Dados criptográficos roubados são vendidos na dark web por US$ 105

Contas de criptomoedas roubadas são vendidas na dark web por um preço médio de US$ 105. Os dados são coletados por meio de ataques de phishing e são considerados o primeiro passo em uma complexa cadeia de suprimentos de roubo.

De acordo com a SecureList, o preço de uma única conta de criptomoedas varia entre US$ 60 e US$ 400. Os hackers capturam dados de criptomoedas, monetizam-nos imediatamente ou os armazenam em um banco de dados. O destino final depende do tipo e da qualidade dos dados capturados.

Como os dados criptográficos roubados saem de sites de phishing

Os dados criptográficos capturados são enviados para uma página de phishing de três maneiras: por e-mail, por bot do Telegram ou por upload no painel de administração.

Os atacantes também abusam de serviços legítimos para ocultar suas atividades. Isso inclui o Google Forms, o Microsoft Forms, o GitHub, o Discord e outras plataformas semelhantes.

No envio de e-mails, os dados são coletados de formulários HTML falsos e, em seguida, enviados para um script no servidor, geralmente PHP. O script, então, encaminha os dados roubados para um endereço de e-mail controlado pelo atacante.

Um de phishing contém um arquivo para hospedar a página de login falsa, um script para processar o formulário e um terceiro arquivo com o endereço de e-mail do atacante. No entanto, a entrega de e-mails está diminuindo devido a atrasos, bloqueios por parte dos provedores e baixa escalabilidade.

Em vez de e-mail, muitos kits agora enviam dados diretamente para bots do Telegram. O script malicioso chama a API do Telegram usando um token de bot e o ID do chat. Às vezes, a chamada da API é incorporada diretamente no código HTML.

O Telegram se tornou um canal preferido para hackers. Os dados roubados chegam instantaneamente. Os operadores recebem alertas em tempo real. Os bots são descartáveis ​​e difíceis de trac. E a hospedagem não importa muito.

Atacantes avançados preferem painéis de administração. Eles fazem parte de uma estrutura ou esqueleto que captura dados criptográficos e os envia para um banco de dados. O atacante gerencia os dados por meio de uma interface web.

Os painéis de administração fornecem estatísticas em tempo real por hora e país. Incluem verificações automatizadas dedent. A plataforma também exporta dados para revenda ou reutilização. Esses painéis são essenciais para operações de phishing organizadas.

Venda de dados criptográficos roubados

Os dados criptográficos são valiosos porque frequentemente levam a fundos. Os dados roubados podem ser vendidos em tempo real ou entrar em um esquema de revenda, de acordo com o SecureList da Kaspersky.

Os hackers visam logins de corretoras, acesso a carteiras digitaise contas de conversão de moeda fiduciária. Outros dados visados ​​incluem credenciais de contasdentnúmeros de telefone e informações pessoais.

Logins em carteiras digitais com códigos de uso único ou contas vinculadas a plataformas de conversão de moeda fiduciária são elegíveis para vendas em tempo real. Os dados restantes são usados ​​para ataques subsequentes.

Números de telefone podem ser usados ​​para golpes por SMS ou interceptação de autenticação de dois fatores (2FA). Dados pessoais são utilizados para engenharia social. Documentos dedent, voz, dados faciais ou selfies com documentos são usados ​​para abusos de alto risco.

O processo de revenda começa com a venda de arquivos compactados. Os dados são agrupados em grandes arquivos ou "dumps". Estes contêm milhões de registros provenientes de ataques de phishing. Os intermediários compram esses dumps por valores a partir de US$ 50.

Após a obtenção de um dump, intermediários filtram e testam os dados. Em seguida, scripts automatizados verificam se asdentainda funcionam. O código também identifica outras áreas onde elas podem ser reutilizadas.

A reutilização de senhas torna os dados antigos valiosos. Um login roubado anos atrás ainda pode desbloquear uma conta diferente hoje. Além disso, os dados de múltiplos ataques são combinados. Uma senha, um número de telefone e um registro de um antigo empregador podem criar um único perfil de usuário.

Após a limpeza e organização dos dados roubados, eles ficam prontos para serem revendidos a golpistas. Os dados verificados são vendidos em fóruns da dark web e canais do Telegram.

O Telegram costuma funcionar como uma vitrine, exibindo preços e avaliações de compradores. Os preços variam de acordo com a idade da conta, o saldo, os pagamentos vinculados e o status da autenticação de dois fatores (2FA).

Faixas de preço típicas:

• Contas de criptomoedas: US$ 60 a US$ 400.

• Redes sociais: de centavos a centenas de dólares.

• Aplicativos de mensagens: de centavos a 150 dólares.

• Documentos pessoais: US$ 0,50 a US$ 125.

A análise da Kaspersky mostrou que 88,5% dos ataques têm como alvo asdentde contas. Cerca de 9,5% roubam dados dedentpessoal, enquanto apenas 2% coletam dados de cartões bancários. A empresa de cibersegurança analisou ataques de phishing de janeiro a setembro de 2025.

Dados criptográficos roubados são um ativo valioso para cibercriminosos. Eles são armazenados, avaliados, negociados e reutilizados. Um único erro de phishing pode levar a grandes ataques cibernéticos, mesmo anos depois.