Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / PT BR / SEO HIJACK

SEO Hijack: Sites de phishing em primeiro lugar no ranking do Bing

The Enablers Registry·Editorial mirror·/pt-br/seo-hijack/

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Uma reportagem investigativa com dados em tempo real do SEMrush que revela duas operações paralelas de ataque de SEO que estão levando sites de possibly phishing relacionados a criptomoedas ao topo dos resultados de busca do Bing e do DuckDuckGo. 10 domínios. 2 vetores de ataque. Mais de 100.000 vítimas em potencial por mês.

30 de março de 2026 Pesquisa THE ENABLERS REGISTRY 22 minutos de leitura Dados da API da SEMrush
Motores de busca sob ataque: operações organizadas levam sites de possibly phishing a superar plataformas legítimas de criptomoedas
10Domínios de possibly phishing
9Doadores da PBN
60,500+Exposição diária
Mais de 100 milVítimas/mês
2Vetores de ataque
Isenção de responsabilidade

Todos os dados contidos neste relatório foram coletados por meio da API da SEMrush e do site enablers.report para fins de pesquisa em segurança cibernética. Os nomes de domínio são publicados com o objetivo de alertar os usuários, e não de promovê-los.

Os dois vetores de ataque

Nossa investigação revelou que duas operações paralelas e completamente diferentes em andamento simultaneamente para levar sites de possibly phishing ao topo dos resultados do Bing e do DuckDuckGo.

Vetor A: Injeção na SERP do Yahoo
Aproveita a autoridade de domínio do Yahoo (AS 24) por meio de páginas de busca para dispositivos móveis. O Bing herda a confiança de URLs de busca do Yahoo geradas dinamicamente que contêm âncoras de possibly phishing. Metas: curvefinance.co, curvefi.co, aster-dex.at
Vetor B: Rede PBN coordenada
9 domínios comprometidos/adquiridos com o AS 49–65 redirecionam simultaneamente para vários sites de possibly phishing. Funciona em TODOS os mecanismos de busca. Metas: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, [REDACTED]

Vetor A: O ataque de injeção na SERP do Yahoo

Pode-se dizer que este é o o mais elegante do ponto de vista técnico ataque de SEO black-hat que documentamos em 2026. Ele explora uma falha fundamental na forma como o Bing avalia a autoridade dos links — mais especificamente, sua incapacidade de distinguir entre links editoriais genuínos e páginas de resultados de busca geradas dinamicamente a partir de domínios confiáveis.

O Authority Score herdado do Yahoo (AS 24) é transmitido pelas páginas de busca em dispositivos móveis para domínios de possibly phishing — o Bing aceita esse sinal como legítimo

O mecanismo — passo a passo

Criar URL do Yahoo! CraftMais de 8 subdomínios de países
Incorporar âncoraConsulta aleatória + link de possibly phishing
Rastejo ForçadoServiços de ping + spam
Índices do BingHerdado do Yahoo AS 24
1º lugarSite de possibly phishing entre os primeiros resultados

Etapa 1 — Geração da URL da operadora confiável. Os invasores criam URLs nos pontos de acesso da pesquisa móvel do Yahoo em vários subdomínios internacionais: [REDACTED] (Noruega), [REDACTED] (França), [REDACTED] (México), [REDACTED] (Polônia), [REDACTED] (Grécia), [REDACTED] (Quebec), [REDACTED] (suíço-francês), [REDACTED] (Colômbia). Essas páginas apresentam o Índice de Autoridade herdado do Yahoo: 23–24.

Etapa 2 — Inserção do link de possibly phishing. Cada URL contém uma consulta de busca totalmente aleatória e inofensiva — “pele+fifa”, “Jean-Paul+Sartre”, “Radio+Stars”, “jucheck.exe” —, mas o texto de âncora diz: curvefi.co Curve Finance. As consultas aleatórias garantem que os filtros de spam não identifiquem nenhum padrão.

Etapa 3 — Rastreamento e indexação forçados. Os invasores fazem com que o Bingbot rastreie essas URLs por meio de serviços de ping em massa, injeções de comentários em fóruns e blogs e ferramentas automatizadas de acionamento de rastreamento.

A falha algorítmica do Bing

O algoritmo do Google: “Esta é uma página de busca dinâmica. Não há transferência de autoridade de link.”
O algoritmo do Bing: “O site [REDACTED] possui um link para curvefi.co com o texto de âncora ‘Curve Finance DEX’. Sinal de classificação aceito. ✓”

Resultado: site de possibly phishing chega ao TOP 3 para “Curve Finance” no Bing e no DuckDuckGo.

Dados brutos da SEMrush — curvefi.co

API de análise de backlinks da SEMrush | 30/03/2026 | Destino: curvefi.co
ASDomínio de origemTexto de âncora
24[REDACTED]www.curvefi.co Curve Finance
24[REDACTED]curvefi.co Curve Finance
24[REDACTED]curvefi.co Curve Finance
24[REDACTED]www.curvefi.co Curve Finance
24[REDACTED]www.curvefi.co Curve Finance
24[REDACTED]www.curvefi.co Curve Finance
23[REDACTED]www.curvefi.co Curve Finance
23[REDACTED]curvefi.co Curve Finance

A ironia brutal: O site tem zero palavras-chave orgânicas, zero tráfego no banco de dados da SEMrush — mas aparece nos resultados do Bing/DDG para “Curve Finance” devido à autoridade emprestada pelo Yahoo.

Vetor B: A rede PBN coordenada

É aqui que a investigação se torna realmente alarmante. Cinco sites de possibly phishing distintos — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at e [REDACTED] — todos têm em comum um conjunto idêntico de fontes de backlinks. Isso não é coincidência. Isso é uma única operação criminosa organizada realizar várias campanhas de possibly phishing a partir de uma única infraestrutura.

Um operador, 9 doadores de PBN, 5 alvos de possibly phishing — a probabilidade de isso ser uma coincidência é de aproximadamente 0,00001%

A Prova Irrefutável — Infraestrutura Compartilhada

API da SEMrush | Análise entre domínios | 30/03/2026
Domínio doador PBNASrabbysdexscrmonero[REDACTED]
[REDACTED]65✓✓✓✓
[REDACTED]61✓✓✓✓
[REDACTED]60✓✓✓✓
[REDACTED].jo56✓✓✓✓
[REDACTED]56✓✓✓✓
[REDACTED]54✓✓✓✓
[REDACTED]50✓✓✓✓
markjohnsonbuilders50✓✓✓✓
[REDACTED]49✓✓✓✓
Nota sobre o site [REDACTED]

O principal doador de PBN (AS 65) é, por si só, um typosquat da marca Louis Vuitton. Esse doador de PBN é um site fraudulento que sustenta outros sites fraudulentos — uma infraestrutura criminosa em toda a sua extensão.

Perfis de domínios de possibly phishing

Visão geral do domínio da SEMrush | Março de 2026
DomínioFinge serPalavras-chaveAlvo principalVolume
dexscreener.atDexScreener64“dexscreener” n.º 4260.500/mês
rabbys.atCarteira Rabby15“carteira do coelhinho” #515.400/mês
trezorsuite.at[REDACTED] Suite7[REDACTED] suite” n.º 324.400/mês
aster-dex.atAster DEX13“Bolsa Aster” #253.600/mês
monero-wallet.atCarteira Monero4“carteira xmr online” #26210/mês
[REDACTED]Carteira Keplr0Spam oculto nos comentáriosN/A
bscscan.cfdBSCScan0Links de spam em massaN/A
curvefinance.coCurve Finance0Apenas injeção do YahooN/A
curvefi.coCurve Finance0Apenas injeção do YahooN/A
[REDACTED]Aplicativo Curve0Técnicas mistasN/A
Importante: Download do [REDACTED] Suite

Usuários que estão pesquisando “download do [REDACTED] Suite” estão procurando ativamente instalar um software de carteira. Um site de possibly phishing que aparece nas posições 3 a 5 no DuckDuckGo faz com que os usuários baixem malware achando que se trata da interface de uma carteira de hardware. Isso não é mera teoria — está acontecendo neste exato momento.

A fábrica de artigos alimentada por IA

A variante aster-dex.at utiliza um abordagem híbrida, combinando a técnica de injeção do Yahoo com conteúdo de blog gerado por IA, publicado em sites comprometidos ou criados especificamente para esse fim no Vietnã, na Itália, na Indonésia e na Suíça.

Artigos gerados por IA em sites invadidos — títulos idênticos, domínios diferentes, todos com links para o mesmo alvo de possibly phishing

Todos os artigos do blog têm títulos quase idênticos: “Por que as trocas de tokens e os pools de liquidez ainda confundem até mesmo os traders mais experientes de DEX”, “Por que os formadores de mercado automatizados ainda surpreendem os operadores”. São eles: Artigos gerados por IA colocados em sites com AS 21–36, todos com links para aster-dex.at.

Infiltração de spam nos comentários

O [REDACTED] adota uma abordagem totalmente diferente — puro spam de comentários em sites de alta autoridade que não têm relação alguma com o assunto. Nomes de usuário falsos como “ZackaryThymn”, “Fritzkah” e “Jamesboach” inserem links para carteiras de criptomoedas em sites de ensino de filosofia (filozofija.edu.rs, AS 45), plataformas de engajamento dos funcionários ([REDACTED], AS 63) e festivais de arte ([REDACTED], AS 50).

Sites legítimos que, sem saber, hospedam links de possibly phishing — ocultos entre comentários de usuários que parecem normais

O Pior de Todos: Spam de Ferramentas Automatizadas

bscscan.cfd usa o método mais rudimentar possível: pacotes pagos de backlinks em massa provenientes de sites cujos nomes são, literalmente, [REDACTED] e [REDACTED]. Todas as fontes têm AS = 0. O TLD .cfd é um indicador conhecido de spam. No entanto, no Bing, mesmo isso funciona parcialmente — o volume de links de baixa qualidade pode influenciar as classificações em domínios totalmente novos, sem histórico negativo.

“1.000 backlinks por US$ 9,99” — as ferramentas de SEO fraudulentas mais baratas ainda funcionam parcialmente no Bing

Por que o Bing e o DuckDuckGo são particularmente vulneráveis

A defesa contra spam em várias camadas do Google versus a detecção menos madura do Bing — a lacuna que os golpistas exploram
Diferenças algorítmicas que os golpistas exploram ativamente
DestaqueGoogleBing
Detecção dinâmica de páginasNão há equidade de links proveniente das páginas de resultados de pesquisaPáginas de busca do Yahoo consideradas como conteúdo editorial
Maturidade do modelo de aprendizado de máquina para spamMais de 15 anos de dados de treinamento do SpamBrainMenos maduro; o PBN AS 50–65 ainda funciona
Proteção da marcaAgressivo; o site curvefinance.co foi sinalizado rapidamenteOs golpes envolvendo os domínios de nível superior .at e .co duram mais tempo
Fábricas de conteúdo com IADetecção implementada a partir de 2023As fazendas de IA com domínios .vn e .it ainda obtêm notas de aprovação
Bloqueio de possibly phishingA Navegação Segura bloqueia domínios conhecidos rapidamenteO SmartScreen não detecta domínios fraudulentos recém-registrados
Fraqueza específica do DuckDuckGo

O DDG utiliza o índice do Bing como sua principal fonte de dados, herdando todos das vulnerabilidades do Bing. Os usuários preocupados com a privacidade que preferem o DDG costumam ter conhecimento em criptografia — o que os torna alvos de maior valor. O DDG não possui um mecanismo independente de denúncia de spam; as denúncias são encaminhadas ao Bing.

Estratégia de segmentação por palavras-chave

Os perfis de palavras-chave revelam precisão cirúrgica na seleção de alvos. Os operadores visam não apenas termos de marca primários, mas também typosquats (“carteira rabino”, “carteira Rubby”, “dexscrenner”) e até mesmo consultas em chinês (“Bolsa Aster” (25º lugar).

Segmentação multilíngue: inglês, francês, chinês, vietnamita — a operação abrange vários continentes
Análise de marca + volume de pesquisa | SEMrush EUA | março de 2026
Palavra-chave alvoVolume mensalDomínio fraudulentoCargo
dexscreener60,500dexscreener.at#42
carteira rabby5,400rabbys.at#51–71
Suíte [REDACTED]4,400trezorsuite.at#32–85
aster dex3,600aster-dex.at#63
dexscrennererro de digitação2,400dexscreener.at#45
Bolsa AsterChinês1,000aster-dex.at#25
download do [REDACTED] Suite260trezorsuite.at#54
carteira rabinoerro de digitação210rabbys.at#54
carteira online de XMR210monero-wallet.at#55–69

Contexto histórico: O problema da [REDACTED] / DuckDuckGo

Esse problema tem raízes profundas

Esses ataques não são novidade. O problema era significativamente mais grave quando carteiras como a [REDACTED] usavam o DuckDuckGo como seu mecanismo de busca padrão do aplicativo. Os usuários que buscavam protocolos DeFi a partir de suas carteiras recebiam resultados de possibly phishing como o primeiro resultado — sem a necessidade de nenhum trabalho complexo de SEO. A combinação de um mecanismo de busca voltado para a privacidade, com detecção de spam mais fraca, e uma carteira de criptomoedas com navegador integrado criou uma tempestade perfeita para possibly phishing.

Mesmo depois que a [REDACTED] deixou de usar o DDG como padrão, a vulnerabilidade subjacente persiste. Qualquer usuário que escolhe manualmente o DuckDuckGo por uma questão de privacidade — um grupo demográfico que se sobrepõe amplamente aos usuários de criptomoedas — continua exposto a esses mesmos ataques até hoje. As operações fraudulentas documentadas neste relatório vêm utilizando variações dessa técnica há vários anos, adaptando-se à medida que os mecanismos de busca vão corrigindo, aos poucos, os vetores individuais.

Como se proteger

Sempre verifique o domínio exato

REAL Curve Finance → curve.fi (NÃO .co, .net) • DexScreener → [REDACTED] (NÃO .at) • Rabby → [REDACTED] (NÃO .at, .me) • [REDACTED] Suite → suite.[REDACTED].io (NÃO é trezorsuite.at) • Keplr → [REDACTED] (NÃO .me) • BSCScan → [REDACTED] (NÃO .cfd)

  • NUNCA conecte sua carteira a partir de um resultado de pesquisa
  • Marcar como favorito sites legítimos diretamente
  • Use o DDG’s !bang atalho: !g curve finance força a pesquisa no Google
  • Instale a extensão de detecção de possibly phishing do [REDACTED]
  • Verifique qualquer domínio em THE ENABLERS REGISTRY antes de conectar

Recomendações para a Microsoft/Bing

  1. Detecção dinâmica de páginas: Classificar as páginas de resultados de busca (Yahoo, Baidu, Google) e remover a autoridade dos links externos
  2. Detecção coordenada de PBN: Quando 9 domínios apontam para 5 sites diferentes com padrões idênticos, sinalize como manipulação
  3. Camada de falsificação de marca: Detectar ataques de substituição de TLD (dexscreener.at[REDACTED])
  4. Monitoramento de domínios .AT: Maior rigor na análise de domínios .at recém-registrados nas SERPs de criptomoedas
  5. Guia rápido do DuckDuckGo: Criar uma API dedicada à remoção de spam à qual o DDG possa acessar diretamente

Conclusão

Isso não é spam oportunista. Trata-se de um operação de SEO organizada profissionalmente, multimarcas e multicanal projetado especificamente para explorar a lacuna entre os recursos de detecção de spam do Google e do Bing. Qualquer usuário que pesquisar “download do [REDACTED] Suite” no DuckDuckGo hoje pode se deparar com um site de possibly phishing que esvazia a carteira antes mesmo de encontrar o site verdadeiro. A solução técnica já existe. A questão é se o Bing vai implementá-la.

As evidências são de domínio público. Os domínios estão documentados. As vítimas são reais. A solução está nas mãos da Microsoft.
Investigação de acompanhamento — 17 de abril de 2026

Parte II: O Manual dos US$ 2 — 26 sites de possibly phishing, 1 registrador, 7 resultados em primeiro lugar no Bing

Uma investigação complementar à realizada em março identificou 26 novos domínios de possibly phishing — todos se passando por protocolos DeFi — que atualmente ocupam as primeiras posições #1 on Bing para as consultas relacionadas às marcas-alvo. Utilizando dados de backlinks da API da SEMrush, registros de cadastro no RDAP e análise direta do código-fonte, rastreamos cada um dos domínios até um operador, um registrador (IANA #3765) e uma rede PBN camuflada composta por 15 sites. Custo por domínio: US$ 2. Tempo: 10 minutos.

Um operador. 26 iscas de possibly phishing no Bing. Custo: US$ 2 por domínio.
26Domínios de possibly phishing
1Registrador (IANA #3765)
7Primeiras posições no Bing
15Sites PBN ocultos
0Classificações do Google

Uma operadora, 26 domínios, um registrador

Executamos consultas RDAP em todos os 26 domínios de possibly phishing. Todos, sem exceção, indicaram o mesmo registrador: [REDACTED]. Não a maioria. Não a maioria. Todos os 23 foram consultados com sucesso — registrador idêntico, com 3 erros de limite de taxa antes da verificação (os padrões de infraestrutura deles coincidem).

23 de 23 verificados. Mesmo registrador. Mesmo cliente. Nenhuma ação por abuso.

Dados de registro do RDAP — Comprovante de registro em lote

Resultados da consulta RDAP | abril de 2026 | 23 de 26 consultados com sucesso
DomínioFinge serCriadoPar de servidores de nomes da IANA #1910
[REDACTED]Stargate Finance2025-09-08Terry/Ximena
[REDACTED]Vesper Finance2025-09-08Terry/Ximena
[REDACTED]VVS Finance2025-09-08Terry/Ximena
[REDACTED]Protocolo Orbit2025-10-10Terry/Ximena
[REDACTED]VVS Finance2025-07-12abril/kayden
[REDACTED]SpookySwap2025-04-15abril/kayden
[REDACTED]THORSwap2025-07-24abril/kayden
[REDACTED]Hyperlock Finance2025-07-12arnold/destiny
[REDACTED]Bolsa das Sombras2025-06-24amos/tricia
[REDACTED]Finanças do Velódromo2025-09-04Dayana/Marvin
[REDACTED]LayerBank2024-09-07austin/cheryl
[REDACTED]BiSwap2024-09-07senhora/Langston
[REDACTED]OlympusDAO2026-03-29nash/romina
[REDACTED]Rede UNCX2025-12-24Cory/Megan
[REDACTED]Finanças Ambientais2026-02-09Nicole/Salvador
[REDACTED]Juice Finance2026-02-09Nicole/Salvador
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Silo Finance2025-05-30
Registro em lote — Um operador, várias sessões

Os pares de servidores de nomes (NS) compartilhados da IANA #1910 e as datas de criação idênticas comprovam que se trata de um registro em lote:

  • 2025-09-08: star-gate + app-vesper + app-vvs (todos terry/ximena)
  • 2025-05-30: [REDACTED] + .net + [REDACTED] + silo-finance (4 domínios, uma sessão)
  • 2026-02-09: [REDACTED] + [REDACTED] (nicole/salvador)
  • 2024-09-07: [REDACTED] + [REDACTED]operação com duração de mais de 18 meses

O Guia de US$ 2 — Passo a passo

Esqueça o SEO sofisticado. Esqueça meses de criação de links. Aqui está a sequência de ações completa e comprovada que garante o primeiro lugar nos resultados do Bing.

Quatro passos, US$ 2, e o Bing coloca um site de possibly phishing em primeiro lugar
Registrar um typosquat$1-2 at IANA #3765
Clonar a tag de títuloCópia do site original
Enviar para a PBNtchau. só pra você saber, 15 sites
Aguarde de 2 a 8 semanasO Bing indexa e classifica
Bing nº 1Projeto real acima

Etapa 1: Registro de Typosquats

Técnicas de typosquat em 8 dos 26 domínios
Projeto RealDomínio RealDomínio de possibly phishingTécnica
VVS Finance[REDACTED][REDACTED]Letra omitida (i)
THORSwap[REDACTED][REDACTED]Letras trocadas (a/w)
Hyperlockhyperlock.fi[REDACTED]Letras trocadas (c/k)
Arbitrum Bridge[REDACTED][REDACTED]Troca + TLD barato
Finanças Ambientais[REDACTED][REDACTED]Erro ortográfico fonético
Thruster Finance[REDACTED][REDACTED]Letra omitida (r → n)
Ponte do Otimismo[REDACTED][REDACTED]Vários erros de digitação
Stargate Finance[REDACTED][REDACTED]Excesso de palavras-chave

Etapa 2: Clonar a tag de título (US$ 0, 5 minutos)

O operador copia exatamente o <title> tag e meta descrição do site do projeto real. Este é o passo mais importante de todos. A própria página é um site que esvazia carteiras ou rouba frases-semente — mas <title> é o que o Bing classifica.

Etapa 3: Enviar para a rede PBN oculta (US$ 0, 1 minuto)

O operador visita qualquer uma das 15 unidades da PBN (bye.fyi, atomizelink.icu, etc.), digita o domínio em um formulário intitulado “Insira sua URL” e clica em “Encurtar”. Um único envio cria uma página em todos os 15 sites simultaneamente — eles compartilham um único banco de dados.

Etapa 4: Aguardar (2 a 8 semanas, US$ 0)

Prova: 1 backlink = 1º lugar no Bing

[REDACTED] alcançou o primeiro lugar no Bing para “Thruster Finance” com exatamente 1 backlink — uma página da SERP do Yahoo armazenada em cache. A rede PBN nem sequer foi necessária.

Discriminação do custo total

O queCustoHora
Domínio (.cc/.com via IANA #3765)$1-22 min
DNS da IANA #1910 (plano gratuito)$01 min
Copiar a tag de título do site original$05 min
Enviar para o PBN (bye.fyi etc.)$01 min
Aguarde a indexação$02 a 8 semanas
TOTAL$1-2~10 min

Por dentro do Mecanismo de Ocultação

Recolhemos e analisamos o código-fonte HTML real da rede PBN. Todas as páginas em todos os domínios utilizam o mesmo mecanismo de cloaking.

O que os usuários veem x o que o Bingbot vê — o z-index: 1000000 a parede esconde 3.500 links

Estrutura da página: 400 KB de HTML, mais de 3.500 links, 4 camadas

Camada 1 — A Parede de Ocultação (o que os usuários veem)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

O div branco cobre toda a janela de visualização. O z-index:1000000 garante que nada seja exibido acima dele. overflow:hidden No corpo da página, isso impede que o usuário role a tela para baixo. O usuário vê “Expirado” e sai.

Camada 2 — O redirecionamento em JS (proteção de backup)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Se o usuário contornar o bloqueio, o JavaScript o redireciona para o scrib.li (monetização por meio de afiliados). Proteção tripla contra visitantes humanos.

Camada 3 — A fachada falsa (o que os bots veem)

O Bingbot ignora a sobreposição de CSS — ele analisa o HTML bruto. Ele vê um site de “encurtador de URL” com um formulário de busca. Parece legítimo.

Camada 4 — A massa de links (3.500 links nofollow)
<p>Learn More Here <a rel="nofollow"
     href="https://POSSIBLY [REDACTED]">POSSIBLY [REDACTED]</a></p>
... x 3,500 links ...

O domínio de possibly phishing está escondido entre 3.500 domínios aleatórios. Guloseimas do Bing rel="nofollow" como um sinal de indexação — ele rastreia o alvo de qualquer maneira.

Prova: Uma rede, um banco de dados

[REDACTED] aparece em vários domínios de PBN com IDs sequenciais do mesmo banco de dados:

Um banco de dados. 15 domínios de front-end. Todas as telas exibem o mesmo conteúdo a partir do mesmo back-end.
IDs sequenciais em marcas “diferentes” da PBN — prova de back-end compartilhado
Domínio PBNPadrão de URLID
[REDACTED]/stats/4920749207
[REDACTED]/stats/4920749207
[REDACTED]/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
[REDACTED]/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
[REDACTED]/report/4920849208

Os mesmos IDs em diferentes “marcas” = um único backend, um único operador. 15 domínios. O mesmo modelo HTML. O mesmo CSS (style.css). O mesmo JavaScript (work.js). As mesmas páginas com 3.500 links.

A Segunda PBN — Rede de Verificadores de Domínios

Uma rede de links separada e mais agressiva fornece backlinks dofollow para destinos selecionados. Servidor principal: [REDACTED] — uma instalação do WordPress 6.6.2 que fornece CSS, JS e modelos para 50 a 80 domínios satélites.

PBN camuflada (Rede A) x Verificador de domínios (Rede B)
DestaqueRede A (PBN oculta)Rede B (Verificador de domínios)
Locais~15~50-80
CamuflagemSim (redirecionamento por CSS + JS)Não
Tipo de link99,4% com atributo “nofollow”99,99% dofollow
Links por página~3,500~10,000
Tamanho da página400 KB4 MB
CMSPHP personalizadoWordPress 6.6.2
Servidor mestreBanco de dados compartilhado (IDs sequenciais)[REDACTED]
Google Tag ManagerNãoSim (monitora o tráfego)
A ironia

Apesar de ter 10 vezes mais backlinks, todos dofollow, a Rede B tem como alvo NÃO alcançou o primeiro lugar no Bing. O site [REDACTED] tem 110 links dofollow. O site [REDACTED] tem 98. Nenhum dos dois ocupa a primeira posição.

Enquanto isso, [REDACTED] tem 1 backlink e ocupa o primeiro lugar.

A estratégia de PBN com links “nofollow” ocultos + correspondência de títulos funciona melhor do que o spam em massa com links “dofollow” para o Bing.

Por que o Bing cai nessa

O robô blindado do Google bloqueia o possibly phishing logo na entrada. O simpático porteiro do Bing mantém a porta aberta.

A vulnerabilidade da luta pelo título

[REDACTED] tem exatamente UM backlink — uma página em cache da SERP do Yahoo. Ela ocupa a 1ª posição no Bing para a busca por “Thruster Finance”. Isso comprova que a classificação do Bing para consultas de marca com baixa concorrência se baseia principalmente em:

  1. Correspondência exata da tag de título para a consulta de busca
  2. O domínio está indexado (qualquer sinal — mesmo um único link “nofollow” — já é suficiente)
  3. Sem sinais negativos de confiança (o domínio é novo, sem histórico)

O Google exigiria sinais de autoridade substanciais e faria uma comparação cruzada com domínios de marcas conhecidas. O Bing não faz isso.

Bing x Google — resultados de classificação em 26 domínios
MétricoBingGoogle
Domínios de possibly phishing em primeiro lugar70
Domínios de possibly phishing entre os 10 primeiros70
Tempo para aparecer nos resultados de busca a partir da criação do domínio2 a 8 semanasnunca

Resultados nº 1 do Bing (verificados via SerpAPI, abril de 2026)

Consulta#1 Result (Possibly phishing)Links de retorno
“Stargate Finance”[REDACTED]20
“Shadow Exchange”[REDACTED]16
“Rede UNCX”[REDACTED]51
“Thruster Finance”[REDACTED]1
“Protocolo Orbit”[REDACTED]15
“VVS Finance”[REDACTED] (#1) + [REDACTED] (#10)36 + 37

Lista de Proteção Atualizada (Marcas da Parte II)

Sempre verifique o domínio exato

Stargate Finance → [REDACTED] (NÃO é [REDACTED]) • VVS Finance → [REDACTED] (NÃO é [REDACTED]) • THORSwap → [REDACTED] (NÃO é [REDACTED]) • Velódromo → [REDACTED] (NÃO é [REDACTED]) • UNCX → [REDACTED] (NÃO é o [REDACTED]) • SpookySwap → spooky.fi (NÃO é o [REDACTED]) • OlympusDAO → [REDACTED] (NÃO [REDACTED]) • Thruster → [REDACTED] (NÃO é [REDACTED]) • Ambiente → [REDACTED] (NÃO é o [REDACTED])

Recomendações (Parte II)

À Microsoft/Bing:

  1. A disputa pelo título, por si só, não constitui autoridade. Um título correspondente não deve fazer com que um novo domínio ocupe a primeira posição nos resultados de pesquisa para consultas relacionadas à marca. É necessário que haja idade do domínio, autoridade de backlinks ou sinais de verificação da marca.
  2. Detectar cloaking baseado em CSS. As páginas que utilizam sobreposições com z-index para ocultar o conteúdo dos usuários, mas exibi-lo aos rastreadores, devem ser sinalizadas.
  3. Detectar redes PBN coordenadas. 15 domínios que compartilham um único backend e apontam para os mesmos destinos não constituem uma estratégia orgânica de construção de links.
  4. Marcar domínios registrados no IANA #3765 nos resultados de busca de criptomoedas para uma análise mais aprofundada.
  5. Criar uma fila prioritária para spam no DuckDuckGo. O DDG herda todas as vulnerabilidades do Bing, mas não possui um mecanismo independente de denúncia de spam.

À [REDACTED]:

26 domínios de possibly phishing. Um cliente. Registrados em lote ao longo de 18 meses. Nenhuma medida contra abusos foi tomada. Isso já está documentado publicamente. Referência: Quando as denúncias de abuso não dão em nada e IANA #3765: Facilitador sistêmico.

À IANA #1910:

Todos os 26 domínios utilizam o DNS e o proxy da IANA #1910. Esses domínios hospedam programas que esvaziam carteiras e coletam frases-semente por meio da infraestrutura da IANA #1910.

Parte II – Conclusão

Isso não é spam oportunista. Trata-se de um campanha de 18 meses, conduzida de forma profissional por um único operador que descobriu que o algoritmo de classificação do Bing pode ser burlado com um domínio de US$ 2 e uma tag de título copiada. Atualmente, sete sites de possibly phishing ocupam a primeira posição no Bing — acima das plataformas legítimas das quais se fazem passar.

A infraestrutura de ocultação que documentamos — 15 sites idênticos com bancos de dados compartilhados, ocultação de conteúdo baseada em CSS e redirecionamentos de contingência via JavaScript — representa uma ferramenta criada especificamente para manipular mecanismos de busca em grande escala.

O Google bloqueia todos os 26 domínios. O Bing coloca 7 deles na primeira posição. A solução técnica já existe. As evidências são públicas. Os domínios estão documentados. O registrador foi identificado. A questão permanece: será que alguma medida será tomada?

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings