Secondo PANews, un rapporto di SecureList rivela che gli account di criptovaluta rubati vengono venduti nel dark web a un prezzo medio di $105. Questi account vengono tipicamente ottenuti attraverso attacchi di phishing, con prezzi che variano da $60 a $400 a seconda di fattori come l'età dell'account, il saldo, il metodo di pagamento e lo stato dell'autenticazione a due fattori. I dati rubati vengono principalmente divulgati da pagine di phishing tramite tre canali: email, bot di Telegram o caricamenti nei pannelli di amministrazione. Telegram è preferito dagli aggressori per le sue capacità in tempo reale, la sua disponibilità e la difficoltà di tracciamento. Attacchi più organizzati utilizzano framework per pannelli di amministrazione per statistiche in tempo reale, verifica automatica delle credenziali e gestione dei dati.
I dati rubati, che includono informazioni di accesso agli scambi, accesso ai portafogli e conti in valuta fiat, vengono venduti immediatamente o entrano in un pipeline di rivendita. I intermediari acquistano i dati in blocco, li verificano e li organizzano, e poi li rivendono su forum del dark web o canali Telegram a truffatori. Il rapporto evidenzia che da gennaio a settembre 2025, l'88,5% degli attacchi di phishing ha mirato al furto delle credenziali degli account.