Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / IT / SEO HIJACK

SEO Hijack: siti di phishing al primo posto nei risultati di Bing

The Enablers Registry·Editorial mirror·/it/seo-hijack/

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Un reportage investigativo basato su dati SEMrush in tempo reale che svela due operazioni di attacco SEO parallele volte a portare siti di possibly phishing legati alle criptovalute in cima ai risultati di ricerca di Bing e DuckDuckGo. 10 domini. 2 vettori di attacco. Oltre 100.000 potenziali vittime al mese.

30 marzo 2026 Ricerca THE ENABLERS REGISTRY 22 minuti di lettura Dati dell'API di SEMrush
I motori di ricerca sotto assedio: operazioni organizzate fanno scalare i siti di possibly phishing al di sopra delle piattaforme di criptovalute legittime
10Domini di possibly phishing
9Donatori PBN
60,500+Esposizione giornaliera
100.000+Vittime/mese
2Vettori di attacco
Dichiarazione di non responsabilità

Tutti i dati contenuti nel presente rapporto sono stati raccolti tramite l'API di SEMrush e enablers.report a fini di ricerca nel campo della sicurezza informatica. I nomi di dominio vengono pubblicati per mettere in guardia gli utenti, non per promuoverli.

I due vettori di attacco

La nostra indagine ha rivelato che due operazioni parallele completamente diverse condotte contemporaneamente per portare i siti di possibly phishing in cima ai risultati di Bing e DuckDuckGo.

Vettore A: Iniezione nella SERP di Yahoo
Sfrutta l’autorità di dominio di Yahoo (AS 24) tramite le pagine di ricerca da dispositivi mobili. Bing eredita la fiducia dagli URL di ricerca di Yahoo generati dinamicamente che contengono anchor di possibly phishing. Obiettivi: curvefinance.co, curvefi.co, aster-dex.at
Vettore B: Rete PBN coordinata
9 domini compromessi/acquistati con AS 49–65 rimandano contemporaneamente a più siti di possibly phishing. Funziona con TUTTI i motori di ricerca. Obiettivi: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, [REDACTED]

Vettore A: L'attacco di iniezione nella SERP di Yahoo

Si potrebbe dire che questo sia il il più elegante dal punto di vista tecnico attacco SEO black-hat che abbiamo documentato nel 2026. Esso sfrutta una falla fondamentale nel modo in cui Bing valuta l’autorità dei link — in particolare, la sua incapacità di distinguere tra link editoriali autentici e pagine di risultati di ricerca generate dinamicamente da domini affidabili.

L'Authority Score (AS 24) ereditato da Yahoo viene trasmesso dalle pagine di ricerca mobile ai domini di possibly phishing — Bing accetta il segnale come legittimo

Il meccanismo — Passo dopo passo

Crea l'URL di Yahoo8 o più sottodomini nazionali
Incorpora un collegamentoRichiesta casuale + link di possibly phishing
Strisciata forzataServizi Ping + spam
Indici di BingEredita Yahoo AS 24
1° postoSito di possibly phishing tra i primi risultati

Fase 1 — Generazione dell'URL del gestore affidabile. Gli autori degli attacchi creano URL sugli endpoint di ricerca mobile di Yahoo su diversi sottodomini internazionali: [REDACTED] (Norvegia), [REDACTED] (Francia), [REDACTED] (Messico), [REDACTED] (Polonia), [REDACTED] (Grecia), [REDACTED] (Quebec), [REDACTED] (francese svizzero), [REDACTED] (Colombia). Queste pagine riportano il punteggio di autorità ereditato da Yahoo: 23–24.

Fase 2 — Inserimento del link di possibly phishing. Ogni URL contiene una query di ricerca del tutto casuale e innocua — “pele+fifa”, “Jean-Paul+Sartre”, “Radio+Stars”, “jucheck.exe” — ma il testo di ancoraggio recita: curvefi.co Curve Finance. Le query casuali garantiscono che i filtri antispam non rilevino alcuna corrispondenza con modelli prestabiliti.

Fase 3 — Crawling e indicizzazione forzati. Gli autori degli attacchi inducono Bingbot a eseguire la scansione di questi URL utilizzando servizi di ping di massa, l'inserimento di commenti su forum e blog e strumenti automatici per l'attivazione della scansione.

Il fallimento dell'algoritmo di Bing

L'algoritmo di Google: “Questa è una pagina di ricerca dinamica. Non vi è alcun trasferimento di link equity.”
L'algoritmo di Bing:[REDACTED] rimanda a curvefi.co con l'ancora ‘Curve Finance DEX’. Segnale di posizionamento accettato. ✓”

Risultato: il sito di possibly phishing entra nella TOP 3 dei risultati di ricerca per “Curve Finance” su Bing e DuckDuckGo.

Dati SEMrush non elaborati — curvefi.co

API SEMrush Backlink Analytics | 30.03.2026 | Destinazione: curvefi.co
ASDominio di origineTesto di ancoraggio
24[REDACTED]www.curvefi.coa Curve Finance
24[REDACTED]curvefi.co Curve Finance
24[REDACTED]curvefi.co Curve Finance
24[REDACTED]www.curvefi.coa Curve Finance
24[REDACTED]www.curvefi.coa Curve Finance
24[REDACTED]www.curvefi.coa Curve Finance
23[REDACTED]www.curvefi.coa Curve Finance
23[REDACTED]curvefi.co Curve Finance

La crudele ironia: Il sito presenta zero parole chiave organiche, zero traffico nel database di SEMrush — eppure compare nei risultati di Bing/DDG per “Curve Finance” grazie all’autorità “presa in prestito” da Yahoo.

Vettore B: La rete PBN coordinata

È qui che l’indagine assume una piega davvero allarmante. Cinque siti di possibly phishing distinti — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at e [REDACTED] — hanno tutti in comune un insieme identico di fonti di backlink. Non è una coincidenza. È una singola organizzazione criminale condurre più campagne di possibly phishing da un'unica infrastruttura.

Un operatore, 9 donatori PBN, 5 bersagli di possibly phishing: la probabilità che si tratti di una coincidenza è pari a circa lo 0,00001%

The Smoking Gun — Infrastruttura condivisa

API SEMrush | Analisi interdominio | 30/03/2026
Dominio donatore PBNASrabbysdexscrmonero[REDACTED]
[REDACTED]65
[REDACTED]61
[REDACTED]60
[REDACTED].jo56
[REDACTED]56
[REDACTED]54
[REDACTED]50
markjohnsonbuilders50
[REDACTED]49
Nota su [REDACTED]

Il principale sito donatore di PBN (AS 65) è esso stesso un typosquat di Louis Vuitton. Questo sito donatore di PBN è un sito fraudolento che sostiene altri siti fraudolenti: un’infrastruttura criminale a tutti i livelli.

Profili dei domini utilizzati per il possibly phishing

Panoramica sui domini di SEMrush | Marzo 2026
DominioSi spaccia perParole chiaveObiettivo principaleVolume
dexscreener.atDexScreener64“dexscreener” n. 4260.500 al mese
rabbys.atPortafoglio Rabby15“portafoglio di coniglio” n. 515.400 al mese
trezorsuite.at[REDACTED] Suite7[REDACTED] suite” n. 324.400 al mese
aster-dex.atAster DEX13“Borsa Aster” n. 253.600 al mese
monero-wallet.atPortafoglio Monero4“portafoglio XMR online” n. 26210 al mese
[REDACTED]Portafoglio Keplr0Spam nei commenti in modalità invisibileN/A
bscscan.cfdBSCScan0Link di spam in massaN/A
curvefinance.coCurve Finance0Solo inserimento su YahooN/A
curvefi.coCurve Finance0Solo inserimento su YahooN/A
[REDACTED]App Curve0Tecniche misteN/A
Importante: download di [REDACTED] Suite

Utenti che effettuano ricerche “scarica [REDACTED] Suite” stanno cercando attivamente di installare un software di portafoglio. Un sito di possibly phishing che occupa le posizioni dalla 3 alla 5 su DuckDuckGo fa sì che gli utenti scarichino malware pensando che si tratti dell'interfaccia di un portafoglio hardware. Non è una ipotesi teorica: sta accadendo proprio in questo momento.

La "fabbrica di articoli" basata sull'intelligenza artificiale

La variante aster-dex.at utilizza un approccio ibrido, combinando l’iniezione di Yahoo con contenuti di blog generati dall’intelligenza artificiale e pubblicati su siti compromessi o creati appositamente in Vietnam, Italia, Indonesia e Svizzera.

Articoli generati dall'intelligenza artificiale su siti compromessi: titoli identici, domini diversi, tutti con link allo stesso sito di possibly phishing

Gli articoli del blog hanno tutti titoli quasi identici: “Perché gli swap di token e i pool di liquidità mettono ancora in difficoltà anche i trader DEX più esperti”, “Perché i market maker automatizzati continuano a sorprendere i trader”. Questi sono Articoli generati dall'intelligenza artificiale inseriti su siti con AS 21–36, tutti collegati a aster-dex.at.

Infiltrazione di spam nei commenti

[REDACTED] adotta un approccio completamente diverso: puro spam nei commenti su siti di grande autorevolezza ma non attinenti all’argomento. Nomi utente falsi come “ZackaryThymn”, “Fritzkah” e “Jamesboach” inseriscono link a portafogli crittografici in siti dedicati all’insegnamento della filosofia (filozofija.edu.rs, AS 45), piattaforme per il coinvolgimento dei dipendenti ([REDACTED], AS 63), e festival artistici ([REDACTED], AS 50).

Siti legittimi che ospitano inconsapevolmente link di possibly phishing — nascosti tra commenti degli utenti dall’aspetto normale

Il fondo del barile: spam generato da strumenti automatizzati

bscscan.cfd ricorre al metodo più rozzo possibile: pacchetti a pagamento di backlink in blocco provenienti da siti che si chiamano letteralmente [REDACTED] e [REDACTED]. Tutte le fonti hanno AS = 0. Il TLD .cfd è un noto indicatore di spam. Eppure su Bing funziona, almeno in parte: il volume di link di bassa qualità può influenzare il posizionamento anche su domini nuovissimi che non presentano precedenti negativi.

“1000 backlink a 9,99 $” — gli strumenti SEO fasulli più economici funzionano ancora, almeno in parte, su Bing

Perché Bing e DuckDuckGo sono particolarmente vulnerabili

La difesa multilivello di Google contro lo spam contro il sistema di rilevamento meno maturo di Bing: il divario di cui approfittano i truffatori
Differenze algoritmiche che i truffatori sfruttano attivamente
CaratteristicaGoogleBing
Rilevamento dinamico delle pagineNessun link equity dalle pagine dei risultati di ricercaLe pagine di ricerca di Yahoo sono considerate contenuti editoriali
Maturità del modello di apprendimento automatico per lo spamOltre 15 anni di dati di addestramento di SpamBrainMeno maturo; PBN AS 50–65 funziona ancora
Tutela del marchioAggressivo; curvefinance.co è stato segnalato rapidamenteLe truffe relative ai domini di primo livello .at e .co durano più a lungo
Fattorie di contenuti basate sull'intelligenza artificialeSistema di rilevamento implementato a partire dal 2023+Le "fabbriche di IA" con domini .vn e .it ottengono ancora punteggi sufficienti
Blocco del possibly phishing"Navigazione sicura" blocca rapidamente i domini notiSmartScreen non rileva i domini truffaldini appena registrati
Punto debole specifico di DuckDuckGo

DDG utilizza l'indice di Bing come fonte primaria di dati, ereditando tutti delle vulnerabilità di Bing. Gli utenti attenti alla privacy che preferiscono DDG sono spesso esperti di criptovalute, il che li rende obiettivi di maggior valore. DDG non dispone di un meccanismo indipendente di segnalazione dello spam; le segnalazioni vengono inoltrate a Bing.

Strategia di targeting per parole chiave

I profili delle parole chiave rivelano precisione chirurgica nella selezione dei termini di ricerca. Gli operatori non puntano solo sui termini principali relativi al marchio, ma anche sui typosquat (“portafoglio rabbi”, “portafoglio Rubby”, “dexscrenner”) e persino le ricerche in lingua cinese (“Borsa Aster” (al 25° posto).

Targeting multilingue: inglese, francese, cinese, vietnamita — l’operazione abbraccia diversi continenti
Analisi del marchio e del volume di ricerca | SEMrush USA | Marzo 2026
Parola chiave di riferimentoVolume mensileDominio fraudolentoPosizione
dexscreener60,500dexscreener.at#42
portafoglio Rabby5,400rabbys.at#51–71
Suite [REDACTED]4,400trezorsuite.at#32–85
aster dex3,600aster-dex.at#63
dexscrennererrore di battitura2,400dexscreener.at#45
Borsa AsterCinese1,000aster-dex.at#25
Scarica [REDACTED] Suite260trezorsuite.at#54
portafoglio rabbinicoerrore di battitura210rabbys.at#54
portafoglio XMR online210monero-wallet.at#55–69

Contesto storico: il caso [REDACTED] / DuckDuckGo

Questo problema ha radici profonde

Questi attacchi non sono una novità. Il problema era notevolmente più grave quando portafogli come [REDACTED] utilizzavano DuckDuckGo come loro motore di ricerca predefinito nell'app. Agli utenti che cercavano protocolli DeFi dal proprio wallet veniva proposto come primo risultato un sito di possibly phishing — senza che fosse necessaria alcuna strategia SEO complessa. La combinazione di un motore di ricerca incentrato sulla privacy, dotato di un sistema di rilevamento dello spam poco efficace, e di un crypto wallet con browser integrato ha creato una tempesta perfetta per il possibly phishing.

Anche dopo che [REDACTED] ha smesso di utilizzare DDG come impostazione predefinita, la vulnerabilità di fondo persiste. Qualsiasi utente che sceglie manualmente DuckDuckGo per motivi di privacy — una fascia demografica che si sovrappone in larga misura a quella degli utenti di criptovalute — rimane ancora oggi esposta proprio a questi attacchi. Le operazioni fraudolente documentate nel presente rapporto hanno utilizzato diverse varianti di questa tecnica per diversi anni, adattandosi man mano che i motori di ricerca correggono gradualmente i singoli vettori.

Come proteggersi

Verifica sempre il dominio esatto

REAL Curve Finance → curve.fi (NON .co, .net) • DexScreener → [REDACTED] (NON .at) • Rabby → [REDACTED] (NON .at, .me) • [REDACTED] Suite → suite.[REDACTED].io (NON trezorsuite.at) • Keplr → [REDACTED] (NON .me) • BSCScan → [REDACTED] (NON .cfd)

  • MAI collega il tuo portafoglio da un risultato di ricerca
  • Aggiungi ai preferiti siti affidabili direttamente
  • Utilizza DDG !bang scorciatoia: !g curve finance attiva la ricerca su Google
  • Installa l'estensione di [REDACTED] per il rilevamento del possibly phishing
  • Verifica qualsiasi dominio su THE ENABLERS REGISTRY prima di effettuare il collegamento

Suggerimenti per Microsoft/Bing

  1. Rilevamento dinamico delle pagine: Classificare le pagine dei risultati di ricerca (Yahoo, Baidu, Google) ed eliminare l'equity dei link dai link in uscita
  2. Rilevamento coordinato del PBN: Quando 9 domini rimandano a 5 siti diversi con schemi identici, segnalarlo come manipolazione
  3. Livello di imitazione del marchio: Rilevare gli attacchi di sostituzione dei TLD (dexscreener.at[REDACTED])
  4. Monitoraggio dei domini .AT: Maggiore attenzione ai domini .at di nuova registrazione nelle SERP relative alle criptovalute
  5. Guida rapida a DuckDuckGo: Creare un'API dedicata alla rimozione dello spam a cui DDG possa accedere direttamente

Conclusione

Non si tratta di spam opportunistico. Si tratta di un operazione SEO organizzata in modo professionale, multimarca e multicanale progettato appositamente per sfruttare il divario tra le capacità di rilevamento dello spam di Google e Bing. Ogni utente che oggi cerchi “[REDACTED] Suite download” su DuckDuckGo potrebbe imbattersi in un sito di possibly phishing che svuota il portafoglio prima ancora di vedere quello vero. La soluzione tecnica esiste. La domanda è se Bing la metterà in atto.

Le prove sono di dominio pubblico. I domini sono documentati. Le vittime sono reali. La soluzione è nelle mani di Microsoft.
Indagine di approfondimento — 17 aprile 2026

Parte II: Il manuale da 2 dollari — 26 siti di possibly phishing, 1 registrar, 7 risultati al primo posto su Bing

Un’indagine successiva, condotta a marzo, ha individuato 26 nuovi domini di possibly phishing — tutti che si spacciano per protocolli DeFi — attualmente in classifica #1 on Bing per le ricerche relative al marchio di loro interesse. Utilizzando i dati sui backlink dell’API di SEMrush, i registri di registrazione RDAP e l’analisi diretta del codice sorgente, abbiamo rintracciato ogni singolo dominio fino a un operatore, un registrar (IANA #3765) e una rete PBN occultata composta da 15 siti. Costo per dominio: 2 $. Tempo: 10 minuti.

Un operatore. 26 esche di possibly phishing su Bing. Costo: 2 dollari per dominio.
26Domini di possibly phishing
1Registrar (IANA #3765)
7Posizioni n. 1 su Bing
15Siti PBN nascosti
0Posizionamento su Google

Un operatore, 26 domini, un registrar

Abbiamo eseguito delle query RDAP su tutti i 26 domini di possibly phishing. Ognuno di essi ha restituito lo stesso registrar: [REDACTED]. Non la maggior parte. Non la maggioranza. Tutte le 23 richieste sono state elaborate con successo — stesso registrar, con 3 errori di limitazione della frequenza prima della verifica (i modelli delle loro infrastrutture coincidono).

23 su 23 controllati. Stesso registrar. Stesso cliente. Nessuna azione per abuso.

Dati di registrazione RDAP — Prova di registrazione in blocco

Risultati della ricerca RDAP | Aprile 2026 | 23 su 26 recuperati con successo
DominioSi spaccia perCreatoCoppia di server NS di IANA #1910
[REDACTED]Stargate Finance2025-09-08Terry/Ximena
[REDACTED]Vesper Finance2025-09-08Terry/Ximena
[REDACTED]VVS Finance2025-09-08Terry/Ximena
[REDACTED]Protocollo Orbit2025-10-10Terry/Ximena
[REDACTED]VVS Finance2025-07-12aprile/Kayden
[REDACTED]SpookySwap2025-04-15aprile/Kayden
[REDACTED]THORSwap2025-07-24aprile/Kayden
[REDACTED]Hyperlock Finance2025-07-12arnold/destiny
[REDACTED]Shadow Exchange2025-06-24amos/tricia
[REDACTED]Velodrome Finance2025-09-04dayana/marvin
[REDACTED]LayerBank2024-09-07austin/cheryl
[REDACTED]BiSwap2024-09-07signora/Langston
[REDACTED]OlympusDAO2026-03-29nash/romina
[REDACTED]Rete UNCX2025-12-24Cory/Megan
[REDACTED]Finanza ambientale2026-02-09Nicole/Salvador
[REDACTED]Juice Finance2026-02-09Nicole/Salvador
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Silo Finance2025-05-30
Registrazione in batch — Un solo operatore, più sessioni

Le coppie di NS IANA #1910 condivise e le date di creazione identiche dimostrano che si tratta di una registrazione in blocco:

  • 2025-09-08: star-gate + app-vesper + app-vvs (tutte terry/ximena)
  • 2025-05-30: [REDACTED] + .net + [REDACTED] + silo-finance (4 domini, una sessione)
  • 2026-02-09: [REDACTED] + [REDACTED] (nicole/salvador)
  • 2024-09-07: [REDACTED] + [REDACTED]operazione della durata di oltre 18 mesi

La guida da 2 dollari — Passo dopo passo

Dimenticatevi delle tecniche SEO sofisticate. Dimenticatevi dei mesi dedicati alla creazione di link. Ecco la sequenza completa e collaudata che vi consentirà di ottenere il primo posto nei risultati di Bing.

Quattro passaggi, 2 dollari e Bing incorona un sito di possibly phishing al primo posto
Registra un typosquat$1-2 at IANA #3765
Clona il tag del titoloCopia dal sito originale
Invia a PBNCiao. Per tua informazione, 15 siti
Attendere da 2 a 8 settimaneBing indicizza e classifica
Bing n. 1Progetto reale sopra riportato

Fase 1: Registro dei typosquat

Tecniche di typosquatting in 8 dei 26 domini
Progetto realeDominio realeDominio di possibly phishingTecnica
VVS Finance[REDACTED][REDACTED]Lettera omessa (i)
THORSwap[REDACTED][REDACTED]Lettere invertite (a/w)
Hyperlockhyperlock.fi[REDACTED]Lettere invertite (c/k)
Arbitrum Bridge[REDACTED][REDACTED]Swap + TLD a basso costo
Finanza ambientale[REDACTED][REDACTED]Errore ortografico di natura fonetica
Thruster Finance[REDACTED][REDACTED]Lettera omessa (r→n)
Ponte dell'Ottimismo[REDACTED][REDACTED]Errori di battitura multipli
Stargate Finance[REDACTED][REDACTED]Eccesso di parole chiave

Fase 2: Clonare il tag del titolo ($0, 5 minuti)

L'operatore copia esattamente il <title> tag e meta description tratti dal sito web del progetto vero e proprio. Questo è il passo più importante in assoluto. La pagina in sé è un modo per prosciugare il portafoglio o per rubare la frase seed — ma <title> è ciò che Bing posiziona nei risultati di ricerca.

Fase 3: Invia al PBN nascosto (0 $, 1 minuto)

L'operatore si reca in una qualsiasi delle 15 sedi PBN (bye.fyi, atomizelink.icu, ecc.), digita il dominio in un campo denominato “Inserisci il tuo URL” e fa clic su “Accorcia”. Con un solo clic viene creata una pagina su tutti e 15 i siti contemporaneamente: questi condividono infatti un unico database.

Fase 4: Attendere (2-8 settimane, 0 $)

Prova: 1 backlink = 1° posto su Bing

[REDACTED] ha raggiunto il primo posto su Bing per la ricerca “Thruster Finance” con esattamente 1 backlink — una pagina SERP di Yahoo salvata nella cache. Il PBN non era nemmeno necessario.

Ripartizione del costo totale

CosaCostoOra
Dominio (.cc/.com tramite IANA #3765)$1-22 min
DNS di IANA #1910 (piano gratuito)$01 min
Clona il tag del titolo dal sito reale$05 min
Invia a PBN (bye.fyi ecc.)$01 min
Attendere l'indicizzazione$02-8 settimane
TOTALE$1-2circa 10 min

All'interno del motore di occultamento

Abbiamo recuperato e analizzato il codice sorgente HTML effettivo della rete PBN. Ogni pagina di ogni dominio utilizza lo stesso motore di cloaking.

Ciò che vedono gli utenti rispetto a ciò che vede Bingbot — il z-index: 1000000 La parete nasconde 3.500 collegamenti

Struttura della pagina: 400 KB di codice HTML, oltre 3.500 link, 4 livelli

Livello 1 — Il muro di occultamento (ciò che vedono gli utenti)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

Il div bianco copre l'intero viewport. z-index:1000000 garantisce che nulla venga visualizzato sopra di esso. overflow:hidden sul corpo della pagina impedisce di scorrere oltre. L'utente vede la scritta “Scaduto” e abbandona la pagina.

Livello 2 — Il reindirizzamento JS (protezione di backup)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Se l'utente supera il "white wall", JavaScript reindirizza a scrib.li (monetizzazione tramite affiliazione). Tripla protezione nei confronti dei visitatori umani.

Livello 3 — La facciata fittizia (ciò che vedono i bot)

Bingbot ignora l'overlay CSS: analizza l'HTML grezzo. Rileva un sito di “accorciamento URL” con un modulo di ricerca. Sembra legittimo.

Livello 4 — La massa di link (3.500 link nofollow)
<p>Learn More Here <a rel="nofollow"
     href="https://POSSIBLY [REDACTED]">POSSIBLY [REDACTED]</a></p>
... x 3,500 links ...

Il dominio di possibly phishing è nascosto tra 3.500 domini scelti a caso. Dolcetti Bing rel="nofollow" come segnale di indicizzazione — esegue comunque la scansione del sito di destinazione.

Prova: un'unica rete, un unico database

[REDACTED] appare su più domini PBN con ID sequenziali provenienti dallo stesso database:

Un unico database. 15 domini front-end. Tutte le schermate mostrano contenuti identici provenienti dallo stesso back-end.
ID sequenziali tra marchi PBN “diversi” — prova del backend condiviso
Dominio PBNModello URLID
[REDACTED]/stats/4920749207
[REDACTED]/stats/4920749207
[REDACTED]/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
[REDACTED]/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
[REDACTED]/report/4920849208

Stessi ID su diversi “marchi” = un unico backend, un unico operatore. 15 domini. Stesso modello HTML. Stesso CSS (style.css). Lo stesso codice JavaScript (work.js). Le stesse pagine da 3.500 link.

Il secondo PBN — Rete di verifica dei domini

Una rete di link separata e più aggressiva fornisce backlink dofollow a destinazioni selezionate. Server principale: [REDACTED] — un’installazione di WordPress 6.6.2 che fornisce file CSS, JS e modelli a 50-80 domini satellite.

PBN occultato (Rete A) contro Domain Checker (Rete B)
CaratteristicaRete A (PBN occultata)Rete B (Verifica dominio)
Siti~15~50-80
CloakingSì (reindirizzamento CSS + JS)No
Tipo di collegamento99,4% nofollow99,99% dofollow
Link per pagina~3,500~10,000
Dimensione della pagina400 KB4 MB
CMSPHP personalizzatoWordPress 6.6.2
Server principaleDatabase condiviso (ID sequenziali)[REDACTED]
Google Tag ManagerNoSì (monitora il traffico)
L'ironia

Nonostante abbia 10 volte più backlink, tutti dofollow, la Rete B punta a NON è arrivato al primo posto su Bing. [REDACTED] ha 110 link dofollow. [REDACTED] ne ha 98. Nessuno dei due è al primo posto.

Nel frattempo, [REDACTED] ha 1 backlink e occupa il primo posto.

Per Bing, la strategia che combina una rete PBN con tag "nofollow" nascosti e corrispondenza dei titoli funziona meglio dello spam di massa con link "dofollow".

Perché Bing ci casca

Il robot corazzato di Google blocca il possibly phishing all’ingresso. Il simpatico portiere di Bing tiene la porta aperta.

La vulnerabilità "Title-Match"

[REDACTED] ha esattamente UN backlink: una pagina SERP di Yahoo salvata nella cache. Si posiziona al primo posto su Bing per la ricerca “Thruster Finance”. Ciò dimostra che il posizionamento di Bing per le ricerche relative a marchi con bassa concorrenza si basa principalmente su:

  1. Corrispondenza esatta del tag titolo alla query di ricerca
  2. Il dominio è indicizzato (basta qualsiasi segnale — anche un solo link “nofollow”)
  3. Nessun segnale negativo di fiducia (dominio nuovo, senza precedenti)

Google richiederebbe segnali di autorevolezza significativi ed effettuerebbe un controllo incrociato con i domini di marchi noti. Bing invece no.

Bing contro Google — Risultati di posizionamento in 26 domini
MetricoBingGoogle
I domini di possibly phishing al primo posto70
I domini di possibly phishing nella top 1070
Tempo trascorso dalla creazione del dominio2-8 settimanemai

Risultati n. 1 su Bing (verificati tramite SerpAPI, aprile 2026)

Richiesta#1 Result (Possibly phishing)Backlink
“Stargate Finance”[REDACTED]20
“Shadow Exchange”[REDACTED]16
“Rete UNCX”[REDACTED]51
“Thruster Finance”[REDACTED]1
“Orbit Protocol”[REDACTED]15
“VVS Finance”[REDACTED] (#1) + [REDACTED] (#10)36 + 37

Elenco aggiornato dei prodotti protetti (marchi della Parte II)

Verifica sempre il dominio esatto

Stargate Finance → [REDACTED] (NON [REDACTED]) • VVS Finance → [REDACTED] (NON [REDACTED]) • THORSwap → [REDACTED] (NON [REDACTED]) • Velodromo → [REDACTED] (NON [REDACTED]) • UNCX → [REDACTED] (NON [REDACTED]) • SpookySwap → spooky.fi (NON [REDACTED]) • OlympusDAO → [REDACTED] (NON [REDACTED]) • Thruster → [REDACTED] (NON [REDACTED]) • Ambient → [REDACTED] (NON [REDACTED])

Raccomandazioni (Parte II)

A Microsoft/Bing:

  1. Il fatto che si tratti di un incontro valido per il titolo non è di per sé sinonimo di autorevolezza. Un titolo corrispondente non dovrebbe far posizionare un nuovo dominio al primo posto per le ricerche relative al marchio. È necessario che il dominio abbia una certa anzianità, che i backlink siano autorevoli o che vi siano segnali di verifica del marchio.
  2. Rileva il cloaking basato su CSS. Le pagine che utilizzano sovrapposizioni con z-index per nascondere i contenuti agli utenti ma renderli visibili ai crawler dovrebbero essere segnalate.
  3. Individuare reti PBN coordinate. 15 domini che condividono un unico backend e rimandano alle stesse destinazioni non costituiscono una strategia di link building organica.
  4. Contrassegna i domini registrati su IANA #3765 nelle SERP relative alle criptovalute per un controllo più approfondito.
  5. Crea una procedura accelerata per lo spam su DuckDuckGo. DDG eredita tutte le vulnerabilità di Bing, ma non dispone di un meccanismo indipendente di segnalazione dello spam.

[REDACTED]:

26 domini utilizzati per il possibly phishing. Un solo cliente. Registrati in blocco nell'arco di 18 mesi. Nessuna misura adottata contro gli abusi. Questo fatto è ormai documentato pubblicamente. Riferimento: Quando le segnalazioni di abusi non portano a nulla e IANA #3765: Fattore abilitante sistemico.

A IANA #1910:

Tutti i 26 domini utilizzano il DNS e il proxy di IANA #1910. I domini ospitano programmi per lo svuotamento dei portafogli e per la raccolta delle frasi seed tramite l’infrastruttura di IANA #1910.

Parte II - Conclusione

Non si tratta di spam opportunistico. Si tratta di un campagna della durata di 18 mesi, gestita in modo professionale da un unico operatore che ha scoperto che l'algoritmo di posizionamento di Bing può essere aggirato con un dominio da 2 dollari e un tag del titolo copiato. Attualmente, sette siti di possibly phishing occupano il primo posto su Bing — al di sopra delle piattaforme legittime di cui assumono l’identità.

L'infrastruttura di cloaking che abbiamo documentato — 15 siti identici con database condivisi, occultamento dei contenuti basato su CSS e reindirizzamenti di riserva tramite JavaScript — rappresenta uno strumento appositamente progettato per manipolare i motori di ricerca su larga scala.

Google blocca tutti i 26 domini. Bing li posiziona 7 al primo posto. La soluzione tecnica esiste. Le prove sono di dominio pubblico. I domini sono documentati. Il registrar è stato identificato. La domanda rimane: si farà qualcosa?

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings