Affiliate-lookalike-domäner

Moderna bedrägerislussar är byggda för att bytas ut. Pitchen, instrumentpanelen, kontohanterarnas manus och uttagsmanuset vilar alla på en mall som operatören kan ominstallera på några timmar. När en domän flaggas av en regulator eller sökmotor sätter operatören upp en nästan identisk URL — en annan stavning, en annan toppdomän, ett extra bindestreck — och låter slussen fortsätta.

För offret innebär det att det ursprungliga varumärkesnamnet knappt spelar roll. Slussen spårar dem via affiliatelänkar, popup-annonser och "rekommenderade" uppföljningserbjudanden, och vilken som helst av dessa länkar kan byta destination utan att ändra budskapet. Innan någon söker på den domän de faktiskt betalade till har pengarna redan passerat ett nätverk offret aldrig sett.

Tre lookalike-mönster dyker upp i nästan varje fall i det här navet. För det första, varumärkesprefixbyten — "primetrade.io" blir "prime-trade.io" blir "prime-capital-trade.io" med samma landningssidesmall under ytan. För det andra, toppdomänbyten — en .com överges, en .net eller en regional toppdomän tar över, och affiliatekedjan fortsätter skicka trafik. För det tredje, registrarhopp — samma registrantmejl dyker upp bakom en roterande uppsättning integritetsmaskat WHOIS.

Vart och ett av dessa mönster är billigt att driva och katastrofalt att följa. Utredningsarkivet på den här webbplatsen korsrefererar domänerna så att sökare kan hitta varje relaterad URL från ett enda ärende, istället för att behöva återupptäcka mönstret efter att ha förlorat pengar på den senaste klonen.

Oracle Bot IA är det tydligaste enskilda exemplet på alla lookalike-mönster staplade tillsammans. FCA-varningen daterad 16 oktober 2024 namnger tre systerdomäner som driver samma AI-trading-pitch: oracleiatrade.com, lyon-bot-ia.com och oracle-bot-ia.com. Trafiken leds genom Telegram, Instagram och Meta-annonser, så en besökare som hittar en domän ser vanligtvis bara en tredjedel av slussen. Den dedikerade granskningssidan för Oracle Bot IA på den här webbplatsen korsrefererar alla tre URL:erna så att en sökare som anländer via vilken som helst av dem landar på samma regulatorstödda ärendeunderlag.

Parade domäner och klondomäner fortsätter dyka upp i nya FCA-varningsposter. Crypto CFD Trade driver pitchen på två parade domäner samtidigt (cryptocfdtrader.io och cryptocfdtrader.co.uk) och använder suffixet .co.uk för att framstå som UK-auktoriserad, medan FCA-varningen daterad 28 januari 2026 täcker båda. PRIME CAPITAL TRADE parar sin primecapitaltrade.com-front med en affiliate-lookalike-URL (primecapitaltrade.com.kelvinaffiliate.click), och FCA-varningen först publicerad 21 november 2025 och uppdaterad 12 januari 2026 namnger båda webbplatserna tillsammans. Active Crypto Trade Market är ett fall med gap mellan varumärke och URL — det fyraordiga varumärkesnamnet och den listade domänen activecryptotrademkt.com är inte samma sträng, eftersom URL:en komprimerar "market" till "mkt" — flaggat av FCA den 29 april 2025. Premium FX Trade driver en dubbeldomänstack (premfxtrades.com och premiumfxtrade.com) och har ett sällsynt dubbelt regulatoriskt register: FCA-varningen daterad 12 februari 2026 står bredvid en oberoende varningslistepost från Financial Commission (FinaCom), medan Valforex primärkäll-WHOIS-dragning visar att premiumfxtrade.com registrerades 3 maj 2019 trots att varumärket marknadsför sig som verksamt "sedan 2016". Limitless Cover är det första försäkringsfallet på det här skrivbordet, en brittisk bilförsäkringsklon varnad av FCA den 19 mars 2026 med två klonade domäner (limitlesscover.co.uk och jlinsurancesolutionsltd.co.uk) som utger sig för att vara det genuina J L Insurance Solutions Ltd (FRN 841565).

Var och en av dessa fem sidor dokumenterar det parade eller klonade mönstret direkt på FCA:s register, så att en sökare som anländer via en fråga om någon av de listade URL:erna landar på samma regulatorförankrade ärendeunderlag istället för på själva pitchen.

Om domänen i en annons eller ett DM är ett tecken ifrån ett varumärke du minns, behandla den som ett bedrägerimönster tills motsatsen bevisats. Riktiga reglerade bolag roterar sällan sina domäner; de betalar för att skydda det ursprungliga namnet och leder annonser tillbaka till det. En ny lookalike-URL med en ny Telegram-kontohanterare och ett nytt "tidsbegränsat" erbjudande är exakt det infrastruktur-för-bedrägeri-mönster som dokumenteras i Infrastructure of Fraud 2026.

Det säkraste draget är alltid att öppna en ny webbläsarflik och navigera direkt till det kanoniska varumärket — aldrig genom en annons, ett betalt sökresultat eller en affiliatelänk. Om varumärket är genuint fungerar den riktiga sajten. Om inte, hör domänen du skickades till hemma i en bedrägerirapport på den här webbplatsen, helst med skärmdumpar och den exakta URL:en som den visades i din inkorg eller ditt DM.