Ваш обліковий запис можливо продається на темному вебі — розкриття повного ланцюга крадіжки даних

Кожного разу, коли ви вводите свої облікові дані на фішинговій сторінці, вони можуть бути продані в темній мережі за менш ніж сотню доларів. Це не перебільшення, а реальна ситуація — мережеві злочинці вже створили цілі ланцюги індустрії. У цій статті простежується весь процес збору, обігу та використання викрадених даних, розкриваючи чорний бізнес за торгівлею даними у темній мережі.

Як крадуть дані?

Перед початком фішингової атаки зловмисники спершу створюють “пристрої” для збору даних. Аналізуючи реальні фішингові сторінки, ми виявили, що кіберзлочинці здебільшого використовують три способи отримання введеної вами інформації на підробних сайтах:

Перший: пересилання електронною поштою (зараз поступово виходить з ужитку)

Після того, як жертва вводить дані у форму фішингової сторінки, ці дані автоматично відправляються на контрольований зловмисником email через PHP-скрипт. Це найстаріший спосіб, але він має критичні недоліки — затримки доставки, можливість перехоплення, блокування поштових серверів. Тому цей метод поступово витісняється більш прихованими способами.

Ми аналізували один фішинговий інструментарій для користувачів DHL. Скрипт автоматично пересилає email-адресу та пароль жертви на вказаний email, але через обмеження електронної пошти ця практика вже вважається застарілою.

Другий: Telegram-боти (зростаюча популярність)

На відміну від email, зловмисники використовують Telegram-ботів, вставляючи у код API-лінки з токеном бота та ID чату. Після відправки даних жертвою, вони миттєво отримують повідомлення у чаті бота.

Чому цей спосіб популярніший? Тому що Telegram-боти важче відстежити і заблокувати, а їхня робота не залежить від якості хостингу фішингової сторінки. Зловмисники навіть можуть використовувати одноразових ботів, що значно знижує ризик бути спійманим.

Третій: автоматизовані панелі управління (найпрофесійніший спосіб)

Більш досвідчені групи купують або орендують спеціальні фреймворки для фішингу, наприклад BulletProofLink або Caffeine. Ці “платформи як сервіс” надають зловмисникам веб-інтерфейс — дашборд, де всі викрадені дані зібрані в єдину базу.

Такі панелі мають потужний функціонал: статистика успішних атак за країнами і часом, автоматична перевірка валідності викрадених даних, підтримка експорту у різних форматах. Для організованих злочинних груп це ключовий інструмент для підвищення ефективності. Варто зазначити, що одна фішингова кампанія зазвичай використовує кілька способів збору даних одночасно.

Які дані викрадають? Їхня цінність різна

Не всі викрадені дані мають однакову цінність. У руках злочинців ці дані поділяються на різні рівні, що відповідають різним цінам і цілям.

За статистикою минулого року, цілі фішингових атак розподілялися так:

• Облікові дані онлайн-акаунтів (88.5%): логіни та паролі. Це найчастіше викрадені дані, адже навіть лише email або номер телефону мають цінність для зловмисників — їх можна використовувати для відновлення доступу або подальшого фішингу.

• Особиста інформація (9.5%): ім’я, адреса, дата народження тощо. Такі дані часто використовуються для соціальної інженерії або для цільової шахрайської атаки, якщо їх поєднати з іншими даними.

• Банківські реквізити (2%): номер картки, термін дії, CVV. Хоча їх менше, але вони мають найвищу цінність і тому ретельно захищаються.

Конкретна цінність даних залежить і від додаткових атрибутів облікового запису — віку акаунта, балансу, активованого двофакторного захисту, прив’язаних платіжних методів. Новий аккаунт із балансом 0 і без 2FA майже безцінний, тоді як десятирічний з історією покупок і прив’язаною реальною карткою може коштувати сотні доларів.

Бізнес у темній мережі: як дані проходять “від крадіжки до продажу”

Викрадені дані потрапляють у темну мережу. Що тут відбувається? Простежимо цю таємну ланцюг:

Крок 1: пакування та оптовий продаж

Викрадені дані не використовуються одразу, а пакуються у архіви — зазвичай з мільйонами записів з різних фішингових і витоків. Ці “пакети даних” продаються на форумах темної мережі за низькою ціною, іноді всього за 50 доларів.

Хто купує ці дані? Не хакери, що безпосередньо здійснюють шахрайство, а аналітики темної мережі — посередники у ланцюгу.

Крок 2: класифікація, перевірка та створення профілів

Аналітики обробляють куплені дані: розподіляють за типами (email, телефон, банківські реквізити) і запускають автоматичні скрипти для перевірки — чи можна увійти у Facebook або Gmail, використовуючи ці дані.

Цей крок дуже важливий, бо користувачі часто використовують однакові або схожі паролі на різних сайтах. Старі дані з витоків кілька років тому можуть досі відкривати доступ до інших акаунтів. Облікові записи, що пройшли перевірку і залишилися активними, мають вищу ціну при повторному продажі.

Крім того, аналітики поєднують дані з різних атак, створюючи цілі профілі — наприклад, старий витік соцмереж, логін з фішингової форми, телефон, залишений на шахрайському сайті — усе це збирається у повний цифровий профіль конкретного користувача.

Крок 3: продаж на темних ринках

Оброблені та перевірені дані виставляються на форумах або у Telegram-каналах — ці “онлайн-магазини” демонструють ціну, опис товару і відгуки покупців, як звичайний інтернет-магазин.

Ціни на акаунти дуже різняться. Верифікований профіль у соцмережі може коштувати 1-5 доларів, а високорівневий банківський рахунок із балансом, прив’язаною реальною карткою і активованим 2FA — сотні доларів. Ціна залежить від віку акаунта, балансу, прив’язаних платіжних методів, статусу 2FA і популярності платформи.

Крок 4: цільова “китова” охота

Дані з темної мережі використовуються не лише для масових шахрайств, а й для цілеспрямованих “китових” атак. Це атаки на топ-менеджерів, бухгалтерів або системних адміністраторів високої цінності.

Уявіть ситуацію: у компанії А стався витік даних, що містить інформацію про колишнього співробітника, який тепер працює у компанії В. Злочинці за допомогою відкритих джерел (OSINT) з’ясували його посаду і email. Потім вони створюють фальшивий лист від імені CEO компанії В із посиланням на факти з минулого місця роботи, отримані з даних темної мережі. Це значно знижує рівень настороженості жертви і відкриває шлях до подальшого проникнення у корпоративну інфраструктуру.

Подібні атаки не обмежуються бізнесом. Зловмисники також цілять у банківські рахунки з високим балансом або користувачів із важливими документами (заяви на кредит, посвідчення тощо).

Страшна правда про викрадені дані

Викрадені дані — це як товар, що ніколи не зникає. Вони накопичуються, обробляються, перепаковуються і знову використовуються. Як тільки ваші дані потрапили у темну мережу, вони можуть через місяці або роки бути використані для цілеспрямованих атак, шантажу або крадіжки особистості.

Це не перебільшення. Це реальність сучасного інтернет-середовища.

Що потрібно зробити вже зараз

Якщо ви ще не вжили заходів щодо захисту своїх облікових записів, саме час почати:

Негайно діяти (запобігання витоку даних):

1. Встановіть унікальні паролі для кожного облікового запису. Це найпростіший і найефективніший спосіб захисту. Якщо один з них зламаний, інші залишаються в безпеці.
2. Увімкніть багатофакторну автентифікацію (MFA/2FA) скрізь, де можливо. Це ускладнює доступ навіть за зламаним паролем.
3. Перевіряйте, чи не з’явилися ваші дані у базах витоків. Використовуйте сервіси на кшталт Have I Been Pwned, щоб дізнатися, чи ваші поштові скриньки не були залучені у відомі витоки.

Якщо ви стали жертвою:

1. За наявності витоку банківських даних — негайно телефонуйте у банк і блокують картку.
2. Змініть паролі на зламаних акаунтах і у всіх сервісах, де використовували той самий пароль.
3. Перевірте історію входів і завершіть підозрілі сесії.
4. Якщо ваші соцмережі або месенджери зламані — повідомте друзів і родичів, щоб вони були обережні з повідомленнями від вашого імені.
5. Будьте пильні до підозрілих листів, дзвінків або пропозицій — вони можуть бути наслідком використання ваших даних у темній мережі.

Наявність ринку у темній мережі змінює правила гри у кіберзлочинності. Дані вже не є одноразовим трофеєм — їх можна перепродавати і використовувати знову і знову. Найкращий спосіб захистити себе — почати діяти вже зараз, а не чекати, поки вас атакують і ви пошкодуєте.