Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / AR / SEO HIJACK

اختطاف محركات البحث (SEO Hijack): مواقع التصيد الاحتيالي تحتل المرتبة الأولى في Bing

The Enablers Registry·Editorial mirror·/ar/seo-hijack/

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

تقرير استقصائي يستند إلى بيانات SEMrush المباشرة، يكشف عن عمليتين متوازيتين للهجوم في مجال تحسين محركات البحث (SEO) تعملان على دفع مواقع التصيد الاحتيالي الخاصة بالعملات المشفرة إلى قمة نتائج بحث Bing وDuckDuckGo. 10 نطاقات. مساران للهجوم. أكثر من 100,000 ضحية محتملة شهريًّا.

30 مارس 2026 أبحاث THE ENABLERS REGISTRY 22 دقيقة للقراءة بيانات واجهة برمجة تطبيقات SEMrush
محركات البحث تحت الحصار: عمليات منظمة تدفع مواقع التصيد الاحتيالي إلى التقدم على منصات العملات المشفرة الشرعية
10نطاقات التصيد الاحتيالي
9المتبرعون لـ PBN
60,500+التعرض اليومي
100 ألف+عدد الضحايا شهريًّا
2مسارات الهجوم
إخلاء المسؤولية

تم جمع جميع البيانات الواردة في هذا التقرير عبر واجهة برمجة تطبيقات SEMrush وموقع enablers.report لأغراض البحث في مجال الأمن السيبراني. ويتم نشر أسماء النطاقات بهدف تحذير المستخدمين، وليس للترويج لها.

مسارا الهجوم

كشفت تحقيقاتنا عن عمليتان متوازيتان مختلفتان تمامًا تعمل هذه العمليات في وقت واحد لدفع مواقع التصيد الاحتيالي إلى صدارة نتائج بحث «بينغ» و«دوك دوك جو».

الطريقة أ: حقن نتائج بحث ياهو (SERP)
يستغل سلطة نطاق ياهو (AS 24) عبر صفحات البحث على الأجهزة المحمولة. ويرث «بينغ» الثقة من عناوين URL الخاصة ببحث ياهو التي يتم إنشاؤها ديناميكيًا وتحتوي على روابط تصيد احتيالي. الأهداف: curvefinance.co، curvefi.co، aster-dex.at
المتجه ب: شبكة PBN المنسقة
هناك 9 نطاقات تم اختراقها أو شراؤها، تابعة إلى AS 49–65، ترتبط في آن واحد بعدة مواقع تصيد احتيالي. وتعمل هذه النطاقات مع جميع محركات البحث. الأهداف: rabbys.at، dexscreener.at، monero-wallet.at، trezorsuite.at، [REDACTED]

الطريقة أ: هجوم «حقن نتائج بحث ياهو» (Yahoo SERP Injection)

يمكن القول إن هذا هو الأكثر أناقة من الناحية التقنية هجوم «سيو» غير المشروع الذي قمنا بتوثيقه في عام 2026. ويستغل هذا الهجوم ثغرة جوهرية في الطريقة التي يقيّم بها محرك البحث «بينغ» مصداقية الروابط — وبالتحديد، عدم قدرته على التمييز بين الروابط التحريرية الحقيقية وصفحات نتائج البحث التي يتم إنشاؤها ديناميكيًّا من نطاقات موثوقة.

ينتقل «مؤشر السلطة» (AS 24) الموروث من ياهو عبر صفحات البحث على الأجهزة المحمولة إلى نطاقات التصيد الاحتيالي — ويقبل «بينغ» هذه الإشارة على أنها شرعية

الآلية — خطوة بخطوة

إنشاء رابط Yahoo8+ نطاقات فرعية لبلدان
تضمين رابطاستفسار عشوائي + رابط تصيد احتيالي
الزحف القسريخدمات «بينغ» + الرسائل غير المرغوب فيها
فهارس Bingيرث Yahoo AS 24
المركز الأولموقع تصيد احتيالي ضمن النتائج الأولى

الخطوة 1 — إنشاء عنوان URL الخاص بشركة الاتصالات الموثوقة. يقوم المهاجمون بإنشاء عناوين URL على نقاط نهاية البحث عبر الهاتف المحمول التابعة لـ Yahoo عبر عدة نطاقات فرعية دولية: [REDACTED] (النرويج)، [REDACTED] (فرنسا)، [REDACTED] (المكسيك)، [REDACTED] (بولندا)، [REDACTED] (اليونان)، [REDACTED] (كيبيك)، [REDACTED] (السويسرية الفرنسية)، [REDACTED] (كولومبيا). تحتوي هذه الصفحات على «مؤشر الموثوقية» الموروث من ياهو: 23–24.

الخطوة 2 — تضمين رابط التصيد الاحتيالي. يحتوي كل عنوان URL على استعلام بحث عشوائي تمامًا وبريء — «pele+fifa»، «Jean-Paul+Sartre»، «Radio+Stars»، «jucheck.exe» — لكن نص الرابط هو: curvefi.co Curve Finance. تضمن الاستعلامات العشوائية عدم اكتشافها من قبل مرشحات البريد العشوائي عن طريق مطابقة الأنماط.

الخطوة 3 — الزحف والفهرسة القسريان. يقوم المهاجمون بدفع «Bingbot» إلى الزحف إلى عناوين URL هذه باستخدام خدمات «البينغ» الجماعية، وإدراج التعليقات في المنتديات والمدونات، وأدوات تشغيل الزحف الآلي.

فشل خوارزمية «بينغ»

خوارزمية جوجل: "هذه صفحة بحث ديناميكية. لا يحدث أي نقل لقيمة الروابط."
خوارزمية «بينغ»: "موقع [REDACTED] يضم رابطًا إلى curvefi.co مع نص الرابط 'Curve Finance DEX'. تم قبول إشارة الترتيب. ✓"

النتيجة: صعد موقع التصيد الاحتيالي إلى المراكز الثلاثة الأولى في نتائج البحث عن مصطلح «Curve Finance» على محركي البحث Bing وDuckDuckGo.

أدلة SEMrush الأولية — curvefi.co

واجهة برمجة تطبيقات تحليلات الروابط الخلفية من SEMrush | 30.03.2026 | الهدف: curvefi.co
ASنطاق المصدرنص الرابط
24[REDACTED]www.curvefi.co Curve Finance
24[REDACTED]curvefi.co كيرف فاينانس
24[REDACTED]curvefi.co كيرف فاينانس
24[REDACTED]www.curvefi.co Curve Finance
24[REDACTED]www.curvefi.co Curve Finance
24[REDACTED]www.curvefi.co Curve Finance
23[REDACTED]www.curvefi.co Curve Finance
23[REDACTED]curvefi.co كيرف فاينانس

المفارقة القاسية: يحتوي الموقع على صفر الكلمات المفتاحية العضوية، صفر حركة المرور في قاعدة بيانات SEMrush — ومع ذلك، فإنها تظهر في نتائج Bing/DDG لعبارة «Curve Finance» بفضل «السلطة المستعارة» من Yahoo.

المحور ب: شبكة PBN المنسقة

وهنا يصبح التحقيق مقلقًا حقًّا. خمسة مواقع تصيد احتيالي منفصلة — rabbys.at، dexscreener.at، monero-wallet.at، trezorsuite.at، و [REDACTED] — جميعها تشترك في مجموعة متطابقة من مصادر الروابط الخلفية. هذه ليست مصادفة. هذا هو عملية إجرامية منظمة واحدة تنفيذ حملات تصيد احتيالي متعددة من خلال بنية تحتية واحدة.

مشغل واحد، و9 متبرعين بـ PBN، و5 أهداف للتصيد الاحتيالي — تبلغ احتمالية أن يكون هذا مجرد مصادفة حوالي 0.00001%

الدليل الدامغ — البنية التحتية المشتركة

واجهة برمجة تطبيقات SEMrush | التحليل عبر النطاقات | 30.03.2026
نطاق المانحين في شبكة PBNASrabbysdexscrمونيروتريزور
[REDACTED]65✓✓✓✓
[REDACTED]61✓✓✓✓
[REDACTED]60✓✓✓✓
[REDACTED].jo56✓✓✓✓
[REDACTED]56✓✓✓✓
[REDACTED]54✓✓✓✓
[REDACTED]50✓✓✓✓
markjohnsonbuilders50✓✓✓✓
[REDACTED]49✓✓✓✓
ملاحظة بشأن موقع [REDACTED]

أكبر مصدر لشبكة PBN (AS 65) هو في حد ذاته موقع يستغل الأخطاء المطبعية في اسم «لويس فويتون». هذا المصدر هو موقع احتيالي يدعم مواقع احتيالية أخرى — وهي بنية تحتية إجرامية في كل مستوياتها.

ملفات تعريف نطاقات التصيد الاحتيالي

نظرة عامة على نطاق SEMrush | مارس 2026
المجالينتحل شخصيةالكلمات المفتاحيةالهدف الأهمالحجم
dexscreener.atDexScreener64«dexscreener» رقم 4260,500 شهريًّا
rabbys.atمحفظة رابي15«محفظة رابي» رقم 515,400 شهريًّا
trezorsuite.atمجموعة [REDACTED]7"مجموعة تريزور" رقم 324,400 شهريًّا
aster-dex.atAster DEX13«بورصة أستر» #253,600 شهريًّا
monero-wallet.atمحفظة مونيرو4«محفظة XMR عبر الإنترنت» #26210 شهريًّا
[REDACTED]محفظة كيبلر0التعليقات غير المرغوب فيها المتخفيةغير متوفر
bscscan.cfdBSCScan0روابط البريد العشوائي المجمعةغير متوفر
curvefinance.coCurve Finance0حقن «ياهو» فقطغير متوفر
curvefi.coCurve Finance0حقن «ياهو» فقطغير متوفر
[REDACTED]تطبيق Curve0تقنيات مختلطةغير متوفر
هام: تنزيل [REDACTED] Suite

المستخدمون الذين يجرون عمليات بحث "تنزيل [REDACTED] Suite" يبحثون بنشاط عن تثبيت برنامج محفظة. وجود موقع تصيد احتيالي في المراتب من 3 إلى 5 على محرك البحث DuckDuckGo يعني أن المستخدمين الذين يقومون بتنزيل البرامج الضارة ظنًّا منهم أنها واجهة محفظة مادية. وهذا ليس مجرد افتراض نظري — بل إنه يحدث الآن بالفعل.

مزرعة المقالات المدعومة بالذكاء الاصطناعي

يستخدم إصدار aster-dex.at النهج المختلط، حيث تم الجمع بين تقنية «Yahoo Injection» ومحتوى مدونات تم إنشاؤه بواسطة الذكاء الاصطناعي، ونُشر على مواقع تم اختراقها أو أنشئت خصيصًا لهذا الغرض في فيتنام وإيطاليا وإندونيسيا وسويسرا.

مقالات تم إنشاؤها بواسطة الذكاء الاصطناعي على مواقع تم اختراقها — عناوين متطابقة، ونطاقات مختلفة، وجميعها تشير إلى نفس هدف التصيد الاحتيالي

تحمل جميع مقالات المدونة عناوين متطابقة تقريبًا: "لماذا لا تزال عمليات مبادلة التوكنات ومجمعات السيولة تشكل عقبة حتى أمام المتداولين المخضرمين في البورصات اللامركزية", "لماذا لا يزال صانعو السوق الآليون يفاجئون المتداولين". وهذه هي مقالات تم إنشاؤها بواسطة الذكاء الاصطناعي تم وضعها على مواقع تحمل الرموز AS 21–36، وجميعها ترتبط بموقع aster-dex.at.

تسلل التعليقات غير المرغوب فيها

يتبع موقع [REDACTED] نهجًا مختلفًا تمامًا — وهو نشر تعليقات غير مرغوب فيها بشكل صريح على مواقع ذات مصداقية عالية لا علاقة لها بالموضوع. وتقوم أسماء مستخدمين مزيفة مثل «ZackaryThymn» و«Fritzkah» و«Jamesboach» بإدراج روابط لمحافظ العملات المشفرة في مواقع تعليم الفلسفة (filozofija.edu.rs، AS 45)، ومنصات تعزيز مشاركة الموظفين ([REDACTED]، AS 63)، والمهرجانات الفنية ([REDACTED]، AS 50).

مواقع شرعية تستضيف دون علمها روابط تصيد — مخبأة بين تعليقات المستخدمين التي تبدو عادية

الحضيض: الرسائل غير المرغوب فيها المتعلقة بالأدوات الآلية

bscscan.cfd يستخدم الطريقة الأكثر فظاظةً على الإطلاق: حزم روابط خلفية مدفوعة الثمن بالجملة من مواقع تحمل أسماءً مثل [REDACTED] و [REDACTED]. جميع المصادر لها قيمة AS تساوي 0. ويُعد نطاق المستوى الأعلى .cfd مؤشراً معروفاً على البريد العشوائي. ومع ذلك، في محرك بحث Bing، حتى هذا الأسلوب يعمل جزئياً — حيث يمكن أن يؤثر حجم الروابط منخفضة الجودة على الترتيب في محركات البحث بالنسبة للنطاقات الجديدة تماماً التي لا يوجد لها سجل سلبي.

«1000 رابط خلفي مقابل 9.99 دولار» — أرخص أدوات احتيال تحسين محركات البحث (SEO) التي لا تزال تعمل جزئيًا على محرك البحث «Bing»

لماذا يعتبر كل من «بينغ» و«دوك دوك جو» عرضة للخطر بشكل خاص

نظام جوجل متعدد الطبقات لمكافحة الرسائل غير المرغوب فيها مقابل نظام الكشف الأقل نضجًا لدى بينغ — الفجوة التي يستغلها المحتالون
الاختلافات الخوارزمية التي يستغلها المحتالون بشكل نشط
ميزةجوجلBing
الكشف الديناميكي عن الصفحاتلا توجد قيمة ارتباطية من صفحات نتائج البحثيتم التعامل مع صفحات بحث «ياهو» على أنها محتوى تحريري
نضج نماذج التعلم الآلي الخاصة بالبريد العشوائيبيانات تدريب «SpamBrain» على مدى أكثر من 15 عامًاأقل نضجًا؛ لا يزال PBN AS 50–65 فعالاً
حماية العلامة التجاريةعدواني؛ تم الإبلاغ عن موقع curvefinance.co بسرعةتستمر عمليات الاحتيال المتعلقة بنطاقات المستوى الأعلى .at و/.co لفترة أطول
مزارع المحتوى التي تعتمد على الذكاء الاصطناعينظام الكشف الذي تم نشره اعتبارًا من عام 2023 فصاعدًامواقع الذكاء الاصطناعي التي تنتهي بـ .vn و.it لا تزال تحصل على درجات مقبولة
حجب محاولات التصيد الاحتياليتقوم ميزة «التصفح الآمن» بحظر النطاقات المعروفة بسرعةلا يكتشف «سمارت سكرين» النطاقات الاحتيالية المسجلة حديثًا
نقطة ضعف خاصة بـ DuckDuckGo

تستخدم DDG فهرس Bing كمصدر رئيسي للبيانات، حيث ترث كل من نقاط الضعف في «بينغ». وغالبًا ما يكون المستخدمون المهتمون بالخصوصية والذين يفضلون «DDG» على دراية بعالم التشفير — مما يجعلهم أهدافًا ذات قيمة أعلى. ولا تمتلك «DDG» آلية مستقلة للإبلاغ عن الرسائل غير المرغوب فيها؛ حيث تُرسل البلاغات إلى «بينغ».

استراتيجية استهداف الكلمات المفتاحية

تكشف ملفات تعريف الكلمات المفتاحية عن الدقة الجراحية في اختيار الأهداف. لا يستهدف المشغلون مصطلحات العلامات التجارية الأساسية فحسب، بل يستهدفون أيضًا مواقع «typosquats» («محفظة رابي», «محفظة روبي», «dexscrenner») وحتى الاستعلامات باللغة الصينية («بورصة أستر» (المركز رقم 25).

الاستهداف متعدد اللغات: الإنجليزية، الفرنسية، الصينية، الفيتنامية — تمتد العملية عبر القارات
تحليل العلامة التجارية وحجم البحث | SEMrush الولايات المتحدة | مارس 2026
الكلمة المفتاحية المستهدفةالحجم الشهرينطاق احتياليالمنصب
dexscreener60,500dexscreener.at#42
محفظة رابي5,400rabbys.at#51–71
مجموعة تريزور4,400trezorsuite.at#32–85
أستر ديكس3,600aster-dex.at#63
dexscrennerخطأ مطبعي2,400dexscreener.at#45
بورصة أسترالصينية1,000aster-dex.at#25
تنزيل مجموعة برامج [REDACTED]260trezorsuite.at#54
محفظة الحاخامخطأ مطبعي210rabbys.at#54
محفظة XMR عبر الإنترنت210monero-wallet.at#55–69

السياق التاريخي: مشكلة «[REDACTED]» و«DuckDuckGo»

هذه المشكلة لها جذور عميقة

هذه الهجمات ليست جديدة. المشكلة كانت أكثر حدة بكثير عندما استخدمت محافظ مثل «[REDACTED]» محرك البحث «DuckDuckGo» كـ محرك البحث الافتراضي داخل التطبيق. ظهر للمستخدمين الذين بحثوا عن بروتوكولات DeFi من داخل محفظتهم نتائج تصيد احتيالي في المرتبة الأولى — دون الحاجة إلى أي إجراءات معقدة لتحسين محركات البحث (SEO). وقد أدى الجمع بين محرك بحث يركز على الخصوصية مع نظام ضعيف للكشف عن الرسائل غير المرغوب فيها، ومحفظة عملات مشفرة مزودة بمتصفح مدمج، إلى العاصفة المثالية لأغراض التصيد الاحتيالي.

حتى بعد أن تخلت «[REDACTED]» عن استخدام «DDG» كمتصفح افتراضي، لا تزال الثغرة الأمنية الأساسية قائمة. أي مستخدم يقوم بـ يختار DuckDuckGo يدويًّا حرصًا على الخصوصية — وهي فئة سكانية تتداخل إلى حد كبير مع مستخدمي العملات المشفرة — لا تزال معرضة لهذه الهجمات بالذات حتى اليوم. وقد استخدمت عمليات الاحتيال الموثقة في هذا التقرير أشكالاً مختلفة من هذه التقنية منذ عدة سنوات، مع التكيف مع قيام محركات البحث بتصحيح الثغرات الأمنية الفردية تدريجيًّا.

كيف تحمي نفسك

تأكد دائمًا من صحة عنوان النطاق بالضبط

حقيقي Curve Finance → curve.fi (ليس .co، .net) • DexScreener → [REDACTED] (ليس .at) • رابي → [REDACTED] (باستثناء .at و.me) • [REDACTED] Suite → suite.[REDACTED].io (ليس trezorsuite.at) • Keplr → [REDACTED] (ليس .me) • BSCScan → [REDACTED] (ليس .cfd)

  • أبدًا ربط محفظتك من إحدى نتائج البحث
  • إضافة إلى المفضلة المواقع الشرعية مباشرةً
  • استخدم محرك البحث DDG !bang الاختصار: !g curve finance يفرض البحث عبر Google
  • تثبيت ملحق [REDACTED] للكشف عن عمليات التصيد الاحتيالي
  • تحقق من أي نطاق على THE ENABLERS REGISTRY قبل التوصيل

توصيات موجهة إلى مايكروسوفت/بينغ

  1. الكشف الديناميكي عن الصفحات: تصنيف صفحات نتائج البحث (ياهو، بايدو، جوجل) واستبعاد قيمة الروابط من الروابط الصادرة
  2. الكشف المنسق عن شبكة الملاحة القائمة على البيانات (PBN): عندما تشير 9 نطاقات إلى 5 مواقع مختلفة بنماذج متطابقة، يُعتبر ذلك تلاعبًا
  3. طبقة انتحال الهوية التجارية: الكشف عن هجمات استبدال نطاقات المستوى الأعلى (dexscreener.at[REDACTED])
  4. مراقبة نطاقات .AT: تشديد الرقابة على نطاقات .at المسجلة حديثًا في نتائج بحث العملات المشفرة
  5. الطريق السريع إلى DuckDuckGo: إنشاء واجهة برمجة تطبيقات (API) مخصصة لإزالة الرسائل غير المرغوب فيها يمكن لـ DDG الوصول إليها مباشرةً

الخلاصة

هذه ليست رسائل غير مرغوب فيها انتهازية. إنها عملية تحسين محركات البحث (SEO) منظمة بشكل احترافي، ومتعددة العلامات التجارية، ومتعددة المحاور صُممت خصيصًا لاستغلال الفجوة بين قدرات كل من «جوجل» و«بينغ» في الكشف عن الرسائل غير المرغوب فيها. وقد يرى كل مستخدم يبحث اليوم عن عبارة «تنزيل [REDACTED] Suite» على محرك البحث «DuckDuckGo» موقعًا للتصيد الاحتيالي يستنزف رصيد محفظته قبل أن يرى الموقع الحقيقي. الحل التقني موجود. والسؤال هو: هل سيقوم «بينغ» بتطبيقه؟

الأدلة متاحة للجميع. النطاقات موثقة. الضحايا حقيقيون. الحل بيد مايكروسوفت.
تحقيق متابعة — 17 أبريل 2026

الجزء الثاني: «دليل الـ2 دولار» — 26 موقعًا للتصيد الاحتيالي، مسجل واحد، و7 نتائج تحت المركز الأول في محرك بحث «بينغ»

وقد كشفت متابعة لهذا التحقيق الذي أُجري في شهر مارس عن 26 نطاقًا جديدًا للتصيد الاحتيالي — وجميعها تتظاهر بأنها بروتوكولات DeFi — تحتل حالياً المرتبة #1 on Bing بشأن استفساراتهم المتعلقة بالعلامات التجارية المستهدفة. وباستخدام بيانات الروابط الخلفية من واجهة برمجة تطبيقات SEMrush، وسجلات التسجيل في RDAP، والتحليل المباشر لشفرة المصدر، قمنا بتتبع كل نطاق على حدة إلى مشغل واحد، ومسجل واحد (IANA #3765)، وشبكة PBN مخفية تضم 15 موقعًا. تكلفة كل نطاق: 2 دولار. المدة: 10 دقائق.

مشغل واحد. 26 رابطًا للتصيد الاحتيالي في «بينغ». التكلفة: دولاران لكل نطاق.
26نطاقات التصيد الاحتيالي
1مسجل النطاقات (IANA #3765)
7المراكز الأولى في محرك بحث «بينغ»
15مواقع شبكة PBN المخفية
0تصنيفات جوجل

مشغل واحد، 26 نطاقًا، مسجل واحد

أجرينا استعلامات RDAP على جميع نطاقات التصيد الاحتيالي البالغ عددها 26 نطاقًا. وأظهرت جميعها نفس الجهة المسجلة: شركة «[REDACTED]» المحدودة. ليس «معظم». وليس «الأغلبية». تم الاستعلام عن جميع الـ 23 بنجاح — مسجل متطابق، مع وجود 3 أخطاء في حدود المعدل قبل التحقق (تتطابق أنماط بنيتهما التحتية).

تم التحقق من 23 من أصل 23. نفس مسجل النطاق. نفس العميل. لم تُتخذ أي إجراءات بشأن إساءة الاستخدام.

بيانات التسجيل في برنامج RDAP — مستندات التسجيل الجماعي

نتائج استعلام RDAP | أبريل 2026 | تم استعلام 23 من أصل 26 بنجاح
المجالينتحل شخصيةتم إنشاؤهزوج خوادم الأسماء (NS) من IANA #1910
[REDACTED]ستارغيت فاينانس2025-09-08تيري/زيمينا
[REDACTED]فيسبير فاينانس2025-09-08تيري/زيمينا
[REDACTED]VVS للتمويل2025-09-08تيري/زيمينا
[REDACTED]بروتوكول أوربيت2025-10-10تيري/زيمينا
[REDACTED]VVS للتمويل2025-07-12أبريل/كايدن
[REDACTED]SpookySwap2025-04-15أبريل/كايدن
[REDACTED]THORSwap2025-07-24أبريل/كايدن
[REDACTED]هايبرلوك فاينانس2025-07-12أرنولد/ديستيني
[REDACTED]بورصة الظل2025-06-24أموس/تريشيا
[REDACTED]شركة فيلودروم للتمويل2025-09-04دايانا/مارفن
[REDACTED]LayerBank2024-09-07أوستن/شيريل
[REDACTED]BiSwap2024-09-07السيدة/لانغستون
[REDACTED]OlympusDAO2026-03-29ناش/رومينا
[REDACTED]شبكة UNCX2025-12-24كوري/ميغان
[REDACTED]التمويل البيئي2026-02-09نيكول/سلفادور
[REDACTED]جوس فاينانس2026-02-09نيكول/سلفادور
[REDACTED]ريا فاينانس2025-05-30
[REDACTED]ريا فاينانس2025-05-30
[REDACTED]ريا فاينانس2025-05-30
[REDACTED]سيلو فاينانس2025-05-30
التسجيل الجماعي — مشغل واحد، جلسات عديدة

تُثبت أزواج NS المشتركة على IANA #1910 وتواريخ الإنشاء المتطابقة أن التسجيل تم بشكل جماعي:

  • 2025-09-08: star-gate + app-vesper + app-vvs (جميعها terry/ximena)
  • 2025-05-30: [REDACTED] + .net + [REDACTED] + silo-finance (4 نطاقات، جلسة واحدة)
  • 2026-02-09: [REDACTED] + [REDACTED] (nicole/salvador)
  • 2024-09-07: [REDACTED] + [REDACTED]عملية تستمر لأكثر من 18 شهراً

دليل «2 دولار» — خطوة بخطوة

انسَ أمور تحسين محركات البحث (SEO) المعقدة. انسَ أشهرًا من بناء الروابط. إليك تسلسل الهجوم الكامل والمُثبت الذي يضمن لك المركز الأول في نتائج بحث «بينغ».

أربع خطوات، و2 دولار، و«بينغ» تتصدر موقعاً للتصيد الاحتيالي في المرتبة الأولى
تسجيل نطاقات «تايبسكوات»$1-2 at IANA #3765
نسخ علامة العنواننسخ من الموقع الأصلي
إرسال إلى PBNإلى اللقاء. للعلم، 15 موقعًا
انتظر من 2 إلى 8 أسابيعيقوم «بينغ» بفهرسة المواقع وترتيبها
بينغ رقم 1مشروع حقيقي أعلاه

الخطوة 1: سجل «Typosquat»

تقنيات «تايبوسكوات» في 8 من أصل 26 نطاقًا
مشروع حقيقيالمجال الحقيقينطاق التصيد الاحتياليالتقنية
VVS للتمويل[REDACTED][REDACTED]حرف محذوف (i)
THORSwap[REDACTED][REDACTED]الحروف المتبادلة (a/w)
هايبرلوكhyperlock.fi[REDACTED]تبديل الحروف (c/k)
جسر Arbitrum[REDACTED][REDACTED]مبادلة + نطاق من الدرجة الأولى (TLD) رخيص
التمويل البيئي[REDACTED][REDACTED]الأخطاء الإملائية الصوتية
ثراستر فاينانس[REDACTED][REDACTED]حرف محذوف (r→n)
جسر التفاؤل[REDACTED][REDACTED]أخطاء مطبعية متعددة
ستارغيت فاينانس[REDACTED][REDACTED]الإفراط في استخدام الكلمات المفتاحية

الخطوة 2: نسخ علامة العنوان (0 دولار، 5 دقائق)

يقوم المشغل بنسخ النص بالضبط <title> العلامة والوصف التعريفي المأخوذان من الموقع الإلكتروني للمشروع الفعلي. هذه هي الخطوة الأهم على الإطلاق. الصفحة نفسها تُستنزف رصيد المحفظة أو تستخرج عبارة البذرة — لكن <title> هذا ما يصنفه «بينغ».

الخطوة 3: الإرسال إلى شبكة PBN المخفية (0 دولار، دقيقة واحدة)

يزور المشغل أيًا من المواقع الـ15 التابعة لـPBN (bye.fyi, atomizelink.icu، وما إلى ذلك)، ويكتب اسم النطاق في حقل بعنوان «أدخل عنوان URL الخاص بك»، ثم ينقر على «تقصير». وبمجرد الضغط على زر الإرسال، يتم إنشاء صفحة على جميع المواقع الخمسة عشر في آن واحد — حيث تتشارك هذه المواقع قاعدة بيانات واحدة.

الخطوة 4: الانتظار (2-8 أسابيع، 0 دولار)

الدليل: رابط خلفي واحد = المرتبة الأولى في Bing

[REDACTED] احتلت المرتبة الأولى على محرك بحث «Bing» لعبارة «Thruster Finance» بفضل رابط خلفي واحد بالضبط — صفحة من نتائج بحث ياهو مخزنة في ذاكرة التخزين المؤقت. لم تكن شبكة المواقع الخاصة (PBN) ضرورية أصلاً.

تفصيل التكلفة الإجمالية

ماذاالتكلفةالوقت
النطاق (.cc/.com عبر IANA #3765)$1-2دقيقتان
نظام أسماء النطاقات (DNS) من IANA #1910 (الخطة المجانية)$01 دقيقة
نسخ علامة العنوان من موقع حقيقي$05 دقائق
إرسال إلى PBN (bye.fyi وما إلى ذلك)$01 دقيقة
انتظر حتى يتم الفهرسة$02-8 أسابيع
المجموع$1-2حوالي 10 دقائق

داخل محرك التخفي

لقد قمنا باستخراج وتحليل كود HTML الأصلي من شبكة PBN. وتستخدم كل صفحة في كل نطاق نفس محرك الإخفاء.

ما يراه المستخدمون مقابل ما يراه Bingbot — الـ z-index: 1000000 يخفي الجدار 3,500 رابطًا

بنية الصفحة: 400 كيلوبايت من HTML، أكثر من 3,500 رابط، 4 طبقات

الطبقة 1 — جدار الإخفاء (ما يراه المستخدمون)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

يغطي العنصر «div» الأبيض نافذة العرض بأكملها. ويضمن «z-index:1000000» عدم عرض أي عنصر فوقه. overflow:hidden عند ظهور النص في منطقة الجسم، يتعذر التمرير إلى ما بعده. فيرى المستخدم عبارة «منتهي الصلاحية» ويغادر.

الطبقة 2 — إعادة التوجيه عبر JS (الحماية الاحتياطية)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

إذا تجاوز المستخدم «الجدار الأبيض»، فإن جافا سكريبت تقوم بإعادة توجيهه إلى موقع scrib.li (لتحقيق الدخل من خلال برنامج الشراكة). حماية ثلاثية ضد الزوار من البشر.

الطبقة الثالثة — الواجهة الزائفة (ما تراه الروبوتات)

يتجاهل Bingbot التراكب CSS — فهو يحلل كود HTML الخام. ويرى موقعًا لـ«تقصير الروابط» يحتوي على نموذج بحث. يبدو موقعًا شرعيًّا.

الطبقة الرابعة — كتلة الروابط (3,500 رابط مع علامة nofollow)
<p>Learn More Here <a rel="nofollow"
     href="https://POSSIBLY [REDACTED]">POSSIBLY [REDACTED]</a></p>
... x 3,500 links ...

نطاق التصيد الاحتيالي مخبأ بين 3,500 نطاق عشوائي. مكافآت Bing rel="nofollow" كإشارة للمؤشر — فهو يقوم بالبحث في الموقع المستهدف على أي حال.

الدليل: شبكة واحدة، قاعدة بيانات واحدة

[REDACTED] يظهر عبر عدة نطاقات تابعة لشبكة PBN مع أرقام تعريف متسلسلة من نفس قاعدة البيانات:

قاعدة بيانات واحدة. 15 نطاقًا أماميًا. تعرض جميع الشاشات محتوى متطابقًا من نفس النظام الخلفي.
المعرّفات التسلسلية عبر العلامات التجارية «المختلفة» لشبكة PBN — دليل مشترك على البنية التحتية
نطاق PBNنمط عنوان URLرقم التعريف
[REDACTED]/stats/4920749207
[REDACTED]/stats/4920749207
[REDACTED]/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
[REDACTED]/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
[REDACTED]/report/4920849208

تطابق المعرّفات عبر «العلامات التجارية» المختلفة = نظام خلفي واحد، مشغل واحد. 15 نطاقًا. نفس قالب HTML. نفس CSS (style.css). نفس جافا سكريبت (work.js). نفس الصفحات التي تحتوي على 3,500 رابط.

شبكة PBN الثانية — شبكة فحص النطاقات

توفر شبكة روابط منفصلة وأكثر فعالية روابط خلفية من نوع «dofollow» إلى أهداف محددة. الخادم الرئيسي: [REDACTED] — تثبيت لـ WordPress 6.6.2 يقدم ملفات CSS وJS والقوالب إلى 50-80 نطاقًا تابعًا.

شبكة PBN المخفية (الشبكة أ) مقابل أداة فحص النطاقات (الشبكة ب)
ميزةالشبكة أ (شبكة PBN مخفية)الشبكة ب (أداة التحقق من النطاقات)
المواقع~15~50-80
الإخفاءنعم (إعادة توجيه عبر CSS وJS)لا
نوع الرابط99.4% من الروابط ذات السمة "nofollow"99.99% من الروابط "dofollow"
عدد الروابط في كل صفحة~3,500~10,000
حجم الصفحة400 كيلوبايت4 ميغابايت
CMSPHP المخصصووردبريس 6.6.2
الخادم الرئيسيقاعدة بيانات مشتركة (معرّفات متسلسلة)[REDACTED]
مدير علامات جوجللانعم (يتتبع حركة المرور)
المفارقة

على الرغم من أن الشبكة «ب» تمتلك روابط خلفية أكثر بـ 10 أضعاف، وجميعها من نوع «dofollow»، فإنها تستهدف لم تحتل المرتبة الأولى في «بينغ». يحتوي موقع [REDACTED] على 110 رابطًا من نوع «dofollow». أما موقع [REDACTED] فيحتوي على 98 رابطًا. ولا يحتل أي منهما المرتبة الأولى.

وفي هذه الأثناء، [REDACTED] لديه رابط خلفي واحد ويحتل المرتبة الأولى.

تُعد شبكة المواقع الخاصة (PBN) المُخفية بعلامة «nofollow» مع مطابقة العناوين أكثر فعالية من الرسائل غير المرغوب فيها الجماعية التي تحمل علامة «dofollow» بالنسبة لمحرك بحث Bing.

لماذا يقع «بينغ» في هذا الفخ؟

الروبوت المُدرَّع من «جوجل» يمنع عمليات التصيد الاحتيالي عند البوابة. أما البواب الودود من «بينغ» فيبقي الباب مفتوحًا.

ثغرة «Title-Match»

[REDACTED] يحتوي على رابط خلفي واحد فقط — وهو صفحة من نتائج بحث ياهو مخزنة في ذاكرة التخزين المؤقت. ويحتل المرتبة الأولى في محرك بحث «بينغ» عند البحث عن عبارة «Thruster Finance». وهذا يثبت أن ترتيب «بينغ» لعمليات البحث المتعلقة بالعلامات التجارية ذات المنافسة المنخفضة يعتمد بشكل أساسي على:

  1. المطابقة التامة لعلامة العنوان بشأن استعلام البحث
  2. تم فهرسة النطاق (أي إشارة — حتى لو كانت رابطًا واحدًا يحمل علامة «nofollow» — تكفي)
  3. لا توجد إشارات سلبية تدل على انعدام الثقة (النطاق جديد، وسجله خالٍ من أي مشاكل)

تتطلب «جوجل» وجود إشارات قوية تدل على المصداقية، كما أنها تقوم بمقارنة النتائج مع نطاقات العلامات التجارية المعروفة. أما «بينغ» فلا تفعل ذلك.

بينغ مقابل جوجل — نتائج الترتيب في 26 مجالًا
النظام المتريBingجوجل
نطاقات التصيد الاحتيالي في المرتبة الأولى70
نطاقات التصيد الاحتيالي ضمن قائمة العشرة الأوائل70
الوقت اللازم لبدء الترتيب منذ إنشاء النطاق2-8 أسابيعأبدًا

نتائج Bing رقم 1 (تم التحقق منها عبر SerpAPI، أبريل 2026)

استعلام#1 Result (Possibly phishing)الروابط الخلفية
«ستارغيت فاينانس»[REDACTED]20
"بورصة الظل"[REDACTED]16
"شبكة UNCX"[REDACTED]51
«Thruster Finance»[REDACTED]1
«بروتوكول أوربيت»[REDACTED]15
«VVS Finance»[REDACTED] (#1) + [REDACTED] (#10)36 + 37

قائمة الحماية المحدثة (العلامات التجارية في الجزء الثاني)

تأكد دائمًا من صحة عنوان النطاق بالضبط

ستارغيت فاينانس → [REDACTED] (وليس [REDACTED]) • VVS Finance → [REDACTED] (ليس [REDACTED]) • THORSwap → [REDACTED] (ليس [REDACTED]) • مضمار الدراجات → [REDACTED] (ليس [REDACTED]) • UNCX → [REDACTED] (ليس [REDACTED]) • SpookySwap → spooky.fi (ليس موقع [REDACTED]) • OlympusDAO → [REDACTED] (ليس [REDACTED]) • Thruster → [REDACTED] (ليس [REDACTED]) • موسيقى أمبيانت → [REDACTED] (ليس [REDACTED])

التوصيات (الجزء الثاني)

إلى مايكروسوفت/بينغ:

  1. المنافسة على اللقب وحدها لا تعني السلطة. لا ينبغي أن يؤدي العنوان المطابق إلى تصنيف نطاق جديد في المرتبة الأولى في نتائج البحث المتعلقة بالعلامة التجارية. يجب اشتراط عمر النطاق، أو مصداقية الروابط الخلفية، أو إشارات التحقق من العلامة التجارية.
  2. الكشف عن إخفاء المحتوى باستخدام CSS. يجب الإبلاغ عن الصفحات التي تستخدم طبقات «z-index» التي تخفي المحتوى عن المستخدمين ولكنها تعرضه لبرامج الزحف.
  3. الكشف عن شبكات PBN المنسقة. إن وجود 15 نطاقًا تشترك في بنية خلفية واحدة وترتبط بنفس الوجهات لا يُعد بناءً عضويًّا للروابط.
  4. تمييز النطاقات المسجلة لدى IANA #3765 في نتائج بحث العملات المشفرة من أجل إجراء تدقيق أكثر دقة.
  5. إنشاء مسار سريع للتعامل مع الرسائل غير المرغوب فيها في DuckDuckGo. يرث محرك البحث DDG جميع الثغرات الأمنية الموجودة في Bing، لكنه يفتقر إلى آلية مستقلة للإبلاغ عن الرسائل غير المرغوب فيها.

إلى شركة «[REDACTED]»:

26 نطاقًا للتصيد الاحتيالي. عميل واحد. تم تسجيلها دفعة واحدة على مدار 18 شهرًا. لم تُتخذ أي إجراءات بشأن إساءة الاستخدام. وقد تم توثيق ذلك الآن بشكل علني. المرجع: عندما لا تُتّبع تقارير الإساءة و IANA #3765: عامل تمكين شامل.

إلى IANA #1910:

تستخدم جميع النطاقات الـ 26 خدمة DNS والبروكسي من IANA #1910. وتُستخدم هذه النطاقات لخدمة برامج استنزاف المحافظ وجمع عبارات البذور من خلال البنية التحتية لشركة IANA #1910.

الجزء الثاني: الخاتمة

هذه ليست رسائل غير مرغوب فيها انتهازية. إنها حملة مدتها 18 شهراً، تم تنفيذها بشكل احترافي من قبل جهة مشغلة واحدة الذي اكتشف أنه يمكن التحايل على خوارزمية ترتيب «بينغ» باستخدام نطاق بقيمة 2 دولار وعلامة عنوان منسوخة. تحتل سبعة مواقع للتصيد الاحتيالي حالياً المرتبة الأولى في محرك البحث «بينغ» — فوق المنصات الشرعية التي ينتحلون هويتها.

تمثل البنية التحتية لإخفاء المواقع التي قمنا بتوثيقها — وهي 15 موقعًا متطابقًا تستخدم قواعد بيانات مشتركة، وتخفي المحتوى باستخدام CSS، وتستخدم حلولًا بديلة لإعادة التوجيه عبر JavaScript — أداة مصممة خصيصًا للتلاعب بمحركات البحث على نطاق واسع.

تحجب «جوجل» جميع النطاقات الـ26. ويُصنف «بينغ» 7 منها في المرتبة الأولى. والحل التقني متاح. والأدلة متاحة للجميع. والنطاقات موثقة. وتم تحديد هوية الجهة المسجلة. يبقى السؤال: هل سيتم اتخاذ أي إجراء؟

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings