Отчет о деталях кражи криптовалюты: на даркнете продается всего за 105 долларов

marsbitОпубликовано 2025-12-29Обновлено 2025-12-29

Введение

Типичные фишинговые атаки крадут данные через электронную почту, Telegram-ботов или панели управления. Украденная информация (логины, пароли, банковские данные, личные документы) сразу становится товаром в даркнете. 88,5% атак нацелены на учетные записи. Данные проверяются, сортируются и продаются на специализированных площадках — например, аккаунт соцсети может стоить всего $105. Даже старые утечки используются для целевых атак, так как пользователи часто повторяют пароли. Рекомендации: используйте уникальные пароли, двухфакторную аутентификацию и мониторинг утечек.

Автор: Olga Altukhova Редактор: far@Centreless

Компиляция: Centreless X(Twitter)@Tocentreless

Типичная фишинговая атака обычно включает в себя переход пользователя по мошеннической ссылке и ввод своих учетных данных на поддельном сайте. Однако на этом атака далеко не заканчивается. Как только конфиденциальная информация попадает в руки киберпреступников, она немедленно превращается в товар, входящий в «конвейер» рынков даркнета.

В этой статье мы проследим путь утечки украденных данных: от сбора данных с помощью различных инструментов (таких как Telegram-боты и расширенные панели управления) до их продажи и последующего использования в новых атаках. Мы рассмотрим, как скомпрометированные имена пользователей и пароли интегрируются в обширные цифровые профили, и почему данные, утекшие много лет назад, до сих пор могут использоваться преступниками для целевых атак.

Механизмы сбора данных в фишинговых атакахПрежде чем отслеживать дальнейший путь украденных данных, нам необходимо понять, как эти данные покидают фишинговые страницы и попадают к киберпреступникам.

Анализируя реальные фишинговые страницы, мы определили следующие наиболее распространенные способы передачи данных:

  • Отправка на адрес электронной почты
  • Отправка Telegram-боту
  • Загрузка на панель управления

Стоит отметить, что злоумышленники иногда используют легитимные сервисы для сбора данных, чтобы их серверы было сложнее обнаружить. Например, они могут использовать онлайн-формы, такие как Google Forms, Microsoft Forms и другие.д. Украденные данные также могут храниться на GitHub, Discord-серверах или других сайтах. Однако для удобства данного анализа мы сосредоточимся на основных перечисленных выше способах сбора данных.

Электронная почта

Данные, введенные жертвой в HTML-форму на фишинговой странице, отправляются через PHP-скрипт на сервер злоумышленника, который затем пересылает их на контролируемый атакующим адрес электронной почты. Однако из-за множества ограничений сервисов электронной почты — таких как задержки в доставке, возможность блокировки сервера отправителя хостинг-провайдером и неудобство обработки больших объемов данных — этот способ постепенно теряет популярность.

Содержимое фишингового набора (phishing kit)

Для примера, мы анализировали фишинговый набор, нацеленный на пользователей DHL. В нем файл index.php содержит фишинговую форму для кражи данных пользователя (в данном случае адреса электронной почты и пароля).

Фишинговая форма, имитирующая сайт DHL

Введенная жертвой информация затем отправляется с помощью скрипта в файле next.php на адрес электронной почты, указанный в файле mail.php.

Содержимое PHP-скриптов

Telegram-бот

В отличие от описанного выше метода, скрипты, использующие Telegram-бота, указывают URL API Telegram, содержащий токен бота (bot token) и соответствующий идентификатор чата (Chat ID), вместо адреса электронной почты. В некоторых случаях эта ссылка даже жестко встроена (hardcoded) в HTML-форму фишинговой страницы. Злоумышленники создают детальные шаблоны сообщений, которые автоматически отправляются боту после успешной кражи данных. Пример кода:

Фрагмент кода для отправки данных

По сравнению с отправкой данных по электронной почте, использование Telegram-бота предоставляет фишерам более широкие возможности, поэтому этот метод набирает популярность. Данные в реальном времени передаются боту, и оператор немедленно уведомляется. Злоумышленники часто используют одноразовых ботов, которых сложнее отследить и заблокировать. Кроме того, их производительность не зависит от качества хостинг-услуг для фишинговой страницы.

Автоматизированные панели управления

Более опытные киберпреступники используют специализированное программное обеспечение, включая коммерческие фреймворки, такие как BulletProofLink и Caffeine, часто предоставляемые по модели «платформа как услуга» (PaaS). Эти фреймворки предоставляют веб-интерфейс (дашборд) для управления фишинговыми кампаниями.

Все данные, собранные контролируемыми злоумышленником фишинговыми страницами, объединяются в единую базу данных и могут быть просмотрены и управляемы через интерфейс их аккаунта.

Отправка данных на панель управления

Эти панели управления используются для анализа и обработки данных жертв. Конкретные функции зависят от возможностей настройки панели, но большинство дашбордов обычно обладают следующими возможностями:

  • Статистика в реальном времени с категоризацией: просмотр количества успешных атак по времени, стране с поддержкой фильтрации данных
  • Автоматическая проверка: некоторые системы могут автоматически проверять действительность украденных данных, такой как информация о кредитных картах или учетные данные для входа
  • Экспорт данных: поддержка загрузки данных в различных форматах для последующего использования или продажи

Пример панели управления

Панели управления являются ключевым инструментом для организованных киберпреступных группировок.

Стоит отметить, что одна фишинговая кампания часто использует несколько из вышеперечисленных способов сбора данных одновременно.

Типы данных, представляющие интерес для киберпреступников

Данные, похищенные в результате фишинговых атак, имеют разную ценность и назначение. В руках преступников эти данные являются как средством извлечения прибыли, так и инструментом для проведения сложных многоэтапных атак.

В зависимости от назначения, украденные данные можно разделить на следующие категории:

  • Мгновенная монетизация: прямая оптовая продажа сырых данных или немедленная кража средств с банковских счетов или электронных кошельков жертв
  1. Информация о банковских картах: номер карты, срок действия, имя держателя, код CVV/CVC
  2. Учетные записи интернет-банкинга и электронных кошельков: логин, пароль, а также одноразовые коды двухфакторной аутентификации (2FA)
  3. Учетные записи с привязанными банковскими картами: такие как логины для онлайн-магазинов, сервисов подписки или платежных систем, таких как Apple Pay/Google Pay
  • Для последующих атак с целью дальнейшей монетизации: использование украденных данных для запуска новых атак и получения дополнительной прибыли
  1. Учетные данные для различных онлайн-аккаунтов: имя пользователя и пароль. Примечательно, что даже без пароля, только адрес электронной почты или номер телефона, используемые в качестве логина, имеют ценность для атакующих
  2. Номера мобильных телефонов: используются для телефонного мошенничества (например, для выманивания кодов 2FA) или для фишинга через приложения мгновенных сообщений
  3. Персональные идентификационные данные: полное имя, дата рождения, адрес проживания и т.д., часто используемые в атаках социальной инженерии
  • Для целевых атак, шантажа, кражи личных данных и создания дипфейков
  1. Биометрические данные: голос, изображения лица
  2. Сканы личных документов и их номера: паспорт, водительские права, карта социального страхования, идентификационный номер налогоплательщика и т.д.
  3. Фотографии с документом в руках: используются при подаче заявок на онлайн-кредиты и верификации личности
  4. Корпоративные учетные записи: используются для целевых атак на бизнес

Мы проанализировали фишинговые и мошеннические атаки, произошедшие в период с января по сентябрь 2025 года, чтобы определить типы данных, на которые чаще всего нацеливаются преступники. Результаты показали: 88.5% атак aimed на кражу учетных данных различных онлайн-аккаунтов, 9.5% — на персональные идентификационные данные (имя, адрес, дата рождения), и лишь 2% были сосредоточены на краже информации о банковских картах.

Продажа данных на рынках даркнета

Помимо использования в реальных атаках или для мгновенной монетизации, большинство украденных данных не используется немедленно. Давайте глубже посмотрим на путь их движения:

1. Продажа упакованных данных

Данные объединяются и продаются на рынках даркнета в виде «дампов» (dumps) — эти сжатые архивы обычно содержат миллионы записей из различных фишинговых атак и утечек данных. Стоимость одного дампа может быть as low as $50. Основными покупателями часто являются не активные мошенники, а аналитики данных в даркнете, которые являются следующим звеном в цепочке.

2. Сортировка и проверка

Аналитики данных в даркнете сортируют данные по типам (учетные записи электронной почты, номера телефонов, данные банковских карт и т.д.) и запускают автоматизированные скрипты для проверки. Это включает проверку действительности данных и их потенциала для повторного использования — например, может ли комбинация логина и пароля от Facebook также использоваться для входа в Steam или Gmail. Поскольку пользователи часто используют одинаковые пароли на нескольких сайтах, данные, украденные годы назад с одного сервиса, сегодня все еще могут работать на других. Проверенные, все еще рабочие учетные записи продаются по более высокой цене.

Аналитики также объединяют пользовательские данные из различных инцидентов. Например, старый пароль из утечки в социальных сетях, учетные данные, полученные с фишинговой формы, имитирующей правительственный портал, и номер телефона, оставленный на мошенническом сайте, могут быть скомпилированы в полный цифровой профиль конкретного пользователя.

3. Продажа на специализированных рынках

Украденные данные обычно продаются через форумы даркнета и Telegram. Последний часто используется как «онлайн-магазин», где отображаются цены, отзывы покупателей и другая информация.

Предложения данных из социальных сетей, как отображается в Telegram

Цены на аккаунты сильно различаются и зависят от множества факторов: возраст аккаунта, баланс, привязанные способы оплаты (банковская карта, электронный кошелек), включена ли двухфакторная аутентификация (2FA), а также известность платформы-сервиса. Например, аккаунт интернет-магазина, привязанный к email, с включенной 2FA, долгой историей использования и большим количеством заказов, будет стоить дороже; для игровых аккаунтов, таких как Steam, дорогие покупки игр повышают их стоимость; а данные интернет-банка, связанные с аккаунтами с высоким балансом и из надежных банков, имеют значительную надбавку к цене.

В таблице ниже показаны примеры цен на различные типы аккаунтов, обнаруженные на форумах даркнета по состоянию на 2025 год*.

4. Выявление целей с высокой ценностью и целевые атаки

Преступники особенно интересуются целями с высокой ценностью — то есть пользователями, владеющими важной информацией, такими как топ-менеджеры компаний, бухгалтеры или администраторы IT-систем.

Приведем пример возможного сценария атаки «китобойный промысел» (whaling): В компании A произошла утечка данных, содержащая информацию о сотруднике, который ранее там работал, а теперь является топ-менеджером компании B. Злоумышленники с помощью анализа открытых источников (OSINT) подтверждают, что данный пользователь в настоящее время работает в компании B. Затем они тщательно подделывают фишинговое письмо, якобы от генерального директора компании B, и отправляют его этому топ-менеджеру. Чтобы повысить доверие, в письме могут даже упоминаться некоторые факты о пользователе из его прошлой компании (конечно, методы атаки не ограничиваются этим). Снижая бдительность жертвы, преступники получают возможность进一步 взломать компанию B.

Стоит отметить, что такие целевые атаки не ограничиваются корпоративной сферой. Злоумышленники также могут нацеливаться на частных лиц с большими остатками на банковских счетах или пользователей, владеющих важными личными документами (например, необходимыми для подачи заявки на микрокредит).

Ключевые выводы

Путь украденных данных похож на эффективно работающий конвейер, где каждая единица информации становится товаром с четкой ценой. Современные фишинговые атаки широко используют разнообразные системы для сбора и анализа конфиденциальной информации. Как только данные похищены, они быстро попадают к Telegram-ботам или на панели управления атакующих, где затем сортируются, проверяются и монетизируются.

Мы должны четко осознавать:一旦 данные утекли, они не исчезают бесследно. Напротив, они постоянно накапливаются, объединяются и могут быть использованы спустя месяцы или даже годы для целевых атак, шантажа или кражи личных данных жертв. В современной цифровой среде бдительность, использование уникальных паролей для каждого аккаунта, включение многофакторной аутентификации и регулярный мониторинг своего цифрового следа — это уже не рекомендация, а необходимость для выживания.

Если вы стали жертвой фишинговой атаки, примите следующие меры:

  1. Если была скомпрометирована информация о банковской карте, немедленно позвоните в банк, чтобы заблокировать и заменить карту.
  2. Если были украдены учетные данные аккаунта, немедленно измените пароль для этого аккаунта и синхронно измените пароли для всех других онлайн-сервисов, где использовался тот же или похожий пароль. Обязательно используйте уникальный пароль для каждого аккаунта.
  3. Включите многофакторную аутентификацию (MFA/2FA) во всех поддерживающих ее сервисах.
  4. Проверьте историю входов в аккаунт и завершите все подозрительные сеансы.
  5. Если ваш аккаунт в мессенджере или социальной сети был скомпрометирован, немедленно уведомите друзей и родственников, предупредив их о мошеннических сообщениях, отправленных от вашего имени.
  6. Используйте специализированные сервисы (такие как Have I Been Pwned и другие), чтобы проверить, не фигурируют ли ваши данные в известных инцидентах утечки данных.
  7. Сохраняйте высокую бдительность в отношении любых неожиданно полученных писем, звонков или предложений — они могут казаться可信ными precisely потому, что злоумышленники используют ваши утекшие данные.

Связанные с этим вопросы

QКаковы три наиболее распространенных способа сбора данных в фишинговых атаках?

AТремя наиболее распространенными способами сбора данных являются: отправка на адрес электронной почты, отправка Telegram-боту и загрузка в административную панель.

QПочему использование Telegram-ботов становится все более популярным среди злоумышленников для сбора данных?

ATelegram-боты предоставляют данные в реальном времени, немедленно уведомляют оператора, их сложнее отследить и заблокировать, а их работа не зависит от качества хостинга фишинговой страницы.

QКакие типы данных наиболее часто становятся мишенью фишинговых атак согласно анализу 2025 года?

AСогласно анализу, 88.5% атак направлены на креды (учетные данные) онлайн-аккаунтов, 9.5% - на личную информацию (имя, адрес, дата рождения), и лишь 2% - на данные банковских карт.

QКакова примерная стоимость пакета украденных данных (дампа) на теневых рынках?

AПакет данных, содержащий миллионы записей, может продаваться всего за 50 долларов США.

QКакие действия рекомендуется предпринять, если вы стали жертвой фишинговой атаки и ваши данные были скомпрометированы?

AРекомендуется: немедленно заблокировать карту при утечке ее данных, сменить пароли на всех сервисах (используя уникальные пароли), включить двухфакторную аутентификацию, проверить историю входов в аккаунты, предупредить контакты, проверить наличие своих данных в известных утечках и сохранять бдительность к неожиданным сообщениям.

Похожее

Почему бывший стратег Bank of America видит «тактическое дно» для Ethereum

Бывший руководитель отдела технической стратегии Bank of America Стивен Саттмейер считает, что Ethereum может сформировать «тактическое дно». В своем анализе он указывает, что удержание цены выше уровня $1690-$1700 и повторное закрепление выше $1800 подтвердят эту модель. В этом случае следующей целью станет скользящая средняя за 200 дней в районе $2200, что предполагает потенциал роста до 25%. Техническая картина на дневном графике ETH показывает формирование модели двойного дна, что указывает на возможный разворот вверх. Однако некоторые ончейн-метрики выглядят менее оптимистично: давление продаж на биржах остается высоким, а киты сокращают свои позиции. Кроме того, положительный поток средств в спотовые ETF США сменился оттоком на фоне эскалации напряженности между Ираном и США и опасений на рынке облигаций. Таким образом, хотя краткосрочный импульс ETH может стать бычьим при закреплении выше $1800, макроэкономические и геополитические риски создают угрозы для этого сценария.

ambcrypto1 ч. назад

Почему бывший стратег Bank of America видит «тактическое дно» для Ethereum

ambcrypto1 ч. назад

Пакет программного обеспечения Injective стал жертвой вредоносной атаки на цепочку поставок – Подробности

Злоумышленники скомпрометировали популярный пакет программного обеспечения Injective Labs, @injectivelabs/sdk-ts, в ходе атаки на цепочку поставок. Получив доступ к учетной записи законного участника проекта на GitHub, они распространили вредоносную версию пакета (v1.20.21) через npm под видом обновления с телеметрией. Вредоносный код, остававшийся неактивным при установке, активировался только при использовании разработчиками функций создания кошельков `fromMnemonic` или `fromHex`, похищая их приватные ключи и сид-фразы. Это давало злоумышленникам полный контроль над криптокошельками жертв. Атака была масштабной: пакет загружался около 50 000 раз в неделю, а через транзитивные зависимости затронул еще 17 связанных пакетов Injective. Хотя впоследствии была выпущена чистая версия (v1.20.23), скомпрометированный пакет оставался доступен в npm и на GitHub. Для защиты пользователям рекомендуется затронутые учетные данные, создать новые кошельки и перевести средства. Этот инцидент произошел на фоне другой крупной атаки, в которой BonkDAO потерял 20 миллионов долларов.

ambcrypto4 ч. назад

Пакет программного обеспечения Injective стал жертвой вредоносной атаки на цепочку поставок – Подробности

ambcrypto4 ч. назад

Куда движется оценка MegaETH после оттока Aave и резких колебаний TVL?

По данным DefiLlama, полный TVL MegaETH 9-10 июля резко упал почти на 60%, достигнув чуть более $30 млн, что на 70% ниже пика мая. Ключевой протокол Aave V3 вывел около 80% ликвидности. Токен MEGA упал примерно до $0,048, рыночная капитализация составляет около $54 млн, а FDV — около $4,8 млрд. Ранний рост TVL в значительной степени зависел от Aave и стратегий зацикливания стабильных монет, таких как USDe, построенных на арбитраже. После исчезновения прибыльности эти средства ушли, обнажив недостаток устойчивого спроса. Существует три основных несоответствия в оценке MegaETH: 1. **Несоответствие оценки и реального использования:** При FDV около $4,7 млрд и 88,7% токенов, которые еще не находятся в обращении, реальные доходы протоколов составляют менее $90 тыс. за 30 дней при всего 2619 ежедневно активных адресах. 2. **Несоответствие нарратива токена и качества экосистемы:** Основным источником дохода в сети является игра Monster (около $670 тыс.), а не DeFi-протоколы. Объем торговли нативных стейблкоинов и деривативов низок. 3. **Несоответствие краткосрочных ожиданий и долгосрочного исполнения:** Интеграции крупных протоколов, таких как Uniswap и Aave, не привели к устойчивому притоку TVL, что указывает на преобладание арбитражного капитала. Ситуация с MegaETH отражает общий сдвиг на рынке: инвесторы все меньше платят за "бумажный" TVL и нарративы, требуя реальных показателей использования и экономической активности. Восстановление цены MEGA, скорее всего, будет зависеть от краткосрочных настроений, пока команда не продемонстрирует четкий прогресс в создании устойчивой экосистемы с реальными пользователями.

链捕手4 ч. назад

Куда движется оценка MegaETH после оттока Aave и резких колебаний TVL?

链捕手4 ч. назад

Глубокий отчет Goldman Sachs: Кто станет долгосрочным победителем в индустрии больших языковых моделей ИИ в Китае?

Глубокий отчет Goldman Sachs анализирует перспективы китайской индустрии больших AI-моделей, выделяя исторический переломный момент. Китайские модели с открытыми весами по интеллектуальным возможностям приближаются к ведущим глобальным проприетарным аналогам, что стимулирует быстрое внедрение как внутри страны, так и среди мирового малого и среднего бизнеса. Ключевые выводы: 1. **Эффективность и инновации:** Китайские модели достигают сопоставимой производительности при значительно меньших затратах благодаря инновациям в архитектуре (например, MoE) и высокой параметрической эффективности. Пример — модель LongCat 2.0 от Meituan, полностью обученная на отечественных чипах. 2. **Двухуровневая рыночная структура:** Формируется рынок с сегментами premium (например, GLM5.2, Qwen3.7 Max, ~$1 за млн токенов) и budget (модели для агентов, ~$0.06-$0.2 за млн токенов). Ожидается рост доходов от API/подписок с ~350 млрд юаней в 2026 г. до ~8.79 трлн юаней к 2030 г. 3. **Стратегия открытого исходного кода:** Широко используется для гибкости развертывания и роста сообщества, но монетизация ограничена. Ожидается переход от полностью открытых лицензий к моделям с "открытым весом + коммерческой лицензией" и соглашениям о разделе доходов. 4. **Сдвиг парадигмы на глобальном рынке:** Фокус смещается с максимизации объема токенов на приоритет ROI (окупаемости инвестиций). Китайские модели набирают долю на зарубежных рынках (не США) благодаря соотношению цена/качество и доступности через платформы, такие как AWS Bedrock и Gemini Enterprise. 5. **Конкурентный ландшафт:** Goldman Sachs выделяет потенциальных долгосрочных лидеров на основе анализа ценового потенциала, преимуществ по затратам и финансовой устойчивости. * **Базовые текстовые модели:** Zhipu AI (нейтральный рейтинг) и DeepSeek (не публичная) имеют самые сильные позиции. * **Мультимодальные/видеомодели:** ByteDance (Seedance) является лидером. Также положительно оцениваются MiniMax (покупка) и Kuaishou (Kling). Отчет подчеркивает значительный рост индустрии и ее растущее глобальное влияние.

marsbit4 ч. назад

Глубокий отчет Goldman Sachs: Кто станет долгосрочным победителем в индустрии больших языковых моделей ИИ в Китае?

marsbit4 ч. назад

Глубокий отчет Goldman Sachs: Кто станет долгосрочным победителем в индустрии ИИ-больших моделей Китая?

**Кто станет долгосрочным победителем в индустрии ИИ-моделей Китая? Отчет Goldman Sachs** Китайские большие языковые модели (LLM) находятся на переломном этапе. Аналитики Goldman Sachs отмечают, что производительность китайских открытых моделей приближается к ведущим мировым проприетарным аналогам, а их внедрение быстро растет. Ключевые факторы успеха — архитектурные инновации (например, смешанные экспертные модели — MoE) и высокая эффективность параметров, что позволяет добиваться сопоставимой производительности при значительно меньших затратах (2-10% от параметров топ-моделей) и формировать "двухслойную" структуру рынка. **Двухуровневый рынок:** Сформировались два сегмента. *Высококлассные* модели (например, GLM5.2 от Zhipu, Qwen3.7 Max от Alibaba) с ценой ~$1 за млн токенов и рентабельностью 10-20%. *Бюджетные* модели для агентов (цена ~$0.06-0.2 за млн токенов) активно завоевывают глобальный рынок малого бизнеса. Ожидается, что доходы от API/подписок в Китае вырастут с ~35 млрд юаней в 2026 до ~879 млрд юаней в 2030 году. **Стратегия открытого исходного кода:** Многие ведущие китайские модели (Zhipu, DeepSeek, Alibaba, MiniMax) используют открытые веса для ускорения итераций и глобального распространения. Однако текущая модель монетизации (прямые API) недооценивает реальный масштаб развертывания. Ожидается переход к модели "открытые веса + коммерческая лицензия" с разделением доходов через платформы (AWS Bedrock, Alibaba Cloud), что улучшит рентабельность. **Глобальная экспансия и смена парадигмы:** Главный потенциал роста — выход на международные рынки (особенно за пределами США), где китайские модели конкурируют ценой и качеством. Goldman отмечает сдвиг корпоративного спроса от максимизации потребления токенов к приоритету ROI (окупаемости инвестиций), где важнее эффективность и автоматизация задач. **Потенциальные победители:** Goldman Sachs оценивает конкуренцию по трем критериям: ценовая власть, преимущества в себестоимости и финансовая устойчивость. * **Базовые текстовые модели:** Наиболее сильные позиции у **Zhipu AI** (первое покрытие, целевая оценка $110 млрд) и **DeepSeek** (не публична). * **Мультимодальные/видеомодели:** Лидер — **ByteDance** (не публична) с моделью Seed (высокая рентабельность). Также выделены **Kuaishou** (Kling) и **MiniMax** (покупка, цель — 860 HKD), чья оценка выглядит недооцененной. **Вывод:** Китайские ИИ-модели добились прорыва в эффективности и качестве, формируя конкурентоспособное глобальное предложение. Долгосрочный успех будет определяться способностью сочетать технологическое лидерство, эффективную монетизацию открытых стратегий и выход на международные рынки.

链捕手4 ч. назад

Глубокий отчет Goldman Sachs: Кто станет долгосрочным победителем в индустрии ИИ-больших моделей Китая?

链捕手4 ч. назад

Торговля

Спот
活动图片