Tài khoản tiền điện tử bị đánh cắp đang được rao bán trên dark web với giá trung bình 105 USD, chủ yếu thu thập từ các chiến dịch phishing và trở thành “nguyên liệu đầu vào” cho chuỗi trộm cắp phức tạp.
Một tài khoản crypto bị đánh cắp có thể được giao dịch trong khoảng 60–400 USD. Kẻ tấn công có thể kiếm tiền ngay lập tức hoặc lưu dữ liệu vào cơ sở dữ liệu để kiểm tra, hợp nhất và bán lại, tùy theo loại dữ liệu và mức “hữu dụng” của thông tin thu được.
- Dữ liệu crypto đánh cắp rời trang phishing qua email, bot Telegram hoặc bảng điều khiển quản trị (admin panel).
- Dữ liệu được mua bán theo hai hướng: bán “thời gian thực” với dữ liệu chất lượng cao, hoặc đi qua pipeline bán lại dạng “dump”.
- Tái sử dụng mật khẩu và việc “ghép hồ sơ” từ nhiều vụ rò rỉ khiến dữ liệu cũ vẫn gây rủi ro lâu dài.
Dữ liệu crypto bị đánh cắp có giá trung bình 105 USD trên dark web
Giá trung bình cho một tài khoản tiền điện tử bị đánh cắp là 105 USD, với biên giá phổ biến 60–400 USD.
Dữ liệu này thường được lấy từ phishing, rồi được bán ngay hoặc lưu trữ để phân loại. Đích đến phụ thuộc vào “chất lượng” dữ liệu: có thể là thông tin đăng nhập sàn, quyền truy cập ví, tài khoản dùng nạp/rút tiền pháp định (fiat onramp), hoặc dữ liệu cá nhân phục vụ các bước tấn công tiếp theo.
Theo phân tích của SecureList, bộ dữ liệu bị đánh cắp thường là bước khởi đầu cho một chuỗi cung ứng phạm pháp: thu thập, chuyển kênh, kiểm tra hiệu lực, đóng gói, bán buôn, lọc/ghép, rồi bán lẻ cho nhóm lừa đảo. Một sai lầm khi đăng nhập vào trang giả có thể dẫn đến mất quyền kiểm soát tài sản crypto trong thời gian ngắn hoặc bị khai thác lại về sau.
Dữ liệu bị lấy từ phishing rời trang giả mạo theo 3 con đường
Phishing kit thường chuyển dữ liệu qua email, qua bot Telegram, hoặc tải lên admin panel để lưu vào cơ sở dữ liệu.
Với email delivery, dữ liệu từ form HTML giả được gửi tới script phía máy chủ (thường là PHP). Script này tiếp tục chuyển thông tin bị đánh cắp về email do kẻ tấn công kiểm soát. Một phishing kit kiểu này thường có: (1) tệp trang đăng nhập giả, (2) script xử lý form, (3) tệp chứa địa chỉ email nhận dữ liệu.
Email delivery có xu hướng giảm do chậm trễ, bị nhà cung cấp chặn, và khó mở rộng. Vì vậy, nhiều bộ kit chuyển sang đẩy dữ liệu trực tiếp tới Telegram bằng cách gọi Telegram API qua bot token và chat ID; đôi khi lệnh gọi API được nhúng thẳng vào mã HTML.
Telegram được ưa chuộng vì dữ liệu đến gần như tức thì, vận hành nhận cảnh báo theo thời gian thực, bot dễ “vứt bỏ” và khó lần dấu. Với các nhóm có tổ chức hơn, admin panel là lựa chọn tối ưu: framework thu thập dữ liệu và ghi vào database, sau đó quản lý qua giao diện web.
Admin panel thường hiển thị thống kê theo thời gian và quốc gia, có kiểm tra tự động độ đúng của thông tin đăng nhập, và hỗ trợ xuất dữ liệu để bán lại hoặc tái sử dụng. Đây là thành phần quan trọng trong các chiến dịch phishing quy mô lớn.
Kẻ tấn công lạm dụng dịch vụ hợp pháp để che giấu hoạt động phishing
Nhiều chiến dịch phishing lợi dụng các nền tảng hợp pháp như Google Forms, Microsoft Forms, GitHub và Discord để giảm khả năng bị phát hiện.
Các dịch vụ quen thuộc giúp nội dung trông “đáng tin” hơn, hạ rào cản tâm lý của nạn nhân, đồng thời khiến khâu gỡ bỏ và truy vết phức tạp hơn do kẻ tấn công không cần hạ tầng riêng. Việc này cũng hỗ trợ phát tán nhanh (qua link form, kho mã, kênh chat) và thay đổi linh hoạt khi bị chặn.
Dữ liệu bị đánh cắp được bán “thời gian thực” hoặc đi qua pipeline bán lại dạng dump
Dữ liệu crypto có thể được bán ngay nếu đủ giá trị để dẫn trực tiếp tới tiền, hoặc được đưa vào pipeline bán lại sau khi đóng gói, lọc và kiểm tra.
Kẻ xấu thường nhắm tới đăng nhập sàn, quyền truy cập ví, và tài khoản liên kết với cổng onramp. Các dữ liệu khác gồm thông tin xác thực, số điện thoại và dữ liệu cá nhân. Những tài khoản/ví có mã dùng một lần (OTP) hoặc liên kết onramp thường đủ điều kiện để bán “thời gian thực”, vì có khả năng bị khai thác nhanh nhằm rút tài sản.
Dữ liệu còn lại thường phục vụ tấn công tiếp diễn: số điện thoại có thể bị dùng cho lừa đảo SMS hoặc can thiệp 2FA; dữ liệu cá nhân hỗ trợ social engineering. Giấy tờ định danh, giọng nói, dữ liệu khuôn mặt hoặc ảnh selfie cầm giấy tờ có thể bị lạm dụng trong các kịch bản rủi ro cao.
Pipeline bán lại thường bắt đầu bằng “dump sales”: dữ liệu bị đóng gói thành kho lưu trữ lớn, có thể chứa hàng triệu bản ghi từ nhiều chiến dịch phishing. Bên trung gian có thể mua dump với mức thấp tới 50 USD, sau đó lọc, kiểm tra, và chuẩn hóa để tăng giá trị thương mại.
Sau khi mua dump, bên trung gian thường chạy script tự động để kiểm tra thông tin đăng nhập còn hoạt động hay không, đồng thời dò xem có thể tái sử dụng ở dịch vụ khác. Dữ liệu “đã xác minh” sau đó được rao bán lại cho các nhóm lừa đảo trên diễn đàn dark web và các kênh Telegram.
Tái sử dụng mật khẩu khiến dữ liệu cũ vẫn nguy hiểm nhiều năm sau
Mật khẩu bị dùng lại giúp thông tin đăng nhập cũ vẫn có thể mở khóa tài khoản khác trong tương lai, làm tăng giá trị của dữ liệu bị đánh cắp.
Một thông tin đăng nhập bị đánh cắp từ nhiều năm trước vẫn có thể trùng với mật khẩu hiện tại ở dịch vụ khác. Khi các nguồn dữ liệu từ nhiều vụ tấn công được hợp nhất, kẻ xấu có thể tạo hồ sơ người dùng hoàn chỉnh hơn: mật khẩu, số điện thoại, và các mẩu thông tin liên quan khác có thể ghép thành một “profile” phục vụ mạo danh hoặc chiếm đoạt.
Telegram cũng có thể đóng vai trò như “cửa hàng”: hiển thị giá, phản hồi người mua, và tiêu chí định giá. Giá thường thay đổi theo tuổi đời tài khoản, số dư, phương thức thanh toán liên kết, và trạng thái 2FA.
Mức giá phổ biến của dữ liệu bị đánh cắp trên chợ ngầm
Tài khoản crypto thường được rao bán trong khoảng 60–400 USD, còn các loại dữ liệu khác có mức giá dao động lớn tùy loại.
Dưới đây là các khoảng giá được ghi nhận:
- Tài khoản tiền điện tử: 60–400 USD.
- Dữ liệu mạng xã hội: từ vài xu tới hàng trăm USD.
- Ứng dụng nhắn tin: từ vài xu tới 150 USD.
- Tài liệu cá nhân: 0,5–125 USD.
Trong phân tích của Kaspersky về các cuộc tấn công phishing giai đoạn tháng 01–09/2025, 88,5% nhắm tới thông tin xác thực tài khoản. Khoảng 9,5% nhắm tới dữ liệu định danh cá nhân và 2% thu thập dữ liệu thẻ ngân hàng. Điều này cho thấy “đăng nhập + quyền truy cập” vẫn là mục tiêu ưu tiên, đặc biệt với các dịch vụ liên quan đến tiền điện tử.
Những câu hỏi thường gặp
Vì sao tài khoản tiền điện tử bị đánh cắp lại có giá trị cao?
Vì thông tin đăng nhập sàn/ví thường có thể dẫn trực tiếp tới tài sản, đặc biệt khi tài khoản liên kết onramp hoặc có thể vượt qua 2FA bằng các thủ thuật tiếp theo. Dữ liệu cũng có thể dùng để mạo danh, lừa đảo và chiếm quyền ở nhiều dịch vụ khác do tái sử dụng mật khẩu.
Dữ liệu từ trang phishing thường được chuyển đi bằng cách nào?
Phổ biến có ba cách: gửi qua email (script máy chủ chuyển tới email kẻ tấn công), gửi tức thì qua bot Telegram (gọi Telegram API bằng token và chat ID), hoặc đưa vào admin panel để lưu database và quản trị qua web.
“Dump” dữ liệu là gì và vì sao lại rẻ?
Dump là gói dữ liệu lớn (có thể gồm hàng triệu bản ghi) được gom từ nhiều chiến dịch phishing. Giá rẻ vì chưa được lọc và chưa xác minh hiệu lực; bên trung gian mua dump rồi kiểm tra, làm sạch và phân loại để bán lại với giá cao hơn.
Tại sao dữ liệu bị đánh cắp từ nhiều năm trước vẫn gây rủi ro?
Do thói quen dùng lại mật khẩu và thông tin liên hệ. Một mật khẩu cũ có thể vẫn mở được tài khoản khác hiện tại, hoặc kết hợp với số điện thoại/dữ liệu cá nhân để tạo hồ sơ phục vụ social engineering và chiếm đoạt nhiều lớp.
Những yếu tố nào làm giá tài khoản crypto bị đánh cắp tăng?
Giá thường phụ thuộc vào tuổi đời tài khoản, số dư, có liên kết phương thức thanh toán hay onramp không, và trạng thái 2FA. Dữ liệu “đã kiểm tra còn hoạt động” cũng thường đắt hơn dữ liệu thô chưa xác minh.
Tham khảo chi tiết phân tích kỹ thuật từ SecureList về hành trình dữ liệu sau phishing.