Ваш аккаунт, возможно, продается на тёмных сайтах — раскрытие полной цепочки кражи данных

Каждый раз, когда вы вводите логин и пароль на фишинговой странице, эти данные могут быть проданы на тёмном рынке менее чем за сотню долларов. Это не преувеличение, а реальность — киберпреступность уже создала полноценную индустриальную цепочку. В статье прослеживается весь процесс — от сбора украденных данных, их обмена и до конечного использования, раскрывая тёмный бизнес за торговлей данными в даркнете.

Как крадут данные?

Перед началом фишинговой атаки злоумышленники создают “устройство” для сбора данных. Анализ реальных фишинговых страниц показывает, что киберпреступники используют три основных метода получения введённой вами информации на поддельных сайтах:

Первый способ: пересылка электронной почты (устаревающий)

После того, как жертва вводит данные в форму на фишинговой странице, эти сведения автоматически отправляются на почту, контролируемую злоумышленником, с помощью PHP-скрипта. Это самый традиционный способ, но он имеет серьёзные недостатки — задержки доставки, риск перехвата, блокировка почтового сервера. Поэтому этот метод постепенно вытесняется более скрытными способами.

Мы анализировали один из фишинговых инструментов для DHL. Скрипт автоматически пересылает email и пароль жертвы на указанный адрес, но из-за ограничений электронной почты такие операции уже устарели.

Второй способ: боты Telegram (всё популярнее)

В отличие от email, злоумышленники используют ботов Telegram, вставляя в код API-ссылку с токеном бота и ID чата. После отправки данных жертвой, информация мгновенно поступает боту, и оператор сразу получает уведомление.

Почему этот способ более популярен? Потому что боты Telegram сложнее отследить и заблокировать, а их эффективность не зависит от качества хостинга фишинговой страницы. Злоумышленники могут использовать одноразовых ботов, что значительно снижает риск поимки.

Третий способ: автоматизированные панели управления (самый профессиональный)

Более опытные преступные группировки покупают или арендуют специальные фишинговые платформы, такие как BulletProofLink или Caffeine. Эти “платформы как услуга” предоставляют злоумышленнику веб-интерфейс — все украденные данные собираются в единую базу данных.

Такие панели обычно обладают мощным функционалом: статистика по странам и времени, автоматическая проверка валидности украденных данных, экспорт в разные форматы. Для организованных групп это ключевой инструмент повышения эффективности. Стоит отметить, что одна фишинговая кампания зачастую использует сразу несколько методов сбора данных.

Какие данные могут быть украдены? Их ценность различна

Не все украденные данные одинаково ценны. В руках преступников эти данные делятся на уровни, соответствующие разной стоимости и назначению.

По статистике за последний год, цели фишинговых атак распределяются так:

• Учётные данные онлайн-аккаунтов (88.5%): логины и пароли. Самые часто крадутся, потому что даже только email или номер телефона имеют ценность — их используют для восстановления доступа или дальнейших фишинговых атак.

• Личные данные (9.5%): имя, адрес, дата рождения и т.п. Эти сведения применяются для социальной инженерии или связки с другими данными для точечного мошенничества.

• Банковские карты (2%): номер карты, срок действия, CVV. Хотя их доля мала, они наиболее ценны и тщательно охраняются.

Конкретная ценность данных зависит и от дополнительных атрибутов аккаунта — возраст, баланс, включена ли двухфакторная аутентификация, привязаны ли платёжные методы. Новый аккаунт с нулевым балансом и без 2FA — почти ничего не стоит, а старый с большим количеством покупок и привязанной реальной картой может стоить сотни долларов.

Бизнес в даркнете: как данные проходят путь “от кражи к продаже”

Краденные данные в конечном итоге попадают на тёмный рынок. Что там происходит? Проследим за этой скрытой цепочкой:

Шаг 1: упаковка и оптовая продажа

Украденные данные не используют сразу, а упаковывают в архивы — обычно содержат миллионы записей из различных фишинговых и утечек. Эти “пакеты данных” продаются на форумах даркнета по низкой цене, иногда всего за 50 долларов.

Кто покупает? Не хакеры, непосредственно совершающие мошенничество, а аналитики данных даркнета — посредники в цепочке.

Шаг 2: классификация, проверка и создание профилей

Аналитики обрабатывают купленные данные. Они сортируют их по типам (почта, телефон, карта и т.п.), запускают автоматические скрипты для проверки — например, можно ли войти в Facebook или Gmail, используя эти логины и пароли.

Это очень важно, потому что пользователи часто используют одинаковые или похожие пароли на разных сайтах. Старые утечки данных, произошедшие несколько лет назад, могут всё ещё открывать двери к другим аккаунтам. Проверенные и рабочие аккаунты ценятся выше и продаются дороже.

Кроме того, аналитики связывают данные из разных источников — например, старую утечку паролей из соцсетей, логины из фишинговых форм, номера телефонов, оставленные на мошеннических сайтах. Эти фрагменты собираются в полноценные профили конкретных пользователей.

Шаг 3: продажа на даркнет-рынках

Обработанные и проверенные данные выкладываются на форумы или в Telegram-каналы — эти “онлайн-магазины” показывают цены, описание товара и отзывы покупателей, как в обычной торговле.

Цены на аккаунты очень различаются. Проверенный аккаунт соцсети может стоить всего 1-5 долларов, а аккаунт с долгой историей, привязанной реальной картой и включённым 2FA — сотни долларов. Цена зависит от множества факторов: возраст аккаунта, баланс, привязанные платёжные методы, статус 2FA и популярность платформы.

Шаг 4: точечное “охота” за ценными целями

Данные из даркнета используют не только для массового мошенничества, но и для целенаправленных атак типа “китовой ловли” (whale phishing). Это атаки на топ-менеджеров, бухгалтеров или системных администраторов.

Представьте ситуацию: в компании A произошла утечка данных, и там есть информация о уволенном сотруднике, который сейчас работает в компании B. Злоумышленники используют открытые источники (OSINT), чтобы подтвердить его текущий статус и почту. Потом они отправляют фальшивое письмо от имени CEO компании B, ссылаясь на факты из утечки — всё это делается на основе данных, купленных в даркнете. Такой подход значительно снижает бдительность жертвы и повышает шансы на успех.

Аналогичные методы применяются и к частным лицам — например, к тем, у кого на счету крупные суммы или важные документы (займы, кредиты).

Ужасная правда о краденых данных

Краденые данные — как товар, который никогда не исчезает. Он накапливается, объединяется и перепаковывается, а затем снова и снова используется. Как только ваши данные попали в даркнет, через несколько месяцев или лет их могут использовать для целевых атак, шантажа или кражи личности.

Это не преувеличение. Такова реальность современного интернета.

Что делать прямо сейчас

Если вы ещё не приняли меры по защите своих аккаунтов, самое время начать:

Немедленно — чтобы предотвратить утечку:

1. Используйте уникальные пароли для каждого аккаунта. Это базовая, но очень эффективная мера. Если один аккаунт скомпрометирован, остальные останутся в безопасности.
2. Включите двухфакторную аутентификацию (2FA/MFA) во всех поддерживаемых сервисах. Это усложнит злоумышленнику доступ даже при наличии пароля.
3. Периодически проверяйте, не утекли ли ваши данные. Используйте сервисы типа Have I Been Pwned, чтобы убедиться, что ваш email не фигурирует в известных утечках.

Если вы стали жертвой:

1. При утечке данных карты — немедленно звоните в банк и блокируйте карту.
2. Меняйте пароли на украденных аккаунтах и во всех сервисах, где использовали тот же пароль.
3. Проверяйте историю входов, завершайте подозрительные сессии.
4. Если взломали соцсети или мессенджеры — предупреждайте близких, чтобы они были осторожны с сообщениями от вашего имени.
5. Будьте бдительны к подозрительным письмам, звонкам или предложениям — они могут быть связаны с утечками данных.

Наличие рынка в даркнете меняет правила игры в киберпреступности. Данные больше не разовая добыча, а товар, который можно использовать многократно. Защищать себя лучше всего — начать прямо сейчас, а не ждать, пока вас атакуют и вы пожалеете.