
Un reportage investigativo basato su dati SEMrush in tempo reale che svela due operazioni di attacco SEO parallele volte a portare siti di possibly phishing legati alle criptovalute in cima ai risultati di ricerca di Bing e DuckDuckGo. 10 domini. 2 vettori di attacco. Oltre 100.000 potenziali vittime al mese.
Tutti i dati contenuti nel presente rapporto sono stati raccolti tramite l'API di SEMrush e enablers.report a fini di ricerca nel campo della sicurezza informatica. I nomi di dominio vengono pubblicati per mettere in guardia gli utenti, non per promuoverli.
I due vettori di attacco
La nostra indagine ha rivelato che due operazioni parallele completamente diverse condotte contemporaneamente per portare i siti di possibly phishing in cima ai risultati di Bing e DuckDuckGo.
Vettore A: L'attacco di iniezione nella SERP di Yahoo
Si potrebbe dire che questo sia il il più elegante dal punto di vista tecnico attacco SEO black-hat che abbiamo documentato nel 2026. Esso sfrutta una falla fondamentale nel modo in cui Bing valuta l’autorità dei link — in particolare, la sua incapacità di distinguere tra link editoriali autentici e pagine di risultati di ricerca generate dinamicamente da domini affidabili.
Il meccanismo — Passo dopo passo
Fase 1 — Generazione dell'URL del gestore affidabile. Gli autori degli attacchi creano URL sugli endpoint di ricerca mobile di Yahoo su diversi sottodomini internazionali: [REDACTED] (Norvegia), [REDACTED] (Francia), [REDACTED] (Messico), [REDACTED] (Polonia), [REDACTED] (Grecia), [REDACTED] (Quebec), [REDACTED] (francese svizzero), [REDACTED] (Colombia). Queste pagine riportano il punteggio di autorità ereditato da Yahoo: 23–24.
Fase 2 — Inserimento del link di possibly phishing. Ogni URL contiene una query di ricerca del tutto casuale e innocua — “pele+fifa”, “Jean-Paul+Sartre”, “Radio+Stars”, “jucheck.exe” — ma il testo di ancoraggio recita: curvefi.co Curve Finance. Le query casuali garantiscono che i filtri antispam non rilevino alcuna corrispondenza con modelli prestabiliti.
Fase 3 — Crawling e indicizzazione forzati. Gli autori degli attacchi inducono Bingbot a eseguire la scansione di questi URL utilizzando servizi di ping di massa, l'inserimento di commenti su forum e blog e strumenti automatici per l'attivazione della scansione.
L'algoritmo di Google: “Questa è una pagina di ricerca dinamica. Non vi è alcun trasferimento di link equity.”
L'algoritmo di Bing: “[REDACTED] rimanda a curvefi.co con l'ancora ‘Curve Finance DEX’. Segnale di posizionamento accettato. ✓”
Risultato: il sito di possibly phishing entra nella TOP 3 dei risultati di ricerca per “Curve Finance” su Bing e DuckDuckGo.
Dati SEMrush non elaborati — curvefi.co
| AS | Dominio di origine | Testo di ancoraggio |
|---|---|---|
| 24 | [REDACTED] | www.curvefi.coa Curve Finance |
| 24 | [REDACTED] | curvefi.co Curve Finance |
| 24 | [REDACTED] | curvefi.co Curve Finance |
| 24 | [REDACTED] | www.curvefi.coa Curve Finance |
| 24 | [REDACTED] | www.curvefi.coa Curve Finance |
| 24 | [REDACTED] | www.curvefi.coa Curve Finance |
| 23 | [REDACTED] | www.curvefi.coa Curve Finance |
| 23 | [REDACTED] | curvefi.co Curve Finance |
La crudele ironia: Il sito presenta zero parole chiave organiche, zero traffico nel database di SEMrush — eppure compare nei risultati di Bing/DDG per “Curve Finance” grazie all’autorità “presa in prestito” da Yahoo.
Vettore B: La rete PBN coordinata
È qui che l’indagine assume una piega davvero allarmante. Cinque siti di possibly phishing distinti — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at e [REDACTED] — hanno tutti in comune un insieme identico di fonti di backlink. Non è una coincidenza. È una singola organizzazione criminale condurre più campagne di possibly phishing da un'unica infrastruttura.
The Smoking Gun — Infrastruttura condivisa
| Dominio donatore PBN | AS | rabbys | dexscr | monero | [REDACTED] |
|---|---|---|---|---|---|
[REDACTED] | 65 | ✓ | ✓ | ✓ | ✓ |
[REDACTED] | 61 | ✓ | ✓ | ✓ | ✓ |
[REDACTED] | 60 | ✓ | ✓ | ✓ | ✓ |
[REDACTED].jo | 56 | ✓ | ✓ | ✓ | ✓ |
[REDACTED] | 56 | ✓ | ✓ | ✓ | ✓ |
[REDACTED] | 54 | ✓ | ✓ | ✓ | ✓ |
[REDACTED] | 50 | ✓ | ✓ | ✓ | ✓ |
markjohnsonbuilders | 50 | ✓ | ✓ | ✓ | ✓ |
[REDACTED] | 49 | ✓ | ✓ | ✓ | ✓ |
Il principale sito donatore di PBN (AS 65) è esso stesso un typosquat di Louis Vuitton. Questo sito donatore di PBN è un sito fraudolento che sostiene altri siti fraudolenti: un’infrastruttura criminale a tutti i livelli.
Profili dei domini utilizzati per il possibly phishing
| Dominio | Si spaccia per | Parole chiave | Obiettivo principale | Volume |
|---|---|---|---|---|
dexscreener.at | DexScreener | 64 | “dexscreener” n. 42 | 60.500 al mese |
rabbys.at | Portafoglio Rabby | 15 | “portafoglio di coniglio” n. 51 | 5.400 al mese |
trezorsuite.at | [REDACTED] Suite | 7 | “[REDACTED] suite” n. 32 | 4.400 al mese |
aster-dex.at | Aster DEX | 13 | “Borsa Aster” n. 25 | 3.600 al mese |
monero-wallet.at | Portafoglio Monero | 4 | “portafoglio XMR online” n. 26 | 210 al mese |
[REDACTED] | Portafoglio Keplr | 0 | Spam nei commenti in modalità invisibile | N/A |
bscscan.cfd | BSCScan | 0 | Link di spam in massa | N/A |
curvefinance.co | Curve Finance | 0 | Solo inserimento su Yahoo | N/A |
curvefi.co | Curve Finance | 0 | Solo inserimento su Yahoo | N/A |
[REDACTED] | App Curve | 0 | Tecniche miste | N/A |
Utenti che effettuano ricerche “scarica [REDACTED] Suite” stanno cercando attivamente di installare un software di portafoglio. Un sito di possibly phishing che occupa le posizioni dalla 3 alla 5 su DuckDuckGo fa sì che gli utenti scarichino malware pensando che si tratti dell'interfaccia di un portafoglio hardware. Non è una ipotesi teorica: sta accadendo proprio in questo momento.
La "fabbrica di articoli" basata sull'intelligenza artificiale
La variante aster-dex.at utilizza un approccio ibrido, combinando l’iniezione di Yahoo con contenuti di blog generati dall’intelligenza artificiale e pubblicati su siti compromessi o creati appositamente in Vietnam, Italia, Indonesia e Svizzera.
Gli articoli del blog hanno tutti titoli quasi identici: “Perché gli swap di token e i pool di liquidità mettono ancora in difficoltà anche i trader DEX più esperti”, “Perché i market maker automatizzati continuano a sorprendere i trader”. Questi sono Articoli generati dall'intelligenza artificiale inseriti su siti con AS 21–36, tutti collegati a aster-dex.at.
Infiltrazione di spam nei commenti
[REDACTED] adotta un approccio completamente diverso: puro spam nei commenti su siti di grande autorevolezza ma non attinenti all’argomento. Nomi utente falsi come “ZackaryThymn”, “Fritzkah” e “Jamesboach” inseriscono link a portafogli crittografici in siti dedicati all’insegnamento della filosofia (filozofija.edu.rs, AS 45), piattaforme per il coinvolgimento dei dipendenti ([REDACTED], AS 63), e festival artistici ([REDACTED], AS 50).
Il fondo del barile: spam generato da strumenti automatizzati
bscscan.cfd ricorre al metodo più rozzo possibile: pacchetti a pagamento di backlink in blocco provenienti da siti che si chiamano letteralmente [REDACTED] e [REDACTED]. Tutte le fonti hanno AS = 0. Il TLD .cfd è un noto indicatore di spam. Eppure su Bing funziona, almeno in parte: il volume di link di bassa qualità può influenzare il posizionamento anche su domini nuovissimi che non presentano precedenti negativi.
Perché Bing e DuckDuckGo sono particolarmente vulnerabili
| Caratteristica | Bing | |
|---|---|---|
| Rilevamento dinamico delle pagine | Nessun link equity dalle pagine dei risultati di ricerca | Le pagine di ricerca di Yahoo sono considerate contenuti editoriali |
| Maturità del modello di apprendimento automatico per lo spam | Oltre 15 anni di dati di addestramento di SpamBrain | Meno maturo; PBN AS 50–65 funziona ancora |
| Tutela del marchio | Aggressivo; curvefinance.co è stato segnalato rapidamente | Le truffe relative ai domini di primo livello .at e .co durano più a lungo |
| Fattorie di contenuti basate sull'intelligenza artificiale | Sistema di rilevamento implementato a partire dal 2023+ | Le "fabbriche di IA" con domini .vn e .it ottengono ancora punteggi sufficienti |
| Blocco del possibly phishing | "Navigazione sicura" blocca rapidamente i domini noti | SmartScreen non rileva i domini truffaldini appena registrati |
DDG utilizza l'indice di Bing come fonte primaria di dati, ereditando tutti delle vulnerabilità di Bing. Gli utenti attenti alla privacy che preferiscono DDG sono spesso esperti di criptovalute, il che li rende obiettivi di maggior valore. DDG non dispone di un meccanismo indipendente di segnalazione dello spam; le segnalazioni vengono inoltrate a Bing.
Strategia di targeting per parole chiave
I profili delle parole chiave rivelano precisione chirurgica nella selezione dei termini di ricerca. Gli operatori non puntano solo sui termini principali relativi al marchio, ma anche sui typosquat (“portafoglio rabbi”, “portafoglio Rubby”, “dexscrenner”) e persino le ricerche in lingua cinese (“Borsa Aster” (al 25° posto).
| Parola chiave di riferimento | Volume mensile | Dominio fraudolento | Posizione |
|---|---|---|---|
| dexscreener | 60,500 | dexscreener.at | #42 |
| portafoglio Rabby | 5,400 | rabbys.at | #51–71 |
| Suite [REDACTED] | 4,400 | trezorsuite.at | #32–85 |
| aster dex | 3,600 | aster-dex.at | #63 |
| dexscrennererrore di battitura | 2,400 | dexscreener.at | #45 |
| Borsa AsterCinese | 1,000 | aster-dex.at | #25 |
| Scarica [REDACTED] Suite | 260 | trezorsuite.at | #54 |
| portafoglio rabbinicoerrore di battitura | 210 | rabbys.at | #54 |
| portafoglio XMR online | 210 | monero-wallet.at | #55–69 |
Contesto storico: il caso [REDACTED] / DuckDuckGo
Questi attacchi non sono una novità. Il problema era notevolmente più grave quando portafogli come [REDACTED] utilizzavano DuckDuckGo come loro motore di ricerca predefinito nell'app. Agli utenti che cercavano protocolli DeFi dal proprio wallet veniva proposto come primo risultato un sito di possibly phishing — senza che fosse necessaria alcuna strategia SEO complessa. La combinazione di un motore di ricerca incentrato sulla privacy, dotato di un sistema di rilevamento dello spam poco efficace, e di un crypto wallet con browser integrato ha creato una tempesta perfetta per il possibly phishing.
Anche dopo che [REDACTED] ha smesso di utilizzare DDG come impostazione predefinita, la vulnerabilità di fondo persiste. Qualsiasi utente che sceglie manualmente DuckDuckGo per motivi di privacy — una fascia demografica che si sovrappone in larga misura a quella degli utenti di criptovalute — rimane ancora oggi esposta proprio a questi attacchi. Le operazioni fraudolente documentate nel presente rapporto hanno utilizzato diverse varianti di questa tecnica per diversi anni, adattandosi man mano che i motori di ricerca correggono gradualmente i singoli vettori.
Come proteggersi
REAL Curve Finance → curve.fi (NON .co, .net) • DexScreener → [REDACTED] (NON .at) • Rabby → [REDACTED] (NON .at, .me) • [REDACTED] Suite → suite.[REDACTED].io (NON trezorsuite.at) • Keplr → [REDACTED] (NON .me) • BSCScan → [REDACTED] (NON .cfd)
- MAI collega il tuo portafoglio da un risultato di ricerca
- Aggiungi ai preferiti siti affidabili direttamente
- Utilizza DDG
!bangscorciatoia:!g curve financeattiva la ricerca su Google - Installa l'estensione di [REDACTED] per il rilevamento del possibly phishing
- Verifica qualsiasi dominio su THE ENABLERS REGISTRY prima di effettuare il collegamento
Suggerimenti per Microsoft/Bing
- Rilevamento dinamico delle pagine: Classificare le pagine dei risultati di ricerca (Yahoo, Baidu, Google) ed eliminare l'equity dei link dai link in uscita
- Rilevamento coordinato del PBN: Quando 9 domini rimandano a 5 siti diversi con schemi identici, segnalarlo come manipolazione
- Livello di imitazione del marchio: Rilevare gli attacchi di sostituzione dei TLD (
dexscreener.at≈[REDACTED]) - Monitoraggio dei domini .AT: Maggiore attenzione ai domini .at di nuova registrazione nelle SERP relative alle criptovalute
- Guida rapida a DuckDuckGo: Creare un'API dedicata alla rimozione dello spam a cui DDG possa accedere direttamente
Conclusione
Non si tratta di spam opportunistico. Si tratta di un operazione SEO organizzata in modo professionale, multimarca e multicanale progettato appositamente per sfruttare il divario tra le capacità di rilevamento dello spam di Google e Bing. Ogni utente che oggi cerchi “[REDACTED] Suite download” su DuckDuckGo potrebbe imbattersi in un sito di possibly phishing che svuota il portafoglio prima ancora di vedere quello vero. La soluzione tecnica esiste. La domanda è se Bing la metterà in atto.
Un operatore, 26 domini, un registrar
Abbiamo eseguito delle query RDAP su tutti i 26 domini di possibly phishing. Ognuno di essi ha restituito lo stesso registrar: [REDACTED]. Non la maggior parte. Non la maggioranza. Tutte le 23 richieste sono state elaborate con successo — stesso registrar, con 3 errori di limitazione della frequenza prima della verifica (i modelli delle loro infrastrutture coincidono).
Dati di registrazione RDAP — Prova di registrazione in blocco
| Dominio | Si spaccia per | Creato | Coppia di server NS di IANA #1910 |
|---|---|---|---|
[REDACTED] | Stargate Finance | 2025-09-08 | Terry/Ximena |
[REDACTED] | Vesper Finance | 2025-09-08 | Terry/Ximena |
[REDACTED] | VVS Finance | 2025-09-08 | Terry/Ximena |
[REDACTED] | Protocollo Orbit | 2025-10-10 | Terry/Ximena |
[REDACTED] | VVS Finance | 2025-07-12 | aprile/Kayden |
[REDACTED] | SpookySwap | 2025-04-15 | aprile/Kayden |
[REDACTED] | THORSwap | 2025-07-24 | aprile/Kayden |
[REDACTED] | Hyperlock Finance | 2025-07-12 | arnold/destiny |
[REDACTED] | Shadow Exchange | 2025-06-24 | amos/tricia |
[REDACTED] | Velodrome Finance | 2025-09-04 | dayana/marvin |
[REDACTED] | LayerBank | 2024-09-07 | austin/cheryl |
[REDACTED] | BiSwap | 2024-09-07 | signora/Langston |
[REDACTED] | OlympusDAO | 2026-03-29 | nash/romina |
[REDACTED] | Rete UNCX | 2025-12-24 | Cory/Megan |
[REDACTED] | Finanza ambientale | 2026-02-09 | Nicole/Salvador |
[REDACTED] | Juice Finance | 2026-02-09 | Nicole/Salvador |
[REDACTED] | Rhea Finance | 2025-05-30 | — |
[REDACTED] | Rhea Finance | 2025-05-30 | — |
[REDACTED] | Rhea Finance | 2025-05-30 | — |
[REDACTED] | Silo Finance | 2025-05-30 | — |
Le coppie di NS IANA #1910 condivise e le date di creazione identiche dimostrano che si tratta di una registrazione in blocco:
- 2025-09-08: star-gate + app-vesper + app-vvs (tutte
terry/ximena) - 2025-05-30: [REDACTED] + .net + [REDACTED] + silo-finance (4 domini, una sessione)
- 2026-02-09: [REDACTED] + [REDACTED] (
nicole/salvador) - 2024-09-07: [REDACTED] + [REDACTED] — operazione della durata di oltre 18 mesi
La guida da 2 dollari — Passo dopo passo
Dimenticatevi delle tecniche SEO sofisticate. Dimenticatevi dei mesi dedicati alla creazione di link. Ecco la sequenza completa e collaudata che vi consentirà di ottenere il primo posto nei risultati di Bing.
Fase 1: Registro dei typosquat
| Progetto reale | Dominio reale | Dominio di possibly phishing | Tecnica |
|---|---|---|---|
| VVS Finance | [REDACTED] | [REDACTED] | Lettera omessa (i) |
| THORSwap | [REDACTED] | [REDACTED] | Lettere invertite (a/w) |
| Hyperlock | hyperlock.fi | [REDACTED] | Lettere invertite (c/k) |
| Arbitrum Bridge | [REDACTED] | [REDACTED] | Swap + TLD a basso costo |
| Finanza ambientale | [REDACTED] | [REDACTED] | Errore ortografico di natura fonetica |
| Thruster Finance | [REDACTED] | [REDACTED] | Lettera omessa (r→n) |
| Ponte dell'Ottimismo | [REDACTED] | [REDACTED] | Errori di battitura multipli |
| Stargate Finance | [REDACTED] | [REDACTED] | Eccesso di parole chiave |
Fase 2: Clonare il tag del titolo ($0, 5 minuti)
L'operatore copia esattamente il <title> tag e meta description tratti dal sito web del progetto vero e proprio. Questo è il passo più importante in assoluto. La pagina in sé è un modo per prosciugare il portafoglio o per rubare la frase seed — ma <title> è ciò che Bing posiziona nei risultati di ricerca.
Fase 3: Invia al PBN nascosto (0 $, 1 minuto)
L'operatore si reca in una qualsiasi delle 15 sedi PBN (bye.fyi, atomizelink.icu, ecc.), digita il dominio in un campo denominato “Inserisci il tuo URL” e fa clic su “Accorcia”. Con un solo clic viene creata una pagina su tutti e 15 i siti contemporaneamente: questi condividono infatti un unico database.
Fase 4: Attendere (2-8 settimane, 0 $)
[REDACTED] ha raggiunto il primo posto su Bing per la ricerca “Thruster Finance” con esattamente 1 backlink — una pagina SERP di Yahoo salvata nella cache. Il PBN non era nemmeno necessario.
Ripartizione del costo totale
| Cosa | Costo | Ora |
|---|---|---|
| Dominio (.cc/.com tramite IANA #3765) | $1-2 | 2 min |
| DNS di IANA #1910 (piano gratuito) | $0 | 1 min |
| Clona il tag del titolo dal sito reale | $0 | 5 min |
| Invia a PBN (bye.fyi ecc.) | $0 | 1 min |
| Attendere l'indicizzazione | $0 | 2-8 settimane |
| TOTALE | $1-2 | circa 10 min |
All'interno del motore di occultamento
Abbiamo recuperato e analizzato il codice sorgente HTML effettivo della rete PBN. Ogni pagina di ogni dominio utilizza lo stesso motore di cloaking.
z-index: 1000000 La parete nasconde 3.500 collegamentiStruttura della pagina: 400 KB di codice HTML, oltre 3.500 link, 4 livelli
<body style="overflow: hidden;">
<div style="position:absolute; top:0; left:0;
width:100%; height:5000px;
background:white; z-index:1000000;
font-size:32px; text-align:center;">
<p>The domain report has Expired!</p>
</div> Il div bianco copre l'intero viewport. z-index:1000000 garantisce che nulla venga visualizzato sopra di esso. overflow:hidden sul corpo della pagina impedisce di scorrere oltre. L'utente vede la scritta “Scaduto” e abbandona la pagina.
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator"); Se l'utente supera il "white wall", JavaScript reindirizza a scrib.li (monetizzazione tramite affiliazione). Tripla protezione nei confronti dei visitatori umani.
Bingbot ignora l'overlay CSS: analizza l'HTML grezzo. Rileva un sito di “accorciamento URL” con un modulo di ricerca. Sembra legittimo.
<p>Learn More Here <a rel="nofollow"
href="https://POSSIBLY [REDACTED]">POSSIBLY [REDACTED]</a></p>
... x 3,500 links ... Il dominio di possibly phishing è nascosto tra 3.500 domini scelti a caso. Dolcetti Bing rel="nofollow" come segnale di indicizzazione — esegue comunque la scansione del sito di destinazione.
Prova: un'unica rete, un unico database
[REDACTED] appare su più domini PBN con ID sequenziali provenienti dallo stesso database:
| Dominio PBN | Modello URL | ID |
|---|---|---|
[REDACTED] | /stats/49207 | 49207 |
[REDACTED] | /stats/49207 | 49207 |
[REDACTED] | /share/49207 | 49207 |
shortenurls.eu | /share/49207 | 49207 |
jake.eu | /share/49207 | 49207 |
[REDACTED] | /stats/49208 | 49208 |
screenshots.wiki | /report/49208 | 49208 |
atomizelink.icu | /report/49208 | 49208 |
[REDACTED] | /report/49208 | 49208 |
Stessi ID su diversi “marchi” = un unico backend, un unico operatore. 15 domini. Stesso modello HTML. Stesso CSS (style.css). Lo stesso codice JavaScript (work.js). Le stesse pagine da 3.500 link.
Il secondo PBN — Rete di verifica dei domini
Una rete di link separata e più aggressiva fornisce backlink dofollow a destinazioni selezionate. Server principale: [REDACTED] — un’installazione di WordPress 6.6.2 che fornisce file CSS, JS e modelli a 50-80 domini satellite.
| Caratteristica | Rete A (PBN occultata) | Rete B (Verifica dominio) |
|---|---|---|
| Siti | ~15 | ~50-80 |
| Cloaking | Sì (reindirizzamento CSS + JS) | No |
| Tipo di collegamento | 99,4% nofollow | 99,99% dofollow |
| Link per pagina | ~3,500 | ~10,000 |
| Dimensione della pagina | 400 KB | 4 MB |
| CMS | PHP personalizzato | WordPress 6.6.2 |
| Server principale | Database condiviso (ID sequenziali) | [REDACTED] |
| Google Tag Manager | No | Sì (monitora il traffico) |
Nonostante abbia 10 volte più backlink, tutti dofollow, la Rete B punta a NON è arrivato al primo posto su Bing. [REDACTED] ha 110 link dofollow. [REDACTED] ne ha 98. Nessuno dei due è al primo posto.
Nel frattempo, [REDACTED] ha 1 backlink e occupa il primo posto.
Per Bing, la strategia che combina una rete PBN con tag "nofollow" nascosti e corrispondenza dei titoli funziona meglio dello spam di massa con link "dofollow".
Perché Bing ci casca
La vulnerabilità "Title-Match"
[REDACTED] ha esattamente UN backlink: una pagina SERP di Yahoo salvata nella cache. Si posiziona al primo posto su Bing per la ricerca “Thruster Finance”. Ciò dimostra che il posizionamento di Bing per le ricerche relative a marchi con bassa concorrenza si basa principalmente su:
- Corrispondenza esatta del tag titolo alla query di ricerca
- Il dominio è indicizzato (basta qualsiasi segnale — anche un solo link “nofollow”)
- Nessun segnale negativo di fiducia (dominio nuovo, senza precedenti)
Google richiederebbe segnali di autorevolezza significativi ed effettuerebbe un controllo incrociato con i domini di marchi noti. Bing invece no.
| Metrico | Bing | |
|---|---|---|
| I domini di possibly phishing al primo posto | 7 | 0 |
| I domini di possibly phishing nella top 10 | 7 | 0 |
| Tempo trascorso dalla creazione del dominio | 2-8 settimane | mai |
Risultati n. 1 su Bing (verificati tramite SerpAPI, aprile 2026)
| Richiesta | #1 Result (Possibly phishing) | Backlink |
|---|---|---|
| “Stargate Finance” | [REDACTED] | 20 |
| “Shadow Exchange” | [REDACTED] | 16 |
| “Rete UNCX” | [REDACTED] | 51 |
| “Thruster Finance” | [REDACTED] | 1 |
| “Orbit Protocol” | [REDACTED] | 15 |
| “VVS Finance” | [REDACTED] (#1) + [REDACTED] (#10) | 36 + 37 |
Elenco aggiornato dei prodotti protetti (marchi della Parte II)
Stargate Finance → [REDACTED] (NON [REDACTED]) • VVS Finance → [REDACTED] (NON [REDACTED]) • THORSwap → [REDACTED] (NON [REDACTED]) • Velodromo → [REDACTED] (NON [REDACTED]) • UNCX → [REDACTED] (NON [REDACTED]) • SpookySwap → spooky.fi (NON [REDACTED]) • OlympusDAO → [REDACTED] (NON [REDACTED]) • Thruster → [REDACTED] (NON [REDACTED]) • Ambient → [REDACTED] (NON [REDACTED])
Raccomandazioni (Parte II)
A Microsoft/Bing:
- Il fatto che si tratti di un incontro valido per il titolo non è di per sé sinonimo di autorevolezza. Un titolo corrispondente non dovrebbe far posizionare un nuovo dominio al primo posto per le ricerche relative al marchio. È necessario che il dominio abbia una certa anzianità, che i backlink siano autorevoli o che vi siano segnali di verifica del marchio.
- Rileva il cloaking basato su CSS. Le pagine che utilizzano sovrapposizioni con z-index per nascondere i contenuti agli utenti ma renderli visibili ai crawler dovrebbero essere segnalate.
- Individuare reti PBN coordinate. 15 domini che condividono un unico backend e rimandano alle stesse destinazioni non costituiscono una strategia di link building organica.
- Contrassegna i domini registrati su IANA #3765 nelle SERP relative alle criptovalute per un controllo più approfondito.
- Crea una procedura accelerata per lo spam su DuckDuckGo. DDG eredita tutte le vulnerabilità di Bing, ma non dispone di un meccanismo indipendente di segnalazione dello spam.
[REDACTED]:
26 domini utilizzati per il possibly phishing. Un solo cliente. Registrati in blocco nell'arco di 18 mesi. Nessuna misura adottata contro gli abusi. Questo fatto è ormai documentato pubblicamente. Riferimento: Quando le segnalazioni di abusi non portano a nulla e IANA #3765: Fattore abilitante sistemico.
A IANA #1910:
Tutti i 26 domini utilizzano il DNS e il proxy di IANA #1910. I domini ospitano programmi per lo svuotamento dei portafogli e per la raccolta delle frasi seed tramite l’infrastruttura di IANA #1910.
Parte II - Conclusione
Non si tratta di spam opportunistico. Si tratta di un campagna della durata di 18 mesi, gestita in modo professionale da un unico operatore che ha scoperto che l'algoritmo di posizionamento di Bing può essere aggirato con un dominio da 2 dollari e un tag del titolo copiato. Attualmente, sette siti di possibly phishing occupano il primo posto su Bing — al di sopra delle piattaforme legittime di cui assumono l’identità.
L'infrastruttura di cloaking che abbiamo documentato — 15 siti identici con database condivisi, occultamento dei contenuti basato su CSS e reindirizzamenti di riserva tramite JavaScript — rappresenta uno strumento appositamente progettato per manipolare i motori di ricerca su larga scala.
Google blocca tutti i 26 domini. Bing li posiziona 7 al primo posto. La soluzione tecnica esiste. Le prove sono di dominio pubblico. I domini sono documentati. Il registrar è stato identificato. La domanda rimane: si farà qualcosa?