
Розслідувальний звіт із даними SEMrush у режимі реального часу, що викриває дві паралельні SEO-атаки, спрямовані на просування фішингових сайтів, пов’язаних із криптовалютами, на перші позиції у результатах пошуку Bing та DuckDuckGo. 10 доменів. 2 вектори атак. Понад 100 000 потенційних жертв щомісяця.
Усі дані, наведені в цьому звіті, були зібрані за допомогою API-інтерфейсу SEMrush та веб-сайту enablers.report з метою проведення досліджень у сфері кібербезпеки. Доменні імена оприлюднюються з метою попередження користувачів, а не для їх просування.
Два вектори атаки
Наше розслідування виявило, що дві абсолютно різні, паралельні операції які працюють одночасно, щоб вивести фішингові сайти на перші позиції у результатах пошуку Bing та DuckDuckGo.
Вектор А: Атака типу «SERP Injection» на Yahoo
Це, мабуть, найбільш витончене з технічної точки зору атака «чорного SEO», яку ми зафіксували у 2026 році. Вона використовує фундаментальний недолік у тому, як Bing оцінює авторитетність посилань — а саме, його нездатність розрізняти справжні редакційні посилання та динамічно згенеровані сторінки результатів пошуку з надійних доменів.
Механізм — крок за кроком
Крок 1 — Створення URL-адреси надійного оператора. Зловмисники створюють URL-адреси на мобільних пошукових серверах Yahoo у різних міжнародних піддоменах: [REDACTED] (Норвегія), [REDACTED] (Франція), [REDACTED] (Мексика), [REDACTED] (Польща), [REDACTED] (Греція), [REDACTED] (Квебек), [REDACTED] (швейцарський французький), [REDACTED] (Колумбія). Ці сторінки мають показник авторитетності, успадкований від Yahoo: 23–24.
Крок 2 — Вставлення фішингового посилання. Кожен URL містить абсолютно випадковий, нешкідливий пошуковий запит — «pele+fifa», «Jean-Paul+Sartre», «Radio+Stars», «jucheck.exe» — але текст посилання виглядає так: curvefi.co Curve Finance. Рандомізовані запити гарантують, що спам-фільтри не зможуть виявити закономірності.
Крок 3 — Примусове сканування та індексація. Зловмисники змушують Bingbot сканувати ці URL-адреси, використовуючи сервіси масового пінгу, вставку коментарів на форумах та в блогах, а також інструменти для автоматичного запуску сканування.
Алгоритм Google: «Це динамічна сторінка пошуку. Передача ваги посилань не відбувається».
Алгоритм Bing: «На сайті [REDACTED] розміщено посилання на curvefi.co з анкором «Curve Finance DEX». Сигнал для ранжування прийнято. ✓»
Результат: фішинговий сайт потрапив до трійки лідерів за запитом «Curve Finance» у пошукових системах Bing та DuckDuckGo.
Необроблені дані SEMrush — curvefi.co
| AS | Домен-джерело | Анкорний текст |
|---|---|---|
| 24 | [REDACTED] | www.curvefi.co Curve Finance |
| 24 | [REDACTED] | curvefi.co Curve Finance |
| 24 | [REDACTED] | curvefi.co Curve Finance |
| 24 | [REDACTED] | www.curvefi.co Curve Finance |
| 24 | [REDACTED] | www.curvefi.co Curve Finance |
| 24 | [REDACTED] | www.curvefi.co Curve Finance |
| 23 | [REDACTED] | www.curvefi.co Curve Finance |
| 23 | [REDACTED] | curvefi.co Curve Finance |
Жорстока іронія: На сайті є нуль органічні ключові слова, нуль трафік у базі даних SEMrush — проте він з’являється у результатах Bing/DDG за запитом «Curve Finance» завдяки авторитету, запозиченому у Yahoo.
Вектор B: Скоординована мережа PBN
Саме тут розслідування набуває справді тривожного характеру. П’ять окремих фішингових сайтів — rabbys.at, dexscreener.at, monero-wallet.at, trezorsuite.at та [REDACTED] — всі вони мають спільну однаковий набір джерел зворотних посилань. Це не випадковість. Це єдина організована злочинна операція проведення декількох фішингових кампаній з однієї інфраструктури.
«The Smoking Gun» — Спільна інфраструктура
| Домен-донор PBN | AS | rabbys | dexscr | monero | [REDACTED] |
|---|---|---|---|---|---|
[REDACTED] | 65 | ✓ | ✓ | ✓ | ✓ |
[REDACTED] | 61 | ✓ | ✓ | ✓ | ✓ |
[REDACTED] | 60 | ✓ | ✓ | ✓ | ✓ |
[REDACTED].jo | 56 | ✓ | ✓ | ✓ | ✓ |
[REDACTED] | 56 | ✓ | ✓ | ✓ | ✓ |
[REDACTED] | 54 | ✓ | ✓ | ✓ | ✓ |
[REDACTED] | 50 | ✓ | ✓ | ✓ | ✓ |
markjohnsonbuilders | 50 | ✓ | ✓ | ✓ | ✓ |
[REDACTED] | 49 | ✓ | ✓ | ✓ | ✓ |
Головний донор PBN (AS 65) сам по собі є типосквотом бренду «Louis Vuitton». Цей донор PBN — це шахрайський сайт, який підтримує інші шахрайські сайти — це суцільна злочинна інфраструктура.
Профілі фішингових доменів
| Домен | Видає себе за когось іншого | Ключові слова | Головна ціль | Обсяг |
|---|---|---|---|---|
dexscreener.at | DexScreener | 64 | «dexscreener» № 42 | 60 500 на місяць |
rabbys.at | Гаманець «Rabby» | 15 | «гаманець Rabby» № 51 | 5 400 на місяць |
trezorsuite.at | [REDACTED] Suite | 7 | «[REDACTED] suite» № 32 | 4 400 на місяць |
aster-dex.at | Aster DEX | 13 | «Біржа Aster» № 25 | 3 600 на місяць |
monero-wallet.at | Гаманець Monero | 4 | «онлайн-гаманець xmr» № 26 | 210 на місяць |
[REDACTED] | Гаманець Keplr | 0 | Прихований спам у коментарях | Немає даних |
bscscan.cfd | BSCScan | 0 | Масові спам-посилання | Немає даних |
curvefinance.co | Curve Finance | 0 | Тільки введення через Yahoo | Немає даних |
curvefi.co | Curve Finance | 0 | Тільки введення через Yahoo | Немає даних |
[REDACTED] | Додаток Curve | 0 | Комбіновані техніки | Немає даних |
Користувачі, які здійснюють пошук «Завантажити [REDACTED] Suite» активно шукають, як встановити програмне забезпечення для гаманця. Фішинговий сайт, що посідає 3–5-те місце в рейтингу DuckDuckGo, означає, що користувачі завантажують шкідливе програмне забезпечення вважаючи, що це інтерфейс апаратного гаманця. Це не теорія — це відбувається прямо зараз.
«Стаття-ферма» на базі штучного інтелекту
У варіанті aster-dex.at використовується гібридний підхід, поєднуючи вставку посилань на Yahoo з контентом блогів, згенерованим за допомогою штучного інтелекту, який розміщувався на зламаних або спеціально створених для цього сайтах у В’єтнамі, Італії, Індонезії та Швейцарії.
Усі статті в блозі мають майже однакові заголовки: «Чому обмін токенів і пули ліквідності досі стають каменем спотикання навіть для досвідчених трейдерів на DEX», «Чому автоматизовані маркет-мейкери досі дивують трейдерів». Це Статті, створені за допомогою штучного інтелекту розміщені на сайтах з AS 21–36, усі з яких містять посилання на aster-dex.at.
Проникнення спаму у коментарях
[REDACTED] використовує зовсім інший підхід — суто спам у коментарях на не пов’язаних між собою сайтах з високим авторитетом. Під вигаданими іменами користувачів, такими як «ZackaryThymn», «Fritzkah», «Jamesboach», на сайтах, присвячених філософії та освіті, розміщуються посилання на криптовалютні гаманці (filozofija.edu.rs, AS 45), платформи для підвищення залученості співробітників ([REDACTED], AS 63) та мистецькі фестивалі ([REDACTED], AS 50).
Дно бочки: спам з автоматизованими інструментами
bscscan.cfd використовує найпримітивніший із можливих методів: платні пакети масових зворотних посилань із сайтів, які буквально називаються [REDACTED] та [REDACTED]. Усі джерела мають показник AS = 0. Домен верхнього рівня .cfd є відомим індикатором спаму. Проте в Bing навіть це частково працює — кількість посилань низької якості може впливати на позиції в рейтингу на абсолютно нових доменах, які не мають негативної історії.
Чому саме Bing і DuckDuckGo є особливо вразливими
| Особливість | Bing | |
|---|---|---|
| Динамічне виявлення сторінок | Відсутність посилальної ваги зі сторінок результатів пошуку | Сторінки пошуку Yahoo розглядаються як редакційний контент |
| Рівень зрілості моделей машинного навчання для боротьби зі спамом | Понад 15 років даних для навчання SpamBrain | Менш зрілий; PBN AS 50–65 все ще працює |
| Захист бренду | Агресивний; сайт curvefinance.co швидко потрапив у чорний список | Шахрайські схеми з доменами верхнього рівня .at та .co існують довше |
| «Контент-ферми» на основі штучного інтелекту | Система виявлення, введена в експлуатацію у 2023 році та пізніше | Штучний інтелект на доменах .vn та .it все ще отримує задовільні оцінки |
| Блокування фішингу | Функція «Безпечний перегляд» швидко блокує відомі домени | SmartScreen не виявляє нещодавно зареєстровані шахрайські домени |
DDG використовує індекс Bing як основне джерело даних, успадковуючи всі про вразливості Bing. Користувачі, які приділяють особливу увагу конфіденційності та віддають перевагу DDG, часто добре розбираються у криптовалютах, що робить їх більш привабливими цілями для зловмисників. DDG не має власного механізму повідомлення про спам; всі повідомлення надходять до Bing.
Стратегія таргетингу за ключовими словами
Профілі ключових слів показують, що хірургічна точність при виборі цільових слів. Оператори орієнтуються не лише на основні терміни, пов’язані з брендом, а й на типосквоти («гаманець раббі», «гаманець Рубі», «dexscrenner») і навіть запити китайською мовою («Біржа Aster» 25-те місце).
| Цільове ключове слово | Місячний обсяг | Шахрайський домен | Посада |
|---|---|---|---|
| dexscreener | 60,500 | dexscreener.at | #42 |
| гаманець «Rabby» | 5,400 | rabbys.at | #51–71 |
| пакет [REDACTED] | 4,400 | trezorsuite.at | #32–85 |
| aster dex | 3,600 | aster-dex.at | #63 |
| dexscrennerорфографічна помилка | 2,400 | dexscreener.at | #45 |
| Біржа AsterКитайська | 1,000 | aster-dex.at | #25 |
| завантажити [REDACTED] Suite | 260 | trezorsuite.at | #54 |
| гаманець «Раббі»орфографічна помилка | 210 | rabbys.at | #54 |
| онлайн-гаманець XMR | 210 | monero-wallet.at | #55–69 |
Історичний контекст: Проблема з [REDACTED] та DuckDuckGo
Ці атаки не є чимось новим. Проблема полягала в тому, що значно важчий коли такі гаманці, як [REDACTED], використовували DuckDuckGo як свій вбудована пошукова система за замовчуванням. Користувачам, які шукали протоколи DeFi безпосередньо зі свого гаманця, у якості першого результату видавалися фішингові посилання — і для цього не знадобилося жодних складних заходів з пошукової оптимізації. Поєднання пошукової системи, орієнтованої на конфіденційність, зі слабким виявленням спаму та криптогаманця з вбудованим браузером створило ідеальний шторм з метою фішингу.
Навіть після того, як [REDACTED] відмовився від використання DDG як пошукової системи за замовчуванням, ця вразливість залишається. Будь-який користувач, який ручним способом обирає DuckDuckGo з міркувань конфіденційності — група населення, яка значною мірою збігається з колом користувачів криптовалют, — і досі залишається вразливою саме до таких атак. Шахрайські операції, описані в цьому звіті, використовують різні варіації цієї техніки вже протягом кілька років, пристосовуючись до того, як пошукові системи поступово усувають окремі вразливості.
Як захистити себе
REAL Curve Finance → curve.fi (НЕ .co, .net) • DexScreener → [REDACTED] (НЕ .at) • Rabby → [REDACTED] (КРІМ .at, .me) • [REDACTED] Suite → suite.[REDACTED].io (НЕ trezorsuite.at) • Keplr → [REDACTED] (НЕ .me) • BSCScan → [REDACTED] (НЕ .cfd)
- НІКОЛИ підключіть свій гаманець із результату пошуку
- Додати до закладок безпосередньо на офіційні сайти
- Використовуйте DDG
!bangскорочення:!g curve financeвикористовує пошук Google - Встановіть розширення [REDACTED] для виявлення фішингу
- Перевірте будь-який домен на сайті THE ENABLERS REGISTRY перед підключенням
Рекомендації для Microsoft/Bing
- Динамічне виявлення сторінок: Класифікувати сторінки результатів пошуку (Yahoo, Baidu, Google) та виключати вагу посилань із вихідних посилань
- Координоване виявлення PBN: Якщо 9 доменів посилаються на 5 різних сайтів за однаковою схемою, позначте це як маніпуляцію
- Рівень імітації бренду: Виявлення атак із заміною доменів верхнього рівня (
dexscreener.at≈[REDACTED]) - Моніторинг домену .AT: Посилений контроль за новозареєстрованими доменами .at у пошуковій видачі за криптовалютами
- Швидкий доступ до DuckDuckGo: Створити спеціальний API для видалення спаму, до якого DDG матиме прямий доступ
Висновок
Це не спам, спрямований на вигоду. Це — професійно організована, мультибрендова, багатовекторна SEO-кампанія спеціально розроблений для того, щоб скористатися розбіжністю у можливостях Google та Bing щодо виявлення спаму. Кожен користувач, який сьогодні шукає «[REDACTED] Suite download» у DuckDuckGo, може натрапити на фішинговий сайт, що викрадає кошти з гаманця, перш ніж побачить справжній. Технічне рішення існує. Питання в тому, чи впровадить його Bing.
Один оператор, 26 доменів, один реєстратор
Ми провели пошук за RDAP для всіх 26 фішингових доменів. Кожен із них вказав на одного й того самого реєстратора: [REDACTED]. Не «більшість». Не «переважна більшість». Усі 23 запити з 23 виконано успішно — один і той самий реєстратор, у якого до перевірки було зафіксовано 3 помилки, пов’язані з обмеженням частоти запитів (моделі їхньої інфраструктури збігаються).
Реєстраційні дані RDAP — Докази пакетної реєстрації
| Домен | Видає себе за когось іншого | Створено | Пара NS-серверів IANA #1910 |
|---|---|---|---|
[REDACTED] | Stargate Finance | 2025-09-08 | Террі/Ксімена |
[REDACTED] | Vesper Finance | 2025-09-08 | Террі/Ксімена |
[REDACTED] | VVS Finance | 2025-09-08 | Террі/Ксімена |
[REDACTED] | Протокол Orbit | 2025-10-10 | Террі/Ксімена |
[REDACTED] | VVS Finance | 2025-07-12 | квітень/Кейден |
[REDACTED] | SpookySwap | 2025-04-15 | квітень/Кейден |
[REDACTED] | THORSwap | 2025-07-24 | квітень/Кейден |
[REDACTED] | Hyperlock Finance | 2025-07-12 | арнольд/доля |
[REDACTED] | «Тіньова біржа» | 2025-06-24 | Амос/Трісія |
[REDACTED] | «Велодром Фінанс» | 2025-09-04 | Даяна/Марвін |
[REDACTED] | LayerBank | 2024-09-07 | Остін/Шеріл |
[REDACTED] | BiSwap | 2024-09-07 | леді/Лангстон |
[REDACTED] | OlympusDAO | 2026-03-29 | nash/romina |
[REDACTED] | Мережа UNCX | 2025-12-24 | Корі/Меган |
[REDACTED] | Амбієнт Фінанс | 2026-02-09 | Ніколь/Сальвадор |
[REDACTED] | Juice Finance | 2026-02-09 | Ніколь/Сальвадор |
[REDACTED] | Rhea Finance | 2025-05-30 | — |
[REDACTED] | Rhea Finance | 2025-05-30 | — |
[REDACTED] | Rhea Finance | 2025-05-30 | — |
[REDACTED] | Silo Finance | 2025-05-30 | — |
Спільні пари іменних серверів IANA #1910 та однакові дати створення свідчать про пакетну реєстрацію:
- 2025-09-08: star-gate + app-vesper + app-vvs (усі
terry/ximena) - 2025-05-30: [REDACTED] + .net + [REDACTED] + silo-finance (4 домени, одна сесія)
- 2026-02-09: [REDACTED] + [REDACTED] (
nicole/salvador) - 2024-09-07: [REDACTED] + [REDACTED] — операція, що триває понад 18 місяців
Посібник за 2 долари — крок за кроком
Забудьте про складне SEO. Забудьте про місяці роботи над розбудовою посилань. Ось повна, перевірена послідовність дій, яка забезпечує перше місце в результатах пошуку Bing.
Крок 1: Реєстр «typosquat»
| Реальний проєкт | Реальний домен | Фішинговий домен | Техніка |
|---|---|---|---|
| VVS Finance | [REDACTED] | [REDACTED] | Пропущена літера (i) |
| THORSwap | [REDACTED] | [REDACTED] | Переставлені літери (a/w) |
| Hyperlock | hyperlock.fi | [REDACTED] | Переставлені літери (c/k) |
| Міст Arbitrum | [REDACTED] | [REDACTED] | Обмін + дешевий домен верхнього рівня |
| Амбієнт Фінанс | [REDACTED] | [REDACTED] | Фонетична помилка в написанні |
| Thruster Finance | [REDACTED] | [REDACTED] | Пропущена літера (r→n) |
| Міст оптимізму | [REDACTED] | [REDACTED] | Численні друкарські помилки |
| Stargate Finance | [REDACTED] | [REDACTED] | Надмірне використання ключових слів |
Крок 2: Створити копію тегу заголовка ($0, 5 хвилин)
Оператор копіює точну <title> тег і метаопис з веб-сайту реального проєкту. Це найважливіший крок. Сама сторінка призначена для викачування коштів із гаманців або викрадення фраз-сімен — але <title> саме це й враховує Bing при ранжуванні.
Крок 3: Додати посилання до прихованої мережі PBN (0 доларів, 1 хвилина)
Оператор відвідує будь-який із 15 об’єктів PBN (bye.fyi, atomizelink.icu, тощо), вводить домен у поле з написом «Введіть URL-адресу» та натискає кнопку «Скоротити». Одне натискання кнопки створює сторінку одночасно на всіх 15 сайтах — вони використовують одну базу даних.
Крок 4: Зачекайте (2–8 тижнів, 0 доларів)
[REDACTED] посіла перше місце в пошуковій системі Bing за запитом «Thruster Finance» завдяки рівно 1 зворотне посилання — кешована сторінка результатів пошуку Yahoo. PBN навіть не знадобилася.
Розподіл загальних витрат
| Що | Вартість | Час |
|---|---|---|
| Домен (.cc/.com через IANA #3765) | $1-2 | 2 хв |
| DNS від IANA #1910 (безкоштовний тарифний план) | $0 | 1 хв |
| Скопіювати тег заголовка з реального сайту | $0 | 5 хв |
| Надіслати на PBN (bye.fyi тощо) | $0 | 1 хв |
| Дочекайтеся індексації | $0 | 2–8 тижнів |
| ВСЬОГО | $1-2 | ~10 хв |
Всередині механізму маскування
Ми отримали та проаналізували фактичний вихідний HTML-код із мережі PBN. На кожній сторінці кожного домену працює одна й та сама система маскування.
z-index: 1000000 за цією стіною ховається 3 500 посиланьАрхітектура сторінки: 400 КБ HTML, понад 3 500 посилань, 4 рівні
<body style="overflow: hidden;">
<div style="position:absolute; top:0; left:0;
width:100%; height:5000px;
background:white; z-index:1000000;
font-size:32px; text-align:center;">
<p>The domain report has Expired!</p>
</div> Білий div займає весь вікно перегляду. Значення z-index:1000000 гарантує, що над ним нічого не відображатиметься. overflow:hidden на тілі сторінки не дозволяє прокрутити далі. Користувач бачить напис «Термін дії закінчився» і залишає сторінку.
// work.js — identical on all 15 domains:
window.location.replace("https://scrib.li/ai-article-generator"); Якщо користувач пройде повз білу стіну, JavaScript перенаправить його на scrib.li (монетизація за партнерською програмою). Потрійний захист проти відвідувачів-людей.
Bingbot ігнорує CSS-накладення — він аналізує необроблений HTML-код. Він бачить сайт «URL Shortener» із формою пошуку. Виглядає як справжній сайт.
<p>Learn More Here <a rel="nofollow"
href="https://POSSIBLY [REDACTED]">POSSIBLY [REDACTED]</a></p>
... x 3,500 links ... Фішинговий домен прихований серед 3 500 випадкових доменів. Ласощі від Bing rel="nofollow" як сигнал індексації — він все одно сканує ціль.
Доказ: Одна мережа, одна база даних
[REDACTED] зустрічається на багатьох доменах PBN разом із послідовні ідентифікатори з однієї бази даних:
| Домен PBN | Шаблон URL-адреси | ID |
|---|---|---|
[REDACTED] | /stats/49207 | 49207 |
[REDACTED] | /stats/49207 | 49207 |
[REDACTED] | /share/49207 | 49207 |
shortenurls.eu | /share/49207 | 49207 |
jake.eu | /share/49207 | 49207 |
[REDACTED] | /stats/49208 | 49208 |
screenshots.wiki | /report/49208 | 49208 |
atomizelink.icu | /report/49208 | 49208 |
[REDACTED] | /report/49208 | 49208 |
Однакові ідентифікатори для різних «брендів» = один сервер, один оператор. 15 доменів. Один і той самий HTML-шаблон. Один і той самий CSS (style.css). Той самий JavaScript (work.js). Ті самі сторінки з 3 500 посиланнями.
Друга мережа PBN — Мережа перевірки доменів
Окрема, більш агресивна мережа посилань забезпечує зворотні посилання з атрибутом «dofollow» на обрані цілі. Головний сервер: [REDACTED] — інсталяція WordPress 6.6.2, яка забезпечує CSS, JS та шаблони для 50–80 доменів-сателітів.
| Особливість | Мережа А (прихована PBN) | Мережа B (Перевірка доменів) |
|---|---|---|
| Сайти | ~15 | ~50-80 |
| Маскування | Так (перенаправлення за допомогою CSS та JS) | Ні |
| Тип посилання | 99,4 % з атрибутом nofollow | 99,99 % посилань типу «dofollow» |
| Кількість посилань на сторінці | ~3,500 | ~10,000 |
| Розмір сторінки | 400 КБ | 4 МБ |
| CMS | PHP на замовлення | WordPress 6.6.2 |
| Головний сервер | Спільна база даних (послідовні ідентифікатори) | [REDACTED] |
| Google Tag Manager | Ні | Так (відстежує трафік) |
Незважаючи на те, що мережа B має в 10 разів більше зворотних посилань, і всі вони є дофоллоу, вона націлена на НЕ посіла 1-е місце в Bing. Сайт [REDACTED] має 110 посилань дофоллоу. Сайт [REDACTED] має 98. Жоден із них не посідає 1-го місця.
Тим часом, [REDACTED] має 1 зворотне посилання і посідає 1-е місце.
Для Bing комбінація прихованої мережі PBN із атрибутом nofollow та збігом заголовків працює ефективніше, ніж масовий спам із атрибутом dofollow.
Чому Bing на це ведеться
Уразливість «Title-Match»
[REDACTED] має рівно ОДИН зворотний посилання — кешовану сторінку результатів пошуку Yahoo. Він посідає 1-е місце в Bing за запитом «Thruster Finance». Це доводить, що ранжування Bing для брендових запитів з низькою конкуренцією базується переважно на:
- Тег заголовка з точним збігом до пошукового запиту
- Домен індексовано (достатньо будь-якого сигналу — навіть одного посилання з атрибутом nofollow)
- Відсутність негативних сигналів щодо довіри (домен новий, без історії)
Google вимагатиме наявності вагомих ознак авторитетності та проводитиме перехресну перевірку з відомими доменами брендів. Bing цього не робить.
| Метрична система | Bing | |
|---|---|---|
| Фішингові домени на першому місці | 7 | 0 |
| Фішингові домени в топ-10 | 7 | 0 |
| Час для ранжування з моменту створення домену | 2–8 тижнів | ніколи |
Результати пошуку Bing № 1 (перевірено за допомогою SerpAPI, квітень 2026 року)
| Запит | #1 Result (Possibly phishing) | Зворотні посилання |
|---|---|---|
| «Stargate Finance» | [REDACTED] | 20 |
| «Тіньова біржа» | [REDACTED] | 16 |
| «Мережа UNCX» | [REDACTED] | 51 |
| «Thruster Finance» | [REDACTED] | 1 |
| «Orbit Protocol» | [REDACTED] | 15 |
| «VVS Finance» | [REDACTED] (#1) + [REDACTED] (#10) | 36 + 37 |
Оновлений перелік засобів захисту (бренди, частина II)
Stargate Finance → [REDACTED] (НЕ [REDACTED]) • VVS Finance → [REDACTED] (НЕ [REDACTED]) • THORSwap → [REDACTED] (НЕ [REDACTED]) • Велодром → [REDACTED] (НЕ [REDACTED]) • UNCX → [REDACTED] (НЕ [REDACTED]) • SpookySwap → spooky.fi (НЕ [REDACTED]) • OlympusDAO → [REDACTED] (НЕ [REDACTED]) • Thruster → [REDACTED] (НЕ [REDACTED]) • Ембієнт → [REDACTED] (НЕ [REDACTED])
Рекомендації (Частина II)
До Microsoft/Bing:
- Сам по собі титульний поєдинок ще не означає авторитету. Відповідний заголовок не повинен виводити новий домен на перше місце в рейтингу за запитами, пов’язаними з брендом. Необхідно враховувати вік домену, авторитетність зворотних посилань або ознаки підтвердження бренду.
- Виявлення маскування на основі CSS. Сторінки, на яких використовуються накладки з атрибутом z-index, що приховують вміст від користувачів, але відображають його для пошукових роботів, слід позначати.
- Виявляти скоординовані мережі PBN. 15 доменів, що використовують один і той самий бекенд та посилаються на ті самі цільові сторінки, не є органічним побудовою посилань.
- Позначати домени, зареєстровані через IANA #3765, у результатах пошуку за криптовалютами для більш ретельного аналізу.
- Створити прискорений маршрут для спаму в DuckDuckGo. DDG успадковує всі вразливості Bing, але не має власного механізму повідомлення про спам.
Компанії «[REDACTED]»:
26 фішингових доменів. Один клієнт. Реєстрація партіями протягом 18 місяців. Жодних заходів щодо боротьби зі зловживаннями не вжито. Це тепер офіційно задокументовано. Джерело: Коли повідомлення про зловживання залишаються без наслідків та IANA #3765: Системний каталізатор.
До IANA #1910:
Усі 26 доменів використовують DNS та проксі-сервери IANA #1910. Ці домени обслуговують програми, що викачують кошти з гаманців, та програми, що збирають посівні фрази, за допомогою інфраструктури IANA #1910.
Частина II. Висновки
Це не спам, спрямований на вигоду. Це — професійно організована кампанія тривалістю 18 місяців, що проводилася одним оператором який виявив, що алгоритм ранжування Bing можна обійти за допомогою домену за 2 долари та скопійованого тегу заголовка. Наразі сім фішингових сайтів посідають перше місце в рейтингу Bing — над тими легальними платформами, за які вони себе видають.
Інфраструктура маскування, яку ми задокументували — 15 ідентичних сайтів зі спільними базами даних, приховуванням контенту за допомогою CSS та резервними перенаправленнями на JavaScript — є спеціально розробленим інструментом для маніпулювання пошуковими системами у великих масштабах.
Google блокує всі 26 доменів. Bing виводить 7 із них на перше місце. Технічне рішення існує. Докази є загальнодоступними. Домени задокументовані. Реєстратор встановлено. Залишається питання: чи буде щось зроблено?