Bên trong cỗ máy: Cách thức hoạt động của những kẻ lừa đảo tiền điện tử
Chiếm quyền điều khiển Bing và DuckDuckGo
Một báo cáo điều tra dựa trên dữ liệu thời gian thực từ SEMrush, vạch trần hai chiến dịch tấn công SEO song song nhằm đẩy các trang web lừa đảo tiền điện tử lên đầu kết quả tìm kiếm của Bing và DuckDuckGo. 10 tên miền. 2 phương thức tấn công. Hơn 100.000 nạn nhân tiềm năng mỗi tháng.

Tất cả dữ liệu trong báo cáo này được thu thập thông qua API của SEMrush và phishdestroy.io nhằm mục đích nghiên cứu an ninh mạng. Các tên miền được công bố nhằm cảnh báo người dùng, chứ không phải để quảng bá cho chúng.
Hai phương thức tấn công
Cuộc điều tra của chúng tôi đã phát hiện ra rằng hai hoạt động song song, hoàn toàn khác nhau hoạt động đồng thời nhằm đẩy các trang web lừa đảo lên đầu kết quả tìm kiếm của Bing và DuckDuckGo.
Vector A: Cuộc tấn công chèn kết quả tìm kiếm (SERP Injection) vào Yahoo
Đây có thể nói là tinh tế nhất về mặt kỹ thuật Cuộc tấn công SEO mũ đen mà chúng tôi đã ghi nhận vào năm 2026. Cuộc tấn công này khai thác một lỗ hổng cơ bản trong cách Bing đánh giá mức độ uy tín của liên kết — cụ thể là khả năng không thể phân biệt được giữa các liên kết biên tập thực sự và các trang kết quả tìm kiếm được tạo động từ các tên miền đáng tin cậy.

Cơ chế — Từng bước một
Bước 1 — Tạo URL của nhà mạng đáng tin cậy. Những kẻ tấn công tạo ra các URL trên các điểm cuối tìm kiếm di động của Yahoo trên nhiều tên miền con quốc tế: no.search.yahoo.com (Na Uy), fr.search.yahoo.com (Pháp), mx.search.yahoo.com (Mexico), pl.search.yahoo.com (Ba Lan), gr.search.yahoo.com (Hy Lạp), qc.search.yahoo.com (Quebec), chfr.search.yahoo.com (tiếng Pháp Thụy Sĩ), co.search.yahoo.com (Colombia). Các trang này có chỉ số uy tín (Authority Score) được kế thừa từ Yahoo: 23–24.
Bước 2 — Chèn liên kết lừa đảo. Mỗi URL chứa một cụm từ tìm kiếm hoàn toàn ngẫu nhiên và vô hại — “pele+fifa”, “Jean-Paul+Sartre”, “Radio+Stars”, “jucheck.exe” — nhưng văn bản liên kết lại có nội dung như sau: curvefi.co Curve Finance. Các truy vấn được sắp xếp ngẫu nhiên giúp đảm bảo các bộ lọc thư rác không thể phát hiện ra bất kỳ mẫu nào.
Bước 3 — Thu thập dữ liệu và lập chỉ mục bắt buộc. Những kẻ tấn công lợi dụng Bingbot để thu thập dữ liệu từ các URL này thông qua các dịch vụ ping hàng loạt, việc chèn bình luận vào diễn đàn/blog và các công cụ kích hoạt thu thập dữ liệu tự động.
Thuật toán của Google: “Đây là một trang tìm kiếm động. Không có sự chuyển giao giá trị liên kết.”
Thuật toán của Bing: “yahoo.com có liên kết đến curvefi.co với văn bản neo ‘Curve Finance DEX’. Tín hiệu xếp hạng đã được chấp nhận. ✓”
Kết quả: Trang web lừa đảo đã vươn lên vị trí TOP 3 cho từ khóa “Curve Finance” trên Bing và DuckDuckGo.
Bằng chứng thô từ SEMrush — curvefi.co
| AS | Miền nguồn | Văn bản liên kết |
|---|---|---|
| 24 | chfr.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | co.search.yahoo.com | curvefi.co Curve Finance |
| 24 | fr.search.yahoo.com | curvefi.co Curve Finance |
| 24 | mx.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | no.search.yahoo.com | www.curvefi.co Curve Finance |
| 24 | pl.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | gr.search.yahoo.com | www.curvefi.co Curve Finance |
| 23 | qc.search.yahoo.com | curvefi.co Curve Finance |
Sự trớ trêu tàn nhẫn: Trang web này có không từ khóa tự nhiên, không lưu lượng truy cập trong cơ sở dữ liệu của SEMrush — song nó vẫn xuất hiện trong kết quả tìm kiếm của Bing/DDG cho từ khóa “Curve Finance” nhờ vào uy tín được kế thừa từ Yahoo.
Vectơ B: Mạng lưới PBN được phối hợp
Đây chính là lúc cuộc điều tra trở nên thực sự đáng lo ngại. Năm trang web lừa đảo riêng biệt — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at và keplr.me — tất cả đều có chung một bộ nguồn liên kết ngược giống hệt nhau. Đây không phải là sự trùng hợp ngẫu nhiên. Đây là một hoạt động tội phạm có tổ chức duy nhất tiến hành nhiều chiến dịch lừa đảo từ một hệ thống cơ sở hạ tầng duy nhất.

Bằng chứng quyết định — Cơ sở hạ tầng chung
| Miền nhà tài trợ PBN | AS | rabbys | dexscr | Monero | Trezor |
|---|---|---|---|---|---|
lewievuittton.com | 65 | ✓ | ✓ | ✓ | ✓ |
lyricamed.us.com | 61 | ✓ | ✓ | ✓ | ✓ |
creatfx.com | 60 | ✓ | ✓ | ✓ | ✓ |
jba.com.jo | 56 | ✓ | ✓ | ✓ | ✓ |
jornaldevinhedo.com | 56 | ✓ | ✓ | ✓ | ✓ |
jasaaspalhotmix.com | 54 | ✓ | ✓ | ✓ | ✓ |
magna-eg.com | 50 | ✓ | ✓ | ✓ | ✓ |
markjohnsonbuilders | 50 | ✓ | ✓ | ✓ | ✓ |
nextplayflix.com | 49 | ✓ | ✓ | ✓ | ✓ |
Nguồn PBN hàng đầu (AS 65) chính là một trang web lợi dụng lỗi chính tả của thương hiệu Louis Vuitton. Nguồn PBN này là một trang web lừa đảo dùng để hỗ trợ các trang web lừa đảo khác — một hệ thống cơ sở hạ tầng tội phạm xuyên suốt từ trên xuống dưới.
Hồ sơ tên miền lừa đảo
| Miền | Mạo danh | Từ khóa | Mục tiêu hàng đầu | Khối lượng |
|---|---|---|---|---|
dexscreener.at | DexScreener | 64 | “dexscreener” #42 | 60.500/tháng |
rabbys.at | Ví Rabby | 15 | “rabby wallet” #51 | 5.400/tháng |
trezorsuite.at | Bộ phần mềm Trezor | 7 | “Trezor Suite” #32 | 4.400/tháng |
aster-dex.at | Aster DEX | 13 | “Sàn giao dịch Aster” #25 | 3.600/tháng |
monero-wallet.at | Ví Monero | 4 | “ví XMR trực tuyến” #26 | 210/tháng |
keplr.me | Ví Keplr | 0 | Spam bình luận ẩn danh | Không áp dụng |
bscscan.cfd | BSCScan | 0 | Các liên kết spam hàng loạt | Không áp dụng |
curvefinance.co | Curve Finance | 0 | Chỉ hỗ trợ Yahoo injection | Không áp dụng |
curvefi.co | Curve Finance | 0 | Chỉ hỗ trợ Yahoo injection | Không áp dụng |
app-crv.net | Ứng dụng Curve | 0 | Kỹ thuật hỗn hợp | Không áp dụng |
Người dùng đang tìm kiếm “Tải xuống Trezor Suite” đang tích cực tìm cách cài đặt phần mềm ví điện tử. Một trang web lừa đảo nằm ở vị trí thứ 3–5 trên DuckDuckGo có nghĩa là người dùng sẽ tải xuống phần mềm độc hại nghĩ rằng đó là giao diện của ví phần cứng. Điều này không chỉ là lý thuyết — nó đang diễn ra ngay lúc này.
Trang trại bài viết được hỗ trợ bởi trí tuệ nhân tạo
Biến thể aster-dex.at sử dụng một phương pháp kết hợp, kết hợp kỹ thuật “Yahoo injection” với nội dung blog do trí tuệ nhân tạo (AI) tạo ra, được đăng tải trên các trang web bị xâm nhập hoặc được thiết kế riêng cho mục đích này tại Việt Nam, Ý, Indonesia và Thụy Sĩ.

Tất cả các bài viết trên blog đều có tiêu đề gần như giống hệt nhau: “Tại sao việc hoán đổi token và các bể thanh khoản vẫn khiến ngay cả những nhà giao dịch DEX dày dạn kinh nghiệm cũng gặp khó khăn”, “Tại sao các nhà tạo lập thị trường tự động vẫn khiến các nhà giao dịch bất ngờ”. Đó là Các bài viết do trí tuệ nhân tạo (AI) tạo ra được đặt trên các trang web có mã AS từ 21 đến 36, tất cả đều có liên kết đến aster-dex.at.
Sự xâm nhập của bình luận rác
keplr.me áp dụng một cách tiếp cận hoàn toàn khác — đó là spam bình luận thuần túy trên các trang web có uy tín cao nhưng không liên quan. Những tên người dùng giả mạo như “ZackaryThymn”, “Fritzkah”, “Jamesboach” chèn các liên kết đến ví tiền điện tử vào các trang web về giáo dục triết học (filozofija.edu.rs, AS 45), các nền tảng thúc đẩy sự gắn kết của nhân viên (bavave.com, AS 63), và các liên hoan nghệ thuật (lea-festival.com, AS 50).

Đáy thùng: Spam công cụ tự động
bscscan.cfd sử dụng phương pháp thô thiển nhất có thể: các gói liên kết ngược số lượng lớn trả phí từ những trang web có tên gọi đúng nghĩa là rankongoogle.agency và linksjump.click. Tất cả các nguồn đều có AS = 0. Tên miền cấp cao nhất (TLD) .cfd là một dấu hiệu spam đã được biết đến. Tuy nhiên, trên Bing, ngay cả điều này cũng phần nào có hiệu quả — số lượng liên kết chất lượng thấp có thể ảnh hưởng đến thứ hạng của các tên miền hoàn toàn mới, không có lịch sử tiêu cực.

Tại sao Bing và DuckDuckGo lại đặc biệt dễ bị tấn công

| Tính năng | Bing | |
|---|---|---|
| Phát hiện trang động | Không có giá trị liên kết từ các trang kết quả tìm kiếm | Các trang tìm kiếm của Yahoo được coi là nội dung biên tập |
| Mức độ trưởng thành của hệ thống học máy chống thư rác | Hơn 15 năm dữ liệu huấn luyện SpamBrain | Chưa chín hẳn; PBN AS 50–65 vẫn hoạt động bình thường |
| Bảo vệ thương hiệu | Có dấu hiệu lừa đảo; curvefinance.co đã nhanh chóng bị cảnh báo | Các vụ lừa đảo liên quan đến tên miền cấp cao nhất (.at/.co) tồn tại lâu hơn |
| Các trang web sản xuất nội dung hàng loạt dựa trên trí tuệ nhân tạo | Hệ thống phát hiện được triển khai từ năm 2023 trở đi | Các trang trại AI trên các tên miền .vn, .it vẫn đạt điểm vừa đủ |
| Chặn lừa đảo qua email | Tính năng Duyệt web an toàn chặn các tên miền đã biết một cách nhanh chóng | SmartScreen không phát hiện được các tên miền lừa đảo mới được đăng ký |
DDG sử dụng chỉ mục của Bing làm nguồn dữ liệu chính, kế thừa tất cả về các lỗ hổng bảo mật của Bing. Những người dùng chú trọng quyền riêng tư và ưa chuộng DDG thường am hiểu về tiền điện tử — điều này khiến họ trở thành những mục tiêu có giá trị cao hơn. DDG không có cơ chế báo cáo spam độc lập; các báo cáo sẽ được chuyển đến Bing.
Chiến lược nhắm mục tiêu từ khóa
Các hồ sơ từ khóa cho thấy độ chính xác phẫu thuật trong việc lựa chọn mục tiêu. Các nhà quảng cáo không chỉ nhắm mục tiêu vào các từ khóa thương hiệu chính mà còn cả các tên miền lợi dụng lỗi chính tả (“ví rabbi”, “ví da mềm”, “dexscrenner”) và thậm chí cả các truy vấn bằng tiếng Trung (“Sàn giao dịch Aster” (xếp hạng thứ 25).

| Từ khóa mục tiêu | Khối lượng giao dịch hàng tháng | Tên miền lừa đảo | Vị trí |
|---|---|---|---|
| dexscreener | 60,500 | dexscreener.at | #42 |
| ví rabby | 5,400 | rabbys.at | #51–71 |
| Bộ sản phẩm Trezor | 4,400 | trezorsuite.at | #32–85 |
| aster dex | 3,600 | aster-dex.at | #63 |
| dexscrennerlỗi chính tả | 2,400 | dexscreener.at | #45 |
| Sàn giao dịch AsterTiếng Trung | 1,000 | aster-dex.at | #25 |
| Tải xuống Trezor Suite | 260 | trezorsuite.at | #54 |
| ví Rabbilỗi chính tả | 210 | rabbys.at | #54 |
| ví XMR trực tuyến | 210 | monero-wallet.at | #55–69 |
Bối cảnh lịch sử: Vấn đề liên quan đến Trust Wallet và DuckDuckGo
Những cuộc tấn công này không phải là chuyện mới. Vấn đề là nghiêm trọng hơn đáng kể khi các ứng dụng ví như Trust Wallet sử dụng DuckDuckGo làm công cụ tìm kiếm mặc định trong ứng dụng. Người dùng tìm kiếm các giao thức DeFi ngay từ trong ví của họ đã nhận được kết quả lừa đảo ở vị trí đầu tiên — mà không cần bất kỳ kỹ thuật SEO phức tạp nào. Sự kết hợp giữa một công cụ tìm kiếm chú trọng quyền riêng tư nhưng có khả năng phát hiện spam yếu và một ví tiền điện tử có trình duyệt tích hợp đã tạo ra một cơn bão hoàn hảo để lừa đảo.
Ngay cả sau khi Trust Wallet ngừng sử dụng DDG làm trình duyệt mặc định, lỗ hổng bảo mật cơ bản vẫn còn tồn tại. Bất kỳ người dùng nào chọn DuckDuckGo theo cách thủ công để bảo vệ quyền riêng tư — một nhóm dân số có nhiều điểm trùng lặp với người dùng tiền điện tử — hiện nay vẫn đang phải đối mặt với chính những cuộc tấn công này. Các hoạt động lừa đảo được ghi nhận trong báo cáo này đã áp dụng các biến thể của kỹ thuật này trong vài năm, đồng thời thích ứng khi các công cụ tìm kiếm dần dần vá các lỗ hổng riêng lẻ.
Cách bảo vệ bản thân
THỰC Curve Finance → curve.fi (KHÔNG phải .co, .net) • DexScreener → dexscreener.com (KHÔNG phải .at) • Rabby → rabby.io (KHÔNG phải .at, .me) • Trezor Suite → suite.trezor.io (KHÔNG phải trezorsuite.at) • Keplr → keplr.app (KHÔNG phải .me) • BSCScan → bscscan.com (KHÔNG phải .cfd)
- KHÔNG BAO GIỜ Kết nối ví của bạn từ kết quả tìm kiếm
- Đánh dấu trang trực tiếp từ các trang web chính thức
- Sử dụng DDG’s
!bangphím tắt:!g curve financebuộc phải sử dụng công cụ tìm kiếm của Google - Cài đặt tiện ích mở rộng phát hiện lừa đảo của MetaMask
- Kiểm tra bất kỳ tên miền nào tại PhishDestroy trước khi kết nối
Các đề xuất dành cho Microsoft/Bing
- Phát hiện trang động: Phân loại các trang kết quả tìm kiếm (Yahoo, Baidu, Google) và loại bỏ giá trị liên kết khỏi các liên kết đi ra ngoài
- Phát hiện PBN có sự phối hợp: Khi có 9 tên miền liên kết đến 5 trang web khác nhau theo các mẫu giống hệt nhau, hãy đánh dấu là hành vi thao túng
- Lớp chống mạo danh thương hiệu: Phát hiện các cuộc tấn công thay thế TLD (
dexscreener.at≈dexscreener.com) - Giám sát tên miền .AT: Tăng cường kiểm tra đối với các tên miền .at mới đăng ký trong kết quả tìm kiếm liên quan đến tiền điện tử
- Hướng dẫn nhanh về DuckDuckGo: Tạo API chuyên dụng để loại bỏ thư rác mà DDG có thể truy cập trực tiếp
Kết luận
Đây không phải là thư rác lợi dụng cơ hội. Đây là một hoạt động SEO được tổ chức chuyên nghiệp, đa thương hiệu và đa hướng được thiết kế đặc biệt để khai thác lỗ hổng giữa khả năng phát hiện spam của Google và Bing. Hôm nay, bất kỳ người dùng nào tìm kiếm cụm từ “Trezor Suite download” trên DuckDuckGo đều có thể gặp phải một trang web lừa đảo nhằm đánh cắp tiền trong ví trước khi họ thấy trang web chính thức. Giải pháp kỹ thuật đã có sẵn. Câu hỏi đặt ra là liệu Bing có triển khai giải pháp đó hay không.


Một nhà cung cấp dịch vụ, 26 tên miền, một nhà đăng ký tên miền
Chúng tôi đã thực hiện các truy vấn RDAP trên tất cả 26 tên miền lừa đảo. Mỗi tên miền đều trả về cùng một nhà đăng ký: Công ty TNHH Tập đoàn NiceNIC International. Không phải là “hầu hết”. Không phải là “đa số”. Tất cả 23 trong số 23 đã được truy vấn thành công — cùng một nhà đăng ký, với 3 lỗi giới hạn tốc độ trước khi xác minh (các mô hình hạ tầng của họ trùng khớp).

Dữ liệu đăng ký RDAP — Chứng từ đăng ký theo đợt
| Miền | Mạo danh | Được tạo | Cặp máy chủ tên miền (NS) của Cloudflare |
|---|---|---|---|
star-gate-finance-stargate.finance | Stargate Finance | 2025-09-08 | Terry/Ximena |
app-vesper.finance | Vesper Finance | 2025-09-08 | Terry/Ximena |
app-vvs.finance | VVS Tài chính | 2025-09-08 | Terry/Ximena |
orbit-protocol-lending.net | Giao thức Orbit | 2025-10-10 | Terry/Ximena |
vvsfnance.com | VVS Tài chính | 2025-07-12 | tháng Tư/Kayden |
spooky-swap.net | SpookySwap | 2025-04-15 | tháng Tư/Kayden |
thorwsap.com | THORSwap | 2025-07-24 | tháng Tư/Kayden |
hyperlokc.com | Hyperlock Finance | 2025-07-12 | arnold/định mệnh |
shadow-ex.net | Sàn giao dịch Shadow | 2025-06-24 | amos/tricia |
v2velodrome.com | Velodrome Tài chính | 2025-09-04 | Dayana/Marvin |
layerbank-v3.com | LayerBank | 2024-09-07 | Austin/Cheryl |
biasterswap.xyz | BiSwap | 2024-09-07 | quý bà/Langston |
v2-olympusdao.com | OlympusDAO | 2026-03-29 | nash/romina |
uncx.org | Mạng lưới UNCX | 2025-12-24 | Cory/Megan |
amblent.cc | Tài chính môi trường | 2026-02-09 | Nicole/Salvador |
juicefi.cc | Juice Finance | 2026-02-09 | Nicole/Salvador |
rhea-finance.com | Rhea Finance | 2025-05-30 | — |
rhea-finance.net | Rhea Finance | 2025-05-30 | — |
rhea-rhea.org | Rhea Finance | 2025-05-30 | — |
silo-finance-silofinance.net | Silo Finance | 2025-05-30 | — |
Các cặp máy chủ tên miền (NS) chung của Cloudflare và ngày tạo giống hệt nhau chứng minh việc đăng ký theo lô:
- 2025-09-08: star-gate + app-vesper + app-vvs (tất cả
terry/ximena) - 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance (4 tên miền, một phiên)
- 2026-02-09: amblent.cc + juicefi.cc (
nicole/salvador) - 2024-09-07: layerbank-v3.com + biasterswap.xyz — hoạt động kéo dài hơn 18 tháng
Cẩm nang 2 đô la — Hướng dẫn từng bước
Hãy quên đi những kỹ thuật SEO phức tạp. Hãy quên đi việc xây dựng liên kết kéo dài hàng tháng trời. Dưới đây là chuỗi thao tác hoàn chỉnh và đã được kiểm chứng, giúp bạn đạt vị trí số 1 trên Bing.

Bước 1: Cơ sở dữ liệu Typosquat
| Dự án thực tế | Miền thực | Tên miền lừa đảo | Kỹ thuật |
|---|---|---|---|
| VVS Tài chính | vvs.finance | vvsfnance.com | Chữ bị thiếu (i) |
| THORSwap | thorswap.com | thorwsap.com | Chữ cái bị hoán đổi (a/w) |
| Hyperlock | hyperlock.fi | hyperlokc.com | Đổi chỗ các chữ cái (c/k) |
| Cầu nối Arbitrum | bridge.arbitrum.io | arbtrumbridge.cc | Trao đổi + tên miền cấp cao (TLD) giá rẻ |
| Tài chính môi trường | ambient.finance | amblent.cc | Lỗi chính tả do phát âm |
| Thruster Finance | thruster.finance | thnuster.cc | Chữ bị bỏ sót (r → n) |
| Cầu Lạc quan | app.optimism.io | optrnismbirdge.cc | Nhiều lỗi chính tả |
| Stargate Finance | stargate.finance | star-gate-finance-stargate.finance | Nhồi nhét từ khóa |
Bước 2: Sao chép thẻ tiêu đề ($0, 5 phút)
Người vận hành sao chép chính xác <title> thẻ và mô tả meta trích từ trang web của dự án thực tế. Đây là bước quan trọng nhất. Bản thân trang web này là một công cụ đánh cắp tiền trong ví hoặc thu thập cụm từ hạt giống — nhưng <title> là những gì Bing xếp hạng.
Bước 3: Gửi bài viết lên mạng lưới blog riêng tư (PBN) ẩn danh ($0, 1 phút)
Nhân viên vận hành đến thăm bất kỳ cơ sở nào trong số 15 cơ sở của PBN (bye.fyi, atomizelink.icu, v.v.), nhập tên miền vào ô có nhãn “Nhập URL của bạn”, rồi nhấp vào “Rút gọn”. Chỉ cần nhấn nút gửi một lần là trang web sẽ được tạo đồng thời trên cả 15 trang web — các trang web này sử dụng chung một cơ sở dữ liệu.
Bước 4: Chờ (2–8 tuần, 0 USD)
app.thnuster.cc đã vươn lên vị trí số 1 trên Bing với từ khóa “Thruster Finance” nhờ chính xác là 1 liên kết ngược — một trang kết quả tìm kiếm của Yahoo được lưu trong bộ nhớ đệm. Thậm chí còn không cần đến mạng blog riêng (PBN).
Bảng phân tích tổng chi phí
| Cái gì | Chi phí | Thời gian |
|---|---|---|
| Tên miền (.cc/.com qua NiceNIC) | $1-2 | 2 phút |
| DNS của Cloudflare (gói miễn phí) | $0 | 1 phút |
| Sao chép thẻ tiêu đề từ trang web thực tế | $0 | 5 phút |
| Gửi lên PBN (bye.fyi, v.v.) | $0 | 1 phút |
| Chờ quá trình lập chỉ mục | $0 | 2–8 tuần |
| TỔNG CỘNG | $1-2 | ~10 phút |
Bên trong bộ xử lý tàng hình
Chúng tôi đã thu thập và phân tích mã nguồn HTML thực tế từ mạng PBN. Mỗi trang trên mỗi tên miền đều sử dụng cùng một công cụ che giấu nội dung.

z-index: 1000000 Bức tường ẩn chứa 3.500 liên kếtCấu trúc trang: 400KB HTML, hơn 3.500 liên kết, 4 lớp
<body style="overflow: hidden;">
<div style="position:absolute; top:0; left:0;
width:100%; height:5000px;
background:white; z-index:1000000;
font-size:32px; text-align:center;">
<p>The domain report has Expired!</p>
</div> Thẻ div màu trắng bao phủ toàn bộ vùng hiển thị. Thuộc tính z-index:1000000 đảm bảo không có nội dung nào được hiển thị phía trên nó. overflow:hidden hiển thị trên giao diện khiến người dùng không thể cuộn qua. Người dùng thấy thông báo “Đã hết hạn” và rời khỏi trang.
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator"); Nếu người dùng bỏ qua bức tường trắng, JavaScript sẽ chuyển hướng đến scrib.li (kiếm tiền qua chương trình liên kết). Ba lớp bảo vệ đối với du khách là con người.
Bingbot bỏ qua lớp phủ CSS — nó phân tích cú pháp HTML thô. Nó nhận thấy một trang web “URL Shortener” có biểu mẫu tìm kiếm. Trông có vẻ hợp lệ.
<p>Learn More Here <a rel="nofollow"
href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ... Tên miền lừa đảo này được ẩn giấu giữa 3.500 tên miền ngẫu nhiên. Đồ ăn vặt Bing rel="nofollow" như một tín hiệu chỉ số hóa — dù sao thì nó vẫn quét trang đích.
Bằng chứng: Một mạng lưới, một cơ sở dữ liệu
orbit-protocol-lending.net xuất hiện trên nhiều tên miền PBN với các mã định danh liên tiếp từ cùng một cơ sở dữ liệu:

| Tên miền PBN | Mẫu URL | ID |
|---|---|---|
blogsphere.top | /stats/49207 | 49207 |
optimizeflow.top | /stats/49207 | 49207 |
websites.freemyip.com | /share/49207 | 49207 |
shortenurls.eu | /share/49207 | 49207 |
jake.eu | /share/49207 | 49207 |
dailymusings.top | /stats/49208 | 49208 |
screenshots.wiki | /report/49208 | 49208 |
atomizelink.icu | /report/49208 | 49208 |
byteshort.xyz | /report/49208 | 49208 |
Các ID giống nhau trên các “thương hiệu” khác nhau = một hệ thống nền tảng, một nhà điều hành. 15 tên miền. Cùng một mẫu HTML. Cùng một CSS (style.css). Cùng một đoạn mã JavaScript (work.js). Vẫn là những trang có 3.500 liên kết đó.
Mạng lưới PBN thứ hai — Mạng lưới kiểm tra tên miền
Một mạng lưới liên kết riêng biệt và mạnh mẽ hơn cung cấp các liên kết ngược dofollow đến các mục tiêu được chọn lọc. Máy chủ chính: all-aged-domains.com — một bản cài đặt WordPress 6.6.2 cung cấp các tệp CSS, JS và mẫu cho 50–80 tên miền phụ.
| Tính năng | Mạng A (Mạng blog riêng tư ẩn danh) | Mạng B (Công cụ kiểm tra tên miền) |
|---|---|---|
| Các trang web | ~15 | ~50-80 |
| Che giấu | Có (chuyển hướng bằng CSS + JS) | Không |
| Loại liên kết | 99,4% nofollow | 99,99% dofollow |
| Số liên kết trên mỗi trang | ~3,500 | ~10,000 |
| Kích thước trang | 400 KB | 4MB |
| CMS | PHP tùy chỉnh | WordPress 6.6.2 |
| Máy chủ chính | Cơ sở dữ liệu dùng chung (mã định danh tuần tự) | all-aged-domains.com |
| Google Tag Manager | Không | Có (theo dõi lưu lượng truy cập) |
Mặc dù có số lượng liên kết ngược gấp 10 lần và tất cả đều là liên kết dofollow, Mạng lưới B vẫn nhắm mục tiêu KHÔNG lọt vào vị trí số 1 trên Bing. biasterswap.xyz có 110 liên kết dofollow. layerbank-v3.com có 98 liên kết. Cả hai trang đều không đứng thứ nhất.
Trong khi đó, app.thnuster.cc có 1 liên kết ngược và đứng ở vị trí số 1.
Với Bing, phương pháp kết hợp mạng blog riêng (PBN) được ẩn và có thẻ nofollow cùng với việc khớp tiêu đề mang lại hiệu quả cao hơn so với việc spam hàng loạt các liên kết dofollow.
Tại sao Bing lại mắc bẫy này

Lỗ hổng trong trận tranh đai vô địch
app.thnuster.cc chỉ có đúng MỘT liên kết ngược — một trang kết quả tìm kiếm (SERP) của Yahoo đã được lưu vào bộ nhớ đệm. Trang này đứng thứ 1 trên Bing cho từ khóa “Thruster Finance”. Điều này chứng tỏ việc xếp hạng của Bing đối với các truy vấn thương hiệu có mức độ cạnh tranh thấp chủ yếu dựa vào:
- Thẻ tiêu đề khớp chính xác đối với truy vấn tìm kiếm
- Tên miền đã được lập chỉ mục (bất kỳ tín hiệu nào — ngay cả một liên kết nofollow — cũng đủ)
- Không có tín hiệu tiêu cực về mức độ tin cậy (tên miền mới, lịch sử sạch)
Google sẽ yêu cầu các tín hiệu xác thực đáng kể và sẽ đối chiếu với các tên miền thương hiệu đã biết. Bing thì không.
| Hệ mét | Bing | |
|---|---|---|
| Các tên miền lừa đảo đứng đầu danh sách | 7 | 0 |
| 10 tên miền lừa đảo hàng đầu | 7 | 0 |
| Thời gian để xếp hạng kể từ khi tạo tên miền | 2–8 tuần | chưa bao giờ |
Kết quả tìm kiếm số 1 trên Bing (đã được xác minh qua SerpAPI, tháng 4 năm 2026)
| Truy vấn | #1 Result (Phishing) | Liên kết ngược |
|---|---|---|
| “Stargate Finance” | star-gate-finance-stargate.finance | 20 |
| “Sàn giao dịch bóng tối” | shadow-ex.net | 16 |
| “Mạng lưới UNCX” | www.uncx.org | 51 |
| “Thruster Finance” | app.thnuster.cc | 1 |
| “Giao thức Orbit” | orbit-protocol-lending.net | 15 |
| “VVS Finance” | vvsfnance.com (#1) + www.app-vvs.finance (#10) | 36 + 37 |
Danh sách các sản phẩm được bảo hộ cập nhật (các thương hiệu Phần II)
Stargate Finance → stargate.finance (KHÔNG phải star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (KHÔNG phải vvsfnance.com) • THORSwap → thorswap.com (KHÔNG phải thorwsap.com) • Sân đua xe đạp → velodrome.finance (KHÔNG phải v2velodrome.com) • UNCX → uncx.network (KHÔNG phải uncx.org) • SpookySwap → spooky.fi (KHÔNG phải spooky-swap.net) • OlympusDAO → olympusdao.finance (KHÔNG phải v2-olympusdao.com) • Thruster → thruster.finance (KHÔNG phải thnuster.cc) • Nhạc không lời → ambient.finance (KHÔNG phải amblent.cc)
Các khuyến nghị (Phần II)
Gửi Microsoft/Bing:
- Chỉ riêng việc tranh đai vô địch thôi thì chưa đủ để khẳng định uy tín. Một tiêu đề trùng khớp không nên giúp một tên miền mới xếp hạng số 1 cho các truy vấn liên quan đến thương hiệu. Cần phải có các yếu tố như tuổi đời tên miền, độ uy tín của liên kết ngược hoặc các tín hiệu xác minh thương hiệu.
- Phát hiện kỹ thuật che giấu dựa trên CSS. Các trang sử dụng lớp phủ z-index để ẩn nội dung khỏi người dùng nhưng hiển thị nội dung đó cho các trình thu thập dữ liệu cần được đánh dấu.
- Phát hiện các mạng PBN có sự phối hợp. 15 tên miền cùng chia sẻ một hệ thống quản lý phía sau và liên kết đến cùng các mục tiêu không phải là việc xây dựng liên kết tự nhiên.
- Đánh dấu các tên miền đã đăng ký qua NiceNIC trong kết quả tìm kiếm liên quan đến tiền điện tử (SERPs) để tăng cường giám sát.
- Tạo một kênh xử lý nhanh các tin rác trên DuckDuckGo. DDG kế thừa tất cả các lỗ hổng bảo mật của Bing nhưng không có cơ chế báo cáo spam độc lập.
Gửi Công ty TNHH Tập đoàn Quốc tế NiceNIC:
26 tên miền lừa đảo. Một khách hàng. Được đăng ký hàng loạt trong vòng 18 tháng. Chưa có bất kỳ biện pháp xử lý vi phạm nào được thực hiện. Thông tin này hiện đã được công bố rộng rãi. Tham khảo: Khi các báo cáo về hành vi lạm dụng không được xử lý và NiceNIC: Yếu tố thúc đẩy toàn diện.
Gửi Cloudflare:
Tất cả 26 tên miền đều sử dụng dịch vụ DNS và proxy của Cloudflare. Các tên miền này hỗ trợ các chương trình đánh cắp tiền trong ví và thu thập cụm từ hạt giống thông qua hạ tầng của Cloudflare.
Phần II: Kết luận
Đây không phải là thư rác lợi dụng cơ hội. Đây là một chiến dịch kéo dài 18 tháng, được điều hành một cách chuyên nghiệp bởi một đơn vị duy nhất người đã phát hiện ra rằng thuật toán xếp hạng của Bing có thể bị đánh lừa chỉ bằng một tên miền giá 2 đô la và một thẻ tiêu đề sao chép. Hiện có bảy trang web lừa đảo đang đứng ở vị trí số 1 trên Bing — nằm trên các nền tảng hợp pháp mà chúng mạo danh.
Hệ thống che giấu mà chúng tôi đã ghi nhận — gồm 15 trang web giống hệt nhau với cơ sở dữ liệu chung, cơ chế ẩn nội dung dựa trên CSS và các phương án dự phòng chuyển hướng bằng JavaScript — là một công cụ được thiết kế chuyên biệt nhằm thao túng công cụ tìm kiếm trên quy mô lớn.
Google đã chặn toàn bộ 26 tên miền. Bing xếp hạng 7 trong số đó ở vị trí số 1. Giải pháp kỹ thuật đã có sẵn. Bằng chứng đã được công khai. Các tên miền này đã được ghi chép đầy đủ. Đơn vị đăng ký tên miền đã được xác định. Câu hỏi vẫn còn đó: liệu có biện pháp nào được thực hiện không?


