Cryptocurrency Theft Detailed Report: Sold for Only $105 on the Dark Web

marsbitXuất bản vào 2025-12-29Cập nhật gần nhất vào 2025-12-29

Tóm tắt

Phishing attacks go beyond stealing credentials through fake links. Stolen data is quickly commodified on the dark web. This report traces how data is collected via email, Telegram bots, and administration panels (like BulletProofLink), then sold and reused in future attacks. Data types range from instantly monetizable information (bank cards, e-wallet logins) to data used for follow-up attacks (account credentials, phone numbers) or targeted schemes (biometric data, ID scans). Analysis shows 88.5% of attacks in early 2025 aimed to steal online account credentials. On dark web markets, data is packaged, validated, and sold—often via Telegram—with prices varying based on account age, balance, and attached services. Old leaked data remains dangerous, as criminals compile comprehensive digital profiles for highly targeted attacks like whaling. Once stolen, it doesn’t disappear. Users must use unique passwords, enable multi-factor authentication, and monitor their digital footprint to reduce risk.

Author: Olga Altukhova Editor: far@Centreless

Compiled by: Centreless X(Twitter)@Tocentreless

Typical phishing attacks often involve users clicking on a fraudulent link and entering their credentials on a fake website. However, the attack is far from over at this point. Once sensitive information falls into the hands of cybercriminals, it immediately becomes a commodity, entering the "pipeline" of the dark web market.

In this article, we will trace the flow path of stolen data: from data collection through various tools (such as Telegram bots and advanced admin panels), to the sale of the data and its subsequent use in new attacks. We will explore how once-leaked usernames and passwords are integrated into vast digital profiles, and why data leaked years ago can still be exploited by criminals to carry out targeted attacks.

Data Collection Mechanisms in Phishing Attacks Before tracking the subsequent whereabouts of stolen data, we first need to understand how this data leaves the phishing page and reaches the cybercriminals.

Through the analysis of real phishing pages, we have identified the following most common data transmission methods:

  • Sent to an email address
  • Sent to a Telegram bot
  • Uploaded to an admin panel

It is worth mentioning that attackers sometimes use legitimate services for data collection to make their servers harder to detect. For example, they may use online form services like Google Forms, Microsoft Forms, etc. Stolen data may also be stored on GitHub, Discord servers, or other websites. However, for the convenience of this analysis, we will focus on the main data collection methods mentioned above.

Email

The data entered by the victim into the HTML form on the phishing page is sent to the attacker's server via a PHP script, which then forwards it to an email address controlled by the attacker. However, due to the many limitations of email services—such as delivery delays, the possibility of the hosting provider banning the sending server, and operational inconvenience when handling large amounts of data—this method is gradually decreasing.

Phishing kit contents

For example, we once analyzed a phishing kit targeting DHL users. The index.php file contained a phishing form for stealing user data (here, email address and password).

Phishing form imitating the DHL website

The information entered by the victim is then sent to the email address specified in the mail.php file via a script in the next.php file.

Contents of the PHP scripts

Telegram Bot

Unlike the method above, scripts using a Telegram bot specify a Telegram API URL containing a bot token and corresponding Chat ID, rather than an email address. In some cases, this link is even hardcoded into the phishing HTML form. Attackers design detailed message templates to be automatically sent to the bot upon successful data theft. A code example is as follows:

Code snippet for data submission

Compared to sending data via email, using a Telegram bot provides phishers with stronger functionality, which is why this method is becoming increasingly popular. Data is transmitted to the bot in real-time, and the operator is notified immediately. Attackers often use disposable bots, which are harder to track and ban. Furthermore, its performance does not depend on the quality of the phishing page hosting service.

Automated Admin Panels

More sophisticated cybercriminals use specialized software, including commercial frameworks like BulletProofLink and Caffeine, often provided as "Platform as a Service" (PaaS). These frameworks provide a web interface (dashboard) for phishing campaigns, facilitating centralized management.

All data collected by the phishing pages controlled by the attacker is aggregated into a unified database and can be viewed and managed through their account interface.

Sending data to the administration panel

These admin panels are used to analyze and process victim data. Specific functions vary depending on the panel's customization options, but most dashboards typically have the following capabilities:

  • Real-time statistics classification: View the number of successful attacks by time, country, and support data filtering
  • Automatic verification: Some systems can automatically verify the validity of stolen data, such as credit card information or login credentials
  • Data export: Support downloading data in various formats for subsequent use or sale

Example of an administration panel

Admin panels are a key tool for organized cybercrime groups.

It is worth noting that a single phishing campaign often employs multiple data collection methods simultaneously.

Data Types Coveted by Cybercriminals

The data stolen in phishing attacks varies in value and purpose. In the hands of criminals, this data is both a means of profit and a tool for carrying out complex multi-stage attacks.

Based on their use, stolen data can be divided into the following categories:

  • Immediate Monetization: Directly selling raw data in bulk, or immediately stealing funds from the victim's bank account or e-wallet
  1. Bank card information: Card number, expiration date, cardholder name, CVV/CVC code
  2. Online banking and e-wallet accounts: Login name, password, and one-time two-factor authentication (2FA) verification codes
  3. Accounts linked to bank cards: Login credentials for online stores, subscription services, or payment systems like Apple Pay/Google Pay
  • Used for subsequent attacks for further monetization: Using stolen data to launch new attacks for more gains
  1. Credentials for various online accounts: Usernames and passwords. It is worth noting that even without a password, just the email or phone number used as a login name has value to attackers
  2. Phone numbers: Used for phone scams (such as tricking users into giving 2FA codes) or phishing via instant messaging apps
  3. Personal Identifiable Information (PII): Full name, date of birth, address, etc., often used for social engineering attacks
  • Used for targeted attacks, extortion, identity theft, and deepfakes
  1. Biometric data: Voice, facial images
  2. Scanned copies and numbers of personal documents: Passport, driver's license, social security card, taxpayer identification number, etc.
  3. Selfies with documents: Used for online loan applications and identity verification
  4. Corporate accounts: Used for targeted attacks against businesses

We analyzed phishing and scam attacks that occurred between January and September 2025 to determine the data types most frequently targeted by criminals. The results showed: 88.5% of attacks aimed to steal various online account credentials, 9.5% targeted personal identity information (name, address, date of birth), and only 2% focused on stealing bank card information.

Selling Data on the Dark Web Market

Apart from being used for real-time attacks or immediate monetization, most stolen data is not used immediately. Let's take a deeper look at its flow path:

1. Data Packaged for Sale

After being consolidated, data is sold on dark web markets in the form of "data dumps"—compressed packages often containing millions of records from various phishing attacks and data breaches. A data dump may sell for as low as $50. The main buyers are often not active scammers, but dark web data analysts, the next link in the supply chain.

2. Classification and Verification

Dark web data analysts filter the data by type (email accounts, phone numbers, bank card information, etc.) and run automated scripts for verification. This includes checking the validity of the data and its potential—for example, whether a set of Facebook account passwords can also log into Steam or Gmail. Since users tend to use the same password on multiple websites, data stolen from a service years ago may still be applicable to other services today. Verified accounts that can still log in normally are sold at a higher price.

Analysts also correlate and integrate user data from different attack incidents. For example, an old social media leaked password, login credentials obtained from a phishing form impersonating a government portal, and a phone number left on a scam website may all be compiled into a complete digital profile of a specific user.

3. Sale on Specialized Markets

Stolen data is usually sold through dark web forums and Telegram. The latter is often used as an "online store," displaying prices, buyer reviews, and other information.

Offers of social media data, as displayed in Telegram

Account prices vary greatly, depending on many factors: account age, balance, linked payment methods (bank card, e-wallet), whether two-factor authentication (2FA) is enabled, and the popularity of the service platform. For example, an e-commerce account linked to an email, with 2FA enabled, a long usage history, and a large number of order records, will be sold at a higher price; for game accounts like Steam, expensive game purchase records increase their value; and online banking data involving high-balance accounts from reputable banks commands a significant premium.

The table below shows examples of prices for various types of accounts found on dark web forums as of 2025*.

4. High-Value Target Screening and Targeted Attacks

Criminals pay particular attention to high-value targets—users who hold important information, such as corporate executives, accountants, or IT system administrators.

Here is a possible scenario for a "whaling" attack: Company A has a data breach containing information on an employee who previously worked there and is now an executive at Company B. The attackers use Open Source Intelligence (OSINT) analysis to confirm that the user is currently employed at Company B. They then carefully forge a phishing email that appears to be from the CEO of Company B and send it to the executive. To enhance credibility, the email even cites some facts about the user from the previous company (of course, the attack methods are not limited to this). By lowering the victim's vigilance, criminals have the opportunity to further infiltrate Company B.

It is worth noting that such targeted attacks are not limited to the corporate sphere. Attackers may also target individuals with high bank account balances, or users holding important personal documents (such as those required for micro-loan applications).

Key Takeaways

The flow of stolen data is like an efficiently operating pipeline, with each piece of information becoming a commodity with a clear price tag. Today's phishing attacks widely use diverse systems to collect and analyze sensitive information. Once data is stolen, it quickly flows into Telegram bots or the attacker's admin panels, where it is then classified, verified, and monetized.

We must be清醒地认识到清醒地认识到 (clearly aware): Once data is leaked, it does not disappear into thin air. On the contrary, it is constantly accumulated, integrated, and may be used months or even years later to carry out targeted attacks, extortion, or identity theft against the victims. In today's online environment, staying vigilant, setting unique passwords for each account, enabling multi-factor authentication, and regularly monitoring one's digital footprint are no longer suggestions, but necessities for survival.

If you unfortunately become a victim of a phishing attack, please take the following measures:

  1. If bank card information is leaked, immediately call the bank to report the loss and freeze the card.
  2. If account credentials are stolen, immediately change the password for that account, and also change the passwords for all other online services that use the same or similar passwords. Be sure to set a unique password for each account.
  3. Enable multi-factor authentication (MFA/2FA) on all supported services.
  4. Check the account's login history and terminate any suspicious sessions.
  5. If your instant messaging or social media account is stolen, immediately notify friends and relatives, reminding them to be wary of fraudulent messages sent in your name.
  6. Use professional services (such as Have I Been Pwned, etc.) to check if your data has appeared in known data breach incidents.
  7. Be highly vigilant of any unexpected emails, phone calls, or promotional information you receive—they may seem credible precisely because attackers are using your leaked data.

Câu hỏi Liên quan

QWhat are the three most common methods for transmitting stolen data from phishing pages to cybercriminals?

AThe three most common methods are: sending to an email address, sending to a Telegram bot, and uploading to an administration panel.

QWhy are cybercriminals increasingly using Telegram bots over email for data collection?

ATelegram bots provide real-time data transmission, immediate notifications to the operator, are harder to track and block, and their performance is not dependent on the quality of the phishing page hosting service.

QWhat percentage of phishing and scam attacks from January to September 2025 aimed to steal online account credentials?

A88.5% of the attacks aimed to steal various online account credentials.

QWhat is the typical first step in the 'pipeline' of stolen data after it is collected and before it is used in new attacks?

AThe data is packaged and sold as 'dumps' on dark web marketplaces, often for as little as $50.

QAccording to the article, what is one crucial step a victim should take if their online account credentials are stolen?

AThey should immediately change the password for that account and also change the passwords for all other online services where the same or a similar password was used, ensuring a unique password for every account.

Nội dung Liên quan

Con đường chạm mốc 80.000 USD của Bitcoin có thể phụ thuộc vào XU HƯỚNG ẨN NÀY

Chỉ số Coinbase Bitcoin Premium đã trải qua đợt giảm kỷ lục 50 ngày liên tiếp, cho thấy áp lực bán từ các tổ chức hoặc nhu cầu thể chế tại Mỹ đang yếu đi. Mặc dù xu hướng này thường báo hiệu sự thận trọng ngắn hạn hơn là một xu hướng giảm dài hạn. Đồng thời, chỉ số Lãi/Lỗ Thực Chưa Thực Hiện (NUPL) ngắn hạn của Bitcoin cũng đã cắt xuống dưới đường trung bình dài hạn vào ngày 2/6, cho thấy động lực thị trường đang suy yếu và lợi nhuận của nhà đầu tư đang thu hẹp. Trong các đáy thị trường giảm trước đây, chỉ số NUPL trung bình 100 ngày thường giảm xuống dưới 0, nhưng trong chu kỳ này nó vẫn ở mức dương, dự báo khả năng cần một đợt giảm giá khác. Về giá cả, Bitcoin hiện giao dịch quanh mức $63,148, tăng gần 7% trong tuần nhưng vẫn chưa chạm lại mức $80,000. Các tín hiệu kỹ thuật cho thấy một bức tranh hỗn hợp: MACD thể hiện đà tăng, trong khi RSI lại cho tín hiệu giảm. Một điểm tích cực là dòng tiền vào các Quỹ ETF Bitcoin đã quay trở lại sau 8 tuần chảy ra liên tiếp. Tuy nhiên, dự báo cộng đồng vẫn chia rẽ. Một số nhà phân tích cảnh báo về vùng thanh khoản mạnh ở $48,000-$50,000, nơi có thể kích hoạt nhiều lệnh dừng lỗ. Trong khi đó, những người nắm giữ dài hạn vẫn kiên định bất chấp ba quý thua lỗ liên tiếp. Tóm lại, dù có một số dấu hiệu tăng giá, Bitcoin cần một làn sóng mua mạnh mẽ từ các nhà đầu tư tổ chức để có đà vượt qua ngưỡng $80,000. Diễn biến của chỉ số NUPL trung bình 100 ngày so với mức 0 sẽ là yếu tố quan trọng cần theo dõi trong những tuần tới.

ambcrypto3 phút trước

Con đường chạm mốc 80.000 USD của Bitcoin có thể phụ thuộc vào XU HƯỚNG ẨN NÀY

ambcrypto3 phút trước

Vừa rồi, mô hình thế giới siêu cao khung hình đầu tiên toàn cầu ra đời, không chứa Nvidia, lao nhanh 50 FPS

Thế giới mô hình thực sự bước vào thời đại thời gian thực. Khi ngành công nghiệp vẫn đang vật lộn với 5-10 FPS, một nhóm các nhà nghiên cứu Trung Quốc đã đưa mô hình thế giới tương tác thời gian thực lên 50 FPS. MoWorld - Flash World Model toàn cầu đầu tiên từ Moxin Tech và Đại học Chiết Giang, cũng là mô hình thế giới tương tác thời gian thực đầu tiên được xây dựng hoàn toàn trên nền tảng NPU nội địa (chip Ascend 910C). Dự án đã xây dựng một vòng khép kín hoàn chỉnh từ đào tạo, chưng cất đến triển khai suy luận trên nền tảng NPU nội địa, giảm chi phí suy luận 70% so với các giải pháp GPU quy mô tương đương. MoWorld đạt được khả năng đào tạo và suy luận video dài 2000 khung hình, hỗ trợ điều khiển camera 6DoF cho trải nghiệm du lịch ảo sống động. Ứng dụng tiềm năng bao gồm giải trí tương tác, trí tuệ thể hiện, sáng tạo phim ảnh và số đôi sinh. Đột phá này chứng minh khả năng của nền tảng điện toán nội địa trong việc hỗ trợ các mô hình thế giới tiên tiến, mở ra cơ hội cạnh tranh và định hình tiêu chuẩn cho thế hệ trí tuệ không gian tiếp theo.

marsbit51 phút trước

Vừa rồi, mô hình thế giới siêu cao khung hình đầu tiên toàn cầu ra đời, không chứa Nvidia, lao nhanh 50 FPS

marsbit51 phút trước

Thái Bình Dương 'sốt', thời tiết cực đoan biến thành máy rút tiền cho Phố Wall như thế nào?

Bài viết phân tích sâu về hiện tượng El Niño đang diễn ra năm 2026, được dự báo có thể mạnh nhất kể từ năm 1950, và tác động đa chiều của nó đến khí hậu toàn cầu cùng thị trường tài chính. El Niño khiến nhiệt độ bề mặt đại dương ở trung và đông Thái Bình Dương ấm lên bất thường, gây ra các hiện tượng thời tiết cực đoan như mưa lũ ở Trung Quốc, hạn hán ở Đông Nam Á, và ảnh hưởng đến gió mùa tại Ấn Độ. Sự kết hợp với biến đổi khí hậu càng làm trầm trọng thêm các rủi ro. Trên thị trường tài chính, các quỹ đầu cơ như Moreton Capital đang huy động vốn để đặt cược vào sự gián đoạn nguồn cung nông sản do El Niño gây ra. Lịch sử cho thấy nhiều nhà giao dịch như Richard Dennis hay Anthony Ward đã kiếm lợi nhuận khổng lồ nhờ dự đoán chính xác tác động của thời tiết lên giá cả hàng hóa như đậu nành, ca cao. Gần đây, đợt giá ca cao tăng vọt năm 2024 do thời tiết bất lợi ở Tây Phi là một ví dụ điển hình. Hiện tại, giá cả các mặt hàng như dầu cọ, cao su, đường đã tăng do kỳ vọng vào nguồn cung sụt giảm trong tương lai, bất chấp số liệu tồn kho hiện tại vẫn cao. Bài viết liệt kê các chỉ số then chốt cần theo dõi để đánh giá diễn biến tiếp theo, như chỉ số Niño3.4, dữ liệu gió mùa Ấn Độ và báo cáo tồn kho dầu cọ Malaysia. Cuối cùng, bài viết cảnh báo rằng những câu chuyện về El Niño đang được ghép nối với các rủi ro khác như thiếu hụt phân bón và căng thẳng địa chính trị, tạo thành một "câu chuyện kể" có nguy cơ ảnh hưởng đến an ninh lương thực và chi phí sinh hoạt của người dân toàn cầu. Tác động thực sự về giá có thể xảy ra mạnh mẽ nhất sau khi El Niño đạt đỉnh.

marsbit53 phút trước

Thái Bình Dương 'sốt', thời tiết cực đoan biến thành máy rút tiền cho Phố Wall như thế nào?

marsbit53 phút trước

Thái Bình Dương 'Sốt Cao', Biến Đổi Thời Tiết Cực Đoan Lại Trở Thành 'Máy Rút Tiền' Của Phố Wall?

Tháng 7/2026, các hiện tượng thời tiết cực đoan như mưa lớn, lũ lụt, nắng nóng và bão ở châu Á, cùng với hạn hán ở Đông Nam Á, Nam Mỹ, đều có liên quan đến El Niño - hiện tượng ấm lên bất thường của vùng nước biển trung tâm và đông Thái Bình Dương. Các cơ quan khí tượng dự báo đây có thể là đợt El Niño mạnh nhất kể từ năm 1950. El Niño không chỉ ảnh hưởng đến thời tiết mà còn tác động mạnh đến thị trường hàng hóa toàn cầu, tạo ra cơ hội đầu cơ cho các quỹ đầu tư. Năm 1972, El Niño khiến cá cơm Peru biến mất, đẩy giá đậu tương tăng và giúp nhà giao dịch huyền thoại Richard Dennis kiếm được khoản lợi nhuận đầu tiên. Gần đây, năm 2024, thời tiết khô nóng ở Tây Phi đã làm giảm sản lượng ca cao, đẩy giá tăng hơn 400%. Năm 2026, thị trường lại xôn xao với kỳ vọng El Niño. Một quỹ phòng hộ đang gọi vốn 500 triệu USD để đầu tư vào các mặt hàng nông sản nhạy cảm với thời tiết như ngô Nam Phi, dầu cọ Malaysia và lúa mì Australia. Giá dầu cọ, cao su, đường trên thị trường kỳ hạn đã tăng dựa trên kỳ vọng về nguồn cung giảm trong tương lai, bất chấp dữ liệu tồn kho hiện tại vẫn cao. Tác động của El Niño khác nhau tùy khu vực: gây hạn hán ở Đông Nam Á (ảnh hưởng dầu cọ, cao su), làm giảm gió mùa ở Ấn Độ (ảnh hưởng đường, bông), nhưng lại có thể mang đến mưa nhiều cho Nam Mỹ (có lợi cho đậu tương, mía). Các chuyên gia cho rằng tác động giá cả thực sự thường xảy ra sau khi El Niño đạt đỉnh, tức là năm 2027 mới là thời điểm giao dịch dựa trên tình trạng sản lượng giảm thực tế. Bên cạnh cơ hội đầu tư, một luồng thông tin đáng lo ngại đang lan truyền, kết nối El Niño với tình trạng thiếu phân bón, gián đoạn năng lượng và nguy cơ khủng hoảng lương thực toàn cầu trong vòng 3-4 tháng tới. Điều này cho thấy tác động của biến đổi khí hậu và thời tiết cực đoan không còn là chuyện của thiên nhiên hay nhà đầu tư, mà ngày càng ảnh hưởng trực tiếp đến đời sống và chi phí sinh hoạt của mọi người.

链捕手1 giờ trước

Thái Bình Dương 'Sốt Cao', Biến Đổi Thời Tiết Cực Đoan Lại Trở Thành 'Máy Rút Tiền' Của Phố Wall?

链捕手1 giờ trước

Vừa mới đây, Nhà tương lai học trưởng của OpenAI rời đi, từng bị Elon Musk chửi là 'đồ ngu ngốc'

Vừa qua, Joshua Achiam, nhà tương lai học trưởng của OpenAI, đã tuyên bố rời công ty sau 9 năm gắn bó. Ông gia nhập OpenAI với tư cách thực tập sinh vào năm 2017, từng là nhà khoa học nghiên cứu an toàn AI và lãnh đạo nhóm Sứ mệnh Phù hợp (Mission Alignment), chịu trách nhiệm bảo vệ sứ mệnh ban đầu của công ty: đảm bảo AGI (trí tuệ nhân tạo phổ quát) mang lại lợi ích cho nhân loại. Đầu năm nay, nhóm này bị giải tán và ông chuyển sang vai trò Nhà tương lai học trưởng. Trong bài đăng trên X, Achiam mô tả quyết định rời đi sau nhiều suy nghĩ là "tốt nghiệp". Ông bày tỏ sự lạc quan về một tương lai nơi nhu cầu cơ bản của mọi người được đáp ứng và chứa đựng những khả năng khoa học xã hội khó tưởng tượng, kết thúc bằng thông điệp "Hướng tới một AGI an toàn". Vị trí của ông nằm ở giao điểm giữa an toàn AI và chính sách, nhằm nghiên cứu rủi ro và lợi ích tiềm tàng khi AI phát triển. Việc ông rời đi làm dấy lên bàn luận về làn sóng các lãnh đạo an toàn rời OpenAI thời gian gần đây, như Jan Leike, Miles Brundage và Andrea Vallone. Trong khi đó, OpenAI đang nỗ lực kết nối chặt chẽ hơn giữa đội ngũ nghiên cứu và chính sách. Một khoảnh khắc đáng chú ý trong sự nghiệp của Achiam là vào năm 2018, khi ông chất vấn Elon Musk về rủi ro an toàn liên quan đến kế hoạch phát triển AGI tại Tesla, và bị Musk gọi là "jackass" (kẻ ngốc). Sự kiện này sau đó trở thành một giai thoại nội bộ. Achiam cho rằng, bí mật về việc đạt được AGI giờ đây đã được biết đến, và việc thúc đẩy sứ mệnh này bên ngoài các phòng thí nghiệm tiên phong cũng đã trở nên khả thi. Sự ra đi của ông đánh dấu một bước ngoặt, phản ánh sự phát triển và những thay đổi nội bộ của OpenAI khi nó chuyển từ một phòng lab nghiên cứu nhỏ thành một tổ chức lớn với nhiều áp lực về sản phẩm, vốn đầu tư và chính sách.

marsbit1 giờ trước

Vừa mới đây, Nhà tương lai học trưởng của OpenAI rời đi, từng bị Elon Musk chửi là 'đồ ngu ngốc'

marsbit1 giờ trước

Giao dịch

Giao ngay
活动图片