Kako deluje trg ukradenih podatkov na temnem spletu oziroma v tako imenovanem dark webu, kjer kriminalno podzemlje nemoteno trguje z identitetami, gesli in bančnimi podatki?

Najnovejše poročilo Europola o kibernetskih grožnjah (The Internet Organised Crime Threat Assessment – IOCTA) razkriva cvetoči črni trg z ukradenimi podatki. Ukradeni, prodani in znova zlorabljeni – to je naslov Europolovega poročila, ki namiguje na skrivno življenje naših podatkov. Zaradi enega nepazljivega klika lahko namreč pristanejo v globinah temnega spleta, kjer jih kibernetski kriminalci spreminjajo v visoko cenjeno blago – in ta posel izjemno cveti.

Kot ugotavlja Europol, se je v preteklem letu organizirani kibernetski kriminal razvijal z izjemno hitrostjo. Hitro uvajanje novih tehnologij in nenehna širitev digitalne infrastrukture sta kriminalne dejavnosti še bolj pomaknila v spletno okolje. Zato so podatki skupaj z digitalno infrastrukturo postali ključne tarče, pri čemer podatki igrajo dvojno vlogo: so tako cilj kot tudi orodje kibernetskih kriminalcev.

Vaši podatki krožijo kot blago

Europol in drugi organi pregona sledijo transakcijam, zasegajo strežnike in razbijajo »tržnice« za ukradene podatke. FOTO: Depositphotos

Osebne podatke – od podatkov za prijavo (uporabniško ime in geslo) ter številk kreditnih kartic do zanimanj in navad na družbenih omrežjih ter zdravstvenih podatkov – napadalci pridobijo s ciljanim kibernetskim napadom, nato pa jih prodajajo na specializiranih forumih temnega spleta ali prek šifriranih platform. Ta trgovina temelji na dobro strukturiranem kriminalnem ekosistemu: posredniki začetnega dostopa prodajajo »ključe« za vstop v sisteme podjetij, podatkovni posredniki ponujajo pakete z milijoni ukradenih zapisov, druge skupine pa te informacije izrabljajo za prevare, izsiljevanje in krajo identitete.

Kako kriminalci sploh dobijo naše podatke

Posredniki začetnega dostopa (IAB) prodajo »prvi ključ«, ransomware skupine pa izsiljujejo z ukradenimi podatki. FOTO: Depositphotos

Ena najpogostejših tehnik za pridobivanje podatkov je socialni inženiring, s katerim razkrijejo občutljive informacije. Phishing e-pošta, lažni klici »tehnične podpore«, prevarantske povezave in sporočila, ki ciljajo na strah ali radovednost, so že del našega vsakdana.

Najbolj skrb vzbujajoča novost pa je generativna umetna inteligenca, ki generira personalizirana sporočila, ki posnemajo jezik, kulturo in navade žrtve. Vse pogostejše so glasovne »deepfake« imitacije poslovodij, s katerimi napadalci od zaposlenih izsilijo lažna plačila ali prenose sredstev.

Kriminalne platforme: od temnega spleta do šifriranih klepetov

Izsiljene odkupnine potujejo prek kriptomenjalnic in mešalnikov ter se razpršijo čez več računov in držav. FOTO: Depositphotos

Najbolj iskani so podatki za prijavo (VPN, e-pošta, družbena omrežja), dostopi do sistemov podjetij, številke kreditnih kartic in bančni podatki. Nezakonita trgovina s podatki poteka predvsem na skritih forumih temnega spleta, a se hitro seli tudi v šifrirane komunikacijske aplikacije. Na teh »tržnicah« se prodajajo seznami ukradenih podatkov, paketi kartičnih številk (t. i. card dumps), pa tudi »ključi do omrežja«, ki jih posredniki začetnega dostopa prodajo za vstop v sisteme podjetij. Na voljo so paketi za phishing in orodja za izrabo ranljivosti, programi za tih prenos zlonamerne kode, storitve za izogibanje varnostnim mehanizmom (npr. t. i. bulletproof gostovanje in rezidenčni posredniki) ter navodila za prikrivanje sledi.

Ker je ta ekosistem razvejen, odporen in razpršen po več kanalih, zahteva kombiniran odziv: več digitalne pismenosti pri uporabnikih, bolj sofisticirane informacijske sisteme v organizacijah in usklajeno delovanje organov pregona.

Čeprav so organi pregona nekatere znane trge nedavno onemogočili, se pojavljajo novi, manjši in specializirani kanali. Januarja so v mednarodni akciji Operation Talent pod okriljem Europola in z vodstvom nemškega zveznega urada kriminalistične policije zaprli foruma Cracked in Nulled, ki sta imela skupaj več kot 10 milijonov uporabnikov. Junija 2025 pa so evropske oblasti ob podpori Europola in Eurojusta razbile tudi dolgoletno dark web tržnico Archetyp Market: infrastrukturo so odklopili na Nizozemskem, domnevnega 30-letnega skrbnika pa aretirali v Barceloni.

Grožnje podjetjem, institucijam in posameznikom

Žrtve niso le nepazljivi uporabniki. Vse pogosteje so tarče zasebna podjetja, javne institucije in ključna infrastruktura. Začetni dostopi se prodajo izsiljevalskim skupinam (ransomware), ki sisteme zašifrirajo in zahtevajo odkupnine v kriptovalutah. Podatki, nabrani z različnimi prevarami, se uporabljajo za izsiljevanje, krajo identitete in širjenje posebej občutljivih, nezakonitih vsebin. Skupine delujejo v zaprtih kanalih, kjer si izmenjujejo ukradene podatke, nasvete in scenarije pritiskov, s čimer izsiljevanja postajajo bolj učinkovita in škodljiva.

Skrito delovanje kriminalne verige

Zlonamerna koda tiho pobere gesla, žetone sej in piškotke ter jih pošlje napadalcu. FOTO: Depositphotos

Kibernetski kriminalci imajo jasno delitev vlog in dobička. Na vrhu verige so razvijalci zlonamerne programske opreme in ponudniki storitev izsiljevalske programske opreme (Ransomware-as-a-Service – RaaS), ki izsiljevalska orodja oddajajo »v najem«. Pod njimi delujejo posredniki začetnega dostopa (Initial Access Brokers – IAB), ki pridobijo »prvi ključ« do sistemov podjetij in ga prodajo naprej. Ko kupci prevzamejo dostop, sledi kraja podatkov in končno izsiljevanje z objavo ali šifriranjem.

V ozadju takšnih operacij so dejavnosti, ki jih organizirani kriminal tradicionalno obvladuje: pranje denarja, logistika in zastraševanje. Ukradeni dobički se »izgubijo« v verigah kriptomenjalnic, mešalnikov (»mixers« – pomešajo več vhodnih transakcij različnih uporabnikov) in večplastnih shem pranja denarja (»layering«), pogosto z uporabo posrednikov (»money mules«), ki denar prenašajo čez številne račune in države.

Za tehnično zaledje poskrbijo posebna, težje odstranljiva gostovanja, posredniški strežniki in zaprti kanali, kjer si kriminalci delijo navodila, sezname žrtev in načine pritiska (npr. objava vzorcev ukradenih podatkov, odštevalniki, klici zaposlenim).

Isti zlonamerni akterji prodajajo pakete za phishing, orodja za krajo prijavnih podatkov, storitve za izogibanje večfaktorski avtentikaciji (MFA) in celo lažne klicne centre. Tako nastane modularen in trdoživ ekosistem, ki se hitro seli med različnimi platformami.

Učinkovit odziv je mogoč le z več kibernetske higiene, hitro izmenjavo informacij in usklajenim pregonom – od zasega infrastrukture do prekinjanja finančnih tokov.

Poskrbite za svojo zaščito z A1 varnostnimi rešitvami!

Od grožnje k zaščiti: kibernetska obramba z A1

A1 Varnostno operativni center (VOC) 24/7 spremlja dogodke, potrjuje alarme in izvaja ukrepe, da podjetja ostanejo varna. FOTO: Depositphotos

Ko prepoznamo, kako hitro se ukradeni podatki spreminjajo v dobiček, je naslednji korak jasen: vsako podjetje potrebuje partnerja, ki grožnje zazna, zajezi in pomaga obnoviti delovanje, še preden nastane škoda. Tu nastopi A1 Slovenija s svojimi varnostnimi rešitvami, med katerimi izstopa A1 Varnostno operativni center (VOC), ki ga podjetja najbolj cenijo zaradi stalnega nadzora in hitrega odziva. A1 VOC deluje kot 24/7 nadzorni in odzivni mehanizem. Spremlja dogodke, avtomatizirano zaznava anomalije, filtrira lažne alarme in izvaja varnostne ukrepe. Prednost A1 VOC je kombinacija vrhunske tehnologije in izkušene domače ekipe, kar skrajša odzivni čas in zmanjša poslovni izpad.

Kibernetska obramba se začne pri popisu sredstev in oceni tveganj: varnostni inženirji A1 z varnostnimi pregledi in testiranji odkrijejo ranljivosti, jih ovrednotijo in pripravijo jasen načrt ukrepov. Vodstvo s tem dobi tudi konkreten načrt in usmeritev, kako začeti krepiti kibernetsko odpornost.

Poleg storitev A1 VOC ter varnostnih pregledov in testiranj ponudba A1 vključuje tudi A1 Endpoint Protect za zaščito naprav, Offensity za odkrivanje ranljivosti A1 Cyber Backup za varnostno kopiranje podatkov in simulacije tehnik socialnega inženiringa, ki krepijo ozaveščenost zaposlenih. Hrbtenica kibernetske zaščite pri A1 Slovenija je skupina več kot 400 varnostnih inženirjev.

Če do napada vendarle pride, odločajo minute. Primeri iz prakse kažejo, da je VOC A1 uspešno zaznal in zaustavil resne incidente. Njihov pristop podjetjem prinese miren spanec tudi ponoči in ob koncih tedna.

Naročnik oglasne vsebine je A1 Slovenija.