Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / UK / SEO HIJACK

SEO-викрадення: фішингові сайти, що посідають перше місце в рейтингу Bing

The Enablers Registry·Editorial mirror·/uk/seo-hijack/

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Розслідувальний звіт із даними SEMrush у режимі реального часу, що викриває дві паралельні SEO-атаки, спрямовані на просування фішингових сайтів, пов’язаних із криптовалютами, на перші позиції у результатах пошуку Bing та DuckDuckGo. 10 доменів. 2 вектори атак. Понад 100 000 потенційних жертв щомісяця.

30 березня 2026 року Дослідження THE ENABLERS REGISTRY 22 хв. на читання Дані API SEMrush
Пошукові системи під загрозою: організовані операції виштовхують фішингові сайти на перші позиції, витісняючи легітимні криптоплатформи
10Фішингові домени
9Донори PBN
60,500+Щоденний контакт
100 тис.+Кількість жертв на місяць
2Вектори атак
Застереження

Усі дані, наведені в цьому звіті, були зібрані за допомогою API-інтерфейсу SEMrush та веб-сайту enablers.report з метою проведення досліджень у сфері кібербезпеки. Доменні імена оприлюднюються з метою попередження користувачів, а не для їх просування.

Два вектори атаки

Наше розслідування виявило, що дві абсолютно різні, паралельні операції які працюють одночасно, щоб вивести фішингові сайти на перші позиції у результатах пошуку Bing та DuckDuckGo.

Вектор А: Впровадження в пошукову видачу Yahoo
Використовує авторитет домену Yahoo (AS 24) через мобільні пошукові сторінки. Bing отримує довіру від динамічно згенерованих пошукових URL-адрес Yahoo, що містять фішингові анкори. Цілі: curvefinance.co, curvefi.co, aster-dex.at
Вектор B: Координована мережа PBN
9 скомпрометованих/придбаних доменів із AS 49–65 одночасно ведуть на кілька фішингових сайтів. Діє проти ВСІХ пошукових систем. Цілі: rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at, [REDACTED]

Вектор А: Атака типу «SERP Injection» на Yahoo

Це, мабуть, найбільш витончене з технічної точки зору атака «чорного SEO», яку ми зафіксували у 2026 році. Вона використовує фундаментальний недолік у тому, як Bing оцінює авторитетність посилань — а саме, його нездатність розрізняти справжні редакційні посилання та динамічно згенеровані сторінки результатів пошуку з надійних доменів.

Отриманий від Yahoo показник авторитетності (AS 24) передається через сторінки мобільного пошуку на фішингові домени — Bing сприймає цей сигнал як достовірний

Механізм — крок за кроком

Створити URL-адресу на Yahoo8 і більше субдоменів країн
Вбудувати анкорВипадковий запит + фішингове посилання
Примусове скануванняСлужби Ping + спам
Індекси BingУспадковує Yahoo AS 24
1-е місцеФішинговий сайт у топ-результатах

Крок 1 — Створення URL-адреси надійного оператора. Зловмисники створюють URL-адреси на мобільних пошукових серверах Yahoo у різних міжнародних піддоменах: [REDACTED] (Норвегія), [REDACTED] (Франція), [REDACTED] (Мексика), [REDACTED] (Польща), [REDACTED] (Греція), [REDACTED] (Квебек), [REDACTED] (швейцарський французький), [REDACTED] (Колумбія). Ці сторінки мають показник авторитетності, успадкований від Yahoo: 23–24.

Крок 2 — Вставлення фішингового посилання. Кожен URL містить абсолютно випадковий, нешкідливий пошуковий запит — «pele+fifa», «Jean-Paul+Sartre», «Radio+Stars», «jucheck.exe» — але текст посилання виглядає так: curvefi.co Curve Finance. Рандомізовані запити гарантують, що спам-фільтри не зможуть виявити закономірності.

Крок 3 — Примусове сканування та індексація. Зловмисники змушують Bingbot сканувати ці URL-адреси, використовуючи сервіси масового пінгу, вставку коментарів на форумах та в блогах, а також інструменти для автоматичного запуску сканування.

Алгоритмічна помилка Bing

Алгоритм Google: «Це динамічна сторінка пошуку. Передача ваги посилань не відбувається».
Алгоритм Bing: «На сайті [REDACTED] розміщено посилання на curvefi.co з анкором «Curve Finance DEX». Сигнал для ранжування прийнято. ✓»

Результат: фішинговий сайт потрапив до трійки лідерів за запитом «Curve Finance» у пошукових системах Bing та DuckDuckGo.

Необроблені дані SEMrush — curvefi.co

API SEMrush Backlink Analytics | 30.03.2026 | Ціль: curvefi.co
ASДомен-джерелоАнкорний текст
24[REDACTED]www.curvefi.co Curve Finance
24[REDACTED]curvefi.co Curve Finance
24[REDACTED]curvefi.co Curve Finance
24[REDACTED]www.curvefi.co Curve Finance
24[REDACTED]www.curvefi.co Curve Finance
24[REDACTED]www.curvefi.co Curve Finance
23[REDACTED]www.curvefi.co Curve Finance
23[REDACTED]curvefi.co Curve Finance

Жорстока іронія: На сайті є нуль органічні ключові слова, нуль трафік у базі даних SEMrush — проте він з’являється у результатах Bing/DDG за запитом «Curve Finance» завдяки авторитету, запозиченому у Yahoo.

Вектор B: Скоординована мережа PBN

Саме тут розслідування набуває справді тривожного характеру. П’ять окремих фішингових сайтів — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at та [REDACTED] — всі вони мають спільну однаковий набір джерел зворотних посилань. Це не випадковість. Це єдина організована злочинна операція проведення декількох фішингових кампаній з однієї інфраструктури.

Один оператор, 9 донорів PBN, 5 об’єктів фішингових атак — ймовірність того, що це збіг, становить приблизно 0,00001%

«The Smoking Gun» — Спільна інфраструктура

API SEMrush | Міждоменний аналіз | 30.03.2026
Домен-донор PBNASrabbysdexscrmonero[REDACTED]
[REDACTED]65✓✓✓✓
[REDACTED]61✓✓✓✓
[REDACTED]60✓✓✓✓
[REDACTED].jo56✓✓✓✓
[REDACTED]56✓✓✓✓
[REDACTED]54✓✓✓✓
[REDACTED]50✓✓✓✓
markjohnsonbuilders50✓✓✓✓
[REDACTED]49✓✓✓✓
Примітка на сайті [REDACTED]

Головний донор PBN (AS 65) сам по собі є типосквотом бренду «Louis Vuitton». Цей донор PBN — це шахрайський сайт, який підтримує інші шахрайські сайти — це суцільна злочинна інфраструктура.

Профілі фішингових доменів

Огляд домену SEMrush | Березень 2026 року
ДоменВидає себе за когось іншогоКлючові словаГоловна цільОбсяг
dexscreener.atDexScreener64«dexscreener» № 4260 500 на місяць
rabbys.atГаманець «Rabby»15«гаманець Rabby» № 515 400 на місяць
trezorsuite.at[REDACTED] Suite7«[REDACTED] suite» № 324 400 на місяць
aster-dex.atAster DEX13«Біржа Aster» № 253 600 на місяць
monero-wallet.atГаманець Monero4«онлайн-гаманець xmr» № 26210 на місяць
[REDACTED]Гаманець Keplr0Прихований спам у коментаряхНемає даних
bscscan.cfdBSCScan0Масові спам-посиланняНемає даних
curvefinance.coCurve Finance0Тільки введення через YahooНемає даних
curvefi.coCurve Finance0Тільки введення через YahooНемає даних
[REDACTED]Додаток Curve0Комбіновані технікиНемає даних
Важливо: Завантаження [REDACTED] Suite

Користувачі, які здійснюють пошук «Завантажити [REDACTED] Suite» активно шукають, як встановити програмне забезпечення для гаманця. Фішинговий сайт, що посідає 3–5-те місце в рейтингу DuckDuckGo, означає, що користувачі завантажують шкідливе програмне забезпечення вважаючи, що це інтерфейс апаратного гаманця. Це не теорія — це відбувається прямо зараз.

«Стаття-ферма» на базі штучного інтелекту

У варіанті aster-dex.at використовується гібридний підхід, поєднуючи вставку посилань на Yahoo з контентом блогів, згенерованим за допомогою штучного інтелекту, який розміщувався на зламаних або спеціально створених для цього сайтах у В’єтнамі, Італії, Індонезії та Швейцарії.

Статті, створені штучним інтелектом, на зламаних сайтах — однакові заголовки, різні домени, усі з посиланнями на один і той самий фішинговий ресурс

Усі статті в блозі мають майже однакові заголовки: «Чому обмін токенів і пули ліквідності досі стають каменем спотикання навіть для досвідчених трейдерів на DEX», «Чому автоматизовані маркет-мейкери досі дивують трейдерів». Це Статті, створені за допомогою штучного інтелекту розміщені на сайтах з AS 21–36, усі з яких містять посилання на aster-dex.at.

Проникнення спаму у коментарях

[REDACTED] використовує зовсім інший підхід — суто спам у коментарях на не пов’язаних між собою сайтах з високим авторитетом. Під вигаданими іменами користувачів, такими як «ZackaryThymn», «Fritzkah», «Jamesboach», на сайтах, присвячених філософії та освіті, розміщуються посилання на криптовалютні гаманці (filozofija.edu.rs, AS 45), платформи для підвищення залученості співробітників ([REDACTED], AS 63) та мистецькі фестивалі ([REDACTED], AS 50).

Законні сайти, які, не знаючи про це, розміщують фішингові посилання — приховані серед коментарів користувачів, що виглядають цілком звичайно

Дно бочки: спам з автоматизованими інструментами

bscscan.cfd використовує найпримітивніший із можливих методів: платні пакети масових зворотних посилань із сайтів, які буквально називаються [REDACTED] та [REDACTED]. Усі джерела мають показник AS = 0. Домен верхнього рівня .cfd є відомим індикатором спаму. Проте в Bing навіть це частково працює — кількість посилань низької якості може впливати на позиції в рейтингу на абсолютно нових доменах, які не мають негативної історії.

«1000 зворотних посилань за 9,99 доларів» — найдешевші шахрайські інструменти для SEO досі частково працюють у Bing

Чому саме Bing і DuckDuckGo є особливо вразливими

Багаторівневий захист Google від спаму проти менш досконалого механізму виявлення Bing — ця різниця, якою користуються шахраї
Алгоритмічні відмінності, якими активно користуються шахраї
ОсобливістьGoogleBing
Динамічне виявлення сторінокВідсутність посилальної ваги зі сторінок результатів пошукуСторінки пошуку Yahoo розглядаються як редакційний контент
Рівень зрілості моделей машинного навчання для боротьби зі спамомПонад 15 років даних для навчання SpamBrainМенш зрілий; PBN AS 50–65 все ще працює
Захист брендуАгресивний; сайт curvefinance.co швидко потрапив у чорний списокШахрайські схеми з доменами верхнього рівня .at та .co існують довше
«Контент-ферми» на основі штучного інтелектуСистема виявлення, введена в експлуатацію у 2023 році та пізнішеШтучний інтелект на доменах .vn та .it все ще отримує задовільні оцінки
Блокування фішингуФункція «Безпечний перегляд» швидко блокує відомі домениSmartScreen не виявляє нещодавно зареєстровані шахрайські домени
Специфічна вразливість DuckDuckGo

DDG використовує індекс Bing як основне джерело даних, успадковуючи всі про вразливості Bing. Користувачі, які приділяють особливу увагу конфіденційності та віддають перевагу DDG, часто добре розбираються у криптовалютах, що робить їх більш привабливими цілями для зловмисників. DDG не має власного механізму повідомлення про спам; всі повідомлення надходять до Bing.

Стратегія таргетингу за ключовими словами

Профілі ключових слів показують, що хірургічна точність при виборі цільових слів. Оператори орієнтуються не лише на основні терміни, пов’язані з брендом, а й на типосквоти («гаманець раббі», «гаманець Рубі», «dexscrenner») і навіть запити китайською мовою («Біржа Aster» 25-те місце).

Багатомовне охоплення: англійська, французька, китайська, в’єтнамська — діяльність охоплює різні континенти
Аналіз бренду та обсягу пошукових запитів | SEMrush (США) | Березень 2026 року
Цільове ключове словоМісячний обсягШахрайський доменПосада
dexscreener60,500dexscreener.at#42
гаманець «Rabby»5,400rabbys.at#51–71
пакет [REDACTED]4,400trezorsuite.at#32–85
aster dex3,600aster-dex.at#63
dexscrennerорфографічна помилка2,400dexscreener.at#45
Біржа AsterКитайська1,000aster-dex.at#25
завантажити [REDACTED] Suite260trezorsuite.at#54
гаманець «Раббі»орфографічна помилка210rabbys.at#54
онлайн-гаманець XMR210monero-wallet.at#55–69

Історичний контекст: Проблема з [REDACTED] та DuckDuckGo

Ця проблема має глибокі корені

Ці атаки не є чимось новим. Проблема полягала в тому, що значно важчий коли такі гаманці, як [REDACTED], використовували DuckDuckGo як свій вбудована пошукова система за замовчуванням. Користувачам, які шукали протоколи DeFi безпосередньо зі свого гаманця, у якості першого результату видавалися фішингові посилання — і для цього не знадобилося жодних складних заходів з пошукової оптимізації. Поєднання пошукової системи, орієнтованої на конфіденційність, зі слабким виявленням спаму та криптогаманця з вбудованим браузером створило ідеальний шторм з метою фішингу.

Навіть після того, як [REDACTED] відмовився від використання DDG як пошукової системи за замовчуванням, ця вразливість залишається. Будь-який користувач, який ручним способом обирає DuckDuckGo з міркувань конфіденційності — група населення, яка значною мірою збігається з колом користувачів криптовалют, — і досі залишається вразливою саме до таких атак. Шахрайські операції, описані в цьому звіті, використовують різні варіації цієї техніки вже протягом кілька років, пристосовуючись до того, як пошукові системи поступово усувають окремі вразливості.

Як захистити себе

Завжди перевіряйте точну назву домену

REAL Curve Finance → curve.fi (НЕ .co, .net) • DexScreener → [REDACTED] (НЕ .at) • Rabby → [REDACTED] (КРІМ .at, .me) • [REDACTED] Suite → suite.[REDACTED].io (НЕ trezorsuite.at) • Keplr → [REDACTED] (НЕ .me) • BSCScan → [REDACTED] (НЕ .cfd)

  • НІКОЛИ підключіть свій гаманець із результату пошуку
  • Додати до закладок безпосередньо на офіційні сайти
  • Використовуйте DDG !bang скорочення: !g curve finance використовує пошук Google
  • Встановіть розширення [REDACTED] для виявлення фішингу
  • Перевірте будь-який домен на сайті THE ENABLERS REGISTRY перед підключенням

Рекомендації для Microsoft/Bing

  1. Динамічне виявлення сторінок: Класифікувати сторінки результатів пошуку (Yahoo, Baidu, Google) та виключати вагу посилань із вихідних посилань
  2. Координоване виявлення PBN: Якщо 9 доменів посилаються на 5 різних сайтів за однаковою схемою, позначте це як маніпуляцію
  3. Рівень імітації бренду: Виявлення атак із заміною доменів верхнього рівня (dexscreener.at[REDACTED])
  4. Моніторинг домену .AT: Посилений контроль за новозареєстрованими доменами .at у пошуковій видачі за криптовалютами
  5. Швидкий доступ до DuckDuckGo: Створити спеціальний API для видалення спаму, до якого DDG матиме прямий доступ

Висновок

Це не спам, спрямований на вигоду. Це — професійно організована, мультибрендова, багатовекторна SEO-кампанія спеціально розроблений для того, щоб скористатися розбіжністю у можливостях Google та Bing щодо виявлення спаму. Кожен користувач, який сьогодні шукає «[REDACTED] Suite download» у DuckDuckGo, може натрапити на фішинговий сайт, що викрадає кошти з гаманця, перш ніж побачить справжній. Технічне рішення існує. Питання в тому, чи впровадить його Bing.

Докази є загальнодоступними. Домени задокументовані. Жертви — реальні. Вирішення проблеми — у руках Microsoft.
Подальше розслідування — 17 квітня 2026 року

Частина II: «Посібник за 2 долари» — 26 фішингових сайтів, 1 реєстратор, 7 результатів на першому місці в Bing

У ході подальшого розслідування, проведеного в березні, було встановлено, що 26 нових фішингових доменів — усі вони видають себе за протоколи DeFi — наразі посідають #1 on Bing за їхніми цільовими запитами щодо бренду. Використовуючи дані про зворотні посилання з API SEMrush, записи про реєстрацію в RDAP та аналіз вихідного коду, ми простежили кожен окремий домен до один оператор, один реєстратор (IANA #3765) та одна прихована мережа PBN, що складається з 15 сайтів. Вартість одного домену: 2 долари. Час: 10 хвилин.

Один оператор. 26 фішингових посилань у Bing. Вартість: 2 долари за домен.
26Фішингові домени
1Реєстратор (IANA #3765)
7Перші позиції в Bing
15Приховані сайти PBN
0Рейтинги Google

Один оператор, 26 доменів, один реєстратор

Ми провели пошук за RDAP для всіх 26 фішингових доменів. Кожен із них вказав на одного й того самого реєстратора: [REDACTED]. Не «більшість». Не «переважна більшість». Усі 23 запити з 23 виконано успішно — один і той самий реєстратор, у якого до перевірки було зафіксовано 3 помилки, пов’язані з обмеженням частоти запитів (моделі їхньої інфраструктури збігаються).

23 з 23 перевірено. Той самий реєстратор. Той самий клієнт. Жодних заходів щодо зловживань.

Реєстраційні дані RDAP — Докази пакетної реєстрації

Результати запиту RDAP | Квітень 2026 року | 23 із 26 запитів виконано успішно
ДоменВидає себе за когось іншогоСтвореноПара NS-серверів IANA #1910
[REDACTED]Stargate Finance2025-09-08Террі/Ксімена
[REDACTED]Vesper Finance2025-09-08Террі/Ксімена
[REDACTED]VVS Finance2025-09-08Террі/Ксімена
[REDACTED]Протокол Orbit2025-10-10Террі/Ксімена
[REDACTED]VVS Finance2025-07-12квітень/Кейден
[REDACTED]SpookySwap2025-04-15квітень/Кейден
[REDACTED]THORSwap2025-07-24квітень/Кейден
[REDACTED]Hyperlock Finance2025-07-12арнольд/доля
[REDACTED]«Тіньова біржа»2025-06-24Амос/Трісія
[REDACTED]«Велодром Фінанс»2025-09-04Даяна/Марвін
[REDACTED]LayerBank2024-09-07Остін/Шеріл
[REDACTED]BiSwap2024-09-07леді/Лангстон
[REDACTED]OlympusDAO2026-03-29nash/romina
[REDACTED]Мережа UNCX2025-12-24Корі/Меган
[REDACTED]Амбієнт Фінанс2026-02-09Ніколь/Сальвадор
[REDACTED]Juice Finance2026-02-09Ніколь/Сальвадор
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Rhea Finance2025-05-30
[REDACTED]Silo Finance2025-05-30
Пакетна реєстрація — один оператор, багато сеансів

Спільні пари іменних серверів IANA #1910 та однакові дати створення свідчать про пакетну реєстрацію:

  • 2025-09-08: star-gate + app-vesper + app-vvs (усі terry/ximena)
  • 2025-05-30: [REDACTED] + .net + [REDACTED] + silo-finance (4 домени, одна сесія)
  • 2026-02-09: [REDACTED] + [REDACTED] (nicole/salvador)
  • 2024-09-07: [REDACTED] + [REDACTED]операція, що триває понад 18 місяців

Посібник за 2 долари — крок за кроком

Забудьте про складне SEO. Забудьте про місяці роботи над розбудовою посилань. Ось повна, перевірена послідовність дій, яка забезпечує перше місце в результатах пошуку Bing.

Чотири кроки, 2 долари — і Bing виводить фішинговий сайт на перше місце
Зареєструвати домен з помилкою в назві$1-2 at IANA #3765
Скопіювати тег заголовкаКопія з реального сайту
Надіслати до PBNдо побачення. До відома: 15 сайтів
Зачекайте 2–8 тижнівBing індексує та ранжує
Bing № 1Приклад реального проєкту

Крок 1: Реєстр «typosquat»

Методи «типосквоту» у 8 із 26 доменів
Реальний проєктРеальний доменФішинговий доменТехніка
VVS Finance[REDACTED][REDACTED]Пропущена літера (i)
THORSwap[REDACTED][REDACTED]Переставлені літери (a/w)
Hyperlockhyperlock.fi[REDACTED]Переставлені літери (c/k)
Міст Arbitrum[REDACTED][REDACTED]Обмін + дешевий домен верхнього рівня
Амбієнт Фінанс[REDACTED][REDACTED]Фонетична помилка в написанні
Thruster Finance[REDACTED][REDACTED]Пропущена літера (r→n)
Міст оптимізму[REDACTED][REDACTED]Численні друкарські помилки
Stargate Finance[REDACTED][REDACTED]Надмірне використання ключових слів

Крок 2: Створити копію тегу заголовка ($0, 5 хвилин)

Оператор копіює точну <title> тег і метаопис з веб-сайту реального проєкту. Це найважливіший крок. Сама сторінка призначена для викачування коштів із гаманців або викрадення фраз-сімен — але <title> саме це й враховує Bing при ранжуванні.

Крок 3: Додати посилання до прихованої мережі PBN (0 доларів, 1 хвилина)

Оператор відвідує будь-який із 15 об’єктів PBN (bye.fyi, atomizelink.icu, тощо), вводить домен у поле з написом «Введіть URL-адресу» та натискає кнопку «Скоротити». Одне натискання кнопки створює сторінку одночасно на всіх 15 сайтах — вони використовують одну базу даних.

Крок 4: Зачекайте (2–8 тижнів, 0 доларів)

Доказ: 1 зворотне посилання = 1-е місце в Bing

[REDACTED] посіла перше місце в пошуковій системі Bing за запитом «Thruster Finance» завдяки рівно 1 зворотне посилання — кешована сторінка результатів пошуку Yahoo. PBN навіть не знадобилася.

Розподіл загальних витрат

ЩоВартістьЧас
Домен (.cc/.com через IANA #3765)$1-22 хв
DNS від IANA #1910 (безкоштовний тарифний план)$01 хв
Скопіювати тег заголовка з реального сайту$05 хв
Надіслати на PBN (bye.fyi тощо)$01 хв
Дочекайтеся індексації$02–8 тижнів
ВСЬОГО$1-2~10 хв

Всередині механізму маскування

Ми отримали та проаналізували фактичний вихідний HTML-код із мережі PBN. На кожній сторінці кожного домену працює одна й та сама система маскування.

Що бачать користувачі, а що бачить Bingbot — це z-index: 1000000 за цією стіною ховається 3 500 посилань

Архітектура сторінки: 400 КБ HTML, понад 3 500 посилань, 4 рівні

Рівень 1 — «Стіна маскування» (те, що бачать користувачі)
<body style="overflow: hidden;">
  <div style="position:absolute; top:0; left:0;
              width:100%; height:5000px;
              background:white; z-index:1000000;
              font-size:32px; text-align:center;">
    <p>The domain report has Expired!</p>
  </div>

Білий div займає весь вікно перегляду. Значення z-index:1000000 гарантує, що над ним нічого не відображатиметься. overflow:hidden на тілі сторінки не дозволяє прокрутити далі. Користувач бачить напис «Термін дії закінчився» і залишає сторінку.

Рівень 2 — Перенаправлення JS (резервний захист)
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator");

Якщо користувач пройде повз білу стіну, JavaScript перенаправить його на scrib.li (монетизація за партнерською програмою). Потрійний захист проти відвідувачів-людей.

Рівень 3 — Фальшивий фасад (те, що бачать боти)

Bingbot ігнорує CSS-накладення — він аналізує необроблений HTML-код. Він бачить сайт «URL Shortener» із формою пошуку. Виглядає як справжній сайт.

Рівень 4 — Маса посилань (3 500 посилань з атрибутом nofollow)
<p>Learn More Here <a rel="nofollow"
     href="https://POSSIBLY [REDACTED]">POSSIBLY [REDACTED]</a></p>
... x 3,500 links ...

Фішинговий домен прихований серед 3 500 випадкових доменів. Ласощі від Bing rel="nofollow" як сигнал індексації — він все одно сканує ціль.

Доказ: Одна мережа, одна база даних

[REDACTED] зустрічається на багатьох доменах PBN разом із послідовні ідентифікатори з однієї бази даних:

Одна база даних. 15 доменів інтерфейсу. На всіх екранах відображається однаковий вміст із одного серверного модуля.
Послідовні ідентифікатори у «різних» брендах PBN — доказ використання спільного бекенду
Домен PBNШаблон URL-адресиID
[REDACTED]/stats/4920749207
[REDACTED]/stats/4920749207
[REDACTED]/share/4920749207
shortenurls.eu/share/4920749207
jake.eu/share/4920749207
[REDACTED]/stats/4920849208
screenshots.wiki/report/4920849208
atomizelink.icu/report/4920849208
[REDACTED]/report/4920849208

Однакові ідентифікатори для різних «брендів» = один сервер, один оператор. 15 доменів. Один і той самий HTML-шаблон. Один і той самий CSS (style.css). Той самий JavaScript (work.js). Ті самі сторінки з 3 500 посиланнями.

Друга мережа PBN — Мережа перевірки доменів

Окрема, більш агресивна мережа посилань забезпечує зворотні посилання з атрибутом «dofollow» на обрані цілі. Головний сервер: [REDACTED] — інсталяція WordPress 6.6.2, яка забезпечує CSS, JS та шаблони для 50–80 доменів-сателітів.

Прихована PBN (мережа А) проти Domain Checker (мережа Б)
ОсобливістьМережа А (прихована PBN)Мережа B (Перевірка доменів)
Сайти~15~50-80
МаскуванняТак (перенаправлення за допомогою CSS та JS)Ні
Тип посилання99,4 % з атрибутом nofollow99,99 % посилань типу «dofollow»
Кількість посилань на сторінці~3,500~10,000
Розмір сторінки400 КБ4 МБ
CMSPHP на замовленняWordPress 6.6.2
Головний серверСпільна база даних (послідовні ідентифікатори)[REDACTED]
Google Tag ManagerНіТак (відстежує трафік)
Іронія

Незважаючи на те, що мережа B має в 10 разів більше зворотних посилань, і всі вони є дофоллоу, вона націлена на НЕ посіла 1-е місце в Bing. Сайт [REDACTED] має 110 посилань дофоллоу. Сайт [REDACTED] має 98. Жоден із них не посідає 1-го місця.

Тим часом, [REDACTED] має 1 зворотне посилання і посідає 1-е місце.

Для Bing комбінація прихованої мережі PBN із атрибутом nofollow та збігом заголовків працює ефективніше, ніж масовий спам із атрибутом dofollow.

Чому Bing на це ведеться

Броньований робот від Google блокує фішинг ще на вході. А привітний швейцар від Bing тримає двері відчиненими.

Уразливість «Title-Match»

[REDACTED] має рівно ОДИН зворотний посилання — кешовану сторінку результатів пошуку Yahoo. Він посідає 1-е місце в Bing за запитом «Thruster Finance». Це доводить, що ранжування Bing для брендових запитів з низькою конкуренцією базується переважно на:

  1. Тег заголовка з точним збігом до пошукового запиту
  2. Домен індексовано (достатньо будь-якого сигналу — навіть одного посилання з атрибутом nofollow)
  3. Відсутність негативних сигналів щодо довіри (домен новий, без історії)

Google вимагатиме наявності вагомих ознак авторитетності та проводитиме перехресну перевірку з відомими доменами брендів. Bing цього не робить.

Bing проти Google — результати рейтингування у 26 доменах
Метрична системаBingGoogle
Фішингові домени на першому місці70
Фішингові домени в топ-1070
Час для ранжування з моменту створення домену2–8 тижнівніколи

Результати пошуку Bing № 1 (перевірено за допомогою SerpAPI, квітень 2026 року)

Запит#1 Result (Possibly phishing)Зворотні посилання
«Stargate Finance»[REDACTED]20
«Тіньова біржа»[REDACTED]16
«Мережа UNCX»[REDACTED]51
«Thruster Finance»[REDACTED]1
«Orbit Protocol»[REDACTED]15
«VVS Finance»[REDACTED] (#1) + [REDACTED] (#10)36 + 37

Оновлений перелік засобів захисту (бренди, частина II)

Завжди перевіряйте точну назву домену

Stargate Finance → [REDACTED] (НЕ [REDACTED]) • VVS Finance → [REDACTED] (НЕ [REDACTED]) • THORSwap → [REDACTED] (НЕ [REDACTED]) • Велодром → [REDACTED] (НЕ [REDACTED]) • UNCX → [REDACTED] (НЕ [REDACTED]) • SpookySwap → spooky.fi (НЕ [REDACTED]) • OlympusDAO → [REDACTED] (НЕ [REDACTED]) • Thruster → [REDACTED] (НЕ [REDACTED]) • Ембієнт → [REDACTED] (НЕ [REDACTED])

Рекомендації (Частина II)

До Microsoft/Bing:

  1. Сам по собі титульний поєдинок ще не означає авторитету. Відповідний заголовок не повинен виводити новий домен на перше місце в рейтингу за запитами, пов’язаними з брендом. Необхідно враховувати вік домену, авторитетність зворотних посилань або ознаки підтвердження бренду.
  2. Виявлення маскування на основі CSS. Сторінки, на яких використовуються накладки з атрибутом z-index, що приховують вміст від користувачів, але відображають його для пошукових роботів, слід позначати.
  3. Виявляти скоординовані мережі PBN. 15 доменів, що використовують один і той самий бекенд та посилаються на ті самі цільові сторінки, не є органічним побудовою посилань.
  4. Позначати домени, зареєстровані через IANA #3765, у результатах пошуку за криптовалютами для більш ретельного аналізу.
  5. Створити прискорений маршрут для спаму в DuckDuckGo. DDG успадковує всі вразливості Bing, але не має власного механізму повідомлення про спам.

Компанії «[REDACTED]»:

26 фішингових доменів. Один клієнт. Реєстрація партіями протягом 18 місяців. Жодних заходів щодо боротьби зі зловживаннями не вжито. Це тепер офіційно задокументовано. Джерело: Коли повідомлення про зловживання залишаються без наслідків та IANA #3765: Системний каталізатор.

До IANA #1910:

Усі 26 доменів використовують DNS та проксі-сервери IANA #1910. Ці домени обслуговують програми, що викачують кошти з гаманців, та програми, що збирають посівні фрази, за допомогою інфраструктури IANA #1910.

Частина II. Висновки

Це не спам, спрямований на вигоду. Це — професійно організована кампанія тривалістю 18 місяців, що проводилася одним оператором який виявив, що алгоритм ранжування Bing можна обійти за допомогою домену за 2 долари та скопійованого тегу заголовка. Наразі сім фішингових сайтів посідають перше місце в рейтингу Bing — над тими легальними платформами, за які вони себе видають.

Інфраструктура маскування, яку ми задокументували — 15 ідентичних сайтів зі спільними базами даних, приховуванням контенту за допомогою CSS та резервними перенаправленнями на JavaScript — є спеціально розробленим інструментом для маніпулювання пошуковими системами у великих масштабах.

Google блокує всі 26 доменів. Bing виводить 7 із них на перше місце. Технічне рішення існує. Докази є загальнодоступними. Домени задокументовані. Реєстратор встановлено. Залишається питання: чи буде щось зроблено?

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings