Większość ludzi słyszała o dark webie, ale niewielu rozumie, jak on właściwie wygląda i co się tam dzieje. Aby oddzielić fakty od fikcji, nasz zespół badawczy spędził 48 godzin na bezpośrednim zgłębianiu tej sieci i dokumentowaniu swoich odkryć.
Dark web nie jest z natury zły. Służy on również legalnym celom, zapewniając ochronę prywatności dziennikarzom, sygnalistom, aktywistom i innym osobom, które muszą komunikować się anonimowo. Dostęp do niego zazwyczaj wymaga przeglądarki Tor, a wiele renomowanych organizacji prowadzi oficjalne strony w dark webie. Na przykład serwis informacyjny BBC jest dostępny pod następującym adresem Tor: http://bbcweb3hytmzhn5d532owbu6oqadra5z3ar726vq5kgwwn6aucdccrad.onion
Jednak obok tych legalnych zastosowań istnieje prężnie rozwijający się ekosystem przestępczy.
Odkryliśmy zorganizowaną, aktywną gospodarkę podziemną, która funkcjonuje w sposób, jakiego większość ludzi nawet sobie nie wyobraża. Cyberprzestępcy nie działają w pojedynkę. Gromadzą się na podziemnych forach poświęconych cyberprzestępczości, gdzie omawiają nowe metody ataków, dzielą się technikami i współpracują nad sposobami atakowania ludzi na całym świecie.
Pomyśl o tym nie tyle jako o ciemnej uliczce, co raczej jako o sieci kontaktów zawodowych dla cyberprzestępców.
Oprócz tych forów natrafiliśmy na specjalistyczne platformy handlu związane z cyberprzestępczością. Działają one na zasadzie sklepów internetowych, w których hackers oszuści mogą kupować i sprzedawać różnorodne skradzione zasoby cyfrowe – od danych logowania do skradzionych kont po narzędzia hakerskie – a wszystkie transakcje odbywają się anonimowo przy użyciu kryptowalut.
Ciekawostka: Wiele z tych platform handlowych nosi imiona znanych osobistości, w tym prezydenta USA Donalda Trumpa.
Kompas po dark webie
Cyberprzestępcy pochodzą ze wszystkich zakątków świata i, podobnie jak każda globalna społeczność, potrzebują sposobu, by się nawzajem odnaleźć. I tu właśnie pojawiają się fora z linkami.
Witryny z linkami to katalogi, w których zgromadzono setki podziemnych forów i platform handlowych. Są one uporządkowane według języków i pełnią rolę kompasu w dark webie.
Cyberprzestępca może działać w społeczności posługującej się jego językiem ojczystym lub dołączyć do większych forów anglojęzycznych, które przyciągają międzynarodową publiczność.
Nie wszystkie fora mają jednak takie samo znaczenie. W 2026 roku społeczność skupia się głównie wokół dominujących platform, takich jak BreachForums i DarkForums. Bardziej ekskluzywne fora rosyjskojęzyczne, takie jak Exploit i XSS, przyciągają zazwyczaj bardziej wyrafinowanych cyberprzestępców ze środowiska undergroundowego.
Narażone dane: Twoje dane mogą już znajdować się w sieci
Większość ludzi nie ma pojęcia, jak wiele ich danych osobowych krąży już w dark webie. W wielu przypadkach pierwszym wyzwaniem jest po prostu ustalenie, czy dane danej osoby w ogóle wyciekły. Tutaj możesz to sprawdzić.
Aby zrozumieć skalę tego problemu, warto porównać to, co jest powszechnie znane, z tym, co udało nam się odkryć pod powierzchnią.
Publicznie zgłoszone naruszenia to tylko część obrazu. Od początku 2026 roku Malwarebytes zidentyfikowali ponad 7 500 naruszonych zbiorów danych zawierających ponad 8,4 miliarda rekordów. Obejmują one dane skradzione w wyniku naruszeń, pozyskane w ramach kampanii phishingowych, zebrane z serwisów internetowych oraz ujawnione w wyniku nieprawidłowej konfiguracji systemów.
Wśród organizacji, których to dotyczy, znajdują się tak znane marki, jak SoundCloud, ADT, Hallmark, Amtrak, Vimeo i Instagram.
Jednak choć liczby te są istotne, pokazują one jedynie część sytuacji.
Kiedy przeanalizowaliśmy sekcję baz danych na DarkForums – jednej z najbardziej aktywnych platform podziemia – znaleźliśmy 63 strony ogłoszeń opublikowanych od początku 2026 roku. Przy 20 ogłoszeniach na stronę daje to ponad 1 200 małych i średnich wycieków danych, z których większość nigdy nie trafiła na pierwsze strony gazet.
Podobna sytuacja miała miejsce na forum BreachForums. Od początku roku na platformie zgromadzono 37 stron z wykazami baz danych, z których każda zawiera 20 pozycji, co oznacza, że do i tak już ogromnego zbioru skradzionych danych dodano ponad 700 kolejnych baz danych, które padły ofiarą ataków.
Podsumowując, publicznie ujawnione przypadki naruszeń to jedynie wierzchołek góry lodowej. Znaczna część skradzionych danych osobowych, którymi handluje się w Internecie, zmienia właścicieli po cichu i poza zasięgiem wzroku.
Sprzedaż danych osobowych z USA
Jednym z najczęściej poszukiwanych towarów na podziemnym rynku cyberprzestępczym jest coś, hackers „fullz”: kompletny pakiet danych tożsamościowych prawdziwej osoby. W 2026 roku dane tożsamościowe obywateli Stanów Zjednoczonych pozostają szczególnie cenne ze względu na infrastrukturę finansową tego kraju, wysokie limity kredytowe oraz szeroki wachlarz usług, które można wykorzystać do popełnienia oszustwa.
Typowy pakiet „fullz” zawiera imię i nazwisko, numer ubezpieczenia społecznego (SSN), datę urodzenia, adres oraz inne dane osobowe. W niepowołanych rękach informacje te stanowią gotowy zestaw narzędzi do popełnienia oszustwa tożsamościowego. Pozwalają one cyberprzestępcom na otwieranie fałszywych rachunków kredytowych, składanie sfałszowanych zeznań podatkowych, uzyskiwanie dostępu do rachunków finansowych, a nawet korzystanie z usług medycznych pod cudzym nazwiskiem.
To, co sprawia, że dane typu „fullz” są szczególnie niebezpieczne, to fakt, że ofiary często nie mają pojęcia, że ich tożsamość została naruszona, aż do momentu, gdy szkoda jest już dawno wyrządzona. Czasami dzieje się to miesiące, a nawet lata później, gdy zgłaszają się windykatorzy lub wniosek kredytowy zostaje nieoczekiwanie odrzucony.
Nie jest zaskoczeniem, że Stany Zjednoczone pozostają jednym z krajów najczęściej atakowanych przez złodziei tożsamości. Tylko w pierwszych trzech kwartałach 2025 roku do Federalnej Komisji Handlu (FTC) zgłoszono ponad 1,15 miliona przypadków kradzieży tożsamości, co już przewyższa łączną liczbę zgłoszeń z całego 2024 roku.
W trakcie naszych badań natrafiliśmy na 9-Digits Market, jedną z wielu platform handlowych w dark webie specjalizujących się w sprzedaży skradzionych danych osobowych. Uwagę zwróciła przede wszystkim cena. Kompletny profil tożsamościowy osoby z USA był oferowany już za 0,95 dolara.
Za kwotę mniejszą niż koszt filiżanki kawy cyberprzestępca może nabyć wystarczającą ilość informacji, by zrujnować komuś życie finansowe.
W jaki sposób cyberprzestępcy wykorzystują złośliwe oprogramowanie, by zaatakować Twój komputer
Naruszenia bezpieczeństwa danych to nie jedyny sposób, w jaki Twoje dane osobowe trafiają do dark web. Czasami źródło leży znacznie bliżej: w Twoim własnym komputerze. Podczas naszych poszukiwań w dark web natknęliśmy się na twórców szczególnie niebezpiecznej kategorii złośliwego oprogramowania znanego jako „infostealery” lub po prostu „stealery”. Zasada działania jest prosta, co po części wyjaśnia jej skuteczność.
Po zainstalowaniu program wykradający dane w sposób niewidoczny przeszukuje urządzenie w poszukiwaniu wszelkich wartościowych informacji. Mogą to być zapisane nazwy użytkowników i hasła, dane do automatycznego wypełniania, zapisane dane płatnicze, portfele kryptowalutowe oraz inne poufne informacje. Skradzione dane są następnie przesyłane do cyberprzestępcy.
Poniżej znajduje się zapowiedź panelu programu STORM, który zaatakował komputer w Stanach Zjednoczonych i wykradł z niego 87 kombinacji nazw użytkowników i haseł.
Być może najbardziej niepokojące jest to, jak łatwo dostępne stało się tego typu złośliwe oprogramowanie. W 2026 roku każdy początkujący cyberprzestępca będzie mógł wynająć program do kradzieży danych w ramach subskrypcji, co nie będzie wymagało od niego dużej wiedzy technicznej ani znacznych nakładów finansowych. Model „cyberprzestępczość jako usługa” radykalnie obniżył barierę wejścia na ten rynek.
Skradzione dane są następnie sprzedawane lub ujawniane na podziemnych forach i platformach handlowych. Byliśmy zszokowani samą skalą tego zjawiska.
Każdego dnia na tych platformach udostępniane są miliony skradzionych danych uwierzytelniających. Za każdym z tych wpisów kryje się prawdziwa osoba, która nie ma pojęcia, że jej cyfrowe życie jest rozkładane na czynniki pierwsze i sprzedawane jak towar.
Fałszywe inwestycje i oszustwa związane z kryptowalutami
Nie wszystkie cyberprzestępstwa wiążą się z kradzieżą haseł lub wyciekiem baz danych. Niektórzy przestępcy dążą do znacznie większych zysków, stosując starannie zaplanowane oszustwa oparte na inżynierii społecznej. Jednym z najbardziej wyrafinowanych i niszczycielskich przykładów, z jakimi mieliśmy do czynienia, były oszustwa związane z inwestycjami w kryptowaluty, znane również jako pig butchering”.
Strategia ta jest niezwykle skuteczna. Przestępcy poświęcają sporo czasu i wysiłku na nawiązanie pozorów prawdziwej relacji ze swoją ofiarą za pośrednictwem aplikacji randkowych, mediów społecznościowych lub platform komunikacyjnych.
Są cierpliwi, przyjaźni i przekonujący – powoli zdobywają zaufanie ofiary w ciągu kilku dni, a nawet tygodni. Dopiero po zbudowaniu zaufania przedstawiają coś, co wydaje się być ekscytującą okazją inwestycyjną. Zanim ofiara zorientuje się, że coś jest nie tak, jej pieniądze już zniknęły, a osoba, której zaufała, zniknęła bez śladu.
W trakcie naszych badań zaobserwowaliśmy działającą już na pełną skalę operację oszustwa kryptowalutowego, której celem są nowe ofiary. Wykorzystuje ona dopracowane, zaawansowane fałszywe platformy inwestycyjne, zaprojektowane specjalnie po to, by utrzymać ofiary w pułapce przez długi czas.
W ramach tej operacji zaoferowano:
- Pełna dokumentacja, skrypty i elementy budujące wiarygodność. Wszystko, co jest potrzebne, by od pierwszego dnia sprawiać wrażenie wiarygodnego.
- Starannie opracowane przewodniki komunikacyjne i podręczniki socjotechniki, mające na celu wywieranie presji psychologicznej na ofiary, aby te wykorzystywały limity kart kredytowych do maksimum, zaciągały pożyczki i wielokrotnie inwestowały kolejne środki.
- Własne zespoły programistów tworzące fałszywe platformy transakcyjne, które bardzo wiernie naśladują legalne usługi inwestycyjne.
Naszym badaczom udało się również uzyskać dostęp do jednej z tych oszukańczych platform i byliśmy zaniepokojeni stopniem jej zaawansowania.
Nie są to działania amatorskie. Są to dobrze finansowane, profesjonalnie zarządzane organizacje przestępcze, które traktują oszustwo jako źródło dochodu.
W ciągu zaledwie 48 godzin odkryliśmy skradzione tożsamości, złośliwe oprogramowanie na zlecenie, wyciekające hasła oraz operacje oszustw na skalę przemysłową. Większość ludzi nigdy nie odwiedzi dark web, ale jego skutki mogą ich dotknąć poprzez wycieki danych, infekcje złośliwym oprogramowaniem i oszustwa.
Malwarebytes chronić się przed każdym z tych zagrożeń. Nasza usługa monitorowania wycieków danych powiadamia Cię, jeśli Twoje dane osobowe pojawią się w znanym wycieku. Theft Identity monitoruje poufne informacje, w tym numer ubezpieczenia społecznego, natomiast funkcja „Scam Guard” wykorzystuje wykrywanie oparte na sztucznej inteligencji, aby pomóc zidentyfikować podejrzane SMS-y, e-maile, linki i numery telefonów, zanim zdążą wyrządzić szkodę.
Ciemna sieć rozwija się dzięki skradzionym informacjom. Świadomość tego, kiedy Twoje dane są narażone na ujawnienie, to pierwszy krok do tego, by wyprzedzić zagrożenie.
