Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / SEO HIJACK

SEO-Hijack: Phishing-Seiten auf Platz 1 bei Bing

The Enablers Registry·Editorial mirror·/de/seo-hijack/

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Ein Untersuchungsbericht mit Live-Daten von SEMrush, der zwei parallele SEO-Angriffsoperationen aufdeckt, mit denen Krypto-Possibly phishing-Websites an die Spitze der Suchergebnisse bei Bing und DuckDuckGo gebracht werden. 10 Domains. 2 Angriffsvektoren. Über 100.000 potenzielle Opfer pro Monat.

30. März 2026 THE ENABLERS REGISTRY-Forschung 22 Minuten Lesezeit SEMrush-API-Daten
Suchmaschinen unter Beschuss: Organisierte Aktionen drängen Possibly phishing-Seiten vor legitime Krypto-Plattformen
10Possibly phishing-Domains
9PBN-Spender
60,500+Tägliche Exposition
100.000+Opfer/Monat
2Angriffsvektoren
Haftungsausschluss

Alle Daten in diesem Bericht wurden über die SEMrush-API und enablers.report zu Forschungszwecken im Bereich Cybersicherheit erhoben. Die Domainnamen werden veröffentlicht, um Nutzer zu warnen, nicht um für sie zu werben.

Die beiden Angriffsvektoren

Unsere Untersuchung ergab, dass zwei völlig unterschiedliche, parallel ablaufende Vorgänge die gleichzeitig laufen, um Possibly phishing-Seiten an die Spitze der Bing- und DuckDuckGo-Suchergebnisse zu bringen.

Vektor A: Yahoo-SERP-Injektion
Nutzt die Domain-Autorität von Yahoo (AS 24) über mobile Suchseiten aus. Bing übernimmt das Vertrauen von dynamisch generierten Yahoo-Such-URLs, die Possibly phishing-Anker enthalten. Ziele: curvefinance.co, curvefi.co, aster-dex.at
Vektor B: Koordiniertes PBN-Netzwerk
9 kompromittierte/gekaufte Domains mit den AS-Nummern 49–65 verweisen gleichzeitig auf mehrere Possibly phishing-Seiten. Funktioniert bei ALLEN Suchmaschinen. Ziele: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, [REDACTED]

Vektor A: Der Yahoo-SERP-Injection-Angriff

Das ist wohl das technisch am elegantesten Ein Black-Hat-SEO-Angriff, den wir im Jahr 2026 dokumentiert haben. Er nutzt eine grundlegende Schwachstelle in der Art und Weise aus, wie Bing die Link-Autorität bewertet – insbesondere die Unfähigkeit, zwischen echten redaktionellen Links und dynamisch generierten Suchergebnisseiten von vertrauenswürdigen Domains zu unterscheiden.

Der von Yahoo übernommene Authority Score (AS 24) wird über mobile Suchseiten an Possibly phishing-Domains weitergegeben – Bing akzeptiert dieses Signal als legitim

Der Mechanismus – Schritt für Schritt

Yahoo-URL erstellen8+ Ländersubdomains
Anker einbettenZufällige Anfrage + Possibly phishing-Link
Kriechen erzwingenPing-Dienste + Spam
Bing-IndizesÜbernimmt Yahoo AS 24
Platz 1Possibly phishing-Seite unter den Top-Ergebnissen

Schritt 1 – Generieren der URL des vertrauenswürdigen Anbieters. Angreifer erstellen URLs auf den mobilen Such-Endpunkten von Yahoo über mehrere internationale Subdomains hinweg: [REDACTED] (Norwegen), [REDACTED] (Frankreich), [REDACTED] (Mexiko), [REDACTED] (Polen), [REDACTED] (Griechenland), [REDACTED] (Quebec), [REDACTED] (Schweizer Französisch), [REDACTED] (Kolumbien). Diese Seiten weisen den von Yahoo übernommenen Authority-Score von 23–24 auf.

Schritt 2 – Einbetten des Possibly phishing-Ankers. Jede URL enthält eine völlig zufällige, harmlose Suchanfrage – „pele+fifa“, „Jean-Paul+Sartre“, „Radio+Stars“, „jucheck.exe“ –, doch der Ankertext lautet: curvefi.co Curve Finance. Die zufällig angeordneten Abfragen stellen sicher, dass Spamfilter keine Muster erkennen können.

Schritt 3 – Erzwungene Crawling- und Indizierungsprozesse. Angreifer veranlassen Bingbot dazu, diese URLs zu crawlen, indem sie Massen-Ping-Dienste, das Einfügen von Kommentaren in Foren und Blogs sowie automatisierte Tools zum Auslösen von Crawls nutzen.

Bings algorithmisches Versagen

Googles Algorithmus: „Dies ist eine dynamische Suchseite. Es findet keine Übertragung von Link-Wert statt.“
Der Algorithmus von Bing:[REDACTED] verlinkt auf curvefi.co mit dem Ankertext ‚Curve Finance DEX‘. Ranking-Signal akzeptiert. ✓“

Ergebnis: Die Possibly phishing-Seite klettert bei Bing und DuckDuckGo unter dem Suchbegriff „Curve Finance“ in die Top 3.

Unbearbeitete SEMrush-Daten — curvefi.co

SEMrush Backlink Analytics API | 30.03.2026 | Ziel: curvefi.co
ASQuelldomäneAnkertext
24[REDACTED]www.curvefi.cot Curve Finance
24[REDACTED]curvefi.co Curve Finance
24[REDACTED]curvefi.co Curve Finance
24[REDACTED]www.curvefi.cot Curve Finance
24[REDACTED]www.curvefi.cot Curve Finance
24[REDACTED]www.curvefi.cot Curve Finance
23[REDACTED]www.curvefi.cot Curve Finance
23[REDACTED]curvefi.co Curve Finance

Die brutale Ironie: Die Website bietet Null organische Suchbegriffe, Null Traffic in der SEMrush-Datenbank – dennoch erscheint die Seite aufgrund der von Yahoo übernommenen Autorität in den Bing-/DDG-Ergebnissen für „Curve Finance“.

Vektor B: Das koordinierte PBN-Netzwerk

An dieser Stelle wird die Untersuchung erst richtig beunruhigend. Fünf verschiedene Possibly phishing-Seiten — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at und [REDACTED] — haben alle eines gemeinsam: identische Gruppe von Backlink-Quellen. Das ist kein Zufall. Das ist eine einzige organisierte kriminelle Vereinigung die Durchführung mehrerer Possibly phishing-Kampagnen über eine einzige Infrastruktur.

Ein Betreiber, 9 PBN-Spender, 5 Possibly phishing-Ziele – die Wahrscheinlichkeit, dass dies ein Zufall ist, liegt bei etwa 0,00001 %

Der entscheidende Beweis – Gemeinsame Infrastruktur

SEMrush-API | Domänenübergreifende Analyse | 30.03.2026
PBN-SpenderdomainASrabbysdexscrMonero[REDACTED]
[REDACTED]65
[REDACTED]61
[REDACTED]60
[REDACTED].jo56
[REDACTED]56
[REDACTED]54
[REDACTED]50
markjohnsonbuilders50
[REDACTED]49
Hinweis zu [REDACTED]

Der wichtigste PBN-Spender (AS 65) ist selbst ein Typosquat von „Louis Vuitton“. Dieser PBN-Spender ist eine Betrugsseite, die andere Betrugsseiten stützt – eine kriminelle Infrastruktur auf ganzer Linie.

Possibly phishing-Domain-Profile

SEMrush-Domainübersicht | März 2026
DomäneGibt sich als jemand anderes ausSchlüsselwörterTop-ZielUmfang
dexscreener.atDexScreener64„dexscreener“ Nr. 4260.500/Monat
rabbys.atRabby-Geldbörse15„Rabby Wallet“ Nr. 515.400/Monat
trezorsuite.at[REDACTED] Suite7[REDACTED] Suite“ Nr. 324.400/Monat
aster-dex.atAster DEX13„Aster-Börse“ Nr. 253.600/Monat
monero-wallet.atMonero-Wallet4„xmr wallet online“ #26210/Monat
[REDACTED]Keplr Wallet0Versteckter Kommentar-Spamk. A.
bscscan.cfdBSCScan0Massen-Spam-Linksk. A.
curvefinance.coCurve Finance0Nur Yahoo-Einbindungk. A.
curvefi.coCurve Finance0Nur Yahoo-Einbindungk. A.
[REDACTED]Curve-App0Mischtechnikenk. A.
Wichtig: [REDACTED] Suite herunterladen

Nutzer, die suchen [REDACTED] Suite herunterladen“ aktiv nach einer Wallet-Software suchen. Eine Possibly phishing-Seite auf Platz 3–5 bei DuckDuckGo führt dazu, dass Nutzer Schadsoftware in der Annahme, es handele sich um die Benutzeroberfläche einer Hardware-Wallet. Das ist keine Theorie – es geschieht gerade in diesem Moment.

Die KI-gestützte Artikel-Fabrik

Die Variante „aster-dex.at“ verwendet ein hybrider Ansatz, wobei Yahoo-Injection mit KI-generierten Blog-Inhalten kombiniert wurde, die auf kompromittierten oder eigens dafür eingerichteten Websites in Vietnam, Italien, Indonesien und der Schweiz platziert wurden.

Von KI generierte Artikel auf gehackten Websites – identische Titel, unterschiedliche Domains, die alle auf dasselbe Possibly phishing-Ziel verweisen

Die Blog-Artikel haben alle nahezu identische Titel: „Warum Token-Swaps und Liquiditätspools selbst erfahrene DEX-Händler immer noch vor Probleme stellen“, „Warum automatisierte Market Maker Händler immer noch überraschen“. Das sind Von KI generierte Artikel auf Websites mit den AS-Nummern 21–36 platziert, die alle auf aster-dex.at verweisen.

Eindringen von Kommentar-Spam

[REDACTED] verfolgt einen völlig anderen Ansatz – reinen Kommentar-Spam auf themenfremden Websites mit hoher Autorität. Falsche Benutzernamen wie „ZackaryThymn“, „Fritzkah“ und „Jamesboach“ schleusen Anker für Krypto-Wallets in Websites zur Philosophieausbildung ein (filozofija.edu.rs, AS 45), Plattformen zur Mitarbeiterbindung ([REDACTED], AS 63) sowie Kunstfestivals ([REDACTED], AS 50).

Seriöse Websites, die unwissentlich Possibly phishing-Links hosten – versteckt in normal aussehenden Nutzerkommentaren

Der absolute Tiefpunkt: Automatisierter Tool-Spam

bscscan.cfd nutzt die primitivste Methode überhaupt: gekaufte Backlink-Pakete in großer Stückzahl von Websites, die buchstäblich so heißen wie [REDACTED] und [REDACTED]. Alle Quellen weisen AS = 0 auf. Die TLD „.cfd“ gilt als bekannter Spam-Indikator. Dennoch funktioniert dies bei Bing zumindest teilweise – die Anzahl minderwertiger Links kann die Platzierungen auf brandneuen Domains ohne negative Vorgeschichte beeinflussen.

„1000 Backlinks für 9,99 $“ – die billigsten SEO-Betrugs-Tools funktionieren bei Bing teilweise immer noch

Warum gerade Bing und DuckDuckGo besonders anfällig sind

Googles mehrstufiger Spam-Schutz im Vergleich zu Bings noch nicht ausgereifter Erkennung – eine Lücke, die Betrüger ausnutzen
Algorithmische Unterschiede, die Betrüger aktiv ausnutzen
FunktionGoogleBing
Erkennung dynamischer SeitenKein Link-Equity von SuchergebnisseitenYahoo-Suchseiten werden als redaktionelle Inhalte behandelt
Reifegrad des Spam-MLÜber 15 Jahre Trainingsdaten für SpamBrainNoch nicht ganz ausgereift; PBN AS 50–65 funktioniert weiterhin
MarkenschutzAggressiv; curvefinance.co wurde schnell markiertBetrugsfälle mit den TLDs „.at“ und „.co“ halten sich länger
KI-Content-FarmenErkennung ab 2023 im EinsatzKI-Farmen mit den Endungen .vn und .it erreichen weiterhin die Mindestpunktzahl
Possibly phishing-Schutz„Safe Browsing“ blockiert bekannte Domains umgehendSmartScreen erkennt neu registrierte Betrugsdomains nicht
Eine spezifische Schwäche von DuckDuckGo

DDG nutzt den Index von Bing als primäre Datenquelle und übernimmt dabei alle der Sicherheitslücken von Bing. Datenschutzbewusste Nutzer, die DDG bevorzugen, kennen sich oft gut mit Kryptografie aus – was sie zu besonders attraktiven Zielen macht. DDG verfügt über keinen eigenen Mechanismus zur Spam-Meldung; Meldungen werden an Bing weitergeleitet.

Strategie zur Keyword-Ausrichtung

Die Keyword-Profile zeigen chirurgische Präzision bei der Zielauswahl. Die Betreiber zielen nicht nur auf primäre Markenbegriffe ab, sondern auch auf Typosquats („Rabbi-Geldbörse“, „Rubby-Geldbörse“, „dexscrenner“) und sogar Suchanfragen auf Chinesisch („Aster-Börse“ Platz 25).

Mehrsprachige Ausrichtung: Englisch, Französisch, Chinesisch, Vietnamesisch – die Aktivitäten erstrecken sich über mehrere Kontinente
Marken- und Suchvolumenanalyse | SEMrush US | März 2026
Ziel-KeywordMonatliches VolumenBetrugsdomainPosition
dexscreener60,500dexscreener.at#42
Rabby-Geldbörse5,400rabbys.at#51–71
[REDACTED] Suite4,400trezorsuite.at#32–85
Aster Dex3,600aster-dex.at#63
dexscrennerTippfehler2,400dexscreener.at#45
Aster-BörseChinesisch1,000aster-dex.at#25
[REDACTED] Suite herunterladen260trezorsuite.at#54
Rabbi-GeldbörseTippfehler210rabbys.at#54
XMR-Wallet online210monero-wallet.at#55–69

Historischer Kontext: Das Problem mit [REDACTED] und DuckDuckGo

Dieses Problem hat tiefe Wurzeln

Diese Angriffe sind nichts Neues. Das Problem war deutlich schwerwiegender als Wallets wie [REDACTED] DuckDuckGo als ihre Standard-Suchmaschine in der App. Nutzern, die innerhalb ihrer Wallet nach DeFi-Protokollen suchten, wurden Possibly phishing-Ergebnisse als erstes Suchergebnis angezeigt – ganz ohne aufwendige Suchmaschinenoptimierung. Die Kombination aus einer datenschutzorientierten Suchmaschine mit schwacher Spam-Erkennung und einer Krypto-Wallet mit integriertem Browser führte zu einer perfekte Sturmkonstellation zum Zwecke des Possibly phishing.

Auch nachdem [REDACTED] DDG als Standardbrowser abgelöst hat, besteht die zugrunde liegende Sicherheitslücke weiterhin. Jeder Nutzer, der wählt aus Datenschutzgründen bewusst DuckDuckGo aus — eine Bevölkerungsgruppe, die sich stark mit der Gruppe der Krypto-Nutzer überschneidet — ist auch heute noch genau diesen Angriffen ausgesetzt. Die in diesem Bericht dokumentierten Betrugsmaschen nutzen seit langem Varianten dieser Technik für mehrere Jahre, wobei sie sich anpasst, während Suchmaschinen einzelne Vektoren nach und nach beheben.

So schützen Sie sich

Überprüfen Sie stets die genaue Domain

REAL Curve Finance → curve.fi (NICHT .co, .net) • DexScreener → [REDACTED] (NICHT .at) • Rabby → [REDACTED] (NICHT .at, .me) • [REDACTED] Suite → suite.[REDACTED].io (NICHT trezorsuite.at) • Keplr → [REDACTED] (NICHT .me) • BSCScan → [REDACTED] (NICHT .cfd)

  • NIEMALS Verbinden Sie Ihre Wallet über ein Suchergebnis
  • Lesezeichen direkt auf seriöse Websites
  • Verwenden Sie DDG’s !bang Tastenkombination: !g curve finance zwingt die Google-Suche
  • Installieren Sie die Erweiterung zur Possibly phishing-Erkennung von [REDACTED]
  • Überprüfen Sie jede beliebige Domain unter THE ENABLERS REGISTRY vor dem Anschließen

Empfehlungen an Microsoft/Bing

  1. Erkennung dynamischer Seiten: Suchergebnisseiten klassifizieren (Yahoo, Baidu, Google) und den Link-Wert aus ausgehenden Links entfernen
  2. Koordinierte PBN-Erkennung: Wenn 9 Domains auf 5 verschiedene Websites mit identischen Mustern verweisen, als Manipulation kennzeichnen
  3. Ebene „Markenimitation“: TLD-Substitutionsangriffe erkennen (dexscreener.at[REDACTED])
  4. .AT-Domain-Überwachung: Verstärkte Überprüfung neu registrierter .at-Domains in Krypto-SERPs
  5. DuckDuckGo im Schnelldurchlauf: Eine spezielle API zur Spam-Entfernung erstellen, auf die DDG direkt zugreifen kann

Fazit

Das ist kein opportunistischer Spam. Das ist ein professionell organisierte, markenübergreifende und vielschichtige SEO-Maßnahmen speziell entwickelt, um die Lücke zwischen den Spam-Erkennungsfunktionen von Google und Bing auszunutzen. Jeder Nutzer, der heute auf DuckDuckGo nach „[REDACTED] Suite Download“ sucht, sieht möglicherweise zuerst eine Possibly phishing-Seite, die ihm das Geld aus der Tasche zieht, bevor er die echte Seite zu Gesicht bekommt. Die technische Lösung gibt es bereits. Die Frage ist, ob Bing sie umsetzen wird.

Die Beweise sind öffentlich zugänglich. Die Domains sind dokumentiert. Die Opfer sind echt. Die Lösung liegt in den Händen von Microsoft.
Folgeuntersuchung – 17. April 2026

Teil II: Das 2-Dollar-Strategiehandbuch – 26 Possibly phishing-Seiten, 1 Domain-Registrar, 7 Bing-Ergebnisse auf Platz 1

Eine Folgeuntersuchung zu dieser Untersuchung vom März ergab 26 neue Possibly phishing-Domains — die sich alle als DeFi-Protokolle ausgeben — stehen derzeit auf Platz #1 on Bing für ihre Suchanfragen zu Zielmarken. Mithilfe von Backlink-Daten der SEMrush-API, RDAP-Registrierungsdaten und einer direkten Quellcode-Analyse haben wir jede einzelne Domain zurückverfolgt bis zu ein Betreiber, eine Registrierungsstelle (IANA #3765) und ein getarntes PBN-Netzwerk mit 15 Websites. Kosten pro Domain: 2 $. Zeitaufwand: 10 Minuten.

Ein Betreiber. 26 Possibly phishing-Köder in Bing. Kosten: 2 Dollar pro Domain.
26Possibly phishing-Domains
1Registrar (IANA #3765)
7Platz 1 bei Bing
15Versteckte PBN-Websites
0Google-Rankings

Ein Betreiber, 26 Domains, ein Registrar

Wir haben RDAP-Abfragen für alle 26 Possibly phishing-Domains durchgeführt. Bei jeder einzelnen wurde derselbe Registrar angezeigt: [REDACTED]. Nicht die meisten. Nicht die Mehrheit. Alle 23 von 23 wurden erfolgreich abgefragt — derselbe Registrar, mit 3 Rate-Limit-Fehlern vor der Verifizierung (die Infrastrukturmuster stimmen überein).

23 von 23 überprüft. Derselbe Registrar. Derselbe Kunde. Keine Maßnahmen wegen Missbrauchs.

RDAP-Registrierungsdaten – Nachweis der Sammelregistrierung

RDAP-Abfrageergebnisse | April 2026 | 23 von 26 erfolgreich abgefragt
DomäneGibt sich als jemand anderes ausErstelltIANA #1910-NS-Paar
[REDACTED]Stargate Finance2025-09-08Terry/Ximena
[REDACTED]Vesper Finance2025-09-08Terry/Ximena
[REDACTED]VVS Finance2025-09-08Terry/Ximena
[REDACTED]Orbit-Protokoll2025-10-10Terry/Ximena
[REDACTED]VVS Finance2025-07-12April/Kayden
[REDACTED]SpookySwap2025-04-15April/Kayden
[REDACTED]THORSwap2025-07-24April/Kayden
[REDACTED]Hyperlock Finance2025-07-12arnold/destiny
[REDACTED]Shadow Exchange2025-06-24amos/tricia
[REDACTED]Velodrome Finance2025-09-04Dayana/Marvin
[REDACTED]LayerBank2024-09-07Austin/Cheryl
[REDACTED]BiSwap2024-09-07Lady/Langston
[REDACTED]OlympusDAO2026-03-29nash/romina
[REDACTED]UNCX-Netzwerk2025-12-24Cory/Megan
[REDACTED]Ambient Finance2026-02-09Nicole/Salvador
[REDACTED]Juice Finance2026-02-09Nicole/Salvador
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Silo Finance2025-05-30
Stapelregistrierung – Ein Bediener, viele Sitzungen

Gemeinsam genutzte IANA #1910-NS-Paare und identische Erstellungsdaten belegen eine Sammelregistrierung:

  • 2025-09-08: star-gate + app-vesper + app-vvs (alle terry/ximena)
  • 2025-05-30: [REDACTED] + .net + [REDACTED] + silo-finance (4 Domains, eine Sitzung)
  • 2026-02-09: [REDACTED] + [REDACTED] (nicole/salvador)
  • 2024-09-07: [REDACTED] + [REDACTED]Maßnahme mit einer Laufzeit von mehr als 18 Monaten

Das 2-Dollar-Playbook – Schritt für Schritt

Vergessen Sie ausgefeilte SEO-Maßnahmen. Vergessen Sie monatelanges Linkbuilding. Hier ist die vollständige, bewährte Vorgehensweise, mit der Sie auf Platz 1 bei Bing landen.

Vier Schritte, 2 Dollar – und schon krönt Bing eine Possibly phishing-Seite zur Nummer 1
Typosquat registrieren$1-2 at IANA #3765
Titel-Tag klonenVon der echten Website kopieren
An PBN sendenTschüss. Zur Info: 15 Websites
2–8 Wochen wartenBing indexiert und ordnet die Ergebnisse ein
Bing Nr. 1Oben: ein echtes Projekt

Schritt 1: Typosquat-Register

Typosquat-Techniken in 8 der 26 Domänen
Echtes ProjektEchte DomainPossibly phishing-DomainTechnik
VVS Finance[REDACTED][REDACTED]Ausgelassener Buchstabe (i)
THORSwap[REDACTED][REDACTED]Vertauschte Buchstaben (a/w)
Hyperlockhyperlock.fi[REDACTED]Vertauschte Buchstaben (c/k)
Arbitrum-Bridge[REDACTED][REDACTED]Tausch + günstige TLD
Ambient Finance[REDACTED][REDACTED]Phonetische Falschschreibung
Thruster Finance[REDACTED][REDACTED]Ausgelassener Buchstabe (r→n)
Brücke des Optimismus[REDACTED][REDACTED]Mehrere Tippfehler
Stargate Finance[REDACTED][REDACTED]Keyword-Spamming

Schritt 2: Das Titel-Tag klonen (0 $, 5 Minuten)

Der Betreiber kopiert genau das <title> Tag und Meta-Beschreibung von der Website des eigentlichen Projekts. Das ist der mit Abstand wichtigste Schritt. Die Seite selbst ist ein „Wallet-Drainer“ oder ein „Seed-Phrase-Harvester“ – aber <title> ist das, was Bing in den Suchergebnissen anzeigt.

Schritt 3: Bei dem Cloaked-PBN einreichen (0 $, 1 Minute)

Der Betreiber besucht einen der 15 PBN-Standorte (bye.fyi, atomizelink.icu, usw.), gibt die Domain in das Feld „Geben Sie Ihre URL ein“ ein und klickt auf „Kürzen“. Mit einem einzigen Klick wird gleichzeitig eine Seite auf allen 15 Websites erstellt – diese nutzen eine gemeinsame Datenbank.

Schritt 4: Warten (2–8 Wochen, 0 $)

Beweis: 1 Backlink = Platz 1 bei Bing

[REDACTED] erreichte bei Bing Platz 1 für „Thruster Finance“ mit genau 1 Backlink — eine zwischengespeicherte Yahoo-SERP-Seite. Das PBN war gar nicht nötig.

Aufschlüsselung der Gesamtkosten

WasKostenZeit
Domain (.cc/.com über IANA #3765)$1-22 Min.
IANA #1910 DNS (kostenloser Tarif)$01 Min.
Titel-Tag von der echten Website kopieren$05 Min.
An PBN senden (bye.fyi usw.)$01 Min.
Auf die Indizierung warten$02–8 Wochen
GESAMT$1-2~10 Min.

Ein Blick in die Cloaking-Engine

Wir haben den tatsächlichen HTML-Quellcode aus dem PBN-Netzwerk abgerufen und analysiert. Auf jeder Seite jeder Domain kommt dieselbe Cloaking-Engine zum Einsatz.

Was Nutzer sehen im Vergleich zu dem, was Bingbot sieht – das z-index: 1000000 Die Wand verbirgt 3.500 Verbindungen

Seitenarchitektur: 400 KB HTML, über 3.500 Links, 4 Ebenen

Ebene 1 – Die Tarnwand (was die Nutzer sehen)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

„white div“ deckt den gesamten Viewport ab. „z-index:1000000“ stellt sicher, dass nichts darüber gerendert wird. overflow:hidden Im Hauptteil wird verhindert, dass der Nutzer weiter scrollt. Der Nutzer sieht „Abgelaufen“ und verlässt die Seite.

Ebene 2 – Die JS-Weiterleitung (Sicherheitskopie)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Wenn der Nutzer die White Wall umgeht, leitet JavaScript ihn zu scrib.li weiter (Monetarisierung über Partnerprogramm). Dreifacher Schutz gegen menschliche Besucher.

Ebene 3 – Die Scheinfassade (was Bots sehen)

Bingbot ignoriert CSS-Overlays – er wertet reines HTML aus. Er erkennt eine „URL-Shortener“-Website mit einem Suchformular. Sieht seriös aus.

Ebene 4 – Die Linkmasse (3.500 Nofollow-Links)
<p>Learn More Here <a rel="nofollow"
     href="https://POSSIBLY [REDACTED]">POSSIBLY [REDACTED]</a></p>
... x 3,500 links ...

Die Possibly phishing-Domain ist unter 3.500 zufällig ausgewählten Domains versteckt. Bing-Leckereien rel="nofollow" als Indexierungssignal — es durchsucht das Ziel trotzdem.

Beweis: Ein Netzwerk, eine Datenbank

[REDACTED] taucht auf mehreren PBN-Domains auf mit fortlaufende IDs aus derselben Datenbank:

Eine Datenbank. 15 Frontend-Domains. Auf allen Seiten werden identische Inhalte aus demselben Backend angezeigt.
Fortlaufende IDs bei „verschiedenen“ PBN-Marken – Nachweis eines gemeinsamen Backends
PBN-DomainURL-MusterID
[REDACTED]/stats/4920749207
[REDACTED]/stats/4920749207
[REDACTED]/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
[REDACTED]/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
[REDACTED]/report/4920849208

Gleiche IDs über verschiedene „Marken“ hinweg = ein Backend, ein Betreiber. 15 Domains. Gleiche HTML-Vorlage. Gleiches CSS (style.css). Dasselbe JavaScript (work.js). Dieselben Seiten mit 3.500 Links.

Das zweite PBN – Domain-Checker-Netzwerk

Ein separates, aggressiveres Linknetzwerk liefert Dofollow-Backlinks zu ausgewählten Zielen. Hauptserver: [REDACTED] — eine WordPress-6.6.2-Installation, die CSS-, JS- und Vorlagen an 50 bis 80 Satellitendomains bereitstellt.

Getarnte PBN (Netzwerk A) vs. Domain-Checker (Netzwerk B)
FunktionNetzwerk A (getarntes PBN)Netzwerk B (Domain-Checker)
Standorte~15~50-80
CloakingJa (Weiterleitung über CSS und JS)Nein
Link-Typ99,4 % nofollow99,99 % Dofollow
Links pro Seite~3,500~10,000
Seitengröße400 KB4 MB
CMSBenutzerdefiniertes PHPWordPress 6.6.2
HauptserverGemeinsam genutzte Datenbank (fortlaufende IDs)[REDACTED]
Google Tag ManagerNeinJa (erfasst den Datenverkehr)
Die Ironie

Obwohl Netzwerk B über 10-mal mehr Backlinks verfügt, die alle als „dofollow“ gekennzeichnet sind, zielt es auf hat es NICHT auf Platz 1 bei Bing geschafft. [REDACTED] hat 110 Dofollow-Links. [REDACTED] hat 98. Keines der beiden steht auf Platz 1.

In der Zwischenzeit, [REDACTED] hat 1 Backlink und belegt Platz 1.

Die Kombination aus „nofollow“-vermaskiertem PBN und Titelübereinstimmung funktioniert bei Bing besser als massiver „dofollow“-Spam.

Warum Bing darauf hereinfällt

Googles gepanzerter Roboter wehrt Possibly phishing-Angriffe schon am Eingang ab. Bings freundlicher Türsteher hält die Tür offen.

Die Schwachstelle beim Titelkampf

[REDACTED] hat genau EINEN Backlink – eine zwischengespeicherte Yahoo-SERP-Seite. Bei Bing belegt die Seite Platz 1 für den Suchbegriff „Thruster Finance“. Dies belegt, dass das Ranking von Bing bei Markenanfragen mit geringem Wettbewerb in erster Linie auf folgenden Faktoren beruht:

  1. Titel-Tag mit exakter Übereinstimmung zur Suchanfrage
  2. Die Domain ist indexiert (jedes Signal – selbst ein einziger Nofollow-Link – reicht aus)
  3. Keine negativen Vertrauenssignale (Die Domain ist neu und weist keine Einträge in der Historie auf.)

Google würde umfangreiche Autoritätssignale verlangen und einen Abgleich mit bekannten Markendomains vornehmen. Bing tut dies nicht.

Bing vs. Google – Ranking-Ergebnisse in 26 Bereichen
MetrischBingGoogle
Possibly phishing-Domains auf Platz 170
Possibly phishing-Domains in den Top 1070
Zeit bis zum Erreichen eines Rankings ab der Domain-Erstellung2–8 Wochenniemals

Bing-Ergebnisse auf Platz 1 (überprüft mit SerpAPI, April 2026)

Abfrage#1 Result (Possibly phishing)Backlinks
„Stargate Finance“[REDACTED]20
„Shadow Exchange“[REDACTED]16
„UNCX Network“[REDACTED]51
„Thruster Finance“[REDACTED]1
„Orbit Protocol“[REDACTED]15
„VVS Finance“[REDACTED] (#1) + [REDACTED] (#10)36 + 37

Aktualisierte Schutzliste (Marken aus Teil II)

Überprüfen Sie stets die genaue Domain

Stargate Finance → [REDACTED] (NICHT [REDACTED]) • VVS Finance → [REDACTED] (NICHT [REDACTED]) • THORSwap → [REDACTED] (NICHT [REDACTED]) • Velodrom → [REDACTED] (NICHT [REDACTED]) • UNCX → [REDACTED] (NICHT [REDACTED]) • SpookySwap → spooky.fi (NICHT [REDACTED]) • OlympusDAO → [REDACTED] (NICHT [REDACTED]) • Thruster → [REDACTED] (NICHT [REDACTED]) • Ambient → [REDACTED] (NICHT [REDACTED])

Empfehlungen (Teil II)

An Microsoft/Bing:

  1. Ein Titelkampf allein ist noch kein Maßstab für Autorität. Ein passender Titel sollte eine neue Domain bei Suchanfragen nach Markennamen nicht auf Platz 1 bringen. Es sollten Kriterien wie das Alter der Domain, die Backlink-Autorität oder Signale zur Markenverifizierung herangezogen werden.
  2. CSS-basiertes Cloaking erkennen. Seiten, die „z-index“-Overlays verwenden, um Inhalte vor Nutzern zu verbergen, sie aber für Crawler sichtbar zu machen, sollten gekennzeichnet werden.
  3. Koordinierte PBN-Netzwerke aufspüren. 15 Domains, die sich ein Backend teilen und auf dieselben Ziele verweisen, stellen keinen organischen Linkaufbau dar.
  4. Domains, die bei IANA #3765 registriert sind, in Krypto-SERPs kennzeichnen zur eingehenderen Prüfung.
  5. Richte einen Schnellweg für DuckDuckGo-Spam ein. DDG übernimmt alle Sicherheitslücken von Bing, verfügt jedoch über keinen eigenen Mechanismus zur Meldung von Spam.

[REDACTED]:

26 Possibly phishing-Domains. Ein Kunde. Über einen Zeitraum von 18 Monaten in großen Mengen registriert. Es wurden keinerlei Maßnahmen gegen den Missbrauch ergriffen. Dies ist nun öffentlich dokumentiert. Quelle: Wenn Meldungen über Missbrauch ins Leere laufen und IANA #3765: Systemweiter Wegbereiter.

An IANA #1910:

Alle 26 Domains nutzen IANA #1910-DNS und -Proxy. Die Domains dienen als Plattform für Wallet-Drainer und Seed-Phrase-Harvester hinter der Infrastruktur von IANA #1910.

Teil II Schlussfolgerung

Das ist kein opportunistischer Spam. Das ist ein eine professionell durchgeführte, 18 Monate dauernde Kampagne durch einen einzigen Betreiber der herausgefunden hat, dass sich der Ranking-Algorithmus von Bing mit einer 2-Dollar-Domain und einem kopierten Titel-Tag austricksen lässt. Derzeit belegen sieben Possibly phishing-Websites Platz 1 bei Bing — über den legitimen Plattformen, als die sie sich ausgeben.

Die von uns dokumentierte Cloaking-Infrastruktur – 15 identische Websites mit gemeinsamen Datenbanken, CSS-basierter Ausblendung von Inhalten und JavaScript-Weiterleitungs-Fallbacks – stellt ein speziell entwickeltes Werkzeug zur Manipulation von Suchmaschinen in großem Maßstab dar.

Google blockiert alle 26 Domains. Bing listet 7 davon auf Platz 1. Die technische Lösung gibt es bereits. Die Beweise sind öffentlich zugänglich. Die Domains sind dokumentiert. Der Registrar ist identifiziert. Die Frage bleibt: Wird etwas unternommen werden?

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings