Czym jest dark web i jak różni się od deep web
Warstwy sieci: od powierzchni po podziemie
Większość osób mówi „dark web”, mając na myśli wszystko, czego nie widać w Google. Technicznie to spore uproszczenie. Sieć można podzielić na trzy główne warstwy: surface web, deep web i dark web, a każda z nich ma inne znaczenie dla wycieków danych i ich obecności w podziemiu.
Surface web (web powierzchniowy) to to, co indeksują wyszukiwarki: zwykłe strony WWW, blogi, portale informacyjne, większość publicznych sklepów internetowych. Z punktu widzenia incydentów bezpieczeństwa ta warstwa jest głównie miejscem, gdzie widać skutki ataków – komunikaty o wyciekach, artykuły prasowe, ostrzeżenia regulatorów. Same wykradzione bazy danych prawie nigdy nie są dystrybuowane na otwartej części sieci, bo byłyby natychmiast usuwane i archiwizowane jako dowód przestępstwa.
Deep web (web głęboki) to treści, do których dostęp wymaga jakiejś formy uwierzytelnienia lub które są świadomie wyłączone z indeksowania: panele logowania, intranety firmowe, panele administracyjne sklepów, skrzynki e‑mail, systemy CRM, bazy wiedzy, a także prywatne zasoby chmurowe. Zdecydowana większość danych, które później lądują na dark webie, powstaje i jest przechowywana właśnie w deep webie. Przykład: panel klienta w polskim banku jest częścią deep webu – do środka dostaniesz się dopiero po zalogowaniu.
Dark web to niewielka część deep webu, ale o specyficznej architekturze. To sieć usług, które są celowo ukryte i dostępne jedynie przez specjalne oprogramowanie (głównie Tor, rzadziej I2P). Witryny w sieci Tor mają adresy kończące się na .onion i nie da się wejść na nie z typowej przeglądarki bez odpowiedniej konfiguracji. W odróżnieniu od zwykłego deep webu, dark web jest projektowany z myślą o anonimowości i utrudnieniu identyfikacji operatorów, co sprzyja rozwojowi podziemnego handlu danymi z wycieków.
Sieci Tor i I2P – jak działają ukryte usługi
Najpopularniejszą bramą do dark webu jest sieć Tor (The Onion Router). Użytkownik łączy się z siecią przez specjalną przeglądarkę (np. Tor Browser), a ruch jest przekazywany przez kilka losowych węzłów, szyfrowany warstwowo niczym cebula. Każdy węzeł zna tylko swojego poprzednika i następnika, ale nie zna całej trasy. To utrudnia powiązanie konkretnego użytkownika z konkretną stroną.
Ważne są usługi ukryte (hidden services) – serwisy, które nie mają klasycznego adresu IP i działają właśnie pod adresem .onion. Serwer usług ukrytych też korzysta z Tora, dzięki czemu obie strony komunikacji (użytkownik i serwis) zyskują warstwę anonimowości. Z punktu widzenia przestępców to idealne środowisko do zakładania:
- marketów z danymi i towarami nielegalnymi,
- for przestępczych,
- „leak sites” grup ransomware,
- paneli zarządzania botnetami i malware.
Sieć I2P działa podobnie – też tworzy nakładkę anonimowości na istniejący internet – ale jest mniej popularna w polskojęzycznym podziemiu. Zdarza się, że części infrastruktury (np. panele C2 malware) działają w I2P, a dane z wycieków są ostatecznie wystawiane w sieci Tor, bo tam jest więcej potencjalnych kupujących.
Legalne zastosowania kontra nadużycia
Dark web nie jest z definicji nielegalny. Anonimowość przydaje się:
- dziennikarzom i sygnalistom przekazującym wrażliwe informacje,
- aktywistom z krajów autorytarnych,
- osobom chcącym chronić swoją prywatność przed nadmiernym śledzeniem.
Jednocześnie ta sama anonimowość sprawia, że dark web stał się miejscem, gdzie kwitnie handel:
- danymi logowania do polskich serwisów,
- skradzionymi bazami klientów sklepów i operatorów,
- danymi kart płatniczych i kont bankowych,
- narzędziami do włamań, phishingu i ransomware.
Różnica nie leży więc w technologii, tylko w jej wykorzystaniu. Ten sam mechanizm ukrytych usług może obsługiwać anonimową skrzynkę kontaktową redakcji śledczej i jednocześnie portal sprzedający paczki danych z polskich serwisów.
Popularne mity o dark webie i ich konsekwencje
W polskiej przestrzeni publicznej „dark web” jest często przedstawiany jako niemal mityczne miejsce pełne hakerów i hitmanów. Ten obraz szkodzi na dwa sposoby. Po pierwsze, bagatelizuje powszechność problemu – sugeruje, że skoro coś jest na dark webie, to dotyczy „wielkiej przestępczości”, a nie zwykłego użytkownika, który ma konto w popularnym e‑sklepie czy aplikacji do zamawiania jedzenia. Po drugie, utrudnia rzetelną ocenę ryzyka, bo ludziom wydaje się, że skoro nie korzystają z Tora, to dark web ich „nie dotyczy”.
W praktyce dane z polskich wycieków są tam traktowane jak zwykły towar. Dla operatora forum nie ma znaczenia, czy ofiara mieszka w Warszawie czy w Berlinie – liczy się liczba rekordów, typ danych, świeżość i to, jak łatwo można je spieniężyć. Przestępcy działają pragmatycznie: łączą bazy z różnych krajów, filtrują je według domen (np. @wp.pl, @gov.pl), tworzą paczki „tylko Polska” i oferują je tym, którzy specjalizują się w atakach na polskie instytucje i użytkowników.
Jakie dane z polskich wycieków najbardziej interesują przestępców
Z perspektywy atakującego: co ma realną wartość
Nie każda informacja ma taką samą wartość na podziemnym rynku. Z punktu widzenia przestępcy liczy się przede wszystkim:
- jak szybko da się dane spieniężyć,
- jak długo pozostaną użyteczne,
- ile pracy wymaga ich „obsługa” (np. przygotowanie kampanii oszustwa).
Na tej podstawie można ułożyć prostą hierarchię atrakcyjności danych, które wypływają z polskich firm i serwisów.
Dane dostępu: loginy, hasła, tokeny
Dane logowania są jednym z najczęściej sprzedawanych towarów. Chodzi zarówno o tradycyjne pary login + hasło, jak i:
- hasła skrótowe (hash), które można spróbować złamać,
- tokeny sesyjne i ciasteczka umożliwiające przejęcie aktywnej sesji,
- dostępy API (klucze, sekrety),
- dane do paneli administracyjnych, VPN i RDP.
Na podziemnych forach wyraźnie widać różnicę w „kursie”:
- masowa baza loginów i hashy z mało znanego polskiego forum – niska cena, liczy się wolumen do ataków słownikowych i credential stuffing,
- dostęp RDP do serwera w dużej polskiej firmie – dużo wyższa cena, bo nadaje się do dalszej penetracji sieci i ataków ransomware,
- prawidłowy login i hasło do konta w popularnym polskim banku – wyceniane osobno, często w modelu „success fee” (płatność za działający dostęp).
Kluczowy problem stanowi ponowne używanie tych samych haseł przez użytkowników. Pojedynczy wyciek z lokalnego e‑sklepu może otworzyć przestępcy drogę do:
- poczty elektronicznej (resetowanie innych usług),
- serwisów społecznościowych (podszywanie się),
- innych sklepów i serwisów finansowych (np. portfele inwestycyjne, fintechy).
Dlatego nawet niepozorny wyciek z polskiego forum tematycznego jest wartościowy, jeśli zawiera adresy e‑mail i hasła w postaci możliwej do złamania.
Dane osobowe: PESEL, adresy, dokumenty
Typowe polskie wycieki zawierają pełne pakiety danych osobowych. To nie tylko imię i nazwisko, ale też:
- PESEL,
- adres zamieszkania i korespondencyjny,
- numery dokumentów (dowód osobisty, paszport),
- dane kontaktowe (telefon, e‑mail),
- czasem skany dokumentów, zaświadczenia, umowy.
Takie informacje są paliwem do:
- kradzieży tożsamości (zaciąganie zobowiązań na cudze dane),
- podszywania się w rozmowach telefonicznych z bankiem lub operatorem,
- precyzyjnych kampanii phishingowych (z użyciem prawdziwych danych, co zwiększa wiarygodność),
- blackmailingu – np. wyciąganie z dokumentów wrażliwych informacji o sytuacji życiowej.
W odróżnieniu od haseł, danych osobowych nie da się łatwo „zmienić”. PESEL zostaje z nami na całe życie, adres często też nie zmienia się przez wiele lat. To sprawia, że raz wykradziony pakiet danych osobowych krąży po dark webie latami, wielokrotnie odsprzedawany, łączony z innymi bazami i wykorzystywany do kolejnych nadużyć.
Dane finansowe: karty, konta, kryptowaluty
Dane finansowe to kolejna kategoria, która wprost przekłada się na możliwość szybkiego zarobku. W kontekście polskich wycieków przestępców szczególnie interesują:
- numery kart płatniczych (czasem z datą ważności i CVV),
- dostępy do bankowości elektronicznej,
- loginy i hasła do serwisów pośredniczących w płatnościach,
- dane portfeli kryptowalutowych i giełd.
Tego typu dane są mocno kontrolowane przez instytucje finansowe, dlatego ich żywotność jest raczej krótka. Gdy dochodzi do wycieku, banki potrafią szybko zablokować komponenty ryzyka (np. karty), co obniża wartość wycieku. Z drugiej strony, jeżeli instytucja nie zorientuje się na czas, nawet kilka godzin przewagi przestępcy może oznaczać opróżnienie kont lub wykorzystanie kart do zakupów, doładowań, przerzutów środków między kontami pośredników.
Dane dotyczące kryptowalut są szczególnie wrażliwe: dostęp do klucza prywatnego lub frazy seed jest w praktyce równoważny z przejęciem środków. Tu nie ma banku, który cofnie transakcję – jeśli środki zostaną przetransferowane, odzyskanie ich jest praktycznie niemożliwe.
Wyciek danych firmowych: know-how, skrzynki, repozytoria
Oprócz danych klientów na dark webie krążą również dane wewnętrzne polskich firm. Wśród nich można znaleźć:
- zawartość skrzynek mailowych kadry zarządzającej,
- repozytoria kodu (Git, SVN) – w tym klucze, hasła, konfiguracje,
- dokumenty prawne i finansowe,
- oferty przetargowe i kalkulacje,
- plany produktowe i strategię sprzedaży.
Te dane są zwykle sprzedawane w węższym gronie. Często trafiają najpierw do grup specjalizujących się w szantażu lub wywiadzie gospodarczym. Część jest wykorzystywana do „drugiego ataku” – np. na kontrahentów za pomocą podszywania się pod prawdziwą korespondencję (tzw. BEC – Business Email Compromise). Wyciek repozytorium kodu z polskiego software house’u może odsłonić klientelę, błędy w zabezpieczeniach, a nawet dane dostępowe do środowisk produkcyjnych klientów.
Dane „jednorazowe” vs. długowieczne
Z punktu widzenia obrony i oceny ryzyka ważne jest rozróżnienie między danymi, które można szybko unieważnić, a tymi, które będą „żyć” latami. Można to ująć w proste porównanie:
| Typ danych | Przykład | Możliwość unieważnienia | Długoterminowe ryzyko |
|---|---|---|---|
| Dane jednorazowe | Numer karty płatniczej | Wysoka – możliwość szybkiej blokady i wymiany karty | Niskie po wymianie – stary numer traci wartość |
| Dane jednorazowe | Token sesji | Wysoka – wygaszenie sesji przez administratora | Niskie – po unieważnieniu tokenu brak dalszego zagrożenia |
| Dane długowieczne | PESEL, data urodzenia | Niska – brak realnej możliwości zmiany | Wysokie – użyteczne do wyłudzeń i weryfikacji przez wiele lat |
| Dane długowieczne | Adres e‑mail i hasło używane w wielu serwisach | Średnia – można zmienić hasła, ale użytkownicy często o tym zapominają | Wysokie – ataki na inne serwisy, w tym po latach od wycieku |
| Dane długowieczne | Historia medyczna, wyniki badań | Niska – nieusuwalne informacje o stanie zdrowia | Wysokie – potencjał szantażu, dyskryminacji, manipulacji |
Rekordy medyczne i dane wrażliwe: „waluta premium”
Wśród długowiecznych informacji szczególne miejsce zajmują dane medyczne i inne dane wrażliwe. W polskich wyciekach zdarzają się paczki zawierające:
- historię wizyt i rozpoznania chorób,
- informacje o przyjmowanych lekach,
- dokumentację z poradni zdrowia psychicznego,
- dane o niepełnosprawnościach i orzeczeniach,
- rezultaty testów na choroby zakaźne, w tym weneryczne.
Na pierwszy rzut oka takie dane nie wyglądają na „łatwe do spieniężenia”. Nie da się na ich podstawie bezpośrednio wyczyścić konta bankowego. Ich siła leży gdzie indziej:
- używa się ich do wywarcia presji na ofierze (groźba ujawnienia choroby przed rodziną czy pracodawcą),
- stanowią podstawę do precyzyjnego profilowania (np. oferty pseudoterapii, fałszywych „klinik”, agresywnych MLM z suplementami),
- mogą być kartą przetargową w sporach biznesowych czy politycznych.
Zbliżoną kategorię stanowią dane obyczajowe: treści z komunikatorów, zdjęcia prywatne, logi z serwisów randkowych. W polskich sprawach dotyczących wycieków z portali erotycznych czy „matrymonialnych” widać, że nawet mały wyciek (kilka tysięcy rekordów) potrafi mieć znacznie większy ciężar psychologiczny niż ogromna baza anonimowych loginów i hashy.
Od incydentu do ogłoszenia na forum: typowy łańcuch zdarzeń
Wejście do systemu: phishing, podatności, błędy konfiguracji
Żeby dane mogły trafić na dark web, ktoś musi najpierw uzyskać do nich dostęp. W polskich realiach najczęściej dzieje się to trzema drogami:
- phishing i socjotechnika – pracownik loguje się na fałszywej stronie, instaluje załącznik z malware lub podaje hasło „informatykowi” przez telefon,
- wykorzystanie podatności – automatyczne skanery wykrywają znane błędy (np. w panelu VPN, serwerze WWW, oprogramowaniu sklepu) i wykorzystują gotowe exploity,
- zła konfiguracja – otwarte bazy danych (np. Elasticsearch, MongoDB), niewłaściwe uprawnienia na serwerach plików, brak 2FA na krytycznych kontach.
Często jest to połączenie kilku czynników. Przykładowy scenariusz: pracownik pada ofiarą phishingu, przestępcy logują się do VPN, a następnie na serwerach znajdują otwarte udziały sieciowe z kopiami baz i backupami.
Rozpoznanie i selekcja: co warto brać, a co zostawić
Po uzyskaniu dostępu atakujący nie ściąga „wszystkiego jak leci”, bo to generuje hałas i podnosi ryzyko wykrycia. Najpierw wykonuje rozpoznanie:
- sprawdza strukturę sieci (domeny, serwery, segmentację),
- szuka baz danych klientów, systemów księgowych, CRM,
- analizuje uprawnienia – które konta mają „widok” na całą organizację.
Na tym etapie dochodzi do selekcji danych. Dane dzielone są na:
- „masówkę” – surowe rekordy klientów, logi, archiwa poczty (materiał do hurtowej sprzedaży),
- „rodzynki” – pojedyncze skrzynki osób decyzyjnych, repozytoria z kodem, dane finansowe (materiał do szantażu i precyzyjnych ataków BEC),
- „śmieci” – kopie zapasowe systemów testowych, stare dane techniczne, które nie mają wartości dla przestępców.
Eksfiltracja danych: ciche wynoszenie „ładunku”
Gdy cel został wybrany, dane trzeba bezszelestnie przenieść poza środowisko ofiary. Używane są do tego:
- szyfrowane kanały (VPN, tunelowane połączenia w HTTP/HTTPS),
- serwery pośredniczące w innych krajach (VPS, serwery z poprzednich włamań),
- „kawałkowanie” danych – wyprowadzanie małych porcji, np. archiwów po kilkaset MB, przez kilka dni lub tygodni.
W praktyce wygląda to tak, że baza klientów jest dzielona na paczki, kompresowana, szyfrowana i wysyłana w pozornie „niewinny” sposób. Dla monitoringu ruchu wychodzącego kilka gigabajtów po HTTPS może wyglądać jak zwykły backup do chmury.
Monetyzacja: sprzedać, zaszantażować, czy wykorzystać samemu
Po udanym wycieku napastnik musi zdecydować, jak najlepiej spieniężyć dane. Zwykle wybiera jedną z trzech dróg:
- sprzedaż hurtowa – szybkie pieniądze, niższa cena za rekord, mniejsze ryzyko „świecenia się” przy dalszych działaniach,
- szantaż (extortion) – kontakt z ofiarą, groźba publikacji danych, próba uzyskania wysokiego jednorazowego okupu,
- własne wykorzystanie operacyjne – ataki BEC, przejmowanie kont, wyłudzenia kredytów na PESEL-e z wycieku.
Coraz częściej spotyka się model mieszany: część danych wykorzystywana jest do szantażu, a pozostała „masówka” trafia na dark web w formie pakietów sprzedawanych hurtowo.
Publikacja: teaser, „proof” i pełna paczka
Zanim pełne dane trafią na sprzedaż lub do publicznego archiwum na dark webie, pojawia się materiał dowodowy. Atakujący publikują:
- zrzuty ekranu z paneli administracyjnych,
- fragmenty bazy (np. kilka setek rekordów z zaciemnionymi danymi),
- wycinek korespondencji z wewnętrznych skrzynek.
Taki „teaser” ma kilka funkcji. Po pierwsze, udowadnia potencjalnym kupującym, że dane są prawdziwe. Po drugie, zwiększa presję na ofierze (szczególnie gdy w tle toczą się negocjacje w sprawie okupu). Po trzecie, buduje reputację atakującej grupy – na forach liczy się „portfolio” udanych wycieków.
Główne kanały dystrybucji: fora, markety, prywatne kanały
Publiczne fora na dark webie: tablica ogłoszeń podziemia
Najbardziej widocznym miejscem obrotu danymi są fora dyskusyjne dostępne przez Tor. W praktyce pełnią one rolę mieszaną:
- ogłoszeń sprzedaży (sekcje typu „databases”, „leaks”),
- rekrutacji wspólników (partnerzy do prania pieniędzy, operatorzy botnetów),
- wymiany wiedzy technicznej (tutoriale, exploity, wskazówki jak omijać polskie procedury KYC).
W odniesieniu do polskich wycieków widać dwa nurty. Z jednej strony, duże fora międzynarodowe, gdzie polskie bazy są jednymi z wielu – konkurować tam muszą z danymi z USA czy Europy Zachodniej. Z drugiej, mniejsze społeczności z silnym komponentem słowiańskojęzycznym, gdzie popyt na dane .pl jest wyższy, a bariery językowe zawężają krąg uczestników.
Marketplaces: dane jak produkt na półce
Osobną kategorię stanowią marketplaces na dark webie, które przypominają serwisy e‑commerce. Wystawiający tworzą oferty z:
- opisami zawartości (liczba rekordów, zakres dat, typy danych),
- próbkami w załącznikach,
- ratingiem jakości (na podstawie opinii kupujących).
Takie markety oferują wygodne funkcje:
- sortowanie według kraju,
- filtry po typie danych (loginy, karty, PESEL-e),
- zabezpieczone escrow (środki blokowane przez platformę do czasu pozytywnego feedbacku).
Polskie bazy bywają tam sprzedawane w kilku wariantach:
- pełne dumpy – kompletne zrzuty z konkretnego serwisu (np. „PL e-commerce 2023, 2 mln rekordów, e-mail + hash”),
- zestawy tematyczne – zlepki z kilku źródeł, np. „PL finance pack” zawierający loginy do bankowości, fintechów i kantorów online,
- dane „premium” – wyselekcjonowane konta z wysokim saldem, domenami firmowymi, maile w sektorach regulowanych.
Prywatne kanały: zamknięte kręgi i „oferty tylko dla zaufanych”
Najcenniejsze dane rzadko trafiają od razu na otwarte forum czy publiczny market. Obraca się nimi w zamkniętych kręgach, do których dostęp otrzymują jedynie sprawdzeni gracze. Kanały kontaktu to:
- szyfrowane komunikatory (Signal, Jabber/OMEMO, Session),
- zamknięte serwery komunikacyjne z wieloetapową weryfikacją,
- sieci kontaktów budowane latami na bazie wcześniejszych transakcji.
W takich środowiskach odbywa się:
- dystrybucja świeżych wycieków przed ich upublicznieniem (tzw. pre-leaks),
- handel dostępami infrastrukturalnymi (VPN, RDP, panele chmurowe polskich firm),
- aranżowanie ataków „pod klucz” na konkretne cele w Polsce – np. rozgrywanie BEC na łańcuchu dostaw.
Różnica wobec publicznych forów jest podobna jak między serwisem ogłoszeniowym a zamkniętym klubem inwestorów: na publicznych forach widać tylko wierzchołek góry lodowej. Największe transakcje dotyczące polskich danych dzieją się poza zasięgiem przypadkowych obserwatorów.
„Leaking sites” grup ransomware: archiwa szantażu
Odrębnym kanałem dystrybucji są strony publikacyjne grup ransomware. To zwykle serwisy działające w sieci Tor, gdzie operatorzy ogłaszają swoje ofiary i udostępniają wykradzione dane. Struktura bywa podobna do bloga:
- lista ofiar z krótkim opisem (branża, kraj, przychody),
- informacja o stanie negocjacji („negotiations failed”, „pending”),
- linki do archiwów z pełnymi danymi lub ich częścią.
Polskie firmy – od średnich producentów po szpitale i urzędy – pojawiają się na tych listach regularnie. Dla grup ransomware takie serwisy są narzędziem presji: im dłużej ofiara zwleka z zapłatą, tym większa szansa, że wyląduje w „galerii wstydu” wraz z próbkami dokumentów.
Ransomware i „double extortion”: gdy dane trafiają na dark web w ramach szantażu
Od samego szyfrowania do wycieku: ewolucja modelu
Pierwsze fale ransomware w Polsce opierały się głównie na szyfrowaniu danych i żądaniu okupu za klucz deszyfrujący. Z czasem obrona organizacji dojrzała: kopie zapasowe, segmentacja sieci, lepsze procedury odtwarzania. Odpowiedzią przestępców było dodanie drugiego elementu – kradzieży danych przed szyfrowaniem.
W modelu „double extortion” atakujący:
- infekuje infrastrukturę i porusza się po sieci,
- kopiuje najcenniejsze dane na własne serwery,
- szyfruje systemy ofiary,
- żąda okupu za klucz oraz za niepublikowanie danych.
Dla polskiej organizacji oznacza to, że same backupy przestają wystarczać. Nawet jeśli uda się przywrócić systemy, poufne dane mogą już krążyć po dark webie, a reputacyjne i prawne konsekwencje wycieku pozostają.
Triple extortion: presja na klientów i partnerów
Kolejnym etapem jest tzw. triple extortion. Tu przestępcy nie ograniczają się do szantażu jednej organizacji. Wykorzystują dane, by:
- kontaktować się z klientami ofiary, grożąc im ujawnieniem danych, jeśli nie wywrą presji na firmę-matkę,
- atakować partnerów z łańcucha dostaw, wykorzystując wrażliwe informacje z wycieku (cenniki, umowy, loginy do portali B2B),
- eskalować sprawę do regulatorów lub mediów, strasząc „kontrolą z urzędu” lub nagłośnieniem sprawy.
W polskich przypadkach atakujący zdarza się, że rozsyłają e‑maile do klientów wykradzionej bazy, informując ich, że firma „ukrywa przed wami wyciek”. Dla organizacji to podwójny kryzys: incydent bezpieczeństwa i utrata zaufania w jednym.
Publiczna publikacja jako „ostatnia instancja”
Jeżeli negocjacje z ofiarą kończą się fiaskiem albo firma zajmuje twarde stanowisko „nie płacimy”, grupa ransomware często publikuję pełną paczkę danych na swoim serwisie w Tor. W praktyce wygląda to różnie:
- zrzut w kilku częściach (np. dokumenty, bazy danych, skrzynki),
- archiwa zabezpieczone hasłem z publicznie podanym kluczem,
Najczęściej zadawane pytania (FAQ)
Czym różni się dark web od deep web i „zwykłego” internetu?
„Zwykły” internet (surface web) to strony widoczne w Google: portale, blogi, sklepy, serwisy informacyjne. Deep web to już cała reszta treści schowanych za logowaniem lub wyłączonych z indeksowania, np. panele klienta w banku, skrzynki e‑mail, intranety firmowe. To tam na co dzień powstają i są przechowywane dane, które później mogą wyciec.
Dark web to mały wycinek deep webu, ale dostępny wyłącznie przez specjalne oprogramowanie, głównie Tor. W odróżnieniu od zwykłego deep webu, dark web jest z założenia anonimowy – trudniej ustalić, kto stoi za daną stroną. To właśnie ta cecha sprawia, że jest chętnie wykorzystywany do handlu skradzionymi bazami, danymi logowania czy narzędziami do ataków.
Jak dane z polskich wycieków trafiają na dark web?
Najpierw dochodzi do incydentu: włamania do serwisu, przejęcia panelu administracyjnego, zainfekowania stacji roboczej malware kradnącym dane czy wycieku z błędnie skonfigurowanej bazy. Informacje, które normalnie żyją w deep webie (np. baza klientów e‑sklepu, CRM firmy), są kopiowane przez atakującego.
Potem sprawcy sprzedają je lub publikują w podziemnej części sieci. Część danych trafia na zamknięte fora i prywatne kanały (np. do dalszej odsprzedaży), a część na tzw. leak sites grup ransomware lub na markety w sieci Tor. Z punktu widzenia przestępcy to zwykły towar: liczy się liczba rekordów, typ danych (loginy, PESEL, karty płatnicze), świeżość i to, jak łatwo da się je spieniężyć.
Jakie dane z polskich wycieków są najcenniejsze dla przestępców?
Najbardziej pożądane są dane, które można szybko zamienić na pieniądze. Na samej górze stoją loginy i hasła (lub ich skróty), tokeny sesyjne, dostępy do VPN, RDP czy paneli administracyjnych. Pojedynczy działający dostęp do konta bankowego lub serwera dużej firmy jest wart więcej niż masowa baza z mało znanego forum.
Druga kategoria to pełne pakiety danych osobowych: imię, nazwisko, PESEL, adres, numery dokumentów, skany umów. Na ich podstawie można podszywać się pod ofiarę, prowadzić udane ataki socjotechniczne, a nawet próbować zaciągać zobowiązania finansowe. Dane kart płatniczych i kont bankowych to osobny segment – często sprzedawany w małych „porcjach”, za wyższą cenę i z dodatkowymi informacjami (np. kraj, bank, limit).
Czy korzystanie z dark webu jest nielegalne w Polsce?
Samo używanie Tora czy wchodzenie na strony .onion nie jest w Polsce zakazane. Technologia jest neutralna – to sposób jej wykorzystania decyduje o legalności. Legalne są m.in. anonimowa komunikacja z dziennikarzem, korzystanie z bezpiecznej skrzynki dla sygnalistów czy dostęp do materiałów cenzurowanych w innych krajach.
Nielegalne jest natomiast kupowanie, sprzedawanie i wykorzystywanie skradzionych danych, narzędzi do włamań czy innej przestępczej infrastruktury. Podobnie jak w „zwykłym” internecie, odpowiedzialność karna pojawia się, gdy przechodzimy od biernego przeglądania do udziału w przestępstwie (np. zlecenie ataku, zakup dostępu do cudzej bankowości).
Nie korzystam z Tora – czy dark web i tak mnie dotyczy?
Tak, bo to nie Ty musisz „wchodzić” na dark web, żeby Twoje dane się tam znalazły. Wystarczy, że korzystasz z bankowości internetowej, popularnych e‑sklepów, serwisów z dostawą jedzenia czy platform social media. Jeśli którakolwiek z tych firm padnie ofiarą skutecznego ataku i wycieku, Twoje dane mogą zostać wystawione na sprzedaż w sieci Tor – bez Twojego udziału i wiedzy.
Dobrym porównaniem jest lombard albo targ z kradzionymi rzeczami. Nie musisz tam bywać, żeby Twoja skradziona paczka, rower czy telefon się tam pojawiły. Podobnie jest z wyciekami: to sprawcy „znoszą” dane do podziemia, a ofiary często dowiadują się o tym dopiero z opóźnieniem, z komunikatów firm lub mediów.
Jak sprawdzić, czy moje dane z polskich serwisów wyciekły na dark web?
Bezpośrednie wchodzenie na fora i markety w sieci Tor w poszukiwaniu własnych danych zwykle nie ma sensu – jest mało skuteczne i wiąże się z ryzykiem. Praktyczniejsze są serwisy monitorujące wycieki (np. międzynarodowe bazy naruszeń, narzędzia oferowane przez niektórych operatorów, banki czy firmy bezpieczeństwa), które informują, czy Twój e‑mail pojawił się w znanych incydentach.
Widać też różnicę w podejściu: użytkownik indywidualny najczęściej bazuje na takich usługach oraz na komunikatach firm (maile o naruszeniu, wymuszona zmiana hasła). Firmy z kolei coraz częściej korzystają z płatnego monitoringu dark webu, który automatycznie wyszukuje wzmianki o konkretnych domenach, markach, adresach e‑mail lub fragmentach baz danych.
Co zrobić, jeśli moje dane z wycieku mogły trafić na dark web?
Najpierw trzeba odróżnić dwa scenariusze. Jeśli wyciek dotyczy loginów i haseł – priorytetem jest zmiana haseł wszędzie tam, gdzie mogło być użyte to samo lub podobne hasło, włączenie 2FA (dwuskładnikowego uwierzytelniania) i wylogowanie aktywnych sesji. Gdy idzie o dostęp do banku, konieczny jest szybki kontakt z bankiem i uważne monitorowanie rachunku.
Jeśli wyciek obejmuje PESEL, adres, numery dokumentów, dodatkowo przydaje się:
- założenie konta w systemach monitorujących zapytania kredytowe (np. BIK, komercyjne usługi antyfraudowe),
- zgłoszenie podejrzenia naruszenia w banku i u operatorów (aby utrudnić zdalne uwierzytelnianie na Twoje dane),
- większa czujność na telefony „z banku” i wiadomości z linkami – przestępcy często łączą prawdziwe dane z phishingiem, żeby brzmiało to bardziej wiarygodnie.
W praktyce po poważnym wycieku trzeba myśleć nie o jednorazowej reakcji, tylko o stałym podniesieniu poziomu ostrożności.
Najważniejsze wnioski
- Internet dzieli się na trzy warstwy: surface web (to, co indeksuje Google), deep web (zasoby za logowaniem, panele, intranety) i dark web (ukryta, anonimowa część deep webu dostępna m.in. przez Tor), a wykradzione dane powstają głównie w deep webie, lecz sprzedawane są na dark webie.
- Dark web jest technicznie tylko niewielkim wycinkiem sieci, ale dzięki architekturze ukrytych usług (.onion, Tor, czasem I2P) jest zoptymalizowany pod anonimowość operatorów i użytkowników, co sprzyja handlowi skradzionymi danymi, narzędziami do ataków i infrastrukturą malware.
- Ta sama technologia (Tor, ukryte usługi) obsługuje zarówno legalne zastosowania – komunikację dziennikarzy, sygnalistów czy aktywistów – jak i nielegalne rynki z loginami, bazami klientów czy danymi kart, więc o „ciemnej stronie” decyduje sposób wykorzystania, nie sam mechanizm.
- Popularny mit, że dark web to egzotyczne miejsce „dla wielkich przestępców”, zniekształca obraz ryzyka: dane zwykłych użytkowników polskich e‑sklepów, banków czy aplikacji do jedzenia pojawiają się tam równie często jak dane z zagranicy i są traktowane jak zwykły towar.
- Dla cyberprzestępców liczą się cechy biznesowe danych: jak szybko można je spieniężyć, jak długo pozostaną użyteczne i ile pracy wymaga ich wykorzystanie, dlatego najwyżej wyceniane są bezpośrednie dane dostępu (loginy, hasła, tokeny), a niżej np. same adresy e‑mail.
