PhishDestroy 直播
返回新闻
活跃威胁

“机器内部:加密货币诈骗者如何”
劫持必应和DuckDuckGo

一份基于SEMrush实时数据的调查报告,揭露了两起并行的SEO攻击行动,这些行动将加密货币钓鱼网站推到了Bing和DuckDuckGo搜索结果的顶部。10个域名。2种攻击途径。每月超过10万名潜在受害者。

2026年3月30日 PhishDestroy 研究 阅读时间 22 分钟 SEMrush API 数据
加密货币诈骗者操纵必应和DuckDuckGo的搜索结果——赛博朋克风格可视化
搜索引擎面临围攻:有组织的行动将钓鱼网站推至合法加密货币平台之上
10网络钓鱼域名
9PBN 捐赠者
60,500+每日接触
10万+每月受害人数
2攻击途径
免责声明

本报告中的所有数据均通过 SEMrush API 和 phishdestroy.io 收集,用于网络安全研究。公布这些域名是为了提醒用户,而非对其进行推广。

两种攻击途径

我们的调查发现 两个完全不同但并行的操作 同时运行,以将钓鱼网站推至必应和DuckDuckGo搜索结果的顶部。

方案 A:雅虎搜索结果页面注入
通过移动搜索页面利用雅虎的域名权威(AS 24)。必应从包含钓鱼锚文本的动态生成的雅虎搜索URL中继承了信任度。 目标: curvefinance.co、curvefi.co、aster-dex.at
向量 B:协调的 PBN 网络
9个被劫持/购买的域名,通过AS 49–65同时链接到多个钓鱼网站。针对所有搜索引擎。 目标: rabbys.at、dexscreener.at、monero-wallet.at、trezorsuite.at、keplr.me

攻击向量 A:雅虎搜索结果页面注入攻击

这可以说是 技术上最优雅的 这是我们在2026年记录的一起黑帽SEO攻击。该攻击利用了Bing在评估链接权威性方面存在的一个根本性缺陷——具体来说,就是它无法区分真正的编辑链接与来自可信域名的动态生成的搜索结果页面。

展示雅虎搜索引擎结果页面(SERP)注入攻击如何影响必应排名的技术示意图
雅虎继承的权威分数(AS 24)通过移动搜索页面传递到了钓鱼域名——必应将该信号视为合法

该机制——分步说明

生成雅虎网址8个及以上国家子域名
嵌入锚点随机查询 + 钓鱼链接
强制爬行Ping 服务 + 垃圾信息
必应索引继承自雅虎 AS 24
排名第1位搜索结果前列出现钓鱼网站

步骤 1 — 生成受信任的运营商 URL。 攻击者在雅虎移动搜索端点上,利用多个国际子域名构造了URL: no.search.yahoo.com (挪威), fr.search.yahoo.com (法国), mx.search.yahoo.com (墨西哥), pl.search.yahoo.com (波兰), gr.search.yahoo.com (希腊), qc.search.yahoo.com (魁北克), chfr.search.yahoo.com (瑞士法语), co.search.yahoo.com (哥伦比亚)。这些页面显示的是雅虎继承的权威分数:23–24。

步骤 2 — 嵌入钓鱼链接。 每个 URL 都包含一个完全随机的、无害的搜索查询——例如“pele+fifa”、“Jean-Paul+Sartre”、“Radio+Stars”、“jucheck.exe”——但锚文本显示为: curvefi.co Curve Finance. 随机查询可确保垃圾邮件过滤器无法进行模式匹配。

第 3 步 — 强制抓取与收录。 攻击者利用批量ping服务、论坛/博客评论注入以及自动触发爬取的工具,促使Bingbot爬取这些URL。

必应算法的失误

谷歌的算法: “这是一个动态搜索页面。不会传递链接权重。”
必应的算法: “yahoo.com 通过锚文本‘Curve Finance DEX’链接到 curvefi.co。排名信号已接受。✓”

结果:该钓鱼网站在Bing和DuckDuckGo上搜索“Curve Finance”时跻身前三名。

SEMrush的原始数据 — curvefi.co

SEMrush 反向链接分析 API | 2026年3月30日 | 目标:curvefi.co
AS源域锚文本
24chfr.search.yahoo.comwww.curvefi.co Curve Finance
24co.search.yahoo.comcurvefi.co Curve Finance
24fr.search.yahoo.comcurvefi.co Curve Finance
24mx.search.yahoo.comwww.curvefi.co Curve Finance
24no.search.yahoo.comwww.curvefi.co Curve Finance
24pl.search.yahoo.comwww.curvefi.co Curve Finance
23gr.search.yahoo.comwww.curvefi.co Curve Finance
23qc.search.yahoo.comcurvefi.co Curve Finance

残酷的讽刺: 该网站有 自然搜索关键词, SEMrush 数据库中的流量——但该网站仍会出现在 Bing/DDG 搜索“Curve Finance”的结果中,这是因为雅虎的权重被借用。

向量 B:协调的 PBN 网络

调查到这里才真正令人感到震惊。五个独立的网络钓鱼网站—— rabbys.at、dexscreener.at、monero-wallet.at、trezorsuite.at 和 keplr.me ——它们都具有一个 完全相同的反向链接来源集. 这绝非巧合。这是 一项有组织的犯罪活动 利用同一套基础设施发起多起网络钓鱼攻击。

犯罪PBN网络可视化——9个供域链接至5个钓鱼目标
1名操作员、9名PBN捐赠者、5个网络钓鱼目标——这纯属巧合的概率约为0.00001%

《The Smoking Gun》——共享基础设施

SEMrush API | 跨域分析 | 2026年3月30日
PBN 捐赠域名ASrabbysdexscr门罗币trezor
lewievuittton.com65
lyricamed.us.com61
creatfx.com60
jba.com.jo56
jornaldevinhedo.com56
jasaaspalhotmix.com54
magna-eg.com50
markjohnsonbuilders50
nextplayflix.com49
关于 lewievuittton.com 的说明

最大的PBN来源(AS 65)本身就是路易威登(Louis Vuitton)的拼写变体域名。该PBN来源是一个诈骗网站,用于支撑其他诈骗网站——整个链条都是犯罪基础设施。

网络钓鱼域名概况

SEMrush 域名概览 | 2026年3月
域名冒充关键词首要目标
dexscreener.atDexScreener64“dexscreener” #4260,500/月
rabbys.atRabby 钱包15“兔兔钱包” #515,400/月
trezorsuite.atTrezor Suite7“trezor suite” #324,400/月
aster-dex.atAster DEX13“aster交易所” #253,600/月
monero-wallet.at门罗币钱包4“xmr 在线钱包” #26210/月
keplr.meKeplr 钱包0评论垃圾信息隐蔽性不适用
bscscan.cfdBSCScan0大量垃圾链接不适用
curvefinance.coCurve Finance0仅限雅虎注入不适用
curvefi.coCurve Finance0仅限雅虎注入不适用
app-crv.netCurve 应用0综合技法不适用
重要:Trezor Suite 下载

用户正在搜索 “Trezor Suite 下载” 正在积极寻找钱包软件进行安装。在DuckDuckGo搜索结果第3至5位出现的一个钓鱼网站会导致用户下载 恶意软件 以为这是硬件钱包的界面。这并非理论上的情况——它正在发生。

由人工智能驱动的文章工厂

aster-dex.at 变体使用一个 混合方法,该攻击将雅虎注入技术与人工智能生成的博客内容相结合,并将这些内容发布在越南、意大利、印度尼西亚和瑞士各地遭入侵或专门搭建的网站上。

一家工厂批量生产内容完全相同的、由人工智能生成的博客文章,这些文章中包含指向钓鱼网站的链接
被入侵网站上的AI生成文章——标题完全相同,域名各异,均指向同一个钓鱼目标

这些博客文章的标题几乎完全一样: “为何代币交换和流动性池仍会让经验丰富的去中心化交易所(DEX)交易者陷入困境”, “为什么自动化做市商仍让交易员感到意外”. 这些是 AI生成的文章 放置在AS 21–36的网站上,这些网站均链接至aster-dex.at。

评论垃圾信息渗透

keplr.me 则采取了截然不同的做法——在毫无关联的高权重网站上发布纯粹的评论垃圾信息。诸如“ZackaryThymn”、“Fritzkah”、“Jamesboach”之类的虚假用户名,会在哲学教育网站上植入加密货币钱包锚文本(filozofija.edu.rs, AS 45),员工参与平台(bavave.com, AS 63),以及艺术节(lea-festival.com, AS 50)。

评论区中隐藏着钓鱼链接的正规网站
正规网站在不知情的情况下托管了网络钓鱼链接——这些链接隐藏在看似正常的用户评论中

无下限:自动化工具垃圾信息

bscscan.cfd 采用了最粗糙的方法:从那些名字直白到极点的网站购买批量反向链接套餐 rankongoogle.agency 以及 linksjump.click. 所有来源的AS值均为0。域名后缀“.cfd”是已知的垃圾邮件指标。然而在必应上,即使这种情况也部分有效——大量低质量链接仍可能影响那些没有任何负面记录的全新域名的排名。

赛博朋克风格的低价反向链接交易市场
“1000个反向链接,9.99美元”——这些最便宜的SEO诈骗工具在必应上仍能部分生效

为什么必应和DuckDuckGo特别容易受到攻击

谷歌堡垒与必应堡垒——漏洞对比
谷歌的多层反垃圾邮件防御机制与必应尚不成熟的检测机制——诈骗者正是利用了这一差距
诈骗者积极利用的算法差异
功能谷歌必应
动态页面检测搜索结果页面不传递链接权重雅虎搜索页面被视为编辑内容
垃圾邮件机器学习成熟度15年以上 SpamBrain 训练数据成熟度较低;PBN AS 50–65 仍可使用
品牌保护态度咄咄逼人;curvefinance.co 迅速被标记.at/.co 顶级域名诈骗的存续时间更长
AI内容工厂2023年起部署的检测系统.vn、.it 域名下的 AI 农场仍能获得及格分数
防钓鱼“安全浏览”功能可快速屏蔽已知域名SmartScreen 未能检测到新注册的诈骗域名
DuckDuckGo 的特定弱点

DDG 以必应的索引作为其主要数据来源,继承了 所有 Bing 的安全漏洞。偏爱 DDG 的注重隐私的用户通常精通加密技术——这使他们成为更高价值的目标。DDG 没有独立的垃圾信息举报机制;举报信息会转交给 Bing。

关键词定位策略

关键词概况显示 外科般的精准度 在目标选择方面。运营商不仅将主要品牌词作为目标,还将错别字域名(“拉比钱包”, “rubby钱包”, “dexscrenner”) 甚至包括中文查询(“aster交易所” 排名第25位)。

展示加密货币诈骗者多语言关键词定位情况的世界地图
多语言定位:英语、法语、中文、越南语——业务覆盖各大洲
品牌与搜索量分析 | SEMrush 美国 | 2026年3月
目标关键词月交易量诈骗域名职位
dexscreener60,500dexscreener.at#42
兔兔钱包5,400rabbys.at#51–71
Trezor 套件4,400trezorsuite.at#32–85
aster dex简体中文(大陆)3,600aster-dex.at#63
dexscrenner错别字2,400dexscreener.at#45
aster交易所中文1,000aster-dex.at#25
Trezor Suite 下载260trezorsuite.at#54
拉比钱包错别字210rabbys.at#54
xmr 在线钱包210monero-wallet.at#55–69

历史背景:Trust Wallet / DuckDuckGo 事件

这个问题由来已久

此类攻击并非新鲜事。问题在于 严重得多 当Trust Wallet等钱包将DuckDuckGo作为其 默认的应用内搜索引擎. 用户在钱包内搜索 DeFi 协议时,钓鱼网站竟作为第一条搜索结果显示出来——而这完全无需任何复杂的 SEO 操作。一款注重隐私但垃圾信息检测能力较弱的搜索引擎,与一款内置浏览器的加密货币钱包相结合,导致了 完美风暴 用于网络钓鱼。

即使在 Trust Wallet 不再将 DDG 设为默认选项之后,底层的漏洞依然存在。任何用户如果 出于隐私考虑,手动选择 DuckDuckGo ——这一群体与加密货币用户群体存在大量重叠——至今仍面临着此类攻击的威胁。本报告中记录的诈骗团伙一直在使用该技术的各种变体进行活动,时间已长达 几年,随着搜索引擎逐步修复各个漏洞,它也在不断适应。

如何保护自己

务必核实确切的域名

REAL Curve Finance → curve.fi (非 .co、.net)• DexScreener → dexscreener.com (非 .at) • Rabby → rabby.io (不包括 .at、.me)• Trezor Suite → suite.trezor.io (不是 trezorsuite.at)• Keplr → keplr.app (非 .me) • BSCScan → bscscan.com (非 .cfd)

对微软/必应的建议

  1. 动态页面检测: 对搜索结果页面(雅虎、百度、谷歌)进行分类,并从外链中剥离链接权重
  2. 协调的PBN检测: 当9个域名以完全相同的模式链接到5个不同的网站时,应标记为操纵行为
  3. 品牌冒充层: 检测 TLD 替换攻击(dexscreener.atdexscreener.com)
  4. .AT 域名监控: 加密货币搜索结果页面中对新注册的 .at 域名加强审查
  5. DuckDuckGo 快速入门: 创建一个专用的垃圾信息过滤API,供DDG直接调用

结论

这不是趁机发送的垃圾邮件。这是一封 专业组织、多品牌、多维度的SEO运营 该网站专门设计用于利用谷歌和必应垃圾信息检测能力之间的漏洞。今天,任何在DuckDuckGo上搜索“Trezor Suite 下载”的用户,都可能在看到真实网站之前,先看到一个会掏空用户钱包的钓鱼网站。 技术上的解决方案已经存在。问题在于必应是否会实施这一方案。

法庭上的戏剧性场景——加密货币诈骗犯受审,证据公之于众
证据已公开。相关域名已有记录。受害者确有其人。解决问题的关键在于微软。
后续调查——2026年4月17日

第二部分:2美元攻略——26个钓鱼网站、1家域名注册商、7个Bing搜索结果排名第一的页面

针对今年3月那次调查的后续调查发现 26个新的网络钓鱼域名 ——这些均冒充 DeFi 协议——目前排名 #1 on Bing 针对其目标品牌搜索查询。通过利用 SEMrush API 的反向链接数据、RDAP 注册记录以及直接源代码分析,我们追踪了每一个域名,直至 一名运营商、一家注册商(NiceNIC)以及一个由15个网站组成的隐蔽PBN网络. 每个域名的费用:2美元。时间:10分钟。

一名操作者、26个网络钓鱼诱饵、一个不进行验证的搜索引擎
一名运营者。Bing中存在26个网络钓鱼诱饵。费用:每个域名2美元。
26网络钓鱼域名
1注册商(NiceNIC)
7必应搜索结果第1位
15隐藏的PBN网站
0谷歌排名

一家运营商,26个域名,一家注册商

我们对全部 26 个钓鱼域名执行了 RDAP 查询。每个域名返回的注册商都相同: NiceNIC国际集团有限公司. 不是“大多数”。不是“多数”。 23条记录均查询成功 — 注册商相同,在验证前出现过 3 次速率限制错误(其基础设施模式一致)。

OSINT调查面板显示,23个域名中有23个是通过NiceNIC注册的
已核对 23 项中的 23 项。同一家注册商。同一位客户。未采取任何滥用处理措施。

RDAP 注册数据 — 批量注册凭证

RDAP查询结果 | 2026年4月 | 26条记录中已成功查询23条
域名冒充创建Cloudflare NS 记录对
star-gate-finance-stargate.financeStargate Finance2025-09-08特里/希梅娜
app-vesper.financeVesper Finance2025-09-08特里/希梅娜
app-vvs.financeVVS Finance2025-09-08特里/希梅娜
orbit-protocol-lending.netOrbit 协议2025-10-10特里/希梅娜
vvsfnance.comVVS Finance2025-07-12艾普丽尔/凯登
spooky-swap.netSpookySwap2025-04-15艾普丽尔/凯登
thorwsap.comTHORSwap2025-07-24艾普丽尔/凯登
hyperlokc.comHyperlock Finance2025-07-12阿诺德/命运
shadow-ex.net暗影交易所2025-06-24阿莫斯/特里西娅
v2velodrome.comVelodrome Finance2025-09-04达雅娜/马文
layerbank-v3.comLayerBank2024-09-07奥斯汀/谢丽尔
biasterswap.xyzBiSwap2024-09-07女士/兰斯顿
v2-olympusdao.comOlympusDAO2026-03-29纳什/罗米娜
uncx.orgUNCX 网络2025-12-24科里/梅根
amblent.cc环境金融2026-02-09妮可/萨尔瓦多
juicefi.ccJuice Finance2026-02-09妮可/萨尔瓦多
rhea-finance.comRhea Finance2025-05-30
rhea-finance.netRhea Finance2025-05-30
rhea-rhea.orgRhea Finance2025-05-30
silo-finance-silofinance.netSilo Finance2025-05-30
批量注册——一名操作员,多个会话

共享的 Cloudflare NS 配对以及相同的创建日期证明了这是批量注册:

  • 2025-09-08: star-gate + app-vesper + app-vvs(全部 terry/ximena)
  • 2025-05-30: rhea-finance.com + .net + rhea-rhea.org + silo-finance(4个域名,1次会话)
  • 2026-02-09: amblent.cc + juicefi.cc (nicole/salvador)
  • 2024-09-07: layerbank-v3.com + biasterswap.xyz — 运营时间超过18个月

《2美元攻略》——分步指南

别再纠结复杂的SEO了。别再花几个月时间做外链建设了。这里有一套完整且经过验证的操作流程,能让你在必应搜索结果中排名第一。

只需2美元,让钓鱼网站在Bing搜索中排名第一的四个步骤
只需四步、2美元,Bing就将一个钓鱼网站推上了榜首
注册域名抢注$1-2 at NiceNIC
复制标题标签从真实网站复制
提交至 PBN再见。供参考,15个网站
请等待 2 至 8 周必应的索引与排名
必应 #1上图为真实项目

步骤 1:拼写错误域名注册库

26个域名中的8个所涉及的拼写错误抢注技术
真实项目真实域名网络钓鱼域名技术
VVS Financevvs.financevvsfnance.com缺失的字母 (i)
THORSwapthorswap.comthorwsap.com字母互换 (a/w)
Hyperlockhyperlock.fihyperlokc.com字母互换(c/k)
Arbitrum 桥bridge.arbitrum.ioarbtrumbridge.cc交换 + 廉价顶级域名
环境金融ambient.financeamblent.cc音译错误
Thruster Financethruster.financethnuster.cc字母缺失(r→n)
乐观之桥app.optimism.iooptrnismbirdge.cc多处错别字
Stargate Financestargate.financestar-gate-finance-stargate.finance关键词堆砌

步骤 2:复制标题标签($0,5 分钟)

该运算符复制了完全相同的 <title> 来自实际项目网站的标签和元描述。 这是最重要的一步。 该页面本身是一个钱包清空器或助记词窃取器——但 <title> 这就是必应的排名结果。

第 3 步:提交至隐蔽的 PBN(0 美元,1 分钟)

操作员前往15个PBN站点中的任意一个(bye.fyi, atomizelink.icu,等等),在标有“输入您的网址”的表单中输入域名,然后点击“缩短”。只需一次提交,即可在全部15个网站上同时生成页面——这些网站共享一个数据库。

第 4 步:等待(2-8 周,0 美元)

证明:1 个反向链接 = Bing 排名第一

app.thnuster.cc 凭借……在必应搜索“Thruster Finance”时排名第一 恰好有1个反向链接 — 一页雅虎搜索结果页面的缓存。甚至根本不需要PBN。

总成本明细

什么成本时间
域名(.cc/.com,通过 NiceNIC 注册)$1-22 分钟
Cloudflare DNS(免费套餐)$01 分钟
从真实网站复制标题标签$05分钟
提交至 PBN(bye.fyi 等)$01 分钟
等待收录$02-8周
合计$1-2约10分钟

隐身引擎内部

我们获取并分析了来自PBN网络的实际HTML源代码。每个域名上的每个页面都运行着相同的隐藏引擎。

用户所见与Bingbot所见——“隐身墙”
用户所见与Bingbot所见—— z-index: 1000000 墙后隐藏着3,500个链接

页面架构:400KB HTML、3,500+个链接、4层

第1层——隐形墙(用户所见)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

白色 div 覆盖了整个视口。z-index:1000000 确保没有任何内容渲染在其上方。 overflow:hidden 在正文中设置此提示可防止用户滚动浏览。用户看到“已过期”后便会离开。

第 2 层 — JS 重定向(备份保护)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

如果用户绕过白墙,JavaScript 会将其重定向至 scrib.li(联盟营销变现)。 三重保护 针对人类访客。

第3层——虚假外衣(机器人所见)

Bingbot 会忽略 CSS 覆盖层——它解析的是原始 HTML。它看到一个带有搜索表单的“网址缩短”网站。看起来很正规。

第4层——链接量(3,500个nofollow链接)
<p>Learn More Here <a rel="nofollow"
     href="https://PHISHING-TARGET.finance">PHISHING-TARGET.finance</a></p>
... x 3,500 links ...

该钓鱼域名隐藏在3,500个随机域名之中。 必应糖果 rel="nofollow" 作为索引信号 — 它还是会爬取目标页面。

证明:一个网络,一个数据库

orbit-protocol-lending.net 出现在多个PBN域名中,其中包含 来自同一数据库的顺序ID:

一个数据库,15个前端域名——全部从同一个后端提供相同的内容
一个数据库。15个前端域名。所有页面均显示来自同一后端的相同内容。
“不同”PBN品牌间的序列ID——后端共享的证明
PBN 域名URL 模式ID
blogsphere.top/stats/4920749207
optimizeflow.top/stats/4920749207
websites.freemyip.com/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
dailymusings.top/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
byteshort.xyz/report/4920849208

不同“品牌”下使用相同的ID = 一个后端,一个运营商。 15个域名。相同的HTML模板。相同的CSS(style.css). 相同的 JavaScript(work.js). 同样是3,500个链接页面。

第二个PBN——域名检查器网络

另一个独立且更具攻击性的链接网络为选定的目标提供“dofollow”反向链接。主服务器: all-aged-domains.com — 一个 WordPress 6.6.2 安装实例,为 50 至 80 个子域名提供 CSS、JS 和模板。

隐蔽的PBN(网络A)与域名检查器(网络B)
功能网络 A(隐蔽的PBN)网络 B(域名检查器)
网站~15~50-80
隐身是(CSS + JS 重定向)
链接类型99.4% nofollow99.99% dofollow
每页链接数~3,500~10,000
页面大小400KB4MB
CMS自定义 PHPWordPress 6.6.2
主服务器共享数据库(顺序ID)all-aged-domains.com
Google 标签管理器是(可追踪流量)
讽刺之处

尽管反向链接数量多出10倍且均为dofollow链接,但网络B的目标是 并未在必应搜索中排名第一. biasterswap.xyz 有 110 个 dofollow 链接。layerbank-v3.com 有 98 个。两者均未排名第一。

与此同时, app.thnuster.cc1 个反向链接 并位居榜首。

对于必应而言,采用“nofollow”隐藏式PBN结合标题匹配的方式,比大规模的“dofollow”垃圾链接更有效。

为什么必应会上当

谷歌那台在门口拦截网络钓鱼攻击的“装甲机器人”,与必应那位友好的“门卫”——他正为客人敞开大门——形成鲜明对比
谷歌的“装甲机器人”在门口拦截网络钓鱼攻击。必应的“友善门卫”则为来客敞开大门。

“冠军赛”的漏洞

app.thnuster.cc 该网站仅有一个反向链接——一个雅虎搜索结果页面的缓存页面。它在必应搜索中“Thruster Finance”这一关键词的排名位列第一。这证明,必应对竞争程度较低的品牌搜索词的排名主要取决于:

  1. 标题标签完全匹配 针对该搜索查询
  2. 该域名已被收录 (任何信号——哪怕只有一个nofollow链接——就足够了)
  3. 没有负面信任信号 (该域名是新的,记录清白)

谷歌会要求提供有力的权威性信号,并会与已知的品牌域名进行交叉核对。而必应则不会。

必应与谷歌——26个领域的排名结果
公制必应谷歌
网络钓鱼域名高居榜首70
前十名中的网络钓鱼域名70
从域名创建之日起的排名时间2-8周从不

必应第1位搜索结果(经SerpAPI验证,2026年4月)

查询#1 Result (Phishing)反向链接
“星门金融”star-gate-finance-stargate.finance20
“暗盘交易”shadow-ex.net16
“UNCX 网络”www.uncx.org51
“Thruster Finance”app.thnuster.cc1
“Orbit Protocol”orbit-protocol-lending.net15
“VVS Finance”vvsfnance.com (#1) + www.app-vvs.finance (#10)36 + 37

更新后的保护清单(第二部分品牌)

务必核实确切的域名

Stargate Finance → stargate.finance (不是 star-gate-finance-stargate.finance) • VVS Finance → vvs.finance (非 vvsfnance.com) • THORSwap → thorswap.com (非 thorwsap.com)• 自行车馆 → velodrome.finance (非 v2velodrome.com)• UNCX → uncx.network (非 uncx.org)• SpookySwap → spooky.fi (非 spooky-swap.net)• OlympusDAO → olympusdao.finance (非 v2-olympusdao.com)• Thruster → thruster.finance (非 thnuster.cc) • 氛围音乐 → ambient.finance (非 amblent.cc)

建议(第二部分)

致微软/必应:

  1. 仅凭冠军赛本身并不能体现权威。 匹配的标题不应使新域名在品牌搜索中排名第一。应要求具备域名年龄、反向链接权重或品牌验证信号。
  2. 检测基于 CSS 的隐藏内容。 应标记那些使用 z-index 叠加层、将内容对用户隐藏但对爬虫显示的页面。
  3. 检测协同运作的PBN网络。 15个域名共享一个后端并链接到相同的目标,这不属于自然外链建设。
  4. 在加密货币搜索结果页面中标记 NiceNIC 注册的域名 以便进行更严格的审查。
  5. 为DuckDuckGo创建一个垃圾信息快速通道。 DDG 继承了 Bing 的所有漏洞,但没有独立的垃圾信息举报机制。

致 NiceNIC 国际集团有限公司:

26个网络钓鱼域名。一名客户。在18个月内批量注册。未采取任何滥用处理措施。 这一点现已公开记录在案。参考: 当举报虐待行为石沉大海时 以及 NiceNIC:系统级使能器.

致 Cloudflare:

这26个域名均使用Cloudflare的DNS和代理服务。这些域名依托Cloudflare的基础设施,为钱包清空程序和助记词采集程序提供支持。

第二部分 结论

这不是趁机发送的垃圾邮件。这是一封 由单一运营商开展的、为期18个月的专业化营销活动 他发现,只需一个2美元的域名和一个复制的标题标签,就能绕过必应的排名算法。 目前有七个网络钓鱼网站在必应搜索结果中排名第一 — 位于它们冒充的合法平台之上。

我们记录的隐藏基础设施——15个具有共享数据库、基于CSS的内容隐藏功能以及JavaScript重定向备用方案的相同网站——是一种专为大规模操纵搜索引擎而设计的工具。

谷歌屏蔽了全部26个域名。必应将其中7个排在第一位。技术解决方案已经存在。证据已公开。这些域名已有记录。域名注册商身份已确认。 问题依然是:会采取什么行动吗?