Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / TR / SEO HIJACK

SEO Ele Geçirme: Bing'de 1. Sırada Yer Alan Kimlik Avı Siteleri

The Enablers Registry·Editorial mirror·/tr/seo-hijack/

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Canlı SEMrush verilerini içeren ve kripto para dolandırıcılığı sitelerini Bing ile DuckDuckGo arama sonuçlarının en üst sıralarına taşıyan iki paralel SEO saldırı operasyonunu ortaya çıkaran bir araştırma raporu. 10 alan adı. 2 saldırı vektörü. Ayda 100.000'den fazla potansiyel kurban.

30 Mart 2026 THE ENABLERS REGISTRY Araştırması Okuma süresi: 22 dakika SEMrush API Verileri
Arama motorları kuşatma altında: Organize operasyonlar, kimlik avı sitelerini meşru kripto platformlarının önüne çıkarıyor
10Kimlik Avı Alan Adları
9PBN Bağışçıları
60,500+Günlük Maruz Kalma
100.000+Mağdur Sayısı/Ay
2Saldırı Vektörleri
Yasal Uyarı

Bu rapordaki tüm veriler, siber güvenlik araştırma amaçlarıyla SEMrush API ve enablers.report aracılığıyla toplanmıştır. Alan adları, kullanıcıları uyarmak amacıyla yayınlanmıştır; tanıtım amacıyla değil.

İki Saldırı Vektörü

Yaptığımız araştırma sonucunda ortaya çıktı ki tamamen farklı, birbirinden bağımsız iki işlem Bing ve DuckDuckGo arama sonuçlarında kimlik avı sitelerini en üst sıralara çıkarmak amacıyla eşzamanlı olarak yürütülen faaliyetler.

Vektör A: Yahoo Arama Sonuç Sayfası Enjeksiyonu
Mobil arama sayfaları aracılığıyla Yahoo’nun alan otoritesinden (AS 24) yararlanır. Bing, kimlik avı bağlantıları içeren dinamik olarak oluşturulan Yahoo arama URL’lerinden güveni devralır. Hedefler: curvefinance.co, curvefi.co, aster-dex.at
Vektör B: Koordineli PBN Ağı
AS 49–65 aralığındaki 9 ele geçirilmiş/satın alınmış alan adı, aynı anda birden fazla kimlik avı sitesine bağlantı vermektedir. TÜM arama motorlarında faaliyet göstermektedir. Hedefler: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, [REDACTED]

Vektör A: Yahoo Arama Sonuç Sayfası (SERP) Enjeksiyon Saldırısı

Bu, tartışmasız en... teknik açıdan en zarif 2026 yılında belgelediğimiz bir black-hat SEO saldırısı. Bu saldırı, Bing’in bağlantı otoritesini değerlendirme yöntemindeki temel bir kusuru istismar ediyor — özellikle de Bing’in, güvenilir alan adlarından gelen gerçek editoryal bağlantılar ile dinamik olarak oluşturulan arama sonucu sayfaları arasında ayrım yapamamasını.

Yahoo’dan devralınan Otorite Puanı (AS 24), mobil arama sayfaları üzerinden kimlik avı alan adlarına aktarılıyor — Bing bu sinyali meşru olarak kabul ediyor

İşleyiş — Adım Adım

Yahoo URL'si Oluştur8'den fazla ülke alt etki alanı
Bağlantıyı YerleştirRastgele sorgu + kimlik avı bağlantısı
Zorla TaramaPing hizmetleri + spam
Bing DizinleriYahoo AS 24'ü devralır
1. SıraEn üst sıralarda yer alan bir kimlik avı sitesi

1. Adım — Güvenilir taşıyıcı URL’sinin oluşturulması. Saldırganlar, Yahoo’nun mobil arama uç noktalarında çok sayıda uluslararası alt etki alanı üzerinden URL’ler oluşturuyor: [REDACTED] (Norveç), [REDACTED] (Fransa), [REDACTED] (Meksika), [REDACTED] (Polonya), [REDACTED] (Yunanistan), [REDACTED] (Quebec), [REDACTED] (İsviçre Fransızcası), [REDACTED] (Kolombiya). Bu sayfalarda Yahoo’dan devralınan Otorite Puanı: 23–24 yer almaktadır.

2. Adım — Kimlik avı bağlantısını ekleme. Her URL, tamamen rastgele ve masum bir arama sorgusu içeriyor — “pele+fifa”, “Jean-Paul+Sartre”, “Radio+Stars”, “jucheck.exe” — ancak bağlantı metni şöyle: curvefi.co Curve Finance. Rastgele oluşturulan sorgular, spam filtreleri tarafından herhangi bir kalıp eşleşmesinin önlenmesini sağlar.

3. Adım — Zorunlu tarama ve indeksleme. Saldırganlar, toplu ping hizmetleri, forum/blog yorum enjeksiyonları ve otomatik tarama tetikleme araçlarını kullanarak Bingbot’un bu URL’leri taramasını sağlıyor.

Bing’in Algoritmik Hatası

Google’ın algoritması: “Bu, dinamik bir arama sayfasıdır. Bağlantı değeri aktarımı yoktur.”
Bing’in algoritması:[REDACTED], ‘Curve Finance DEX’ bağlantı metniyle curvefi.co adresine bağlantı vermektedir. Sıralama sinyali kabul edildi. ✓”

Sonuç: Kimlik avı sitesi, Bing ve DuckDuckGo’da “Curve Finance” aramasında ilk 3’e yükseldi.

SEMrush’tan Doğrudan Kanıt — curvefi.co

SEMrush Backlink Analytics API | 30.03.2026 | Hedef: curvefi.co
ASKaynak Etki AlanıBağlantı Metni
24[REDACTED]www.curvefi.co Curve Finance
24[REDACTED]curvefi.co Curve Finance
24[REDACTED]curvefi.co Curve Finance
24[REDACTED]www.curvefi.co Curve Finance
24[REDACTED]www.curvefi.co Curve Finance
24[REDACTED]www.curvefi.co Curve Finance
23[REDACTED]www.curvefi.co Curve Finance
23[REDACTED]curvefi.co Curve Finance

Acımasız bir ironi: Sitede şunlar bulunmaktadır: sıfır organik anahtar kelimeler, sıfır SEMrush veritabanındaki trafik — ancak Yahoo’nun ödünç aldığı otorite sayesinde “Curve Finance” aramalarında Bing/DDG sonuçlarında görünüyor.

Vektör B: Koordineli PBN Ağı

İşte bu noktada soruşturma gerçekten endişe verici bir hal alıyor. Beş ayrı kimlik avı sitesi — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at ve [REDACTED] — hepsinin ortak bir aynı geri bağlantı kaynakları kümesi. Bu bir tesadüf değil. Bu tek bir organize suç örgütü tek bir altyapıdan birden fazla kimlik avı kampanyası yürütmek.

Bir operatör, 9 PBN bağışçısı, 5 kimlik avı hedefi — bunun tesadüf olma olasılığı yaklaşık %0,00001’dir

The Smoking Gun — Ortak Altyapı

SEMrush API | Etki alanları arası analiz | 30.03.2026
PBN Bağışçı Etki AlanıASrabbysdexscrmonero[REDACTED]
[REDACTED]65
[REDACTED]61
[REDACTED]60
[REDACTED].jo56
[REDACTED]56
[REDACTED]54
[REDACTED]50
markjohnsonbuilders50
[REDACTED]49
[REDACTED] ile ilgili not

En büyük PBN kaynağı (AS 65), kendisi de Louis Vuitton markasının yazım hatasından yararlanan bir sitedir. Bu PBN kaynağı, diğer dolandırıcılık sitelerini destekleyen bir dolandırıcılık sitesidir — baştan sona suç altyapısıdır.

Kimlik Avı Alan Adı Profilleri

SEMrush Etki Alanı Genel Bakışı | Mart 2026
Etki AlanıTaklit ederAnahtar kelimelerEn Önemli HedefHacim
dexscreener.atDexScreener64“dexscreener” #42ayda 60.500
rabbys.atRabby Cüzdan15“rabby cüzdan” #51Ayda 5.400
trezorsuite.at[REDACTED] Suite7[REDACTED] suite” #32Ayda 4.400
aster-dex.atAster DEX13“Aster Borsası” #25Ayda 3.600
monero-wallet.atMonero Cüzdanı4“xmr çevrimiçi cüzdan” #26Ayda 210
[REDACTED]Keplr Cüzdanı0Gizli yorum spam'ıYok
bscscan.cfdBSCScan0Toplu spam bağlantılarıYok
curvefinance.coCurve Finance0Yalnızca Yahoo enjeksiyonuYok
curvefi.coCurve Finance0Yalnızca Yahoo enjeksiyonuYok
[REDACTED]Curve uygulaması0Karışık tekniklerYok
Önemli: [REDACTED] Suite İndirme

Arama yapan kullanıcılar [REDACTED] Suite indirme” aktif olarak cüzdan yazılımı yüklemeye çalışıyorlar. DuckDuckGo’da 3–5. sıralarda yer alan bir kimlik avı sitesi, kullanıcıların şu yazılımı indirmesine neden oluyor: kötü amaçlı yazılım bunun bir donanım cüzdanı arayüzü olduğunu sanarak. Bu teorik bir durum değil — şu anda gerçekten yaşanıyor.

Yapay Zeka Destekli Makale Üretim Merkezi

aster-dex.at sürümü bir melez yaklaşım, Yahoo enjeksiyonunu, Vietnam, İtalya, Endonezya ve İsviçre’deki ele geçirilmiş ya da bu amaçla oluşturulmuş sitelere yerleştirilen yapay zeka tarafından üretilen blog içeriğiyle birleştirerek.

Güvenliği ihlal edilmiş sitelerde yer alan yapay zeka tarafından üretilmiş makaleler — aynı başlıklar, farklı alan adları, hepsi de aynı kimlik avı hedefine yönlendiriyor

Blog makalelerinin başlıkları neredeyse birbirinin aynısı: “Token Takasları ve Likidite Havuzları Neden Deneyimli DEX Yatırımcılarını Bile Zorluyor?”, “Otomatik Piyasa Yapıcılar Neden Hâlâ Yatırımcıları Şaşırtıyor?”. Bunlar şunlardır: Yapay zeka tarafından oluşturulan makaleler AS 21–36 numaralı sitelere yerleştirilmiş olup, hepsi aster-dex.at adresine yönlendirilmektedir.

Yorum Spamı Sızması

[REDACTED] ise tamamen farklı bir yaklaşım benimsiyor — konuyla ilgisi olmayan, yüksek otoriteye sahip sitelerde saf yorum spam’ı. “ZackaryThymn”, “Fritzkah”, “Jamesboach” gibi sahte kullanıcı adları, felsefe eğitimi sitelerine kripto cüzdan bağlantılarını yerleştiriyor (filozofija.edu.rs, AS 45), çalışan bağlılığı platformları ([REDACTED], AS 63) ve sanat festivalleri ([REDACTED], AS 50).

Normal görünümlü kullanıcı yorumlarının arasına gizlenmiş kimlik avı bağlantılarını farkında olmadan barındıran meşru siteler

En Dipsiz Kuyu: Otomatik Araç Spam'ı

bscscan.cfd olabilecek en kaba yöntemi kullanıyor: adları tam anlamıyla [REDACTED] ve [REDACTED]. Tüm kaynakların AS değeri 0’dır. .cfd TLD’si bilinen bir spam göstergesidir. Yine de Bing’de bu yöntem kısmen işe yarıyor — düşük kaliteli bağlantıların sayısı, olumsuz bir geçmişi olmayan yepyeni alan adlarında sıralamaları etkileyebilir.

“1000 Geri Bağlantı 9,99 $” — en ucuz SEO dolandırıcılık araçları, Bing’de hâlâ kısmen işe yarıyor

Bing ve DuckDuckGo’nun Neden Özellikle Güvenlik Açığına Sahip Olduğu

Google’ın çok katmanlı spam savunması ile Bing’in daha az gelişmiş algılama sistemi — dolandırıcıların istismar ettiği bu fark
Dolandırıcıların aktif olarak istismar ettiği algoritmik farklılıklar
ÖzellikGoogleBing
Dinamik sayfa algılamaArama sonuç sayfalarından bağlantı değeri aktarımı yapılmazYahoo arama sayfaları, editoryal içerik olarak değerlendiriliyor
Spam Makine Öğrenimi olgunluk düzeyi15 yılı aşkın SpamBrain eğitim verileriDaha az olgun; PBN AS 50–65 hâlâ işe yarıyor
Marka korumasıSaldırgan; curvefinance.co kısa sürede uyarıya konu oldu.at/.co alan adı dolandırıcılıkları daha uzun süre devam ediyor
Yapay zeka içerik üretim tesisleri2023+'da devreye alınan algılama sistemi.vn ve .it uzantılı yapay zeka sitelerinin puanları hâlâ geçer not seviyesinde
Kimlik avı engellemeGüvenli Tarama, bilinen alan adlarını hızla engellerSmartScreen, yeni kaydedilen dolandırıcılık amaçlı alan adlarını tespit edemiyor
DuckDuckGo’ya Özgü Bir Zayıflık

DDG, Bing’in dizinini birincil veri kaynağı olarak kullanır ve hepsi Bing’in güvenlik açıkları. DDG’yi tercih eden gizlilik odaklı kullanıcılar genellikle kripto konusunda bilgilidir — bu da onları daha değerli hedefler haline getirir. DDG’nin bağımsız bir spam bildirim mekanizması yoktur; bildirimler Bing’e iletilir.

Anahtar Kelime Hedefleme Stratejisi

Anahtar kelime profilleri şunu ortaya koyuyor: cerrahi hassasiyet hedef seçiminde. Operatörler sadece birincil marka terimlerini değil, aynı zamanda yazım hatası içeren alan adlarını da hedef alırlar (“rabbi cüzdanı”, “Rubby cüzdanı”, “dexscrenner”) ve hatta Çince aramalar (“Aster Borsası” (25. sırada).

Çok dilli hedefleme: İngilizce, Fransızca, Çince, Vietnamca — operasyon kıtalar arasında uzanıyor
Marka + Arama Hacmi Analizi | SEMrush ABD | Mart 2026
Hedef Anahtar KelimeAylık HacimDolandırıcılık Amaçlı Alan AdıPozisyon
dexscreener60,500dexscreener.at#42
Rabby cüzdanı5,400rabbys.at#51–71
[REDACTED] paketi4,400trezorsuite.at#32–85
aster dex3,600aster-dex.at#63
dexscrenneryazım hatası2,400dexscreener.at#45
aster BorsasıÇince1,000aster-dex.at#25
[REDACTED] Suite indirme260trezorsuite.at#54
rabbi cüzdanıyazım hatası210rabbys.at#54
xmr çevrimiçi cüzdanı210monero-wallet.at#55–69

Tarihsel Bağlam: [REDACTED] / DuckDuckGo Sorunu

Bu Sorunun Kökenleri Çok Derin

Bu saldırılar yeni bir şey değil. Sorun şuydu ki önemli ölçüde daha şiddetli [REDACTED] gibi cüzdanlar, DuckDuckGo’yu arama motoru olarak kullandıklarında varsayılan uygulama içi arama motoru. Cüzdanlarından DeFi protokollerini arayan kullanıcılara, karmaşık bir SEO çalışması gerektirmeden, en üst sırada kimlik avı sonuçları gösterildi. Gizlilik odaklı ancak spam algılama özelliği zayıf bir arama motoru ile yerleşik tarayıcısı olan bir kripto cüzdanının bir araya gelmesi, bir mükemmel fırtına kimlik avı amacıyla.

[REDACTED], varsayılan arama motoru olarak DDG’yi terk etmesine rağmen, altta yatan güvenlik açığı hâlâ devam ediyor. Herhangi bir kullanıcı ki gizlilik nedeniyle DuckDuckGo’yu manuel olarak seçer — kripto kullanıcılarıyla büyük ölçüde örtüşen bir demografik grup — bugün hâlâ tam da bu tür saldırılara maruz kalmaya devam ediyor. Bu raporda belgelenen dolandırıcılık operasyonları, bu tekniğin çeşitli varyasyonlarını birkaç yıl, arama motorlarının tek tek vektörleri yavaş yavaş düzelttikçe buna uyum sağlayarak.

Kendinizi Nasıl Koruyabilirsiniz?

Her Zaman Tam Etki Alanını Doğrulayın

GERÇEK Curve Finance → curve.fi ( .co, .net hariç) • DexScreener → [REDACTED] (NOT .at) • Rabby → [REDACTED] ( .at, .me hariç) • [REDACTED] Suite → suite.[REDACTED].io (trezorsuite.at DEĞİL) • Keplr → [REDACTED] (NOT .me) • BSCScan → [REDACTED] (.cfd DEĞİL)

  • ASLA Arama sonucundan cüzdanınızı bağlayın
  • Yer imi doğrudan güvenilir siteler
  • DDG’leri kullanın !bang kısayol: !g curve finance Google aramasını zorlar
  • [REDACTED]’ın kimlik avı algılama eklentisini yükleyin
  • Herhangi bir alan adını şu adresten kontrol edin: THE ENABLERS REGISTRY bağlanmadan önce

Microsoft/Bing’e yönelik öneriler

  1. Dinamik sayfa algılama: Arama sonuç sayfalarını (Yahoo, Baidu, Google) sınıflandırın ve giden bağlantılardan bağlantı değerini çıkarın
  2. Koordineli PBN tespiti: 9 alan adı, aynı kalıplara sahip 5 farklı siteye bağlantı verdiğinde, bunu manipülasyon olarak işaretleyin
  3. Marka taklidi katmanı: TLD değiştirme saldırılarını tespit etme (dexscreener.at[REDACTED])
  4. .AT alan adı izleme: Kripto arama sonuç sayfalarında yeni kaydedilen .at alan adlarına yönelik daha sıkı inceleme
  5. DuckDuckGo hızlı erişim: DDG’nin doğrudan erişebileceği, spam temizlemeye özel bir API oluşturun

Sonuç

Bu, fırsatçı bir spam değildir. Bu bir profesyonelce organize edilmiş, çok markalı, çok yönlü bir SEO çalışması Google ile Bing’in spam algılama yetenekleri arasındaki boşluğu istismar etmek üzere özel olarak tasarlanmıştır. Bugün DuckDuckGo’da “[REDACTED] Suite indirme” araması yapan her kullanıcı, gerçek siteyi görmeden önce cüzdanını boşaltacak bir kimlik avı sitesiyle karşılaşabilir. Teknik çözüm mevcut. Asıl soru, Bing’in bunu uygulayıp uygulamayacağı.

Kanıtlar herkese açıktır. Alan adları kayıt altına alınmıştır. Mağdurlar gerçektir. Çözüm Microsoft’un elindedir.
Takip Soruşturması — 17 Nisan 2026

Bölüm II: 2 Dolarlık Strateji — 26 Kimlik Avı Sitesi, 1 Alan Adı Kayıt Şirketi, 7 Bing’de 1. Sırada Yer Alan Sonuç

Bu Mart ayında yapılan soruşturmanın devamında şunlar tespit edildi: 26 yeni kimlik avı alan adı — hepsi DeFi protokollerini taklit eden — şu anda sıralamada #1 on Bing hedef marka aramaları için. SEMrush API geri bağlantı verilerini, RDAP kayıt bilgilerini ve doğrudan kaynak kodu analizini kullanarak, her bir alan adını şu adrese kadar izledik: tek bir operatör, tek bir kayıt kuruluşu (IANA #3765) ve 15 siteden oluşan gizlenmiş bir PBN ağı. Alan adı başına maliyet: 2 $. Süre: 10 dakika.

Tek bir operatör. Bing’de 26 adet kimlik avı tuzağı. Maliyet: Alan adı başına 2 dolar.
26Kimlik Avı Alan Adları
1Kayıt Kuruluşu (IANA #3765)
7Bing'de 1. Sıra
15Gizlenmiş PBN Siteleri
0Google Sıralamaları

Tek Operatör, 26 Alan Adı, Tek Kayıt Kuruluşu

26 adet kimlik avı alan adının tamamı üzerinde RDAP sorguları gerçekleştirdik. Her birinden aynı kayıt kuruluşu çıktı: [REDACTED]. Çoğu değil. Çoğunluk değil. 23 sorgunun tamamı başarıyla gerçekleştirildi — aynı kayıt kuruluşu; doğrulama öncesinde 3 adet hız sınırı hatası (altyapı yapıları birbiriyle örtüşüyor).

23'ün 23'ü kontrol edildi. Aynı kayıt kuruluşu. Aynı müşteri. Kötüye kullanımla ilgili herhangi bir işlem yok.

RDAP Kayıt Verileri — Toplu Kayıt Kanıtı

RDAP sorgu sonuçları | Nisan 2026 | 26 sorgudan 23'ü başarıyla gerçekleştirildi
Etki AlanıTaklit ederOluşturulduIANA #1910 NS Çifti
[REDACTED]Stargate Finance2025-09-08Terry/Ximena
[REDACTED]Vesper Finance2025-09-08Terry/Ximena
[REDACTED]VVS Finance2025-09-08Terry/Ximena
[REDACTED]Orbit Protokolü2025-10-10Terry/Ximena
[REDACTED]VVS Finance2025-07-12april/kayden
[REDACTED]SpookySwap2025-04-15april/kayden
[REDACTED]THORSwap2025-07-24april/kayden
[REDACTED]Hyperlock Finance2025-07-12arnold/kader
[REDACTED]Gölge Borsası2025-06-24amos/tricia
[REDACTED]Velodrome Finans2025-09-04dayana/marvin
[REDACTED]LayerBank2024-09-07austin/cheryl
[REDACTED]BiSwap2024-09-07bayan/langston
[REDACTED]OlympusDAO2026-03-29nash/romina
[REDACTED]UNCX Ağı2025-12-24Cory/Megan
[REDACTED]Ambient Finance2026-02-09nicole/salvador
[REDACTED]Juice Finance2026-02-09nicole/salvador
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Silo Finance2025-05-30
Toplu Kayıt — Tek Operatör, Birçok Oturum

Paylaşılan IANA #1910 NS çiftleri ve aynı oluşturma tarihleri, toplu kayıt yapıldığını kanıtlamaktadır:

  • 2025-09-08: star-gate + app-vesper + app-vvs (hepsi terry/ximena)
  • 2025-05-30: [REDACTED] + .net + [REDACTED] + silo-finance (4 alan adı, tek oturum)
  • 2026-02-09: [REDACTED] + [REDACTED] (nicole/salvador)
  • 2024-09-07: [REDACTED] + [REDACTED]18 aydan fazla süren operasyon

2 Dolarlık Strateji Kılavuzu — Adım Adım

Karmaşık SEO’yu unutun. Aylarca süren bağlantı oluşturma çalışmalarını unutun. İşte Bing’de 1. sırada yer almanızı sağlayan, eksiksiz ve doğrulanmış saldırı dizisi.

Dört adım, 2 dolar ve Bing bir kimlik avı sitesini 1 numaraya taşıyor
Yazım hatası içeren alan adını kaydet$1-2 at IANA #3765
Başlık etiketini kopyalaGerçek siteden kopyala
PBN’ye gönderHoşça kal. Bilginize, 15 site
2-8 hafta bekleyinBing, sayfaları indeksler ve sıralar
Bing #1Yukarıdaki gerçek proje

1. Adım: Typosquat Kayıt Defteri

26 alan adından 8’inde görülen yazım hatası istismarı teknikleri
Gerçek ProjeGerçek Etki AlanıKimlik Avı Alan AdıTeknik
VVS Finance[REDACTED][REDACTED]Eksik harf (i)
THORSwap[REDACTED][REDACTED]Yerleri değişmiş harfler (a/w)
Hyperlockhyperlock.fi[REDACTED]Yerleri değişmiş harfler (c/k)
Arbitrum Köprüsü[REDACTED][REDACTED]Takas + ucuz TLD
Ambient Finance[REDACTED][REDACTED]Fonetik yazım hatası
Thruster Finance[REDACTED][REDACTED]Eksik harf (r→n)
İyimserlik Köprüsü[REDACTED][REDACTED]Birden fazla yazım hatası
Stargate Finance[REDACTED][REDACTED]Anahtar kelime doldurma

2. Adım: Başlık Etiketini Kopyala ($0, 5 dakika)

Operatör, tam olarak şunu kopyalar: <title> gerçek projenin web sitesinden alınan etiket ve meta açıklaması. Bu, en önemli adımdır. Sayfanın kendisi bir cüzdan boşaltıcı ya da tohum cümlesi toplayıcıdır — ancak <title> Bing'in sıralamaya aldığı şey budur.

3. Adım: Gizlenmiş PBN’ye gönderin (0 $, 1 dakika)

Operatör, 15 PBN tesisinden herhangi birini ziyaret eder (bye.fyi, atomizelink.icu, vb.), “URL’nizi girin” etiketli forma alan adını yazıp “Kısalt” düğmesine tıklar. Tek bir gönderme işlemiyle 15 sitenin hepsinde aynı anda bir sayfa oluşturulur — bu siteler tek bir veritabanını paylaşır.

4. Adım: Bekleyin (2-8 hafta, 0 $)

Kanıt: 1 geri bağlantı = Bing'de 1. sıra

[REDACTED] “Thruster Finance” aramasında Bing’de 1. sıraya yükseldi tam olarak 1 geri bağlantı — Yahoo arama sonuç sayfası (SERP) önbellek kopyası. PBN’ye bile gerek yoktu.

Toplam Maliyet Dağılımı

NeMaliyetZaman
Alan adı (.cc/.com – IANA #3765 aracılığıyla)$1-22 dakika
IANA #1910 DNS (ücretsiz plan)$01 dakika
Gerçek siteden başlık etiketini kopyala$05 dakika
PBN’ye gönder (bye.fyi vb.)$01 dakika
Endeksleme işleminin tamamlanmasını bekleyin$02-8 hafta
TOPLAM$1-2~10 dakika

Gizleme Motoru’nun İçinde

PBN ağından gerçek HTML kaynak kodunu aldık ve analiz ettik. Her alan adındaki her sayfa aynı gizleme motorunu kullanıyor.

Kullanıcıların gördükleri ile Bingbot’un gördükleri arasındaki fark — z-index: 1000000 Duvarın arkasında 3.500 bağlantı gizli

Sayfa Yapısı: 400 KB HTML, 3.500'den fazla bağlantı, 4 katman

1. Katman — Gizleme Duvarı (kullanıcıların gördüğü kısım)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

Beyaz div, görüntü alanının tamamını kaplar. z-index:1000000 ayarı, bunun üzerine hiçbir öğenin görüntülenmemesini sağlar. overflow:hidden sayfanın üst kısmında yer alması, kullanıcının sayfayı aşağı kaydırmasını engeller. Kullanıcı “Süresi doldu” mesajını görür ve sayfadan ayrılır.

2. Katman — JS Yönlendirmesi (yedekleme koruması)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Kullanıcı beyaz duvarı atlarsa, JavaScript, scrib.li sitesine yönlendirir (ortaklık programı üzerinden gelir elde etme). Üçlü koruma insan ziyaretçilere karşı.

3. Katman — Sahte Cephe (botların gördüğü şey)

Bingbot, CSS katmanını göz ardı eder — ham HTML kodunu çözümler. Arama formu içeren bir “URL Kısaltıcı” sitesi görür. Meşru görünüyor.

4. Katman — Bağlantı Topluluğu (3.500 nofollow bağlantısı)
<p>Learn More Here <a rel="nofollow"
     href="https://POSSIBLY [REDACTED]">POSSIBLY [REDACTED]</a></p>
... x 3,500 links ...

Oltalama alan adı, 3.500 rastgele alan adı arasında gizlenmiş durumda. Bing ikramları rel="nofollow" endeksleme sinyali olarak — yine de hedefi tarar.

Kanıt: Tek Ağ, Tek Veritabanı

[REDACTED] birden fazla PBN alan adında şu şekilde görünür: aynı veritabanından alınan ardışık kimlik numaraları:

Tek bir veritabanı. 15 ön uç etki alanı. Tüm ekranlar, aynı arka uçtan alınan aynı içeriği gösterir.
“Farklı” PBN markaları arasında sıralı kimlik numaraları — ortak arka uç kanıtı
PBN Alan AdıURL DeseniKimlik
[REDACTED]/stats/4920749207
[REDACTED]/stats/4920749207
[REDACTED]/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
[REDACTED]/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
[REDACTED]/report/4920849208

Farklı “markalar” arasında aynı kimlikler = tek bir arka uç, tek bir operatör. 15 alan adı. Aynı HTML şablonu. Aynı CSS (style.css). Aynı JavaScript (work.js). Yine aynı 3.500 bağlantı içeren sayfalar.

İkinci PBN — Alan Adı Kontrol Ağı

Ayrı ve daha etkili bir bağlantı ağı, belirli hedeflere dofollow geri bağlantılar sağlar. Ana sunucu: [REDACTED] — 50-80 uydu etki alanına CSS, JS ve şablonlar sunan bir WordPress 6.6.2 kurulumu.

Gizlenmiş PBN (A Ağı) ile Domain Checker (B Ağı) Karşılaştırması
ÖzellikA Ağı (Gizlenmiş PBN)Ağ B (Etki Alanı Denetleyicisi)
Siteler~15~50-80
GizlemeEvet (CSS + JS yönlendirmesi)Hayır
Bağlantı türü%99,4'ü nofollow%99,99 dofollow
Sayfa başına bağlantı sayısı~3,500~10,000
Sayfa boyutu400 KB4 MB
CMSÖzel PHPWordPress 6.6.2
Ana sunucuPaylaşılan veritabanı (sıralı kimlikler)[REDACTED]
Google Etiket YöneticisiHayırEvet (trafiği izler)
İroni

10 kat daha fazla geri bağlantıya sahip olmasına ve bunların hepsinin dofollow olmasına rağmen, Ağ B’nin hedefi Bing’de 1. sıraya YOKSA da. [REDACTED]’de 110 adet dofollow bağlantı var. [REDACTED]’da ise 98 tane var. İkisi de 1. sırada yer almıyor.

Bu arada, [REDACTED] var 1 geri bağlantı ve 1. sırada yer alıyor.

Bing için, nofollow etiketli gizlenmiş PBN + başlık eşleşmesi, toplu dofollow spam’inden daha iyi sonuç veriyor.

Bing Neden Buna Kanıyor?

Google’ın zırhlı robotu, girişte kimlik hırsızlığını engelliyor. Bing’in cana yakın kapıcısı ise kapıyı açık tutuyor.

Başlık Maçı Güvenlik Açığı

[REDACTED] Tam olarak TEK bir geri bağlantısı var — önbelleğe alınmış bir Yahoo arama sonuçları sayfası. “Thruster Finance” aramasında Bing’de 1. sırada yer alıyor. Bu durum, rekabetin düşük olduğu marka aramalarında Bing’in sıralamasının esas olarak şunlara dayandığını kanıtlıyor:

  1. Başlık etiketinde tam eşleşme arama sorgusuna
  2. Etki alanı indekslenmiştir (herhangi bir işaret — tek bir nofollow bağlantısı bile — yeterlidir)
  3. Olumsuz güven sinyali yok (alan adı yenidir, geçmişi temizdir)

Google, önemli ölçüde güvenilirlik göstergeleri talep eder ve bunları bilinen marka alan adlarıyla karşılaştırır. Bing ise bunu yapmaz.

Bing ve Google — 26 alan adında sıralama sonuçları
MetrikBingGoogle
1. sırada yer alan kimlik avı alan adları70
En çok görülen 10 kimlik avı alan adı70
Alan adının oluşturulduğu tarihten itibaren sıralama zamanı2-8 haftaasla

Bing'de 1. Sıradaki Sonuçlar (SerpAPI aracılığıyla doğrulanmıştır, Nisan 2026)

Sorgu#1 Result (Possibly phishing)Geri bağlantılar
“Stargate Finance”[REDACTED]20
“Gölge Borsası”[REDACTED]16
“UNCX Ağı”[REDACTED]51
“Thruster Finance”[REDACTED]1
“Orbit Protokolü”[REDACTED]15
“VVS Finance”[REDACTED] (#1) + [REDACTED] (#10)36 + 37

Güncellenmiş Koruma Listesi (II. Kısım markaları)

Her Zaman Tam Etki Alanını Doğrulayın

Stargate Finance → [REDACTED] ([REDACTED] DEĞİL) • VVS Finance → [REDACTED] ([REDACTED] DEĞİL) • THORSwap → [REDACTED] ([REDACTED] DEĞİL) • Velodrom → [REDACTED] ([REDACTED] DEĞİL) • UNCX → [REDACTED] ([REDACTED] DEĞİL) • SpookySwap → spooky.fi ([REDACTED] DEĞİL) • OlympusDAO → [REDACTED] ([REDACTED] DEĞİL) • Thruster → [REDACTED] ([REDACTED] DEĞİL) • Ambient → [REDACTED] ([REDACTED] DEĞİL)

Öneriler (2. Bölüm)

Microsoft/Bing’e:

  1. Sadece şampiyonluk maçı tek başına bir otorite değildir. Eşleşen bir başlık, yeni bir alan adının marka aramalarında 1. sıraya yükselmesine neden olmamalıdır. Alan adı yaşı, geri bağlantı otoritesi veya marka doğrulama sinyallerinin bulunması şarttır.
  2. CSS tabanlı gizlemeyi tespit et. Kullanıcılardan içeriği gizleyen ancak tarayıcılara gösteren z-index üst katmanları kullanan sayfalar işaretlenmelidir.
  3. Koordineli PBN ağlarını tespit etmek. Aynı hedeflere bağlantı veren tek bir arka uç sistemini paylaşan 15 alan adı, organik bağlantı oluşturma sayılmaz.
  4. Kripto arama sonuç sayfalarında IANA #3765'te kayıtlı alan adlarını işaretleyin daha ayrıntılı inceleme amacıyla.
  5. DuckDuckGo için bir spam hızlı filtreleme sistemi oluşturun. DDG, Bing’in tüm güvenlik açıklarını devralmaktadır ancak bağımsız bir spam bildirim mekanizmasına sahip değildir.

[REDACTED]’e:

26 adet kimlik avı alan adı. Tek bir müşteri. 18 ay boyunca toplu olarak kaydedildi. Herhangi bir kötüye kullanım önlemi alınmadı. Bu durum artık kamuya açık bir şekilde belgelenmiştir. Kaynak: İstismar Bildirimleri Sonuçsuz Kaldığında ve IANA #3765: Sistem Çapında Bir Kolaylaştırıcı.

IANA #1910’e:

26 alan adının tamamı IANA #1910 DNS ve proxy hizmetlerini kullanmaktadır. Bu alan adları, IANA #1910’in altyapısı üzerinden cüzdan boşaltıcı ve tohum cümlesi toplayıcılarına hizmet vermektedir.

Bölüm II Sonuç

Bu, fırsatçı bir spam değildir. Bu bir tek bir operatör tarafından profesyonel bir şekilde yürütülen, 18 ay süren kampanya Bing’in sıralama algoritmasının 2 dolarlık bir alan adı ve kopyalanmış bir başlık etiketi ile alt edilebileceğini keşfeden kişi. Şu anda yedi kimlik avı sitesi Bing’de 1. sırada yer alıyor — taklit ettikleri meşru platformların üzerinde.

Belgelediğimiz gizleme altyapısı — ortak veritabanlarına sahip 15 adet özdeş site, CSS tabanlı içerik gizleme ve JavaScript yönlendirme yedekleri — arama motorlarını büyük ölçekte manipüle etmek için özel olarak tasarlanmış bir aracı temsil etmektedir.

Google, 26 alan adının tamamını engelliyor. Bing ise bunlardan 7’sini 1. sırada gösteriyor. Teknik çözüm mevcut. Kanıtlar herkese açık. Alan adları belgelenmiş durumda. Kayıt kuruluşu tespit edildi. Soru hâlâ şu: Bir şeyler yapılacak mı?

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings