Отчет о деталях кражи криптовалюты: на даркнете продается всего за 105 долларов

marsbitОпубликовано 2025-12-29Обновлено 2025-12-29

Введение

Типичные фишинговые атаки крадут данные через электронную почту, Telegram-ботов или панели управления. Украденная информация (логины, пароли, банковские данные, личные документы) сразу становится товаром в даркнете. 88,5% атак нацелены на учетные записи. Данные проверяются, сортируются и продаются на специализированных площадках — например, аккаунт соцсети может стоить всего $105. Даже старые утечки используются для целевых атак, так как пользователи часто повторяют пароли. Рекомендации: используйте уникальные пароли, двухфакторную аутентификацию и мониторинг утечек.

Автор: Olga Altukhova Редактор: far@Centreless

Компиляция: Centreless X(Twitter)@Tocentreless

Типичная фишинговая атака обычно включает в себя переход пользователя по мошеннической ссылке и ввод своих учетных данных на поддельном сайте. Однако на этом атака далеко не заканчивается. Как только конфиденциальная информация попадает в руки киберпреступников, она немедленно превращается в товар, входящий в «конвейер» рынков даркнета.

В этой статье мы проследим путь утечки украденных данных: от сбора данных с помощью различных инструментов (таких как Telegram-боты и расширенные панели управления) до их продажи и последующего использования в новых атаках. Мы рассмотрим, как скомпрометированные имена пользователей и пароли интегрируются в обширные цифровые профили, и почему данные, утекшие много лет назад, до сих пор могут использоваться преступниками для целевых атак.

Механизмы сбора данных в фишинговых атакахПрежде чем отслеживать дальнейший путь украденных данных, нам необходимо понять, как эти данные покидают фишинговые страницы и попадают к киберпреступникам.

Анализируя реальные фишинговые страницы, мы определили следующие наиболее распространенные способы передачи данных:

  • Отправка на адрес электронной почты
  • Отправка Telegram-боту
  • Загрузка на панель управления

Стоит отметить, что злоумышленники иногда используют легитимные сервисы для сбора данных, чтобы их серверы было сложнее обнаружить. Например, они могут использовать онлайн-формы, такие как Google Forms, Microsoft Forms и другие.д. Украденные данные также могут храниться на GitHub, Discord-серверах или других сайтах. Однако для удобства данного анализа мы сосредоточимся на основных перечисленных выше способах сбора данных.

Электронная почта

Данные, введенные жертвой в HTML-форму на фишинговой странице, отправляются через PHP-скрипт на сервер злоумышленника, который затем пересылает их на контролируемый атакующим адрес электронной почты. Однако из-за множества ограничений сервисов электронной почты — таких как задержки в доставке, возможность блокировки сервера отправителя хостинг-провайдером и неудобство обработки больших объемов данных — этот способ постепенно теряет популярность.

Содержимое фишингового набора (phishing kit)

Для примера, мы анализировали фишинговый набор, нацеленный на пользователей DHL. В нем файл index.php содержит фишинговую форму для кражи данных пользователя (в данном случае адреса электронной почты и пароля).

Фишинговая форма, имитирующая сайт DHL

Введенная жертвой информация затем отправляется с помощью скрипта в файле next.php на адрес электронной почты, указанный в файле mail.php.

Содержимое PHP-скриптов

Telegram-бот

В отличие от описанного выше метода, скрипты, использующие Telegram-бота, указывают URL API Telegram, содержащий токен бота (bot token) и соответствующий идентификатор чата (Chat ID), вместо адреса электронной почты. В некоторых случаях эта ссылка даже жестко встроена (hardcoded) в HTML-форму фишинговой страницы. Злоумышленники создают детальные шаблоны сообщений, которые автоматически отправляются боту после успешной кражи данных. Пример кода:

Фрагмент кода для отправки данных

По сравнению с отправкой данных по электронной почте, использование Telegram-бота предоставляет фишерам более широкие возможности, поэтому этот метод набирает популярность. Данные в реальном времени передаются боту, и оператор немедленно уведомляется. Злоумышленники часто используют одноразовых ботов, которых сложнее отследить и заблокировать. Кроме того, их производительность не зависит от качества хостинг-услуг для фишинговой страницы.

Автоматизированные панели управления

Более опытные киберпреступники используют специализированное программное обеспечение, включая коммерческие фреймворки, такие как BulletProofLink и Caffeine, часто предоставляемые по модели «платформа как услуга» (PaaS). Эти фреймворки предоставляют веб-интерфейс (дашборд) для управления фишинговыми кампаниями.

Все данные, собранные контролируемыми злоумышленником фишинговыми страницами, объединяются в единую базу данных и могут быть просмотрены и управляемы через интерфейс их аккаунта.

Отправка данных на панель управления

Эти панели управления используются для анализа и обработки данных жертв. Конкретные функции зависят от возможностей настройки панели, но большинство дашбордов обычно обладают следующими возможностями:

  • Статистика в реальном времени с категоризацией: просмотр количества успешных атак по времени, стране с поддержкой фильтрации данных
  • Автоматическая проверка: некоторые системы могут автоматически проверять действительность украденных данных, такой как информация о кредитных картах или учетные данные для входа
  • Экспорт данных: поддержка загрузки данных в различных форматах для последующего использования или продажи

Пример панели управления

Панели управления являются ключевым инструментом для организованных киберпреступных группировок.

Стоит отметить, что одна фишинговая кампания часто использует несколько из вышеперечисленных способов сбора данных одновременно.

Типы данных, представляющие интерес для киберпреступников

Данные, похищенные в результате фишинговых атак, имеют разную ценность и назначение. В руках преступников эти данные являются как средством извлечения прибыли, так и инструментом для проведения сложных многоэтапных атак.

В зависимости от назначения, украденные данные можно разделить на следующие категории:

  • Мгновенная монетизация: прямая оптовая продажа сырых данных или немедленная кража средств с банковских счетов или электронных кошельков жертв
  1. Информация о банковских картах: номер карты, срок действия, имя держателя, код CVV/CVC
  2. Учетные записи интернет-банкинга и электронных кошельков: логин, пароль, а также одноразовые коды двухфакторной аутентификации (2FA)
  3. Учетные записи с привязанными банковскими картами: такие как логины для онлайн-магазинов, сервисов подписки или платежных систем, таких как Apple Pay/Google Pay
  • Для последующих атак с целью дальнейшей монетизации: использование украденных данных для запуска новых атак и получения дополнительной прибыли
  1. Учетные данные для различных онлайн-аккаунтов: имя пользователя и пароль. Примечательно, что даже без пароля, только адрес электронной почты или номер телефона, используемые в качестве логина, имеют ценность для атакующих
  2. Номера мобильных телефонов: используются для телефонного мошенничества (например, для выманивания кодов 2FA) или для фишинга через приложения мгновенных сообщений
  3. Персональные идентификационные данные: полное имя, дата рождения, адрес проживания и т.д., часто используемые в атаках социальной инженерии
  • Для целевых атак, шантажа, кражи личных данных и создания дипфейков
  1. Биометрические данные: голос, изображения лица
  2. Сканы личных документов и их номера: паспорт, водительские права, карта социального страхования, идентификационный номер налогоплательщика и т.д.
  3. Фотографии с документом в руках: используются при подаче заявок на онлайн-кредиты и верификации личности
  4. Корпоративные учетные записи: используются для целевых атак на бизнес

Мы проанализировали фишинговые и мошеннические атаки, произошедшие в период с января по сентябрь 2025 года, чтобы определить типы данных, на которые чаще всего нацеливаются преступники. Результаты показали: 88.5% атак aimed на кражу учетных данных различных онлайн-аккаунтов, 9.5% — на персональные идентификационные данные (имя, адрес, дата рождения), и лишь 2% были сосредоточены на краже информации о банковских картах.

Продажа данных на рынках даркнета

Помимо использования в реальных атаках или для мгновенной монетизации, большинство украденных данных не используется немедленно. Давайте глубже посмотрим на путь их движения:

1. Продажа упакованных данных

Данные объединяются и продаются на рынках даркнета в виде «дампов» (dumps) — эти сжатые архивы обычно содержат миллионы записей из различных фишинговых атак и утечек данных. Стоимость одного дампа может быть as low as $50. Основными покупателями часто являются не активные мошенники, а аналитики данных в даркнете, которые являются следующим звеном в цепочке.

2. Сортировка и проверка

Аналитики данных в даркнете сортируют данные по типам (учетные записи электронной почты, номера телефонов, данные банковских карт и т.д.) и запускают автоматизированные скрипты для проверки. Это включает проверку действительности данных и их потенциала для повторного использования — например, может ли комбинация логина и пароля от Facebook также использоваться для входа в Steam или Gmail. Поскольку пользователи часто используют одинаковые пароли на нескольких сайтах, данные, украденные годы назад с одного сервиса, сегодня все еще могут работать на других. Проверенные, все еще рабочие учетные записи продаются по более высокой цене.

Аналитики также объединяют пользовательские данные из различных инцидентов. Например, старый пароль из утечки в социальных сетях, учетные данные, полученные с фишинговой формы, имитирующей правительственный портал, и номер телефона, оставленный на мошенническом сайте, могут быть скомпилированы в полный цифровой профиль конкретного пользователя.

3. Продажа на специализированных рынках

Украденные данные обычно продаются через форумы даркнета и Telegram. Последний часто используется как «онлайн-магазин», где отображаются цены, отзывы покупателей и другая информация.

Предложения данных из социальных сетей, как отображается в Telegram

Цены на аккаунты сильно различаются и зависят от множества факторов: возраст аккаунта, баланс, привязанные способы оплаты (банковская карта, электронный кошелек), включена ли двухфакторная аутентификация (2FA), а также известность платформы-сервиса. Например, аккаунт интернет-магазина, привязанный к email, с включенной 2FA, долгой историей использования и большим количеством заказов, будет стоить дороже; для игровых аккаунтов, таких как Steam, дорогие покупки игр повышают их стоимость; а данные интернет-банка, связанные с аккаунтами с высоким балансом и из надежных банков, имеют значительную надбавку к цене.

В таблице ниже показаны примеры цен на различные типы аккаунтов, обнаруженные на форумах даркнета по состоянию на 2025 год*.

4. Выявление целей с высокой ценностью и целевые атаки

Преступники особенно интересуются целями с высокой ценностью — то есть пользователями, владеющими важной информацией, такими как топ-менеджеры компаний, бухгалтеры или администраторы IT-систем.

Приведем пример возможного сценария атаки «китобойный промысел» (whaling): В компании A произошла утечка данных, содержащая информацию о сотруднике, который ранее там работал, а теперь является топ-менеджером компании B. Злоумышленники с помощью анализа открытых источников (OSINT) подтверждают, что данный пользователь в настоящее время работает в компании B. Затем они тщательно подделывают фишинговое письмо, якобы от генерального директора компании B, и отправляют его этому топ-менеджеру. Чтобы повысить доверие, в письме могут даже упоминаться некоторые факты о пользователе из его прошлой компании (конечно, методы атаки не ограничиваются этим). Снижая бдительность жертвы, преступники получают возможность进一步 взломать компанию B.

Стоит отметить, что такие целевые атаки не ограничиваются корпоративной сферой. Злоумышленники также могут нацеливаться на частных лиц с большими остатками на банковских счетах или пользователей, владеющих важными личными документами (например, необходимыми для подачи заявки на микрокредит).

Ключевые выводы

Путь украденных данных похож на эффективно работающий конвейер, где каждая единица информации становится товаром с четкой ценой. Современные фишинговые атаки широко используют разнообразные системы для сбора и анализа конфиденциальной информации. Как только данные похищены, они быстро попадают к Telegram-ботам или на панели управления атакующих, где затем сортируются, проверяются и монетизируются.

Мы должны четко осознавать:一旦 данные утекли, они не исчезают бесследно. Напротив, они постоянно накапливаются, объединяются и могут быть использованы спустя месяцы или даже годы для целевых атак, шантажа или кражи личных данных жертв. В современной цифровой среде бдительность, использование уникальных паролей для каждого аккаунта, включение многофакторной аутентификации и регулярный мониторинг своего цифрового следа — это уже не рекомендация, а необходимость для выживания.

Если вы стали жертвой фишинговой атаки, примите следующие меры:

  1. Если была скомпрометирована информация о банковской карте, немедленно позвоните в банк, чтобы заблокировать и заменить карту.
  2. Если были украдены учетные данные аккаунта, немедленно измените пароль для этого аккаунта и синхронно измените пароли для всех других онлайн-сервисов, где использовался тот же или похожий пароль. Обязательно используйте уникальный пароль для каждого аккаунта.
  3. Включите многофакторную аутентификацию (MFA/2FA) во всех поддерживающих ее сервисах.
  4. Проверьте историю входов в аккаунт и завершите все подозрительные сеансы.
  5. Если ваш аккаунт в мессенджере или социальной сети был скомпрометирован, немедленно уведомите друзей и родственников, предупредив их о мошеннических сообщениях, отправленных от вашего имени.
  6. Используйте специализированные сервисы (такие как Have I Been Pwned и другие), чтобы проверить, не фигурируют ли ваши данные в известных инцидентах утечки данных.
  7. Сохраняйте высокую бдительность в отношении любых неожиданно полученных писем, звонков или предложений — они могут казаться可信ными precisely потому, что злоумышленники используют ваши утекшие данные.

Связанные с этим вопросы

QКаковы три наиболее распространенных способа сбора данных в фишинговых атаках?

AТремя наиболее распространенными способами сбора данных являются: отправка на адрес электронной почты, отправка Telegram-боту и загрузка в административную панель.

QПочему использование Telegram-ботов становится все более популярным среди злоумышленников для сбора данных?

ATelegram-боты предоставляют данные в реальном времени, немедленно уведомляют оператора, их сложнее отследить и заблокировать, а их работа не зависит от качества хостинга фишинговой страницы.

QКакие типы данных наиболее часто становятся мишенью фишинговых атак согласно анализу 2025 года?

AСогласно анализу, 88.5% атак направлены на креды (учетные данные) онлайн-аккаунтов, 9.5% - на личную информацию (имя, адрес, дата рождения), и лишь 2% - на данные банковских карт.

QКакова примерная стоимость пакета украденных данных (дампа) на теневых рынках?

AПакет данных, содержащий миллионы записей, может продаваться всего за 50 долларов США.

QКакие действия рекомендуется предпринять, если вы стали жертвой фишинговой атаки и ваши данные были скомпрометированы?

AРекомендуется: немедленно заблокировать карту при утечке ее данных, сменить пароли на всех сервисах (используя уникальные пароли), включить двухфакторную аутентификацию, проверить историю входов в аккаунты, предупредить контакты, проверить наличие своих данных в известных утечках и сохранять бдительность к неожиданным сообщениям.

Похожее

Год действия закона GENIUS Act: Прогресс, пробелы и дальнейшие шаги

Год назад президент Дональд Трамп подписал закон GENIUS Act, но регуляторы до сих пор не завершили его реализацию. Ключевые агентства, такие как OCC, ФРС, FDIC и Министерство финансов, продолжают разрабатывать важные правила, касающиеся резервов эмитентов, требований к капиталу, ликвидности, хранения активов и управления рисками. Хотя срок окончательного утверждения норм истек 18 июля, консультации с общественностью по некоторым предложениям всё ещё продолжаются. Несмотря на нормативную неопределенность, отрасль стейблкоинов выросла до более чем 310 миллиардов долларов. Однако таким эмитентам, как Circle и Paxos, всё ещё приходится работать в условиях незавершенных стандартов ликвидности и хранения, что усложняет планирование и операционную устойчивость. Регуляторы планируют начать применять закон с 18 января 2027 года. Тем временем закон уже стимулирует институциональное участие: BlackRock, JPMorgan, Visa и другие крупные игроки запускают продукты, связанные со стейблкоинами. Законодатели, такие как сенатор Синтия Ламмис, призывают к дальнейшим шагам, включая принятие CLARITY Act, для укрепления лидерства США в сфере цифровых активов. Завершение оставшихся правил определит скорость широкого внедрения регулируемых стейблкоинов в финансовую систему страны.

ambcrypto6 ч. назад

Год действия закона GENIUS Act: Прогресс, пробелы и дальнейшие шаги

ambcrypto6 ч. назад

Всплеск на 70 миллиардов USDC в Solana: Бычий катализатор или «скрытый» риск для SOL?

Во второй половине 2026 года ликвидность становится ключевым фактором на рынке криптовалют. В то время как общая капитализация стейблкоинов сократилась, в экосистеме Solana наблюдается обратная тенденция: за год было выпущено (отчеканено) более 70 миллиардов долларов в USDC. Это увеличило ликвидность в сети, а количество ежемесячных активных пользователей Solana превысило 100 миллионов. Однако значительный приток стейблкоинов пока не привёл к устойчивому восстановлению. Цена SOL упала более чем на 35% в 2026 году, отставая от снижения Bitcoin. Также наблюдается спад в ключевых показателях активности сети: количество транзакций и торговый объём снизились по сравнению с первым кварталом. Это указывает на то, что растущая ликвидность, возможно, питает в основном спекулятивную активность, а не фундаментальный спрос. В итоге, несмотря на приток USDC, слабость ценового действия SOL и ончейн-активности сохраняется, что может создать риски для её восстановления во второй половине года.

ambcrypto6 ч. назад

Всплеск на 70 миллиардов USDC в Solana: Бычий катализатор или «скрытый» риск для SOL?

ambcrypto6 ч. назад

Стажер, 120 тысяч юаней в месяц

"Возможности трудоустройства ошеломляют". На этой неделе в соцсетях стало вирусным сообщение: студент класса Яо (элитная программа Университета Цинхуа) показал предложение о стажировке с ежедневной зарплатой в 5500 юаней до вычета налогов. Это составляет более 120 000 юаней в месяц. Хотя такая зарплата предназначена лишь для небольшого числа студентов, она демонстрирует ожесточенную конкуренцию за таланты в сфере ИИ. Компания DeepSeek, привлекшая первый раунд финансирования в 50 млрд юаней, активно расширяет штат и предлагает высокие зарплаты стажерам, особенно выпускникам элитных программ, таким как класс Яо. Другие технологические гиганты, включая Huawei, Tencent, ByteDance и Moon Dark Side (создатель Kimi), также усиливают "войну за таланты", предлагая щедрые пакеты компенсаций, включая высокие зарплаты, опционы на акции и участие в ключевых проектах, даже студентам и школьникам. На рынке труда ИИ наступил самый "безумный" год: годовые пакеты для выдающихся выпускников в ведущих компаниях могут достигать миллионов юаней, удваиваясь из года в год. Все больше молодых специалистов, часто в возрасте 20-30 лет и выпускников престижных вузов, занимают ключевые позиции, определяя будущее ИИ. Конкуренция в области ИИ — это не только гонка моделей и вычислительных мощностей, но и битва за плотность талантов, где молодое поколение начинает менять правила игры.

marsbit6 ч. назад

Стажер, 120 тысяч юаней в месяц

marsbit6 ч. назад

Торговля

Спот
活动图片