Gli account crittografici rubati vengono venduti sul dark web a un prezzo medio di 105 dollari. I dati vengono raccolti tramite attacchi di phishing e sono considerati il primo passo di una complessa catena di approvvigionamento di furti.
Secondo SecureList, il prezzo di un singolo account crypto varia tra i 60 e i 400 dollari. Gli hacker catturano i dati crittografici, li monetizzano immediatamente o li conservano in un database. La destinazione finale dipende dal tipo e dalla qualità dei dati acquisiti.
Come i dati crittografici rubati lasciano i siti di phishing
I dati crittografici acquisiti lasciano una pagina di phishing in tre modi: tramite invio tramite e-mail, tramite bot di Telegram o tramite caricamento nel pannello di amministrazione.
Gli aggressori sfruttano anche servizi legittimi per nascondere le loro attività, tra cui Google Forms, Microsoft Forms, GitHub, Discord e altre piattaforme simili.
Nella distribuzione via email, i dati vengono raccolti da falsi moduli HTML e poi inviati a uno script lato server, solitamente PHP. Lo script inoltra quindi i dati rubati a un indirizzo email controllato dall'aggressore.
Un kit di phishing contiene un file che ospita la falsa pagina di accesso, uno script per elaborare il modulo e un terzo file contenente l'indirizzo email dell'aggressore. Tuttavia, la consegna delle email è in calo a causa di ritardi, blocchi del provider e scarsa scalabilità.
Invece di inviare email, molti kit ora inviano dati direttamente ai bot di Telegram. Lo script dannoso richiama l'API di Telegram utilizzando un token bot e un ID chat. A volte la chiamata API è incorporata direttamente nel codice HTML.
Telegram è diventato il canale preferito dagli hacker. I dati rubati arrivano all'istante. Gli operatori ricevono avvisi in tempo reale. I bot sono usa e getta e difficili da tracciare. E l'hosting non ha molta importanza.
Gli aggressori più esperti preferiscono i pannelli di amministrazione. Sono parte di un framework o di uno scheletro che cattura i dati crittografati e li invia a un database. L'aggressore gestisce i dati tramite un'interfaccia web.
I pannelli di amministrazione forniscono statistiche in tempo reale per ora e paese. Sono inclusi controlli automatici delle credenziali. Il framework esporta anche i dati per la rivendita o il riutilizzo. Questi pannelli sono essenziali per le operazioni di phishing organizzate.
Vendita di dati crittografici rubati
I dati crittografici sono preziosi perché spesso generano profitti. Secondo SecureList di Kaspersky, i dati rubati potrebbero essere venduti in tempo reale o immessi in un canale di rivendita.
Gli hacker prendono di mira i login degli exchange, gli accessi ai wallet e gli account fiat onramp. Altri dati presi di mira includono credenziali degli account, numeri di telefono e dati personali.
Gli accessi al wallet con codici monouso o account collegati a rampe di accesso fiat danno diritto alle vendite in tempo reale. I dati rimanenti vengono utilizzati per attacchi successivi.
I numeri di telefono potrebbero essere utilizzati per truffe via SMS o intercettazioni 2FA. I dati personali vengono utilizzati per l'ingegneria sociale. Documenti d'identità, dati vocali, dati facciali o selfie con documenti vengono utilizzati per abusi ad alto rischio.
Il processo di rivendita inizia con la vendita di dump. I dati vengono raggruppati in grandi archivi o dump. Questi contengono milioni di record provenienti da attacchi di phishing. Gli intermediari acquistano i dump per soli 50 dollari.
Una volta acquisito un dump, gli intermediari filtrano e testano i dati. Quindi, script automatizzati verificano se le credenziali funzionano ancora o meno. Il codice individua anche in quali altri casi possono essere riutilizzate.
Il riutilizzo delle password rende preziosi i vecchi dati. Un login rubato anni fa può ancora sbloccare un account diverso oggi. Quindi, i dati di più attacchi vengono uniti. Una password, un numero di telefono e i dati del vecchio datore di lavoro possono creare un singolo profilo utente.
Una volta ripuliti e organizzati, i dati rubati sono pronti per essere rivenduti ai truffatori. I dati verificati vengono venduti sui forum del dark web e sui canali Telegram.
Telegram funge spesso da vetrina virtuale con prezzi e feedback degli acquirenti. I prezzi variano in base alla durata dell'account, al saldo, ai pagamenti collegati e allo stato dell'autenticazione a due fattori.
Fasce di prezzo tipiche:
Conti crittografici: $ 60 – $ 400.
Social media: da pochi centesimi a centinaia di dollari.
App di messaggistica: da centesimi a 150 dollari.
Documenti personali: $ 0,5–$ 125.
L'analisi di Kaspersky ha mostrato che l'88,5% degli attacchi prende di mira le credenziali degli account. Circa il 9,5% ruba dati di identità personali, mentre solo il 2% raccoglie i dati delle carte di credito. L'azienda di sicurezza informatica ha analizzato gli attacchi di phishing da gennaio a settembre 2025.
I dati crittografici rubati rappresentano una risorsa preziosa per i criminali informatici. Vengono archiviati, valutati, scambiati e riutilizzati. Un solo errore di phishing può portare a gravi attacchi informatici, anche anni dopo.
Iscriviti subito a Bybit e richiedi un bonus di 50 $ in pochi minuti