Gestohlene Kryptodaten werden im Darknet für 105 Dollar verkauft

Gestohlene Krypto-Konten werden im Darknet zu einem Durchschnittspreis von 105 US-Dollar gehandelt. Die Daten stammen aus Phishing-Angriffen und gelten als erster Schritt in einer komplexen Lieferkette des Datendiebstahls.

Laut SecureList liegt der Preis für ein einzelnes Krypto-Konto zwischen 60 und 400 US-Dollar. Hacker erbeuten Kryptodaten, monetarisieren sie entweder sofort oder speichern sie in einer Datenbank. Was letztendlich damit geschieht, hängt von Art und Qualität der erbeuteten Daten ab.

Wie gestohlene Kryptodaten Phishing-Websites verlassen

Die abgefangenen Kryptodaten verlassen eine Phishing-Seite auf drei Arten: per E-Mail-Zustellung, per Telegram-Bot oder per Upload über das Admin-Panel.

Die Angreifer missbrauchen auch legitime Dienste, um ihre Aktivitäten zu verschleiern. Dazu gehören Google Forms, Microsoft Forms, GitHub, Discord und andere ähnliche Plattformen.

Bei der E-Mail-Übermittlung werden die Daten über gefälschte HTML-Formulare gesammelt und anschließend an ein serverseitiges Skript, üblicherweise PHP, gesendet. Dieses Skript leitet die gestohlenen Daten dann an eine vom Angreifer kontrollierte E-Mail-Adresse weiter.

Ein Phishing- Kit enthält eine Datei mit der gefälschten Anmeldeseite, ein Skript zur Verarbeitung des Formulars und eine dritte Datei mit der E-Mail-Adresse des Angreifers. Die Zustellung von E-Mails ist jedoch aufgrund von Verzögerungen, Blockierungen durch Provider und mangelnder Skalierbarkeit rückläufig.

Statt per E-Mail senden viele Kits Daten nun direkt an Telegram-Bots. Das Schadskript ruft die Telegram-API mithilfe eines Bot-Tokens und einer Chat-ID auf. Manchmal ist der API-Aufruf direkt in den HTML-Code eingebettet.

Telegram hat sich zu einem bevorzugten Kanal für Hacker entwickelt. Gestohlene Daten gelangen sofort an. Betreiber erhalten Echtzeitwarnungen. Bots sind austauschbar und schwer trac. Und der Hosting-Anbieter spielt kaum eine Rolle.

Fortgeschrittene Angreifer bevorzugen Administrationspanels. Diese sind Teil eines Frameworks oder einer Grundstruktur, die kryptografische Daten erfasst und an eine Datenbank sendet. Der Angreifer verwaltet die Daten über eine Weboberfläche.

Die Administrationspanels liefern Live-Statistiken nach Zeit und Land. Automatischedentsind integriert. Das Framework ermöglicht zudem den Datenexport zum Weiterverkauf oder zur Wiederverwendung. Diese Panels sind für organisierte Phishing-Angriffe unerlässlich.

Verkauf gestohlener Kryptodaten

Kryptodaten sind wertvoll, weil sie häufig zu finanziellen Einnahmen führen. Laut Kaspersky SecureList könnten gestohlene Daten in Echtzeit verkauft oder in einen Wiederverkaufskreislauf eingespeist werden.

Hacker haben es auf Zugangsdaten zu Kryptobörsen, Walletsund Fiat-Einzahlungskonten abgesehen. Zu den weiteren Zieldaten gehören KontodatendentTelefonnummern und persönliche Informationen.

Wallet-Logins mit Einmalcodes oder Konten, die mit Fiat-Einzahlungsoptionen verknüpft sind, qualifizieren sich für Echtzeitverkäufe. Die übrigen Daten werden für Folgeangriffe verwendet.

Telefonnummern können für SMS-Betrug oder zum Abfangen von Zwei-Faktor-Authentifizierung missbraucht werden. Persönliche Daten werden für Social Engineering verwendet.dent, Sprach- und Gesichtsdaten oder Selfies mit Dokumenten werden für riskanten Missbrauch eingesetzt.

Der Weiterverkauf von Daten beginnt mit dem Verkauf von Datendumps. Daten werden in großen Archiven oder Dumps gebündelt. Diese enthalten Millionen von Datensätzen aus Phishing-Angriffen. Zwischenhändler kaufen Dumps für nur 50 US-Dollar.

Sobald ein Datenabbild vorliegt, filtern und testen Zwischenhändler die Daten. Anschließend prüfen automatisierte Skripte, ob diedentnoch funktionieren. Der Code ermittelt außerdem, wo sie anderweitig wiederverwendet werden können.

Die Wiederverwendung von Passwörtern macht alte Daten wertvoll. Ein vor Jahren gestohlener Login kann heute noch ein anderes Konto entsperren. Zudem werden die Daten mehrerer Angriffe zusammengeführt. Ein Passwort, eine Telefonnummer und alte Arbeitgeberdaten können ein einziges Benutzerprofil erstellen.

Sobald die gestohlenen Daten bereinigt und aufbereitet sind, können sie an Betrüger weiterverkauft werden. Die verifizierten Daten werden in Darknet-Foren und Telegram-Kanälen angeboten.

Telegram fungiert oft als Verkaufsplattform mit Preisangaben und Kundenbewertungen. Die Preise variieren je nach Kontoalter, Guthaben, verknüpften Zahlungsmethoden und 2FA-Status.

Typische Preisspannen:

• Krypto-Konten: 60 $ – 400 $.

• Soziale Medien: von Centbeträgen bis zu Hunderten von Dollar.

• Messaging-Apps: von Cent bis 150 Dollar.

• Persönliche Dokumente: 0,50–125 US-Dollar.

Die Analyse von Kaspersky ergab, dass 88,5 % der Angriffe auf Zugangsdatendent. Rund 9,5 % stehlen persönlichedent, während lediglich 2 % Bankkartendaten abgreifen. Das Cybersicherheitsunternehmen analysierte Phishing-Angriffe von Januar bis September 2025.

Gestohlene Kryptodaten sind für Cyberkriminelle ein wertvolles Gut. Sie werden gespeichert, ausgewertet, gehandelt und wiederverwendet. Ein einziger Fehler beim Phishing kann selbst Jahre später zu schwerwiegenden Krypto-Hacks führen.