A maioria das pessoas já ouviu falar da dark web, mas poucas entendem como ela realmente é ou o que acontece lá. Para separar a realidade da ficção, nossa equipe de pesquisa passou 48 horas explorando-a em primeira mão e documentando o que descobrimos.
A dark web não é, por si só, algo ruim. Ela também serve a fins legítimos, oferecendo uma camada de privacidade para jornalistas, denunciantes, ativistas e outras pessoas que precisam se comunicar anonimamente. Para acessá-la, geralmente é necessário usar o navegador Tor, e várias organizações conceituadas mantêm sites oficiais na dark web. Por exemplo, o site de notícias da BBC está disponível através do seguinte endereço Tor: http://bbcweb3hytmzhn5d532owbu6oqadra5z3ar726vq5kgwwn6aucdccrad.onion
Mas, ao lado desses usos legítimos, existe um ecossistema criminoso em plena expansão.
O que descobrimos foi uma economia subterrânea organizada e ativa, que opera de maneiras que a maioria das pessoas nem imagina. Os cibercriminosos não atuam sozinhos. Eles se reúnem em fóruns clandestinos de cibercrime, onde discutem métodos de ataque emergentes, compartilham técnicas e colaboram para encontrar maneiras de atacar pessoas em todo o mundo.
Pense nisso menos como um beco escuro e mais como uma rede profissional de cibercriminosos.
Além desses fóruns, encontramos mercados especializados em crimes cibernéticos. Eles funcionam como lojas online onde hackers fraudadores podem comprar e vender uma variedade de bens digitais comprometidos, desde credenciais de contas roubadas até ferramentas de hacking, tudo realizado de forma anônima por meio de criptomoedas.
Curiosidade: muitos desses mercados levam o nome de figuras públicas conhecidas, incluindo o presidente dos EUA, Donald Trump.
A bússola da dark web
Os cibercriminosos vêm de todos os cantos do mundo e, como qualquer comunidade global, precisam de uma maneira de se encontrar. É aí que entram os fóruns de links.
Os sites de links são diretórios que reúnem centenas de fóruns e mercados clandestinos. Eles são organizados por idioma e funcionam como uma bússola na dark web.
Um cibercriminoso pode atuar dentro de uma comunidade que fale sua língua nativa ou participar de fóruns maiores em inglês que atraiam um público internacional.
No entanto, nem todos os fóruns têm o mesmo peso. Em 2026, a comunidade está concentrada, em grande parte, em torno de plataformas dominantes, como o BreachForums e o DarkForums. Fóruns mais exclusivos em língua russa, como o Exploit e o XSS, tendem a atrair alguns dos cibercriminosos mais sofisticados do submundo.
Dados comprometidos: suas informações podem já estar disponíveis na internet
A maioria das pessoas não tem ideia de quanta informação pessoal já está circulando na dark web. Em muitos casos, o primeiro desafio é simplesmente saber se suas informações foram expostas. Você pode verificar as suas aqui.
Para compreender a dimensão do problema, é útil comparar o que é de conhecimento público com o que descobrimos por trás das aparências.
As violações divulgadas publicamente são apenas parte da história. Desde o início de 2026, Malwarebytes identificaram mais de 7.500 conjuntos de dados comprometidos, contendo mais de 8,4 bilhões de registros. Entre eles estão dados roubados em violações, coletados por meio de campanhas de phishing, extraídos de serviços on-line e expostos devido a sistemas mal configurados.
Entre as organizações afetadas estão nomes conhecidos como SoundCloud, ADT, Hallmark, Amtrak, Vimeo e Instagram.
Mas, por mais significativos que sejam esses números, eles contam apenas parte da história.
Ao examinarmos a seção de bancos de dados do DarkForums, uma das plataformas mais ativas do submundo, encontramos 63 páginas de anúncios publicados desde o início de 2026. Com 20 anúncios por página, isso representa mais de 1.200 vazamentos de dados de pequeno e médio porte, a maioria dos quais nunca chegou às manchetes da mídia.
O quadro no BreachForums era semelhante. Desde o início do ano, a plataforma acumulou 37 páginas de listagens de bancos de dados, cada uma contendo 20 registros, somando mais de 700 bancos de dados comprometidos ao já enorme acervo de dados roubados.
Se somarmos tudo isso, as violações divulgadas publicamente são apenas a ponta do iceberg. Grande parte dos dados pessoais roubados e comercializados online muda de mãos discretamente, longe dos olhos do público.
Identidades dos EUA à venda
Um dos produtos mais procurados no mercado negro do crime cibernético é o que hackers “fullz”: um pacote completo com as informações de identidade de uma pessoa real. Em 2026, as identidades dos EUA continuam sendo especialmente valiosas devido à infraestrutura financeira do país, aos altos limites de crédito e à ampla variedade de serviços que podem ser explorados para fins de fraude.
Um pacote típico de “fullz” inclui nome completo, número de Seguro Social (SSN), data de nascimento, endereço e outros dados pessoais. Nas mãos erradas, essas informações constituem um conjunto de ferramentas pronto para a fraude de identidade. Elas permitem que os cibercriminosos abram contas de crédito fraudulentas, apresentem declarações fiscais falsas, acessem contas financeiras ou até mesmo obtenham serviços médicos em nome de outra pessoa.
O que torna os “fullz” particularmente perigosos é que as vítimas muitas vezes nem suspeitam que sua identidade foi comprometida até muito tempo depois de o dano já ter sido causado. Às vezes, isso ocorre meses ou até anos depois, quando cobradores de dívidas entram em contato ou um pedido de crédito é indevidamente recusado.
Não é surpresa que os EUA continuem sendo um dos países mais visados por ladrões de identidade. Mais de 1,15 milhão de casos de roubo de identidade foram registrados na Comissão Federal de Comércio (FTC) somente nos três primeiros trimestres de 2025, ultrapassando já o número total registrado durante todo o ano de 2024.
Durante nossa pesquisa, nos deparamos com o 9-Digits Market, um dos muitos mercados da dark web especializados na venda de dados de identidade roubados. O que chamou a atenção foi o preço. Um perfil completo de identidade dos EUA estava à venda por apenas US$ 0,95.
Por menos do que o preço de uma xícara de café, um cibercriminoso pode comprar informações suficientes para arruinar a vida financeira de alguém.
Como os cibercriminosos usam malware para atacar seu computador
As violações de dados não são a única forma pela qual suas informações pessoais acabam na dark web. Às vezes, a fonte está bem mais perto de você: o seu próprio computador. Durante nossa pesquisa na dark web, encontramos os desenvolvedores por trás de uma categoria particularmente perigosa de malware conhecida como “infostealers” ou simplesmente “stealers”. O conceito é simples, e é em parte por isso que é tão eficaz.
Uma vez instalado, um infostealer procura silenciosamente no dispositivo por qualquer informação valiosa. Isso pode incluir nomes de usuário e senhas salvos, dados de preenchimento automático, detalhes de pagamento armazenados, carteiras de criptomoedas e outras informações confidenciais. Esses dados roubados são então enviados de volta ao invasor.
A seguir, apresentamos uma prévia do painel do programa de roubo de dados STORM, que invadiu um computador nos Estados Unidos e roubou 87 combinações de nome de usuário e senha do dispositivo.
Talvez o aspecto mais alarmante seja o quanto esse tipo de malware se tornou acessível. Em 2026, qualquer aspirante a cibercriminoso poderá alugar um infostealer por meio de uma assinatura, o que exige pouco conhecimento técnico e nenhum investimento financeiro significativo. O “cibercrime como serviço” reduziu drasticamente a barreira de entrada.
Os dados roubados são então vendidos ou vazados em fóruns e mercados clandestinos. Ficamos chocados com o enorme volume envolvido.
Todos os dias, milhões de credenciais roubadas são compartilhadas nessas plataformas. Por trás de cada uma dessas linhas há uma pessoa real, que nem imagina que sua vida digital está sendo desmembrada e comercializada como se fosse uma mercadoria.
Investimentos falsos e golpes envolvendo criptomoedas
Nem todos os crimes cibernéticos envolvem senhas roubadas ou vazamento de bancos de dados. Alguns criminosos buscam ganhos muito mais lucrativos por meio de golpes de engenharia social cuidadosamente planejados. Um dos exemplos mais sofisticados e prejudiciais que encontramos foram os golpes envolvendo investimentos em criptomoedas, também conhecidos como pig butchering”.
A tática por trás disso é extremamente eficaz. Os criminosos dedicam tempo e esforço consideráveis para construir o que parece ser um relacionamento genuíno com seu alvo por meio de aplicativos de namoro, redes sociais ou plataformas de mensagens.
Eles são pacientes, simpáticos e persuasivos, conquistando aos poucos a confiança da vítima ao longo de dias ou até semanas. Somente depois de estabelecer essa confiança é que apresentam o que parece ser uma oportunidade de investimento atraente. Quando a vítima percebe que algo está errado, seu dinheiro já se foi e a pessoa em quem confiava desapareceu sem deixar rastros.
Durante nossa pesquisa, observamos uma operação de fraude em criptomoedas em grande escala já em pleno funcionamento, visando novas vítimas por meio de plataformas de investimento falsas, sofisticadas e de alta qualidade, projetadas especificamente para manter as vítimas presas ao esquema por longos períodos.
A operação ofereceu:
- Documentação completa, scripts e elementos que reforçam a credibilidade. Tudo o que é necessário para parecer legítimo desde o primeiro dia.
- Guias de comunicação cuidadosamente elaborados e manuais de engenharia social, concebidos para exercer pressão psicológica sobre as vítimas, levando-as a atingir o limite máximo dos cartões de crédito, contrair empréstimos e investir repetidamente mais dinheiro.
- Equipes de desenvolvimento internas que criam plataformas de negociação falsas que imitam fielmente serviços de investimento legítimos.
Nossos pesquisadores também conseguiram acessar uma dessas plataformas fraudulentas, e ficamos preocupados com o nível de sofisticação.
Não se trata de operações amadoras. São organizações criminosas bem financiadas e administradas com profissionalismo, que tratam o fraude como um negócio.
Em apenas 48 horas, encontramos identidades roubadas, malware à disposição, senhas vazadas e operações de fraude em escala industrial. A maioria das pessoas nunca acessará a dark web, mas seus efeitos ainda podem afetá-las por meio de vazamentos de dados, infecções por malware e golpes.
Malwarebytes proteger contra cada uma dessas ameaças. Nosso serviço de monitoramento de vazamentos de dados avisa você caso suas informações pessoais apareçam em um vazamento conhecido. Theft Identity monitora informações confidenciais, incluindo seu número de Seguro Social, enquanto o Scam Guard utiliza detecção baseada em IA para ajudar a identificar mensagens de texto, e-mails, links e números de telefone suspeitos antes que possam causar danos.
A dark web se alimenta de informações roubadas. Saber quando seus dados estão expostos é o primeiro passo para se antecipar a isso.
