加密货币被盗细节报告,暗网上仅售105美元

marsbitОпубликовано 2025-12-29Обновлено 2025-12-29

Введение

网络钓鱼攻击中,用户一旦在虚假网站输入凭证信息,数据便迅速流入犯罪“流水线”。常见的数据收集方式包括发送至邮箱、Telegram机器人或上传至自动化管理面板。Telegram机器人因实时性强、难以追踪而日益流行,而高级管理面板则支持数据分类、验证和批量导出,成为有组织攻击的核心工具。 被盗数据类型多样,88.5%的攻击以窃取各类在线账户凭证为主,其次是个人身份信息(9.5%)和银行卡信息(2%)。这些数据在暗网被低价打包出售(最低仅50美元),经专业分析人员验证、分类后,按账户价值定价——例如,绑定银行卡且余额较高的账户售价可达数百美元。 数据不仅被直接变现,更被整合成用户数字档案,用于后续精准攻击(如针对企业高管的“鲸钓”攻击)或身份盗用。即使多年前泄露的数据仍可能被利用。 关键启示在于:数据一旦泄露便永不消失,可能长期威胁受害者。建议用户为每个账户设置唯一密码、启用多因素认证,并定期监控数字足迹。若遭遇攻击,需立即冻结银行卡、修改密码并通知亲友。

作者:Olga Altukhova 编辑:far@Centreless

编译:Centreless X(Twitter)@Tocentreless

典型的网络钓鱼攻击通常包括用户点击一个欺诈性链接,并在假冒网站上输入自己的凭证信息。然而,攻击在此时远未结束。一旦机密信息落入网络犯罪分子手中,它会立即变成一种商品,进入暗网市场的“流水线”。

在本文中,我们将追踪被盗数据的流转路径:从通过各种工具(如Telegram机器人和高级管理面板)收集数据,到数据的销售及其后续用于新的攻击。我们将探讨曾经泄露过的用户名和密码如何被整合进庞大的数字档案,以及为何即使多年前的数据泄露,犯罪分子仍可加以利用,实施针对性攻击。

网络钓鱼攻击中的数据收集机制在追踪被盗数据的后续去向之前,我们需要先了解这些数据是如何离开钓鱼页面并到达网络犯罪分子手中的。

通过对真实钓鱼页面的分析,我们识别出以下最常见的数据传输方式:

  • 发送至电子邮件地址
  • 发送至Telegram机器人
  • 上传至管理面板

值得一提的是,攻击者有时会利用合法服务进行数据收集,以使其服务器更难被发现。例如,他们可能使用Google表单、Microsoft表单等在线表单服务。被盗数据也可能被存储在GitHub、Discord服务器或其他网站上。不过,为便于本次分析,我们将聚焦于上述主要的数据收集方式。

电子邮件

受害者在钓鱼页面HTML表单中输入的数据,会通过一个PHP脚本发送到攻击者的服务器,再由该服务器转发至攻击者控制的电子邮件地址。然而,由于电子邮件服务存在诸多限制——例如投递延迟、托管服务商可能封禁发件服务器,以及处理大量数据时操作不便——这种方式正逐渐减少。

Phishing kit contents

举例来说,我们曾分析过一个针对DHL用户的钓鱼工具包(phishing kit)。其中,index.php文件包含一个用于窃取用户数据(此处为邮箱地址和密码)的钓鱼表单。

Phishing form imitating the DHL website

受害者输入的信息随后通过next.php文件中的脚本,发送至mail.php文件中指定的邮箱地址。

Contents of the PHP scripts

Telegram机器人

与上述方法不同,使用Telegram机器人的脚本会指定一个包含机器人令牌(bot token)和对应聊天ID(Chat ID)的Telegram API网址,而非电子邮件地址。在某些情况下,该链接甚至直接硬编码在钓鱼HTML表单中。攻击者会设计详细的消息模板,在成功窃取数据后自动发送给机器人。代码示例如下:

Code snippet for data submission

相较于通过电子邮件发送数据,使用Telegram机器人能为钓鱼者提供更强的功能,因此这一方法正日益普及。数据会实时传送到机器人,并立即通知操作者。攻击者常使用一次性机器人,这类机器人更难追踪和封禁。此外,其性能也不依赖于钓鱼页面托管服务的质量。

自动化管理面板

更老练的网络犯罪分子会使用专门的软件,包括BulletProofLink和Caffeine等商业框架,通常以“平台即服务”(PaaS)的形式提供。这些框架为钓鱼活动提供一个Web界面(仪表盘),便于集中管理。

所有由攻击者控制的钓鱼页面所收集的数据,都会汇总到一个统一数据库中,并可通过其账户界面查看和管理。

Sending data to the administration panel

这些管理面板用于分析和处理受害者数据。具体功能因面板定制选项而异,但大多数仪表盘通常具备以下能力:

  • 实时统计分类:按时间、国家查看成功攻击数量,并支持数据筛选
  • 自动验证:部分系统可自动验证被盗数据的有效性,如信用卡信息或登录凭证
  • 数据导出:支持以多种格式下载数据,便于后续使用或出售

Example of an administration panel

管理面板是组织化网络犯罪团伙的关键工具。

值得注意的是,一次钓鱼活动往往会同时采用上述多种数据收集方式。

网络犯罪分子觊觎的数据类型

网络钓鱼攻击所窃取的数据,其价值和用途各不相同。在犯罪分子手中,这些数据既是牟利手段,也是实施复杂多阶段攻击的工具。

根据用途,被盗数据可分为以下几类:

  • 即时变现:直接批量出售原始数据,或立即从受害者的银行账户或电子钱包中盗取资金
  1. 银行卡信息:卡号、有效期、持卡人姓名、CVV/CVC码
  2. 网银及电子钱包账户:登录名、密码,以及一次性双因素认证(2FA)验证码
  3. 绑定银行卡的账户:如在线商店、订阅服务或Apple Pay/Google Pay等支付系统的登录凭证
  • 用于后续攻击以进一步变现:利用被盗数据发起新攻击,获取更多收益
  1. 各类在线账户凭证:用户名和密码。值得注意的是,即使没有密码,仅凭作为登录名的邮箱或手机号,对攻击者也具有价值
  2. 手机号码:用于电话诈骗(如骗取2FA验证码)或通过即时通讯应用实施钓鱼
  3. 个人身份信息:全名、出生日期、住址等,常被用于社会工程学攻击
  • 用于精准攻击、勒索、身份盗用及深度伪造
  1. 生物特征数据:语音、面部图像
  2. 个人证件扫描件及编号:护照、驾照、社保卡、纳税人识别号等
  3. 持证自拍照:用于在线贷款申请和身份核验
  4. 企业账户:用于针对企业的定向攻击

我们对2025年1月至9月期间发生的钓鱼与诈骗攻击进行了分析,以确定犯罪分子最常瞄准的数据类型。结果显示:88.5%的攻击旨在窃取各类在线账户凭证,9.5%针对个人身份信息(姓名、地址、出生日期),仅有2%专注于窃取银行卡信息。

在暗网市场出售数据

除用于实时攻击或即时变现外,大多数被盗数据并不会立即被使用。让我们更深入地看看它的流转路径:

1.数据打包出售

数据被整合后,以“数据包”(dumps)形式在暗网市场上出售——这些压缩包通常包含数百万条来自各类钓鱼攻击和数据泄露的记录。一个数据包售价可能低至50美元。主要买家往往并非活跃的诈骗者,而是暗网数据分析人员,他们是供应链中的下一环。

2.分类与验证

暗网数据分析人员会按类型(邮箱账户、电话号码、银行卡信息等)对数据进行筛选,并运行自动化脚本进行验证。这包括检查数据的有效性及其复用潜力——例如,某组Facebook账号密码是否也能登录Steam或Gmail。由于用户习惯在多个网站使用相同密码,几年前从某服务窃取的数据今天仍可能适用于其他服务。经过验证、仍可正常登录的账户在出售时价格更高。

分析人员还会将来自不同攻击事件的用户数据进行关联整合。例如,一份旧的社交媒体泄露密码、一份仿冒政府门户网站钓鱼表单获取的登录凭证,以及一个在诈骗网站留下的电话号码,都可能被汇编成关于特定用户的完整数字档案。

3.在专业市场出售

被盗数据通常通过暗网论坛和Telegram出售。后者常被用作“线上店铺”,展示价格、买家评价等信息。

Offers of social media data, as displayed in Telegram

账户价格差异巨大,取决于多种因素:账户年龄、余额、绑定的支付方式(银行卡、电子钱包)、是否启用双因素认证(2FA),以及所属服务平台的知名度。例如,一个绑定邮箱、启用2FA、拥有长期使用历史和大量订单记录的电商账户,售价会更高;对于Steam等游戏账户,昂贵的游戏购买记录会提升其价值;而网银数据若涉及高余额账户且来自信誉良好的银行,则溢价显著。

下表展示了截至2025年在暗网论坛上发现的各类账户售价示例*。

4.高价值目标甄选与定向攻击

犯罪分子尤其关注高价值目标——即掌握重要信息的用户,如企业高管、会计或IT系统管理员。

举一个“鲸钓”(whaling)攻击的可能场景:A公司发生数据泄露,其中包含一名曾在此任职、现为B公司高管的员工信息。攻击者通过开源情报(OSINT)分析,确认该用户当前就职于B公司。随后,他们精心伪造一封看似来自B公司CEO的钓鱼邮件发给该高管。为增强可信度,邮件中甚至引用了该用户在前公司的一些事实(当然,攻击手法不止于此)。通过降低受害者的警惕性,犯罪分子便有机会进一步入侵B公司。

值得注意的是,此类定向攻击不仅限于企业领域。攻击者也可能盯上银行账户余额较高的个人,或持有重要个人证件(如微贷申请所需文件)的用户。

关键启示

被盗数据的流转如同一条高效运转的流水线,每一条信息都成为带有明确标价的商品。如今的网络钓鱼攻击已广泛采用多样化的系统来收集和分析敏感信息。数据一经窃取,便迅速流入Telegram机器人或攻击者的管理面板,继而被分类、验证并变现。

我们必须清醒认识到:一旦数据泄露,它不会凭空消失。相反,它会被不断积累、整合,并可能在数月甚至数年后被用来对受害者实施精准攻击、勒索或身份盗用。在当今的网络环境中,保持警惕、为每个账户设置唯一密码、启用多因素认证,并定期监控自己的数字足迹,已不再是建议,而是生存必需。

如果您不幸成为钓鱼攻击的受害者,请采取以下措施:

  1. 如银行卡信息泄露,请立即致电银行挂失并冻结卡片。
  2. 如账户凭证被盗,请立即更改该账户密码,并同步修改所有使用相同或相似密码的其他在线服务密码。务必为每个账户设置唯一密码。
  3. 在所有支持的服务中启用多因素认证(MFA/2FA)。
  4. 检查账户的登录历史,终止任何可疑会话。
  5. 如您的即时通讯或社交媒体账户被盗,请立即通知亲友,提醒他们警惕以您名义发送的欺诈信息。
  6. 使用专业服务(如Have I Been Pwned等)检查您的数据是否出现在已知的数据泄露事件中。
  7. 对任何意外收到的邮件、电话或优惠信息保持高度警惕——它们之所以显得可信,很可能是因为攻击者正在利用您的泄露数据。

Связанные с этим вопросы

Q网络钓鱼攻击中,最常见的数据传输方式有哪些?

A网络钓鱼攻击中最常见的数据传输方式包括:发送至电子邮件地址、发送至Telegram机器人和上传至管理面板。

Q为什么使用Telegram机器人传输数据比电子邮件更受攻击者青睐?

A使用Telegram机器人传输数据更受攻击者青睐,因为它能实时传送数据并立即通知操作者,使用一次性机器人更难追踪和封禁,且性能不依赖于钓鱼页面托管服务的质量。

Q网络犯罪分子最常瞄准的数据类型是什么?

A根据2025年1月至9月的分析,网络犯罪分子最常瞄准的数据类型是各类在线账户凭证,占比88.5%,其次是个人身份信息(9.5%)和银行卡信息(2%)。

Q被盗数据在暗网市场通常如何流转和变现?

A被盗数据通常先被整合成包含数百万条记录的'数据包'在暗网市场低价出售;随后由暗网数据分析人员分类、验证和关联整合,形成用户完整数字档案;最后通过暗网论坛和Telegram等渠道按账户价值差异高价出售。

Q如果成为钓鱼攻击的受害者,应立即采取哪些措施?

A应立即采取的措施包括:冻结泄露的银行卡、更改所有相关账户密码并为每个账户设置唯一密码、启用多因素认证、检查账户登录历史并终止可疑会话、通知亲友防范欺诈信息、使用专业服务检查数据泄露情况,以及对意外收到的信息保持高度警惕。

Похожее

Anthropic выкладывает $19 миллиардов, чтобы «взять на содержание» компанию по добыче биткойнов

Автор: Расчетная мощь 6 июля 2026 года, в понедельник, акции майнинговой компании TeraWulf (NASDAQ: WULF) резко выросли на 15% на премаркете. Причиной стал 20-летний контракт на аренду. Компания Anthropic, гигант в области ИИ и конкурент OpenAI, подписала с TeraWulf соглашение на 20 лет. Его ключевые параметры: срок — 20 лет и объём — 401 МВт IT-нагрузки. Объект расположен в кампусе «Justified Data» в Кентукки. Контракт должен принести TeraWulf оговорённый доход в размере 190 миллиардов долларов США в течение срока действия, то есть примерно 10 миллиардов долларов в год. Это стало прямым катализатором роста акций компании. В тот же день TeraWulf также продала 50,1% своей доли в совместном предприятии в Абернети, Техас, консорциуму инвесторов во главе с Fluidstack примерно за 530 миллионов долларов. Этот проект, созданный в 2025 году, был рассчитан на 168 МВт для центра обработки данных ИИ. Эти два действия — заключение долгосрочного контракта и продажа актива — следуют единой логике. TeraWulf консолидирует ресурсы, продавая долю в совместном проекте и концентрируясь на полностью контролируемом проекте в Кентукки с ключевым клиентом Anthropic. Это знаменует стратегический сдвиг фокуса компании с майнинга биткойнов на предоставление инфраструктуры премиум-класса для ИИ. TeraWulf выбирает модель «арендодателя», предоставляя только физическое пространство и электроэнергию, соответствующие стандартам для ИИ, в то время как клиенты приносят свои собственные серверы. Дефицит электроэнергии и земли является ключевым долгосрочным узким местом для индустрии ИИ. Майнинговые компании, уже имеющие доступ к электросетям и земле, находятся в выгодной позиции. Контракт Anthropic на 190 миллиардов долларов по сути блокирует именно эти активы TeraWulf в Кентукки. Однако существует временной разрыв. Первые поставки мощности в кампусе Кентукки ожидаются во второй половине 2027 года, а полное введение в эксплуатацию — в начале 2028 года. Таким образом, в течение как минимум года TeraWulf не будет получать операционный доход по этому контракту, но будет нести расходы на строительство. Продажа техасского актива помогает финансировать этот этап. Рыночный ажиотаж основан на долгосрочных ожиданиях. В волне трансформации майнинговых компаний в сторону ИИ наиболее ценным активом становятся традиционные элементы: земля и доступ к энергосетям.

marsbit5 мин. назад

Anthropic выкладывает $19 миллиардов, чтобы «взять на содержание» компанию по добыче биткойнов

marsbit5 мин. назад

Securitize за первую неделю листинга упал на 40%, в индустрии токенизации начинается патентная война

2 июля Securitize (NYSE: SECZ) завершила слияние через SPAC и вышла на Нью-Йоркскую фондовую биржу. Первоначальный рост сменился резким падением: к 7 июля акции упали на 25,92% за день, потеряв около 40% с максимума первой недели. Аналитики связывают волатильность с механизмом SPAC, приводящим к смене базы инвесторов, а не с ухудшением фундаментальных показателей компании. Одновременно Securitize столкнулась с патентными исками. 15 июня компания tZERO обвинила ее в нарушении двух патентов, касающихся токенизированных ценных бумаг, и потребовала прекратить продажи продуктов DS Protocol и Vault Registrar. В ответ Securitize подала иск о признании невиновности. tZERO заявила, что владеет 105 патентами и выявила потенциальные нарушения еще у шести игроков рынка, что может сигнализировать о начале масштабной патентной войны в индустрии токенизации. Несмотря на сильный список инвесторов, включая BlackRock, вторичный рынок отреагировал на краткосрочные риски — давление от SPAC и судебные разбирательства. Падение Securitize отражает разрыв между нарративом о токенизации и текущей рыночной реальностью, где доверие институтов не гарантирует стабильной ликвидности. В то время как цена акций может восстановиться, патентные споры становятся новым серьезным вызовом для всей отрасли.

Foresight News34 мин. назад

Securitize за первую неделю листинга упал на 40%, в индустрии токенизации начинается патентная война

Foresight News34 мин. назад

Крупнейшее IPO за день на Гонконгской бирже

Крупнейшее IPO на Гонконгской бирже сегодня — компания Momenta, получившая титул «первой акции физического ИИ». Основанная в 2016 году выпускником Университета Цинхуа Цао Сюйдуном, компания специализируется на автономном вождении. Её стратегия «одно маховое колесо, две опоры» сочетает массовое производство вспомогательных систем вождения (L2) с развитием полностью автономных технологий (L4). Более 1 млн автомобилей с системами Momenta собирают реальные данные, что ускоряет обучение её флагманской R7 мировой модели — ядра физического ИИ. Momenta сотрудничает с 24 автопроизводителями, включая 9 из 10 крупнейших в мире, и занимает 65% китайского рынка городских NOA. Выручка компании за 2023-2025 гг. росла на 80% в год, достигнув 2,4 млрд юаней. На IPO привлечено около 6,8 млрд гонконгских долларов при оценке свыше 70 млрд HKD. Среди инвесторов — GIC, Fidelity, BlackRock, Mercedes-Benz, BYD и другие ключевые игроки. IPO Momenta знаменует выход физического ИИ на глобальный рынок капитала.

marsbit50 мин. назад

Крупнейшее IPO за день на Гонконгской бирже

marsbit50 мин. назад

Слёзы Роналду и шоу «экспертизы слёз» на Polymarket

**Краткое содержание на русском:** После поражения Португалии от Испании (0:1) в 1/8 финала ЧМ-2026, 41-летний Криштиану Роналду, для которого этот турнир стал последним, со слезами на глазах попрощался с болельщиками. Это событие стало центральным в медиа, однако на платформе предсказаний Polymarket развернулись настоящие дебаты о том, плакал ли футболист на самом деле. Платформа заранее запустила рынок прогнозов на событие «Заплачет ли Роналду на ЧМ-2026?». Согласно строгим правилам расчетов, ответ «Да» считался верным только при наличии четких фото- или видеодоказательств видимых слез на его лице непосредственно на поле или скамейке запасных. Эмоции, покрасневшие глаза или вытирание лица не учитывались. Из-за этого кадры с Роналду после матча подверглись тщательному анализу. Участники рынка спорили, были ли на его лице слезы или просто пот, отблески света. Событие дважды не прошло автоматический расчет и перешло в стадию спора, в результате чего вероятность исхода «Да» упала ниже 20%. Ситуация кардинально изменилась утром, когда команда Polymarket выпустила официальное уточнение правил. В нем указывалось, что на имеющихся кадрах, снятых на поле после матча, четко видны слезы на лице Криштиану Роналду. После этого объявления вероятность исхода «Да» моментально взлетела до 99%, а общий объем торгов на этом рынке превысил 22 миллиона долларов. Таким образом, эта история не только о эмоциональном моменте в спорте, но и о том, как платформа предсказаний в данном случае отдала приоритет общепринятому восприятию события, а не буквальному толкованию правил в ущерб очевидности.

marsbit51 мин. назад

Слёзы Роналду и шоу «экспертизы слёз» на Polymarket

marsbit51 мин. назад

После того, как Роналду заплакал на прощании, на Polymarket разыгралась драма "проверки слёз"

После поражения Португалии от Испании (0-1) в 1/8 финала ЧМ-2026 и завершения карьеры Криштиану Роналду на чемпионатах мира, в предсказательном рынке Polymarket разгорелись споры по контракту «Заплачет ли Роналду на этом ЧМ?». Несмотря на широко распространённые в СМИ и соцсетях кадры с явными эмоциями футболиста, правила рынка требовали чётких доказательств: на фото или видео должны быть видны узнаваемые слёзы на лице, и событие должно произойти на поле или скамейке запасных. Многие участники оспаривали, были ли это слёзы, а не пот или блики, из-за чего событие дважды не прошло settlement и цена «Да» упала ниже 20%. Однако утром команда Polymarket выпустила уточняющее правило, официально признав, что имеющиеся фото- и видеодоказательства, снятые на поле после матча, ясно показывают Роналду с явными слезами на лице. Это привело к мгновенному развороту рынка — вероятность «Да» взлетела до 99% при общем объёме торгов свыше $22 млн. Данный случай указывает на возможный сдвиг в подходе платформы к урегулированию споров в сторону учёта общепринятого восприятия событий, а не только буквальной трактовки правил.

Odaily星球日报55 мин. назад

После того, как Роналду заплакал на прощании, на Polymarket разыгралась драма "проверки слёз"

Odaily星球日报55 мин. назад

Торговля

Спот
活动图片