文章总结： 本文剖析了网络钓鱼数据的流转链路。攻击者利用Telegram机器人及管理面板收集凭证与信息，经暗网验证分类后转售或用于定向攻击。数据泄露危害持久，建议启用多因素认证、使用独立密码并定期监控数字足迹，以降低风险。 综合评分： 100 文章分类： 社会工程学,威胁情报,数据泄露,安全意识

追踪数字足迹：网络钓鱼攻击中窃取的数据会遭遇什么

原创

卡巴斯基

卡巴斯基威胁情报

2025年12月26日 13:01 北京

引 言

典型的网络钓鱼攻击是指用户点击欺诈性链接，并在诈骗网站上输入自己的凭据。然而，攻击到此时还远未结束。一旦机密信息落入网络犯罪分子之手，它便会立即变成一种商品，进入暗网市场的流转链条。       在本文中，我们将追踪被盗数据的路径，从通过各种工具（如Telegram机器人和高级管理面板）收集数据开始，到出售这些数据，再到这些数据在新的攻击中被再次利用。我们将探究一个曾泄露的用户名和密码是如何成为大规模数字档案一部分的，以及为何网络犯罪分子即便在最初的数据泄露事件发生数年之后，仍能利用旧泄露信息发起有针对性的攻击。

网络钓鱼攻击中的数据收集机制

在追踪被盗数据的后续去向之前，我们需要确切了解这些数据是如何离开钓鱼页面并传到网络犯罪分子手中的。  通过分析现实中的钓鱼页面，我们确定了最常见的数据传输方法：  • 发送至电子邮箱地址。  • 发送至Telegram机器人。  • 上传至管理面板。        值得一提的是，攻击者可能会利用合法服务来收集数据，以使他们的服务器更难被检测到。例如，使用谷歌表单（Google Forms）、微软表单（Microsoft Forms）等在线表单服务。被盗数据存储库也可以在GitHub、Discord服务器和其他网站上设置。不过，就本次分析而言，我们将重点关注主要的数据收集方法。

电子邮件

在钓鱼页面上输入到HTML表单中的数据，会通过PHP脚本发送到网络犯罪分子的服务器，随后该脚本会将这些数据转发至攻击者控制的电子邮件地址。然而，由于电子邮件服务存在诸多限制，如投递延迟、托管服务提供商可能会封锁发送服务器，以及处理大量数据的不便，这种方法正变得越来越不常见。      举例来说，我们来看一个针对DHL用户的钓鱼工具包。

钓鱼工具包内容

index.php文件包含了一个旨在窃取用户数据的钓鱼表单——在本例中，窃取的是电子邮件地址和密码。

仿冒DHL网站的钓鱼表单

受害者在该表单中输入的数据，随后会通过next.php文件中的脚本发送至mail.php文件中指定的电子邮件地址。

PHP脚本的内容

Telegram机器人

与之前的方法不同，用于发送被盗数据的脚本指定的是一个Telegram API网址，该网址包含一个机器人令牌（bot token）和相应的聊天ID（Chat ID），而非电子邮件地址。在某些情况下，该链接会直接硬编码到钓鱼HTML表单中。攻击者会创建一个详细的消息模板，在攻击成功后将其发送给机器人。以下是代码中的呈现形式：

数据提交代码片段

与通过电子邮件发送数据相比，使用Telegram机器人能为网络钓鱼者提供更强大的功能，因此他们越来越多地采用这种方法。数据会实时传送到机器人中，操作人员会立即收到通知。攻击者通常会使用一次性机器人，这些机器人更难追踪和封锁。此外，它们的性能并不取决于钓鱼页面托管的质量。

自动化管理面板

更为老练的网络犯罪分子会使用专门的软件，包括BulletProofLink和Caffeine等商业框架，这些框架通常以平台即服务（PaaS）的形式提供。这些框架提供了一个用于管理网络钓鱼活动的网页界面（仪表盘）。       从攻击者控制的所有钓鱼页面收集到的数据会被汇总到一个统一的数据库中，攻击者可通过其账户查看和管理这些数据。

向管理面板发送数据

这些管理面板用于分析和处理受害者数据。特定面板的功能取决于可用的自定义选项，但大多数仪表盘通常具备以下能力：  • 实时统计数据排序：能够按时间和国家查看成功攻击的数量，并具备数据筛选选项  • 自动验证：部分系统能够自动检查被盗数据（如信用卡和登录凭据）的有效性  • 数据导出：能够以多种格式下载数据，以供未来使用或出售

管理面板示例

管理面板是有组织网络犯罪分子的重要工具。  一场网络钓鱼活动常常会同时采用多种此类数据收集方法。

将窃取的数据同时发送至电子邮箱地址和Telegram机器人

网络犯罪分子想要的数据

在钓鱼攻击中窃取的数据，其价值和用途各不相同。落入网络犯罪分子之手后，这些数据会成为他们牟利的手段，以及发动复杂、多阶段攻击的工具。 根据预期用途，被盗数据可分为以下几类： 1、立即变现：直接出售大量原始数据，或立即从受害者的银行账户或在线钱包中提取资金。  • 银行信息：卡号、有效期、持卡人姓名及CVV/CVC码。  • 在线银行账户和数字钱包访问权限：登录名、密码及一次性2FA（双因素认证）验证码。  • 关联银行信息的账户：包含银行卡信息的账户（如在线商店、订阅服务或Apple Pay、Google Pay等支付系统）的登录名和密码。  2、后续攻击以进一步变现：利用窃取的数据发动新攻击，以获取更多利润。  • 各类在线账户的凭据：登录名和密码。值得注意的是，常被用作登录名的电子邮箱地址或电话号码，即使没有配套密码，对攻击者而言也具有价值。  • 电话号码：用于电话诈骗，包括试图获取2FA验证码，以及通过即时通讯应用进行钓鱼攻击。  3、个人数据：全名、出生日期和地址，被滥用于社会工程学攻击、定向攻击、敲诈勒索、身份盗用和深度伪造。  • 生物识别数据：声音和面部特征数据。  • 个人证件的扫描件和编号：护照、驾照、社会保障卡和纳税人识别号。  • 持证件自拍照片：用于在线贷款申请和身份验证。  • 企业账户：用于针对企业发动定向攻击。     我们对2025年1月至9月期间发生的钓鱼和欺诈攻击进行了分析，以确定网络犯罪分子最常窃取哪些数据。我们发现，88.5%的攻击旨在窃取各类在线账户的凭据，9.5%的攻击针对个人数据（姓名、地址和出生日期），2%的攻击专注于窃取银行卡信息。

2025年1月至9月按目标数据类型划分的攻击分布情况

在暗网市场售卖数据

除了实时攻击或旨在立即变现的攻击外，被盗数据通常不会立即被使用。让我们仔细看看其流转路径。

数据转储售卖

数据会被整合，并以转储的形式在暗网市场上售卖：这些档案包含从各种钓鱼攻击和数据泄露事件中获取的数百万条记录。一份数据转储的售价可能低至50美元。主要买家往往不是活跃的诈骗分子，而是暗网市场分析师，他们是供应链中的下一环节。

分类与验证

暗网市场分析师会按类型（电子邮箱账户、电话号码、银行信息等）对数据进行筛选，然后运行自动化脚本进行验证。这可以检查数据的有效性和重复利用潜力，例如，一个Facebook的登录名和密码是否可用于登录Steam或Gmail。数年前从某一服务中窃取的数据，如今可能仍对另一服务具有相关性，因为人们倾向于在多个网站上使用相同的密码。拥有有效登录名和密码的已验证账户，在售卖时价格更高。  分析师还专注于整合来自不同攻击的用户数据。因此，一个来自被攻陷社交媒体网站的旧密码、一个模仿电子政务门户网站的钓鱼表单中的登录名和密码，以及一个在诈骗网站上留下的电话号码，都可以被整合成一份关于特定用户的单一数字档案。

在专门市场售卖

被盗数据通常在暗网论坛和通过Telegram售卖。这款即时通讯应用经常被用作展示价格、买家评价和其他细节的店面。

Telegram上展示的社交媒体数据售卖信息

账户价格可能存在较大差异，且受多种因素影响，如账户使用时长、余额、关联支付方式（银行卡、在线钱包）、双因素认证（2FA）启用情况以及服务平台的受欢迎程度等。因此，如果一个在线商店账户关联了电子邮箱、启用了双因素认证、使用历史悠久且已完成大量订单，那么其售价可能更高。对于游戏账户（如Steam账户）而言，购买高价游戏也是一个影响因素。如果受害者的网上银行账户余额较高，且银行本身信誉良好，那么其网上银行数据的售价也会更高。

 下表展示了截至2025年*在暗网论坛上发现的各类账户的价格。

*数据由卡巴斯基数字足迹情报提供

高价值目标筛选与定向攻击

网络犯罪分子对高价值目标尤为感兴趣。这些目标用户能够接触到重要信息，例如企业高管、会计或IT系统管理员。  让我们来剖析一起可能的定向“鲸钓”攻击场景。A公司发生数据泄露事件，暴露了曾在此工作、现于B公司担任高管职位的一名用户的相关数据。攻击者通过开源情报（OSINT）分析，确定该用户当前就职于B公司。接下来，他们会精心炮制一封看似来自B公司首席执行官的复杂钓鱼邮件，发送给目标用户。为建立信任，邮件中会提及目标用户旧工作的一些情况（不过也存在其他场景）。通过瓦解用户的警惕性，网络犯罪分子得以攻陷B公司，进而发动进一步攻击。  值得注意的是，这些定向攻击并不局限于企业领域。攻击者还可能盯上银行账户余额较大的人，或持有重要个人证件（如申请小额贷款所需的证件）的人。

要点总结

被盗数据的流转过程就像一条运作顺畅的流水线，每一条信息都成为了一种带有特定标价的商品。如今，钓鱼攻击利用各种系统来收集和分析机密信息。数据会即时流入Telegram机器人和攻击者的管理面板，随后在那里进行分类、验证和变现。  必须认识到，一旦数据丢失，它并不会就此消失。这些数据会被积累、整合，甚至可能在数月或数年后被用来对付受害者，变成发动定向攻击、实施敲诈勒索或盗用身份的工具。在当今的网络环境中，保持警惕、使用独特密码、启用多因素身份验证以及定期监控自己的数字足迹，这些已不再仅仅是建议，而是必要之举。

若成为钓鱼攻击受害者该如何应对

1

若您持有的银行卡被盗用，请尽快致电银行，挂失该卡。

2

若您的账户凭据被盗，请立即更改受影响账户的密码，以及任何您可能使用相同或相似密码的在线服务的密码。为每个账户设置唯一密码。

3

在所有支持多因素身份验证的账户中启用该功能。

4

检查您的账户登录历史记录，并终止任何可疑会话。

5

若您的即时通讯服务或社交媒体账户被盗用，请告知家人和朋友，警惕以您名义发送的潜在欺诈信息。

6

使用专业服务，检查您的数据是否出现在已知的数据泄露事件中。

7

对任何突如其来的电子邮件、电话或优惠信息保持高度警惕——由于攻击者正在使用您被盗的数据，这些信息可能看似可信。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：卡巴斯基威胁情报 卡巴斯基《追踪数字足迹：网络钓鱼攻击中窃取的数据会遭遇什么》