Автор: Olga Altukhova Редактор: far@Centreless
Компиляция: Centreless X(Twitter)@Tocentreless
Типичная фишинговая атака обычно включает в себя переход пользователя по мошеннической ссылке и ввод своих учетных данных на поддельном сайте. Однако на этом атака далеко не заканчивается. Как только конфиденциальная информация попадает в руки киберпреступников, она немедленно превращается в товар, входящий в «конвейер» рынков даркнета.
В этой статье мы проследим путь утечки украденных данных: от сбора данных с помощью различных инструментов (таких как Telegram-боты и расширенные панели управления) до их продажи и последующего использования в новых атаках. Мы рассмотрим, как скомпрометированные имена пользователей и пароли интегрируются в обширные цифровые профили, и почему данные, утекшие много лет назад, до сих пор могут использоваться преступниками для целевых атак.
Механизмы сбора данных в фишинговых атакахПрежде чем отслеживать дальнейший путь украденных данных, нам необходимо понять, как эти данные покидают фишинговые страницы и попадают к киберпреступникам.
Анализируя реальные фишинговые страницы, мы определили следующие наиболее распространенные способы передачи данных:
- Отправка на адрес электронной почты
- Отправка Telegram-боту
- Загрузка на панель управления
Стоит отметить, что злоумышленники иногда используют легитимные сервисы для сбора данных, чтобы их серверы было сложнее обнаружить. Например, они могут использовать онлайн-формы, такие как Google Forms, Microsoft Forms и другие.д. Украденные данные также могут храниться на GitHub, Discord-серверах или других сайтах. Однако для удобства данного анализа мы сосредоточимся на основных перечисленных выше способах сбора данных.
Электронная почта
Данные, введенные жертвой в HTML-форму на фишинговой странице, отправляются через PHP-скрипт на сервер злоумышленника, который затем пересылает их на контролируемый атакующим адрес электронной почты. Однако из-за множества ограничений сервисов электронной почты — таких как задержки в доставке, возможность блокировки сервера отправителя хостинг-провайдером и неудобство обработки больших объемов данных — этот способ постепенно теряет популярность.

Содержимое фишингового набора (phishing kit)
Для примера, мы анализировали фишинговый набор, нацеленный на пользователей DHL. В нем файл index.php содержит фишинговую форму для кражи данных пользователя (в данном случае адреса электронной почты и пароля).

Фишинговая форма, имитирующая сайт DHL
Введенная жертвой информация затем отправляется с помощью скрипта в файле next.php на адрес электронной почты, указанный в файле mail.php.

Содержимое PHP-скриптов
Telegram-бот
В отличие от описанного выше метода, скрипты, использующие Telegram-бота, указывают URL API Telegram, содержащий токен бота (bot token) и соответствующий идентификатор чата (Chat ID), вместо адреса электронной почты. В некоторых случаях эта ссылка даже жестко встроена (hardcoded) в HTML-форму фишинговой страницы. Злоумышленники создают детальные шаблоны сообщений, которые автоматически отправляются боту после успешной кражи данных. Пример кода:

Фрагмент кода для отправки данных
По сравнению с отправкой данных по электронной почте, использование Telegram-бота предоставляет фишерам более широкие возможности, поэтому этот метод набирает популярность. Данные в реальном времени передаются боту, и оператор немедленно уведомляется. Злоумышленники часто используют одноразовых ботов, которых сложнее отследить и заблокировать. Кроме того, их производительность не зависит от качества хостинг-услуг для фишинговой страницы.
Автоматизированные панели управления
Более опытные киберпреступники используют специализированное программное обеспечение, включая коммерческие фреймворки, такие как BulletProofLink и Caffeine, часто предоставляемые по модели «платформа как услуга» (PaaS). Эти фреймворки предоставляют веб-интерфейс (дашборд) для управления фишинговыми кампаниями.
Все данные, собранные контролируемыми злоумышленником фишинговыми страницами, объединяются в единую базу данных и могут быть просмотрены и управляемы через интерфейс их аккаунта.

Отправка данных на панель управления
Эти панели управления используются для анализа и обработки данных жертв. Конкретные функции зависят от возможностей настройки панели, но большинство дашбордов обычно обладают следующими возможностями:
- Статистика в реальном времени с категоризацией: просмотр количества успешных атак по времени, стране с поддержкой фильтрации данных
- Автоматическая проверка: некоторые системы могут автоматически проверять действительность украденных данных, такой как информация о кредитных картах или учетные данные для входа
- Экспорт данных: поддержка загрузки данных в различных форматах для последующего использования или продажи

Пример панели управления
Панели управления являются ключевым инструментом для организованных киберпреступных группировок.
Стоит отметить, что одна фишинговая кампания часто использует несколько из вышеперечисленных способов сбора данных одновременно.
Типы данных, представляющие интерес для киберпреступников
Данные, похищенные в результате фишинговых атак, имеют разную ценность и назначение. В руках преступников эти данные являются как средством извлечения прибыли, так и инструментом для проведения сложных многоэтапных атак.
В зависимости от назначения, украденные данные можно разделить на следующие категории:
- Мгновенная монетизация: прямая оптовая продажа сырых данных или немедленная кража средств с банковских счетов или электронных кошельков жертв
- Информация о банковских картах: номер карты, срок действия, имя держателя, код CVV/CVC
- Учетные записи интернет-банкинга и электронных кошельков: логин, пароль, а также одноразовые коды двухфакторной аутентификации (2FA)
- Учетные записи с привязанными банковскими картами: такие как логины для онлайн-магазинов, сервисов подписки или платежных систем, таких как Apple Pay/Google Pay
- Для последующих атак с целью дальнейшей монетизации: использование украденных данных для запуска новых атак и получения дополнительной прибыли
- Учетные данные для различных онлайн-аккаунтов: имя пользователя и пароль. Примечательно, что даже без пароля, только адрес электронной почты или номер телефона, используемые в качестве логина, имеют ценность для атакующих
- Номера мобильных телефонов: используются для телефонного мошенничества (например, для выманивания кодов 2FA) или для фишинга через приложения мгновенных сообщений
- Персональные идентификационные данные: полное имя, дата рождения, адрес проживания и т.д., часто используемые в атаках социальной инженерии
- Для целевых атак, шантажа, кражи личных данных и создания дипфейков
- Биометрические данные: голос, изображения лица
- Сканы личных документов и их номера: паспорт, водительские права, карта социального страхования, идентификационный номер налогоплательщика и т.д.
- Фотографии с документом в руках: используются при подаче заявок на онлайн-кредиты и верификации личности
- Корпоративные учетные записи: используются для целевых атак на бизнес
Мы проанализировали фишинговые и мошеннические атаки, произошедшие в период с января по сентябрь 2025 года, чтобы определить типы данных, на которые чаще всего нацеливаются преступники. Результаты показали: 88.5% атак aimed на кражу учетных данных различных онлайн-аккаунтов, 9.5% — на персональные идентификационные данные (имя, адрес, дата рождения), и лишь 2% были сосредоточены на краже информации о банковских картах.
Продажа данных на рынках даркнета
Помимо использования в реальных атаках или для мгновенной монетизации, большинство украденных данных не используется немедленно. Давайте глубже посмотрим на путь их движения:
1. Продажа упакованных данных
Данные объединяются и продаются на рынках даркнета в виде «дампов» (dumps) — эти сжатые архивы обычно содержат миллионы записей из различных фишинговых атак и утечек данных. Стоимость одного дампа может быть as low as $50. Основными покупателями часто являются не активные мошенники, а аналитики данных в даркнете, которые являются следующим звеном в цепочке.
2. Сортировка и проверка
Аналитики данных в даркнете сортируют данные по типам (учетные записи электронной почты, номера телефонов, данные банковских карт и т.д.) и запускают автоматизированные скрипты для проверки. Это включает проверку действительности данных и их потенциала для повторного использования — например, может ли комбинация логина и пароля от Facebook также использоваться для входа в Steam или Gmail. Поскольку пользователи часто используют одинаковые пароли на нескольких сайтах, данные, украденные годы назад с одного сервиса, сегодня все еще могут работать на других. Проверенные, все еще рабочие учетные записи продаются по более высокой цене.
Аналитики также объединяют пользовательские данные из различных инцидентов. Например, старый пароль из утечки в социальных сетях, учетные данные, полученные с фишинговой формы, имитирующей правительственный портал, и номер телефона, оставленный на мошенническом сайте, могут быть скомпилированы в полный цифровой профиль конкретного пользователя.
3. Продажа на специализированных рынках
Украденные данные обычно продаются через форумы даркнета и Telegram. Последний часто используется как «онлайн-магазин», где отображаются цены, отзывы покупателей и другая информация.

Предложения данных из социальных сетей, как отображается в Telegram
Цены на аккаунты сильно различаются и зависят от множества факторов: возраст аккаунта, баланс, привязанные способы оплаты (банковская карта, электронный кошелек), включена ли двухфакторная аутентификация (2FA), а также известность платформы-сервиса. Например, аккаунт интернет-магазина, привязанный к email, с включенной 2FA, долгой историей использования и большим количеством заказов, будет стоить дороже; для игровых аккаунтов, таких как Steam, дорогие покупки игр повышают их стоимость; а данные интернет-банка, связанные с аккаунтами с высоким балансом и из надежных банков, имеют значительную надбавку к цене.
В таблице ниже показаны примеры цен на различные типы аккаунтов, обнаруженные на форумах даркнета по состоянию на 2025 год*.

4. Выявление целей с высокой ценностью и целевые атаки
Преступники особенно интересуются целями с высокой ценностью — то есть пользователями, владеющими важной информацией, такими как топ-менеджеры компаний, бухгалтеры или администраторы IT-систем.
Приведем пример возможного сценария атаки «китобойный промысел» (whaling): В компании A произошла утечка данных, содержащая информацию о сотруднике, который ранее там работал, а теперь является топ-менеджером компании B. Злоумышленники с помощью анализа открытых источников (OSINT) подтверждают, что данный пользователь в настоящее время работает в компании B. Затем они тщательно подделывают фишинговое письмо, якобы от генерального директора компании B, и отправляют его этому топ-менеджеру. Чтобы повысить доверие, в письме могут даже упоминаться некоторые факты о пользователе из его прошлой компании (конечно, методы атаки не ограничиваются этим). Снижая бдительность жертвы, преступники получают возможность进一步 взломать компанию B.
Стоит отметить, что такие целевые атаки не ограничиваются корпоративной сферой. Злоумышленники также могут нацеливаться на частных лиц с большими остатками на банковских счетах или пользователей, владеющих важными личными документами (например, необходимыми для подачи заявки на микрокредит).
Ключевые выводы
Путь украденных данных похож на эффективно работающий конвейер, где каждая единица информации становится товаром с четкой ценой. Современные фишинговые атаки широко используют разнообразные системы для сбора и анализа конфиденциальной информации. Как только данные похищены, они быстро попадают к Telegram-ботам или на панели управления атакующих, где затем сортируются, проверяются и монетизируются.
Мы должны четко осознавать:一旦 данные утекли, они не исчезают бесследно. Напротив, они постоянно накапливаются, объединяются и могут быть использованы спустя месяцы или даже годы для целевых атак, шантажа или кражи личных данных жертв. В современной цифровой среде бдительность, использование уникальных паролей для каждого аккаунта, включение многофакторной аутентификации и регулярный мониторинг своего цифрового следа — это уже не рекомендация, а необходимость для выживания.
Если вы стали жертвой фишинговой атаки, примите следующие меры:
- Если была скомпрометирована информация о банковской карте, немедленно позвоните в банк, чтобы заблокировать и заменить карту.
- Если были украдены учетные данные аккаунта, немедленно измените пароль для этого аккаунта и синхронно измените пароли для всех других онлайн-сервисов, где использовался тот же или похожий пароль. Обязательно используйте уникальный пароль для каждого аккаунта.
- Включите многофакторную аутентификацию (MFA/2FA) во всех поддерживающих ее сервисах.
- Проверьте историю входов в аккаунт и завершите все подозрительные сеансы.
- Если ваш аккаунт в мессенджере или социальной сети был скомпрометирован, немедленно уведомите друзей и родственников, предупредив их о мошеннических сообщениях, отправленных от вашего имени.
- Используйте специализированные сервисы (такие как Have I Been Pwned и другие), чтобы проверить, не фигурируют ли ваши данные в известных инцидентах утечки данных.
- Сохраняйте высокую бдительность в отношении любых неожиданно полученных писем, звонков или предложений — они могут казаться可信ными precisely потому, что злоумышленники используют ваши утекшие данные.





