yếu đặc thù của DuckDuckGo

DDG sử dụng chỉ mục của Bing làm nguồn dữ liệu chính, kế thừa tất cả về các lỗ hổng bảo mật của Bing. Những người dùng chú trọng quyền riêng tư và ưa chuộng DDG thường am hiểu về tiền điện tử — điều này khiến họ trở thành những mục tiêu có giá trị cao hơn. DDG không có cơ chế báo cáo spam độc lập; các báo cáo sẽ được chuyển đến Bing.

Chiến lược nhắm mục tiêu từ khóa

Các hồ sơ từ khóa cho thấy độ chính xác phẫu thuật trong việc lựa chọn mục tiêu. Các nhà quảng cáo không chỉ nhắm mục tiêu vào các từ khóa thương hiệu chính mà còn cả các tên miền lợi dụng lỗi chính tả (“ví rabbi”, “ví da mềm”, “dexscrenner”) và thậm chí cả các truy vấn bằng tiếng Trung (“Sàn giao dịch Aster” (xếp hạng thứ 25).

Bản đồ thế giới thể hiện việc nhắm mục tiêu từ khóa đa ngôn ngữ của những kẻ lừa đảo tiền điện tử
Nhắm mục tiêu đa ngôn ngữ: tiếng Anh, tiếng Pháp, tiếng Trung, tiếng Việt — hoạt động này trải rộng trên nhiều lục địa
Phân tích thương hiệu và khối lượng tìm kiếm | SEMrush Hoa Kỳ | Tháng 3 năm 2026
Từ khóa mục tiêuKhối lượng giao dịch hàng thángTên miền lừa đảoVị trí
dexscreener60,500dexscreener.at#42
ví rabby5,400rabbys.at#51–71
Bộ sản phẩm Trezor4,400trezorsuite.at#32–85
aster dex3,600aster-dex.at#63
dexscrennerlỗi chính tả2,400dexscreener.at#45
Sàn giao dịch AsterTiếng Trung1,000aster-dex.at#25
Tải xuống Trezor Suite260trezorsuite.at#54
ví Rabbilỗi chính tả210rabbys.at#54
ví XMR trực tuyến210monero-wallet.at#55–69

Bối cảnh lịch sử: Vấn đề liên quan đến Trust Wallet và DuckDuckGo

Vấn đề này có nguồn gốc sâu xa

Những cuộc tấn công này không phải là chuyện mới. Vấn đề là nghiêm trọng hơn đáng kể khi các ứng dụng ví như Trust Wallet sử dụng DuckDuckGo làm công cụ tìm kiếm mặc định trong ứng dụng. Người dùng tìm kiếm các giao thức DeFi ngay từ trong ví của họ đã nhận được kết quả lừa đảo ở vị trí đầu tiên — mà không cần bất kỳ kỹ thuật SEO phức tạp nào. Sự kết hợp giữa một công cụ tìm kiếm chú trọng quyền riêng tư nhưng có khả năng phát hiện spam yếu và một ví tiền điện tử có trình duyệt tích hợp đã tạo ra một cơn bão hoàn hảo để lừa đảo.

Ngay cả sau khi Trust Wallet ngừng sử dụng DDG làm trình duyệt mặc định, lỗ hổng bảo mật cơ bản vẫn còn tồn tại. Bất kỳ người dùng nào chọn DuckDuckGo theo cách thủ công để bảo vệ quyền riêng tư — một nhóm dân số có nhiều điểm trùng lặp với người dùng tiền điện tử — hiện nay vẫn đang phải đối mặt với chính những cuộc tấn công này. Các hoạt động lừa đảo được ghi nhận trong báo cáo này đã áp dụng các biến thể của kỹ thuật này trong vài năm, đồng thời thích ứng khi các công cụ tìm kiếm dần dần vá các lỗ hổng riêng lẻ.

Cách bảo vệ bản thân

Luôn kiểm tra tên miền chính xác

THỰC Curve Finance → curve.fi (KHÔNG phải .co, .net) • DexScreener → dexscreener.com (KHÔNG phải .at) • Rabby → rabby.io (KHÔNG phải .at, .me) • Trezor Suite → suite.trezor.io (KHÔNG phải trezorsuite.at) • Keplr → keplr.app (KHÔNG phải .me) • BSCScan → bscscan.com (KHÔNG phải .cfd)

Các đề xuất dành cho Microsoft/Bing

  1. Phát hiện trang động: Phân loại các trang kết quả tìm kiếm (Yahoo, Baidu, Google) và loại bỏ giá trị liên kết khỏi các liên kết đi ra ngoài
  2. Phát hiện PBN có sự phối hợp: Khi có 9 tên miền liên kết đến 5 trang web khác nhau theo các mẫu giống hệt nhau, hãy đánh dấu là hành vi thao túng
  3. Lớp chống mạo danh thương hiệu: Phát hiện các cuộc tấn công thay thế TLD (dexscreener.atdexscreener.com)
  4. Giám sát tên miền .AT: Tăng cường kiểm tra đối với các tên miền .at mới đăng ký trong kết quả tìm kiếm liên quan đến tiền điện tử
  5. Hướng dẫn nhanh về DuckDuckGo: Tạo API chuyên dụng để loại bỏ thư rác mà DDG có thể truy cập trực tiếp

Kết luận

Đây không phải là thư rác lợi dụng cơ hội. Đây là một hoạt động SEO được tổ chức chuyên nghiệp, đa thương hiệu và đa hướng được thiết kế đặc biệt để khai thác lỗ hổng giữa khả năng phát hiện spam của Google và Bing. Hôm nay, bất kỳ người dùng nào tìm kiếm cụm từ “Trezor Suite download” trên DuckDuckGo đều có thể gặp phải một trang web lừa đảo nhằm đánh cắp tiền trong ví trước khi họ thấy trang web chính thức. Giải pháp kỹ thuật đã có sẵn. Câu hỏi đặt ra là liệu Bing có triển khai giải pháp đó hay không.

Cảnh tòa án đầy kịch tính — những kẻ lừa đảo tiền điện tử ra tòa với các bằng chứng được trình bày
Các bằng chứng đã được công khai. Các tên miền đã được ghi chép lại. Các nạn nhân là có thật. Giải pháp nằm trong tay Microsoft.
Cuộc điều tra tiếp theo — Ngày 17 tháng 4 năm 2026

Phần II: Chiến lược 2 đô la — 26 trang web lừa đảo, 1 nhà đăng ký tên miền, 7 kết quả đứng đầu trên Bing

Một cuộc điều tra tiếp theo sau cuộc điều tra hồi tháng 3 này đã xác định được 26 tên miền lừa đảo mới — tất cả đều giả mạo các giao thức DeFi — hiện đang xếp hạng #1 on Bing đối với các truy vấn về thương hiệu mục tiêu của họ. Bằng cách sử dụng dữ liệu liên kết ngược từ API SEMrush, hồ sơ đăng ký RDAP và phân tích trực tiếp mã nguồn, chúng tôi đã truy vết từng tên miền một để một nhà khai thác, một nhà đăng ký tên miền (NiceNIC) và một mạng PBN ẩn danh gồm 15 trang web. Chi phí cho mỗi tên miền: 2 đô la. Thời gian: 10 phút.

Một kẻ điều hành, 26 mồi nhử lừa đảo, một công cụ tìm kiếm không kiểm tra
Một nhà điều hành. 26 mồi lừa đảo trên Bing. Chi phí: 2 USD cho mỗi tên miền.
26Các tên miền lừa đảo
1Nhà đăng ký (NiceNIC)
7Vị trí số 1 trên Bing
15Các trang web PBN được ẩn danh
0Xếp hạng của Google

Một nhà cung cấp dịch vụ, 26 tên miền, một nhà đăng ký tên miền

Chúng tôi đã thực hiện các truy vấn RDAP trên tất cả 26 tên miền lừa đảo. Mỗi tên miền đều trả về cùng một nhà đăng ký: Công ty TNHH Tập đoàn NiceNIC International. Không phải là “hầu hết”. Không phải là “đa số”. Tất cả 23 trong số 23 đã được truy vấn thành công — cùng một nhà đăng ký, với 3 lỗi giới hạn tốc độ trước khi xác minh (các mô hình hạ tầng của họ trùng khớp).

Bảng điều tra OSINT cho thấy 23 trong số 23 tên miền được đăng ký qua NiceNIC
Đã kiểm tra 23 trong tổng số 23 trường hợp. Cùng một nhà đăng ký. Cùng một khách hàng. Không có hành vi lạm dụng nào.

Dữ liệu đăng ký RDAP — Chứng từ đăng ký theo đợt

Kết quả truy vấn RDAP | Tháng 4 năm 2026 | Đã truy vấn thành công 23 trong số 26
MiềnMạo danhĐược tạoCặp máy chủ tên miền (NS) của Cloudflare
star-gate-finance-stargate.financeStargate Finance2025-09-08Terry/Ximena
app-vesper.financeVesper Finance2025-09-08Terry/Ximena
app-vvs.financeVVS Tài chính2025-09-08Terry/Ximena
orbit-protocol-lending.netGiao thức Orbit2025-10-10Terry/Ximena
vvsfnance.comVVS Tài chính2025-07-12tháng Tư/Kayden
spooky-swap.netSpookySwap2025-04-15tháng Tư/Kayden
thorwsap.comTHORSwap2025-07-24tháng Tư/Kayden
hyperlokc.comHyperlock Finance2025-07-12arnold/định mệnh
shadow-ex.netSàn giao dịch Shadow2025-06-24amos/tricia
v2velodrome.comVelodrome Tài chính2025-09-04Dayana/Marvin
layerbank-v3.comLayerBank2024-09-07Austin/Cheryl
biasterswap.xyzBiSwap2024-09-07quý bà/Langston
v2-olympusdao.comOlympusDAO2026-03-29nash/romina
uncx.orgMạng lưới UNCX2025-12-24Cory/Megan
amblent.ccTài chính môi trường2026-02-09Nicole/Salvador
juicefi.ccJuice Finance2026-02-09Nicole/Salvador
rhea-finance.comRhea Finance2025-05-30
rhea-finance.netRhea Finance2025-05-30
rhea-rhea.orgRhea Finance2025-05-30
silo-finance-silofinance.netSilo Finance2025-05-30
Đăng ký theo lô — Một người vận hành, nhiều phiên

Các cặp máy chủ tên miền (NS) chung của Cloudflare và ngày tạo giống hệt nhau chứng minh việc đăng ký theo lô:

  • 2025-09-08: star-gate + app-vesper + app-vvs (tất cả terry/ximena)
  • 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 tên miền, một phiên)
  • 2026-02-09: amblent.cc + juicefi.cc (nicole/salvador)
  • 2024-09-07: layerbank-v3.com + biasterswap.xyz — hoạt động kéo dài hơn 18 tháng

Cẩm nang 2 đô la — Hướng dẫn từng bước

Hãy quên đi những kỹ thuật SEO phức tạp. Hãy quên đi việc xây dựng liên kết kéo dài hàng tháng trời. Dưới đây là chuỗi thao tác hoàn chỉnh và đã được kiểm chứng, giúp bạn đạt vị trí số 1 trên Bing.

Bốn bước để đưa một trang web lừa đảo lên vị trí số 1 trên Bing với chi phí chỉ 2 đô la
Chỉ với bốn bước và 2 đô la, Bing đã đưa một trang web lừa đảo lên vị trí số 1
Đăng ký tên miền typosquat$1-2 at NiceNIC
Sao chép thẻ tiêu đềSao chép từ trang web gốc
Gửi đến PBNTạm biệt. Tham khảo thêm: 15 trang web
Chờ từ 2 đến 8 tuầnBing lập chỉ mục và xếp hạng
Bing #1Dự án thực tế nêu trên

Bước 1: Cơ sở dữ liệu Typosquat

Các kỹ thuật “typosquat” trên 8 trong số 26 tên miền
Dự án thực tếMiền thựcTên miền lừa đảoKỹ thuật
VVS Tài chínhvvs.financevvsfnance.comChữ bị thiếu (i)
THORSwapthorswap.comthorwsap.comChữ cái bị hoán đổi (a/w)
Hyperlockhyperlock.fihyperlokc.comĐổi chỗ các chữ cái (c/k)
Cầu nối Arbitrumbridge.arbitrum.ioarbtrumbridge.ccTrao đổi + tên miền cấp cao (TLD) giá rẻ
Tài chính môi trườngambient.financeamblent.ccLỗi chính tả do phát âm
Thruster Financethruster.financethnuster.ccChữ bị bỏ sót (r → n)
Cầu Lạc quanapp.optimism.iooptrnismbirdge.ccNhiều lỗi chính tả
Stargate Financestargate.financestar-gate-finance-stargate.financeNhồi nhét từ khóa

Bước 2: Sao chép thẻ tiêu đề ($0, 5 phút)

Người vận hành sao chép chính xác <title> thẻ và mô tả meta trích từ trang web của dự án thực tế. Đây là bước quan trọng nhất. Bản thân trang web này là một công cụ đánh cắp tiền trong ví hoặc thu thập cụm từ hạt giống — nhưng <title> là những gì Bing xếp hạng.

Bước 3: Gửi bài viết lên mạng lưới blog riêng tư (PBN) ẩn danh ($0, 1 phút)

Nhân viên vận hành đến thăm bất kỳ cơ sở nào trong số 15 cơ sở của PBN (bye.fyi, atomizelink.icu, v.v.), nhập tên miền vào ô có nhãn “Nhập URL của bạn”, rồi nhấp vào “Rút gọn”. Chỉ cần nhấn nút gửi một lần là trang web sẽ được tạo đồng thời trên cả 15 trang web — các trang web này sử dụng chung một cơ sở dữ liệu.

Bước 4: Chờ (2–8 tuần, 0 USD)

Bằng chứng: 1 liên kết ngược = Vị trí số 1 trên Bing

app.thnuster.cc đã vươn lên vị trí số 1 trên Bing với từ khóa “Thruster Finance” nhờ chính xác là 1 liên kết ngược — một trang kết quả tìm kiếm của Yahoo được lưu trong bộ nhớ đệm. Thậm chí còn không cần đến mạng blog riêng (PBN).

Bảng phân tích tổng chi phí

Cái gìChi phíThời gian
Tên miền (.cc/.com qua NiceNIC)$1-22 phút
DNS của Cloudflare (gói miễn phí)$01 phút
Sao chép thẻ tiêu đề từ trang web thực tế$05 phút
Gửi lên PBN (bye.fyi, v.v.)$01 phút
Chờ quá trình lập chỉ mục$02–8 tuần
TỔNG CỘNG$1-2~10 phút

Bên trong bộ xử lý tàng hình

Chúng tôi đã thu thập và phân tích mã nguồn HTML thực tế từ mạng PBN. Mỗi trang trên mỗi tên miền đều sử dụng cùng một công cụ che giấu nội dung.

Những gì người dùng nhìn thấy so với những gì Bingbot nhìn thấy — “bức tường che giấu”
Những gì người dùng nhìn thấy so với những gì Bingbot nhìn thấy — z-index: 1000000 Bức tường ẩn chứa 3.500 liên kết

Cấu trúc trang: 400KB HTML, hơn 3.500 liên kết, 4 lớp

Lớp 1 — Bức tường che giấu (những gì người dùng nhìn thấy)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

Thẻ div màu trắng bao phủ toàn bộ vùng hiển thị. Thuộc tính z-index:1000000 đảm bảo không có nội dung nào được hiển thị phía trên nó. overflow:hidden hiển thị trên giao diện khiến người dùng không thể cuộn qua. Người dùng thấy thông báo “Đã hết hạn” và rời khỏi trang.

Lớp 2 — Chuyển hướng JS (bảo vệ dự phòng)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Nếu người dùng bỏ qua bức tường trắng, JavaScript sẽ chuyển hướng đến scrib.li (kiếm tiền qua chương trình liên kết). Ba lớp bảo vệ đối với du khách là con người.

Lớp 3 — Mặt tiền giả (những gì bot nhìn thấy)

Bingbot bỏ qua lớp phủ CSS — nó phân tích cú pháp HTML thô. Nó nhận thấy một trang web “URL Shortener” có biểu mẫu tìm kiếm. Trông có vẻ hợp lệ.

Lớp 4 — Khối lượng liên kết (3.500 liên kết nofollow)
<p>Learn More Here <a rel="nofollow"
     href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ...

Tên miền lừa đảo này được ẩn giấu giữa 3.500 tên miền ngẫu nhiên. Đồ ăn vặt Bing rel="nofollow" như một tín hiệu chỉ số hóa — dù sao thì nó vẫn quét trang đích.

Bằng chứng: Một mạng lưới, một cơ sở dữ liệu

orbit-protocol-lending.net xuất hiện trên nhiều tên miền PBN với các mã định danh liên tiếp từ cùng một cơ sở dữ liệu:

Một cơ sở dữ liệu, 15 tên miền phía trước — tất cả đều cung cấp cùng một nội dung từ cùng một hệ thống phía sau
Một cơ sở dữ liệu. 15 tên miền phía trước. Tất cả các màn hình đều hiển thị nội dung giống hệt nhau từ cùng một hệ thống quản trị phía sau.
Mã định danh tuần tự trên các thương hiệu PBN “khác nhau” — bằng chứng về hệ thống quản lý chung
Tên miền PBNMẫu URLID
blogsphere.top/stats/4920749207
optimizeflow.top/stats/4920749207
websites.freemyip.com/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
dailymusings.top/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
byteshort.xyz/report/4920849208

Các ID giống nhau trên các “thương hiệu” khác nhau = một hệ thống nền tảng, một nhà điều hành. 15 tên miền. Cùng một mẫu HTML. Cùng một CSS (style.css). Cùng một đoạn mã JavaScript (work.js). Vẫn là những trang có 3.500 liên kết đó.

Mạng lưới PBN thứ hai — Mạng lưới kiểm tra tên miền

Một mạng lưới liên kết riêng biệt và mạnh mẽ hơn cung cấp các liên kết ngược dofollow đến các mục tiêu được chọn lọc. Máy chủ chính: all-aged-domains.com — một bản cài đặt WordPress 6.6.2 cung cấp các tệp CSS, JS và mẫu cho 50–80 tên miền phụ.

Mạng PBN ẩn danh (Mạng A) so với Công cụ kiểm tra tên miền (Mạng B)
Tính năngMạng A (Mạng blog riêng tư ẩn danh)Mạng B (Công cụ kiểm tra tên miền)
Các trang web~15~50-80
Che giấuCó (chuyển hướng bằng CSS + JS)Không
Loại liên kết99,4% nofollow99,99% dofollow
Số liên kết trên mỗi trang~3,500~10,000
Kích thước trang400 KB4MB
CMSPHP tùy chỉnhWordPress 6.6.2
Máy chủ chínhCơ sở dữ liệu dùng chung (mã định danh tuần tự)all-aged-domains.com
Google Tag ManagerKhôngCó (theo dõi lưu lượng truy cập)
Sự trớ trêu

Mặc dù có số lượng liên kết ngược gấp 10 lần và tất cả đều là liên kết dofollow, Mạng lưới B vẫn nhắm mục tiêu KHÔNG lọt vào vị trí số 1 trên Bing. biasterswap.xyz có 110 liên kết dofollow. layerbank-v3.com có 98 liên kết. Cả hai trang đều không đứng thứ nhất.

Trong khi đó, app.thnuster.cc1 liên kết ngược và đứng ở vị trí số 1.

Với Bing, phương pháp kết hợp mạng blog riêng (PBN) được ẩn và có thẻ nofollow cùng với việc khớp tiêu đề mang lại hiệu quả cao hơn so với việc spam hàng loạt các liên kết dofollow.

Tại sao Bing lại mắc bẫy này

Robot “bọc thép” của Google chặn các cuộc tấn công lừa đảo ngay tại cổng so với “người gác cổng” thân thiện của Bing đang giữ cửa mở
Robot bọc thép của Google chặn các cuộc tấn công lừa đảo ngay từ cửa. Người gác cổng thân thiện của Bing giữ cửa mở.

Lỗ hổng trong trận tranh đai vô địch

app.thnuster.cc chỉ có đúng MỘT liên kết ngược — một trang kết quả tìm kiếm (SERP) của Yahoo đã được lưu vào bộ nhớ đệm. Trang này đứng thứ 1 trên Bing cho từ khóa “Thruster Finance”. Điều này chứng tỏ việc xếp hạng của Bing đối với các truy vấn thương hiệu có mức độ cạnh tranh thấp chủ yếu dựa vào:

  1. Thẻ tiêu đề khớp chính xác đối với truy vấn tìm kiếm
  2. Tên miền đã được lập chỉ mục (bất kỳ tín hiệu nào — ngay cả một liên kết nofollow — cũng đủ)
  3. Không có tín hiệu tiêu cực về mức độ tin cậy (tên miền mới, lịch sử sạch)

Google sẽ yêu cầu các tín hiệu xác thực đáng kể và sẽ đối chiếu với các tên miền thương hiệu đã biết. Bing thì không.

Bing so với Google — kết quả xếp hạng trên 26 tên miền
Hệ métBingGoogle
Các tên miền lừa đảo đứng đầu danh sách70
10 tên miền lừa đảo hàng đầu70
Thời gian để xếp hạng kể từ khi tạo tên miền2–8 tuầnchưa bao giờ

Kết quả tìm kiếm số 1 trên Bing (đã được xác minh qua SerpAPI, tháng 4 năm 2026)

Truy vấn#1 Result (Phishing)Liên kết ngược
“Stargate Finance”star-gate-finance-stargate.finance20
“Sàn giao dịch bóng tối”shadow-ex.net16
“Mạng lưới UNCX”www.uncx.org51
“Thruster Finance”app.thnuster.cc1
“Giao thức Orbit”orbit-protocol-lending.net15
“VVS Finance”vvsfnance.com (#1) + www.app-vvs.finance (#10)36 + 37

Danh sách các sản phẩm được bảo hộ cập nhật (các thương hiệu Phần II)

Luôn kiểm tra tên miền chính xác

Stargate Finance → stargate.finance (KHÔNG phải star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (KHÔNG phải vvsfnance.com) • THORSwap → thorswap.com (KHÔNG phải thorwsap.com) • Sân đua xe đạp → velodrome.finance (KHÔNG phải v2velodrome.com) • UNCX → uncx.network (KHÔNG phải uncx.org) • SpookySwap → spooky.fi (KHÔNG phải spooky-swap.net) • OlympusDAO → olympusdao.finance (KHÔNG phải v2-olympusdao.com) • Thruster → thruster.finance (KHÔNG phải thnuster.cc) • Nhạc không lời → ambient.finance (KHÔNG phải amblent.cc)

Các khuyến nghị (Phần II)

Gửi Microsoft/Bing:

  1. Chỉ riêng việc tranh đai vô địch thôi thì chưa đủ để khẳng định uy tín. Một tiêu đề trùng khớp không nên giúp một tên miền mới xếp hạng số 1 cho các truy vấn liên quan đến thương hiệu. Cần phải có các yếu tố như tuổi đời tên miền, độ uy tín của liên kết ngược hoặc các tín hiệu xác minh thương hiệu.
  2. Phát hiện kỹ thuật che giấu dựa trên CSS. Các trang sử dụng lớp phủ z-index để ẩn nội dung khỏi người dùng nhưng hiển thị nội dung đó cho các trình thu thập dữ liệu cần được đánh dấu.
  3. Phát hiện các mạng PBN có sự phối hợp. 15 tên miền cùng chia sẻ một hệ thống quản lý phía sau và liên kết đến cùng các mục tiêu không phải là việc xây dựng liên kết tự nhiên.
  4. Đánh dấu các tên miền đã đăng ký qua NiceNIC trong kết quả tìm kiếm liên quan đến tiền điện tử (SERPs) để tăng cường giám sát.
  5. Tạo một kênh xử lý nhanh các tin rác trên DuckDuckGo. DDG kế thừa tất cả các lỗ hổng bảo mật của Bing nhưng không có cơ chế báo cáo spam độc lập.

Gửi Công ty TNHH Tập đoàn Quốc tế NiceNIC:

26 tên miền lừa đảo. Một khách hàng. Được đăng ký hàng loạt trong vòng 18 tháng. Chưa có bất kỳ biện pháp xử lý vi phạm nào được thực hiện. Thông tin này hiện đã được công bố rộng rãi. Tham khảo: Khi các báo cáo về hành vi lạm dụng không được xử lýNiceNIC: Yếu tố thúc đẩy toàn diện.

Gửi Cloudflare:

Tất cả 26 tên miền đều sử dụng dịch vụ DNS và proxy của Cloudflare. Các tên miền này hỗ trợ các chương trình đánh cắp tiền trong ví và thu thập cụm từ hạt giống thông qua hạ tầng của Cloudflare.

Phần II: Kết luận

Đây không phải là thư rác lợi dụng cơ hội. Đây là một chiến dịch kéo dài 18 tháng, được điều hành một cách chuyên nghiệp bởi một đơn vị duy nhất người đã phát hiện ra rằng thuật toán xếp hạng của Bing có thể bị đánh lừa chỉ bằng một tên miền giá 2 đô la và một thẻ tiêu đề sao chép. Hiện có bảy trang web lừa đảo đang đứng ở vị trí số 1 trên Bing — nằm trên các nền tảng hợp pháp mà chúng mạo danh.

Hệ thống che giấu mà chúng tôi đã ghi nhận — gồm 15 trang web giống hệt nhau với cơ sở dữ liệu chung, cơ chế ẩn nội dung dựa trên CSS và các phương án dự phòng chuyển hướng bằng JavaScript — là một công cụ được thiết kế chuyên biệt nhằm thao túng công cụ tìm kiếm trên quy mô lớn.

Google đã chặn toàn bộ 26 tên miền. Bing xếp hạng 7 trong số đó ở vị trí số 1. Giải pháp kỹ thuật đã có sẵn. Bằng chứng đã được công khai. Các tên miền này đã được ghi chép đầy đủ. Đơn vị đăng ký tên miền đã được xác định. Câu hỏi vẫn còn đó: liệu có biện pháp nào được thực hiện không?