Rapport détaillé sur le vol de cryptomonnaie : seulement 105 dollars sur le dark web

marsbit發佈於 2025-12-29更新於 2025-12-29

文章摘要

L'article détaille le parcours des données volées via des attaques de phishing, depuis leur collecte jusqu'à leur vente sur le dark web. Les méthodes de collecte incluent l'envoi par email, l'utilisation de bots Telegram et des panels d'administration automatisés. Les données ciblées vont aux identifiants de comptes en ligne (88,5 % des cas), aux informations personnelles (9,5 %) et aux données bancaires (2 %). Une fois volées, elles sont triées, vérifiées et vendues sur des marchés clandestins, parfois pour aussi peu que 50 $. Les comptes sont valorisés selon leur ancienneté, solde, méthodes de paiement liées et notoriété du service. L'article souligne que les données ne disparaissent jamais et peuvent être utilisées des années plus tard pour des attaques ciblées. Il conseille aux victimes de geler les comptes compromis, d'utiliser des mots de passe uniques, d'activer la double authentification et de surveiller activement leur empreinte numérique.

Auteur : Olga Altukhova Éditeur : far@Centreless

Compilation : Centreless X(Twitter)@Tocentreless

Une attaque de phishing typique implique généralement qu'un utilisateur clique sur un lien frauduleux et saisisse ses informations d'identification sur un site web contrefait. Cependant, l'attaque est loin d'être terminée à ce stade. Une fois que les informations confidentielles tombent entre les mains des cybercriminels, elles deviennent immédiatement une marchandise, entrant dans la « chaîne de production » des marchés du dark web.

Dans cet article, nous retracerons le parcours des données volées : de leur collecte via divers outils (comme les robots Telegram et les panneaux d'administration avancés), à leur vente et leur utilisation ultérieure pour de nouvelles attaques. Nous explorerons comment les noms d'utilisateur et mots de passe autrefois divulgués sont intégrés dans de vastes profils numériques, et pourquoi même des fuites de données vieilles de plusieurs années peuvent encore être exploitées par les criminels pour mener des attaques ciblées.

Mécanismes de collecte de données dans les attaques de phishing Avant de retracer la destination ultérieure des données volées, nous devons d'abord comprendre comment ces données quittent les pages de phishing et parviennent aux cybercriminels.

En analysant de véritables pages de phishing, nous avons identifié les méthodes de transmission de données les plus courantes :

  • Envoi à une adresse e-mail
  • Envoi à un robot Telegram
  • Téléversement vers un panneau d'administration

Il est à noter que les attaquants utilisent parfois des services légitimes pour collecter des données, afin de rendre leurs serveurs plus difficiles à détecter. Par exemple, ils peuvent utiliser des services de formulaires en ligne comme Google Forms, Microsoft Forms, etc. Les données volées peuvent également être stockées sur GitHub, des serveurs Discord ou d'autres sites web. Cependant, pour faciliter cette analyse, nous nous concentrerons sur les principales méthodes de collecte de données mentionnées ci-dessus.

E-mail

Les données saisies par les victimes dans le formulaire HTML de la page de phishing sont envoyées via un script PHP au serveur de l'attaquant, qui les transmet ensuite à une adresse e-mail contrôlée par l'attaquant. Cependant, cette méthode est en déclin en raison des nombreuses limitations des services de messagerie – tels que les retards de livraison, la possibilité que l'hébergeur bloque le serveur expéditeur, et la difficulté de manipulation de grandes quantités de données.

Contenu du kit de phishing

Par exemple, nous avons analysé un kit de phishing (phishing kit) ciblant les utilisateurs de DHL. Le fichier index.php contient un formulaire de phishing conçu pour voler les données utilisateur (ici, une adresse e-mail et un mot de passe).

Formulaire de phishing imitant le site web de DHL

Les informations saisies par la victime sont ensuite envoyées, via un script dans le fichier next.php, à l'adresse e-mail spécifiée dans le fichier mail.php.

Contenu des scripts PHP

Robot Telegram

Contrairement à la méthode précédente, les scripts utilisant un robot Telegram spécifient une URL d'API Telegram contenant un jeton de robot (bot token) et un identifiant de chat (Chat ID) correspondant, plutôt qu'une adresse e-mail. Dans certains cas, ce lien est même codé en dur dans le formulaire HTML de phishing. Les attaquants conçoivent des modèles de messages détaillés qui sont automatiquement envoyés au robot après le vol réussi des données. Un exemple de code est le suivant :

Extrait de code pour la soumission des données

Comparé à l'envoi de données par e-mail, l'utilisation d'un robot Telegram offre aux phishers des fonctionnalités plus puissantes, c'est pourquoi cette méthode gagne en popularité. Les données sont transmises au robot en temps réel, et l'opérateur est immédiatement notifié. Les attaquants utilisent souvent des robots jetables, plus difficiles à tracer et à bannir. De plus, leurs performances ne dépendent pas de la qualité du service d'hébergement de la page de phishing.

Panneaux d'administration automatisés

Les cybercriminels plus expérimentés utilisent des logiciels spécialisés, y compris des frameworks commerciaux comme BulletProofLink et Caffeine, souvent proposés sous forme de « Plateforme en tant que Service » (PaaS). Ces frameworks fournissent une interface Web (tableau de bord) pour gérer les campagnes de phishing.

Toutes les données collectées par les pages de phishing contrôlées par l'attaquant sont agrégées dans une base de données unifiée et peuvent être visualisées et gérées via leur interface de compte.

Envoi des données au panneau d'administration

Ces panneaux d'administration sont utilisés pour analyser et traiter les données des victimes. Les fonctionnalités spécifiques varient selon les options de personnalisation du panneau, mais la plupart des tableaux de bord offrent généralement les capacités suivantes :

  • Statistiques en temps réel classées : visualiser le nombre d'attaques réussies par temps, par pays, et prendre en charge le filtrage des données
  • Validation automatique : certains systèmes peuvent automatiquement vérifier la validité des données volées, comme les informations de carte de crédit ou les identifiants de connexion
  • Exportation des données : prise en charge du téléchargement des données dans divers formats, facilitant une utilisation ou une vente ultérieure

Exemple de panneau d'administration

Les panneaux d'administration sont des outils clés pour les groupes de cybercriminalité organisée.

Il est important de noter qu'une campagne de phishing utilise souvent plusieurs des méthodes de collecte de données mentionnées ci-dessus simultanément.

Types de données convoitées par les cybercriminels

Les données volées via des attaques de phishing ont des valeurs et des utilisations variées. Entre les mains des criminels, ces données sont à la fois un moyen de profit et un outil pour mener des attaques complexes en plusieurs étapes.

Selon leur utilisation, les données volées peuvent être classées dans les catégories suivantes :

  • Monétisation immédiate : vente en vrac directe de données brutes, ou vol immédiat de fonds depuis le compte bancaire ou le portefeuille électronique de la victime
  1. Informations de carte bancaire : numéro de carte, date d'expiration, nom du titulaire, code CVV/CVC
  2. Comptes de banque en ligne et portefeuilles électroniques : identifiant, mot de passe, et codes de vérification à deux facteurs (2FA) à usage unique
  3. Comptes liés à une carte bancaire : identifiants de connexion pour des boutiques en ligne, des services d'abonnement ou des systèmes de paiement comme Apple Pay/Google Pay
  • Utilisées pour des attaques ultérieures afin d'obtenir plus de revenus : utilisation des données volées pour lancer de nouvelles attaques et obtenir des gains supplémentaires
  1. Identifiants de divers comptes en ligne : nom d'utilisateur et mot de passe. Il est à noter que même sans mot de passe, seule l'adresse e-mail ou le numéro de téléphone utilisé comme identifiant a de la valeur pour l'attaquant
  2. Numéros de téléphone : utilisés pour les escroqueries téléphoniques (comme l'obtention frauduleuse de codes 2FA) ou pour mener du phishing via des applications de messagerie instantanée
  3. Informations personnelles d'identification : nom complet, date de naissance, adresse, etc., souvent utilisées dans les attaques d'ingénierie sociale
  • Utilisées pour des attaques ciblées, le chantage, l'usurpation d'identité et le deepfake
  1. Données biométriques : voix, images faciales
  2. Copies scannées et numéros de documents personnels : passeport, permis de conduire, carte de sécurité sociale, numéro d'identification fiscale, etc.
  3. Selfies avec pièce d'identité : utilisés pour les demandes de prêts en ligne et la vérification d'identité
  4. Comptes d'entreprise : utilisés pour des attaques ciblées contre les entreprises

Nous avons analysé les attaques de phishing et d'escroquerie survenues entre janvier et septembre 2025 pour déterminer les types de données les plus souvent ciblés par les criminels. Les résultats montrent que : 88,5 % des attaques visaient à voler divers identifiants de comptes en ligne, 9,5 % ciblaient les informations personnelles d'identification (nom, adresse, date de naissance), et seulement 2 % se concentraient sur le vol d'informations de carte bancaire.

Vente de données sur les marchés du dark web

Outre leur utilisation pour des attaques en temps réel ou une monétisation immédiate, la plupart des données volées ne sont pas utilisées tout de suite. Examinons de plus près son parcours :

1. Vente de données groupées

Les données sont consolidées et vendues sous forme de « packs de données » (dumps) sur les marchés du dark web – ces archives compressées contiennent généralement des millions d'enregistrements provenant de diverses attaques de phishing et fuites de données. Un pack de données peut se vendre à partir de 50 dollars. Les principaux acheteurs ne sont souvent pas des escrocs actifs, mais des analystes de données du dark web, qui sont le maillon suivant de la chaîne d'approvisionnement.

2. Classement et validation

Les analystes de données du dark web trient les données par type (comptes e-mail, numéros de téléphone, informations de carte bancaire, etc.) et exécutent des scripts automatisés pour les valider. Cela inclut la vérification de la validité des données et de leur potentiel de réutilisation – par exemple, si un couple nom d'utilisateur/mot de passe Facebook peut également permettre de se connecter à Steam ou Gmail. Étant donné que les utilisateurs ont tendance à utiliser le même mot de passe sur plusieurs sites, des données volées il y a plusieurs années à un service peuvent encore être valables aujourd'hui pour d'autres services. Les comptes vérifiés et toujours actifs se vendent à un prix plus élevé.

Les analystes associent et consolident également les données utilisateur provenant de différents incidents d'attaque. Par exemple, un ancien mot de passe divulgué sur les réseaux sociaux, des identifiants de connexion obtenus via un formulaire de phishing imitant un portail gouvernemental, et un numéro de téléphone laissé sur un site frauduleux, peuvent tous être compilés en un profil numérique complet d'un utilisateur spécifique.

3. Vente sur des marchés spécialisés

Les données volées sont généralement vendues via des forums du dark web et Telegram. Ce dernier est souvent utilisé comme une « boutique en ligne », affichant les prix, les avis des acheteurs, etc.

Offres de données de réseaux sociaux, telles qu'affichées sur Telegram

Le prix des comptes varie considérablement, dépendant de nombreux facteurs : l'ancienneté du compte, le solde, les modes de paiement liés (carte bancaire, portefeuille électronique), l'activation ou non de l'authentification à deux facteurs (2FA), et la notoriété de la plateforme de service. Par exemple, un compte de commerce électronique lié à une adresse e-mail, avec 2FA activé, une longue histoire d'utilisation et de nombreux enregistrements de commandes, se vendra plus cher ; pour un compte de jeu comme Steam, des achats de jeux coûteux augmenteront sa valeur ; et les données de banque en ligne impliquant des comptes à solde élevé et provenant de banques réputées auront une prime significative.

Le tableau ci-dessous montre des exemples de prix pour divers types de comptes trouvés sur les forums du dark web jusqu'en 2025*.

4. Sélection des cibles à haute valeur et attaques ciblées

Les criminels portent une attention particulière aux cibles à haute valeur – c'est-à-dire les utilisateurs détenant des informations importantes, comme les cadres d'entreprise, les comptables ou les administrateurs de systèmes informatiques.

Prenons un scénario possible d'attaque de « whaling » (chasse à la baleine) : l'entreprise A subit une fuite de données contenant des informations sur un employé qui y travaillait auparavant et qui est maintenant cadre dans l'entreprise B. Les attaquants, par une analyse de renseignement de sources ouvertes (OSINT), confirment que cet utilisateur travaille actuellement pour l'entreprise B. Ensuite, ils forgent soigneusement un e-mail de phishing semblant provenir du PDG de l'entreprise B et l'envoient à ce cadre. Pour renforcer la crédibilité, l'e-mail peut même faire référence à certains faits concernant l'utilisateur dans son ancienne entreprise (bien sûr, les techniques d'attaque ne s'arrêtent pas là). En réduisant la vigilance de la victime, les criminels ont une chance d'infiltrer davantage l'entreprise B.

Il est important de noter que de telles attaques ciblées ne se limitent pas au domaine des entreprises. Les attaquants peuvent également cibler des individus ayant des soldes bancaires élevés, ou des utilisateurs détenant des documents personnels importants (comme ceux requis pour une demande de microcrédit).

Principales conclusions

Le flux des données volées ressemble à une chaîne de production efficace, chaque information devenant une marchandise avec un prix clair. Les attaques de phishing actuelles utilisent largement des systèmes diversifiés pour collecter et analyser des informations sensibles. Une fois volées, les données affluent rapidement vers des robots Telegram ou les panneaux d'administration des attaquants, où elles sont ensuite classées, validées et monétisées.

Nous devons être conscients : une fois que des données sont divulguées, elles ne disparaissent pas. Au contraire, elles s'accumulent constamment, sont consolidées, et peuvent être utilisées des mois ou même des années plus tard pour mener des attaques ciblées, du chantage ou de l'usurpation d'identité contre les victimes. Dans l'environnement numérique actuel, rester vigilant, utiliser un mot de passe unique pour chaque compte, activer l'authentification multifacteur et surveiller régulièrement son empreinte numérique n'est plus un conseil, mais une nécessité de survie.

Si vous avez malheureusement été victime d'une attaque de phishing, veuillez prendre les mesures suivantes :

  1. Si les informations de votre carte bancaire sont compromises, contactez immédiatement votre banque pour la bloquer et la faire opposition.
  2. Si vos identifiants de compte sont volés, changez immédiatement le mot de passe de ce compte, et modifiez également tous les mots de passe des autres services en ligne utilisant le même mot de passe ou un mot de passe similaire. Veillez à utiliser un mot de passe unique pour chaque compte.
  3. Activez l'authentification multifacteur (MFA/2FA) sur tous les services qui la prennent en charge.
  4. Vérifiez l'historique de connexion de vos comptes et mettez fin à toute session suspecte.
  5. Si votre compte de messagerie instantanée ou de réseau social est compromis, informez immédiatement vos proches et amis, en les alertant sur les messages frauduleux envoyés en votre nom.
  6. Utilisez des services spécialisés (comme Have I Been Pwned, etc.) pour vérifier si vos données apparaissent dans des fuites de données connues.
  7. Soyez extrêmement vigilant envers tout e-mail, appel ou offre reçu(e) de manière inattendue – ils peuvent sembler crédibles précisément parce que l'attaquant utilise vos données divulguées.

相關問答

QQuels sont les trois principaux mécanismes de collecte de données identifiés dans les attaques de phishing ?

ALes trois principaux mécanismes de collecte de données sont : l'envoi à une adresse e-mail, l'envoi à un bot Telegram, et le téléchargement vers un panneau d'administration.

QPourquoi l'utilisation des bots Telegram est-elle de plus en plus populaire parmi les cybercriminels pour collecter les données ?

AL'utilisation des bots Telegram offre des fonctionnalités plus avancées : les données sont transmises en temps réel, les opérateurs sont notifiés immédiatement, les bots jetables sont plus difficiles à tracer et à bloquer, et les performances ne dépendent pas de la qualité de l'hébergement de la page de phishing.

QQuel type de données est le plus ciblé par les attaques de phishing selon l'analyse de 2025 ?

ASelon l'analyse des attaques de phishing et d'escroquerie de janvier à septembre 2025, 88,5 % des attaques visaient à voler les identifiants de comptes en ligne de divers services.

QComment les données volées sont-elles généralement vendues sur le dark web ?

ALes données volées sont généralement regroupées en lots (appelés 'dumps') contenant des millions d'enregistrements, puis vendues sur des marchés du dark web et via Telegram. Le prix peut être aussi bas que 50 dollars. Les données sont ensuite triées, vérifiées et revendues à un prix plus élevé si les comptes sont toujours actifs.

QQuelles sont les mesures recommandées si vous êtes victime d'une attaque de phishing ?

ALes mesures recommandées sont : contacter sa banque pour bloquer les cartes si les informations bancaires sont compromises, changer immédiatement les mots de passe des comptes concernés et de tous les services utilisant un mot de passe similaire, activer l'authentification multifacteur (MFA/2FA), vérifier l'historique de connexion, avertir ses proches si un compte de médias sociaux est piraté, vérifier si ses données ont fuité via des services spécialisés, et rester vigilant face aux communications inattendues.

你可能也喜歡

比特币通往8万美元之路,或许取决于这一“隐藏”趋势

根据Coinglass数据,Coinbase比特币溢价指数经历了有史以来最长的50天连续负溢价,表明机构更多是净卖出而非积极买入,或美国机构需求长期疲软。尽管长期负溢价通常显示短期市场疲软和谨慎情绪,并不一定预示长期看跌趋势。 同时,比特币未实现盈亏净额(NUPL)的短期均线在6月2日下穿长期均线,形成看跌交叉,显示投资者盈利能力和市场动能正在减弱。历史上,比特币每次重大熊市底部(如2011、2015、2018、2022年)都伴随着100日NUPL均线下穿零线,意味着市场出现显著未实现亏损和投降。然而,本轮周期该指标仍保持在零线上方,这可能意味着比特币首次未跌破该指标便形成重要底部,也可能预示需要再次下跌以复制以往周期模式。 比特币现价约63,148美元,过去一周上涨近7%,但仍未突破5月初的8万美元高点。技术指标显示MACD呈现看涨动能,但RSI发出看跌信号,布林带收窄表明当前价格动能可能持续。不过,比特币ETF在连续八周资金流出后终于出现资金流入,带来一线希望。 市场分析观点出现分歧。有分析师关注4.8万至5万美元之间的关键流动性区域,认为做市商可能推动价格至此以触发大量止损和清算订单,但也指出强劲需求或其他催化剂可能阻止比特币跌至该水平。而另一位分析师则表达了不同观点。尽管长期持有者已连续三个季度面临损失,但仍展现出韧性。 总之,Coinbase溢价指数持续为负、NUPL出现看跌交叉,加之市场观点不一,比特币虽显现部分看涨迹象,但要重返8万美元水平,仍需机构投资者提供强劲推力。

ambcrypto13 分鐘前

比特币通往8万美元之路,或许取决于这一“隐藏”趋势

ambcrypto13 分鐘前

太平洋“发烧”,极端天气如何沦为华尔街提款机?

文章揭示了当前太平洋厄尔尼诺现象的严重性及其对全球气候与经济的连锁影响。2026年入夏以来,中国多地遭遇极端暴雨、洪水和高温,西太平洋台风活跃。与此同时,秘鲁鱼粉涨价、东南亚干旱、印度季风偏弱、澳大利亚小麦种植面积可能收缩等全球性事件,其背后共同的驱动因素正是本轮可能成为1950年以来最强的厄尔尼诺事件。 厄尔尼诺通过改变大气环流,叠加全球变暖背景,显著增加了极端天气风险。然而,气候异常早已成为金融市场的交易主题。文章回顾了历史案例:1972年厄尔尼诺导致秘鲁鳀鱼消失,间接推高大豆价格,让年轻交易员理查德·丹尼斯赚得第一桶金;专攻可可的交易公司通过自建气象网络把握先机;2024年西非干旱导致可可期货暴涨,令一批量化基金获利丰厚。 当前,尽管棕榈油、白糖等农产品现实库存高企,但市场已开始提前交易未来6至12个月可能因厄尔尼诺导致的减产预期。关键观察指标包括: Niño3.4海域温度是否突破2°C、印度季风降雨数据、马来西亚棕榈油库存变化等。历史表明,价格的最大影响往往出现在厄尔尼诺峰值之后。 文章最后指出,网络社区已出现将厄尔尼诺、能源断供、化肥短缺等因素串联的“末日叙事”,这反映了极端天气与地缘政治等风险正相互交织,其影响远超金融市场,最终将转化为普通人的生活成本压力。风暴的影响已然开始,并将持续渗透至全球各个角落。

链捕手1 小時前

太平洋“发烧”,极端天气如何沦为华尔街提款机?

链捕手1 小時前

交易

現貨
活动图片