Les données de cryptomonnaies volées sont vendues sur le dark web pour 105 $

Les comptes de cryptomonnaies volés se vendent sur le dark web pour un prix moyen de 105 dollars. Les données sont collectées lors d'attaques de phishing et constituent la première étape d'une chaîne d'approvisionnement complexe de vol.

D'après SecureList, le prix d'un compte crypto varie entre 60 et 400 dollars. Les pirates informatiques s'emparent des données crypto, les monétisent immédiatement ou les stockent dans une base de données. Leur destination finale dépend du type et de la qualité des données capturées.

Comment les données de cryptomonnaie volées se retrouvent sur les sites d'hameçonnage

Les données cryptographiques capturées sont diffusées depuis une page de phishing de trois manières : par envoi d’e-mail, par bot Telegram ou par téléchargement depuis un panneau d’administration.

Les attaquants exploitent également des services légitimes pour dissimuler leurs activités. Il s'agit notamment de Google Forms, Microsoft Forms, GitHub, Discord et d'autres plateformes similaires.

Lors de l'envoi d'e-mails, les données sont collectées via de faux formulaires HTML puis envoyées à un script côté serveur, généralement PHP. Ce script transmet ensuite les informations volées à une adresse e-mail contrôlée par l'attaquant.

Un d'hameçonnage comprend un fichier hébergeant la fausse page de connexion, un script traitant le formulaire et un troisième fichier contenant l'adresse électronique de l'attaquant. Cependant, la délivrabilité des courriels est en baisse en raison des délais, du blocage par les fournisseurs d'accès et d'une faible capacité d'adaptation.

Au lieu d'utiliser le courrier électronique, de nombreux kits envoient désormais des données directement à des bots Telegram. Le script malveillant appelle l'API Telegram à l'aide d'un jeton de bot et d'un identifiant de conversation. Parfois, l'appel API est intégré directement dans le code HTML.

Telegram est devenu le canal de prédilection des pirates informatiques. Les données volées y sont instantanément disponibles. Les opérateurs reçoivent des alertes en temps réel. Les bots sont jetables et difficiles à trac. Quant à l'hébergement, il importe peu.

Les attaquants les plus expérimentés privilégient les panneaux d'administration. Ces derniers font partie d'une structure ou d'un squelette qui capture les données cryptographiques et les envoie à une base de données. L'attaquant gère ensuite ces données via une interface web.

Les panneaux d'administration fournissent des statistiques en temps réel par heure et par pays. Des vérifications automatisées desdentsont intégrées. La plateforme permet également d'exporter les données pour la revente ou la réutilisation. Ces panneaux sont essentiels pour les opérations de phishing organisées.

Vente de données crypto volées

Les données cryptographiques sont précieuses car elles permettent souvent de générer des revenus. Selon SecureList de Kaspersky, les données volées pourraient être vendues en temps réel ou intégrées à un circuit de revente.

Les pirates informatiques ciblent les identifiants de connexion aux plateformes d'échange, l'accès aux portefeuilles numériqueset les comptes de transfert de devises en monnaie fiduciaire. Parmi les autres données visées figurentdent, les numéros de téléphone et les informations personnelles.

Les connexions aux portefeuilles électroniques via des codes à usage unique ou les comptes liés à des passerelles de paiement en monnaie fiduciaire permettent des ventes en temps réel. Les données restantes sont utilisées pour des attaques ultérieures.

Les numéros de téléphone peuvent être utilisés pour des arnaques par SMS ou pour intercepter l'authentification à deux facteurs. Les données personnelles sont exploitées à des fins d'ingénierie sociale. Les documents d'dent, la voix, les données faciales ou les selfies avec des documents sont utilisés pour des abus à haut risque.

Le circuit de revente commence par la vente de fichiers de données massivement regroupés. Ces données contiennent des millions d'enregistrements issus d'attaques de phishing. Des intermédiaires achètent ces fichiers pour seulement 50 dollars.

Une fois les données récupérées, des intermédiaires les filtrent et les testent. Ensuite, des scripts automatisés vérifient la validité desdent. Le système identifie également les autres endroits où ils peuvent être réutilisés.

La réutilisation des mots de passe confère une valeur inestimable aux anciennes données. Un identifiant volé il y a des années peut encore déverrouiller un autre compte aujourd'hui. De plus, les données issues de multiples attaques sont fusionnées. Un mot de passe, un numéro de téléphone et un ancien dossier d'employeur peuvent ainsi constituer un profil utilisateur unique.

Une fois les données volées nettoyées et organisées, elles sont prêtes à être revendues aux escrocs. Les données vérifiées sont vendues sur des forums du dark web et des chaînes Telegram.

Telegram fait souvent office de vitrine, affichant les prix et les avis des clients. Les prix varient en fonction de l'ancienneté du compte, du solde, des paiements associés et de l'activation de l'authentification à deux facteurs.

Fourchettes de prix typiques :

• Comptes crypto : 60 $ – 400 $.

• Réseaux sociaux : de quelques centimes à plusieurs centaines de dollars.

• Applications de messagerie : de quelques centimes à 150 $.

• Documents personnels : 0,5 $ à 125 $.

L'analyse de Kaspersky a révélé que 88,5 % des attaques ciblentdentde compte. Environ 9,5 % permettent le vol de données d'dentpersonnelles, tandis que seulement 2 % collectent des informations de cartes bancaires. La société de cybersécurité a analysé les attaques de phishing de janvier à septembre 2025.

Les données de cryptomonnaies volées représentent une ressource précieuse pour les cybercriminels. Elles sont stockées, analysées, échangées et réutilisées. Une simple erreur d'hameçonnage peut entraîner des piratages majeurs, même des années plus tard.