Почти каждый день появляются новости о масштабных утечках данных, атаках на инфраструктуру компаний, скомпрометированных учетках и вымогателях, парализующих бизнес. И каждый раз кажется, что это произошло где-то далеко и с кем-то другим. Пока однажды вы не узнаёте, что в даркнете уже давно продаются данные вашей компании. Или что кто-то использует ваш бренд в мошеннической схеме, а доступ в вашу корпоративную сеть выставлен на теневом аукционе за пару сотен долларов.
Эти угрозы не возникают из ниоткуда. Они формируются, обсуждаются, торгуются и распространяются задолго до того, как станут видимыми для вашей службы безопасности. И основной площадкой для этого процесса становится дарквеб — закрытая, но активная экосистема киберпреступности.
Дарквеб: не миф, а инфраструктура цифрового подполья
Дарквеб — это не страшная сказка на ночь. Это реальная среда, технически построенная на сайтах с доменами .onion, доступ к которым осуществляется через сеть Tor. Эти ресурсы не индексируются поисковыми системами и не открываются через обычные браузеры, что делает их по-настоящему скрытыми от широкой публики. Но техническая база — лишь часть картины.
На самом деле дарквеб — это целая цифровая инфраструктура, включающая форумы, маркеты, закрытые Telegram-чаты, Discord-серверы и другие каналы, где происходит взаимодействие киберпреступников. Здесь обсуждаются схемы атак, продаются украденные данные, распространяются вредоносные инструменты и даже создаются полноценные сервисы по подписке, работающие по принципу SaaS — только для атакующих.
Получить доступ ко многим таким ресурсам — задача нетривиальная. Чтобы попасть на закрытый форум, нужно не просто знать, где он находится: часто требуется пройти проверку, оплатить вступление или получить одобрение от действующего участника. Даже после регистрации необходимо демонстрировать активность, чтобы сохранить учётную запись.
Что именно там происходит: от утечек до атак по подписке
Особенно активно в теневом сегменте интернета выставляются на торги доступы и данные, которые напрямую угрожают компаниям и их клиентам. Например, RDP-доступ в корпоративную сеть может стоить от 100 до 1000 долларов, в зависимости от масштаба и отрасли компании. Такие доступы часто продаются на форумах в формате аукционов. Иногда продавцы прямо указывают регион, сегмент бизнеса или намекают на выручку жертвы.
Отдельное направление — это продажа баз персональных данных: от email-адресов и номеров телефонов до паспортных данных, ИНН, информации из банков и госструктур. Такие базы стоят в среднем от 100 до 1000 долларов. Но цена может вырасти в разы, если речь идёт о «редкой» информации, например, о состоятельных клиентах, госслужащих или медицинских данных.
Есть и другие услуги: пробив информации по персональным данным, спам-рассылки, обналичивание, фишинг-комплекты, схемы по злоупотреблению программами лояльности. Всё это продаётся открыто — но только тем, кто знает, где искать и как взаимодействовать.
Боль бизнеса — незнание
Главная проблема заключается в том, что большая часть компаний даже не подозревает, что информация о них уже давно находится в дарквебе. Сигналы об угрозе появляются задолго до инцидента, но они остаются незамеченными. Название компании может впервые появиться в обсуждении на форуме. Чуть позже — в заголовке аукционного лота о продаже доступа. Затем — в логе инфостилера, где фигурируют корпоративные e-mail и пароли. А финальным аккордом становится атака на инфраструктуру, о которой узнают уже постфактум.
Для бизнеса это значит одно: реактивная защита — недостаточна. Нужно видеть угрозу на раннем этапе — до того, как она реализуется.
Threat Intelligence как инструмент предупреждения
Здесь на первый план выходит подход, основанный на Threat Intelligence — системном сборе, анализе и интерпретации данных об угрозах из открытых, полузакрытых и полностью закрытых источников, включая дарквеб. Это не просто технический мониторинг. Это полноценная разведка, где аналитики отслеживают появление упоминаний о бренде, продукции, клиентах, доменах, IP-адресах, сотрудниках, технологиях.
Такая работа позволяет не только понимать, что уже произошло, но и прогнозировать будущие угрозы. Анализируя, кто и как продаёт данные, какие схемы обсуждаются в отраслевых группах, какие инструменты становятся популярными, можно оценить вероятность повторных атак или определить, какие сценарии особенно опасны для конкретной компании.
Threat Intelligence помогает выявлять атаки на подготовительном этапе — когда они ещё только формируются. Он позволяет реагировать на инциденты проактивно: менять пароли до того, как учётки будут использованы, закрывать уязвимости до того, как произойдёт взлом, уведомлять клиентов до того, как начнётся фишинговая рассылка от вашего имени.
Дарквеб — не миф. Он говорит о вашем бизнесе. Пора его услышать
Сегодня дарквеб — это не абстрактная угроза. Это цифровое отражение теневой активности, откуда происходят реальные атаки на бизнес. И если вы туда не смотрите, вы не знаете всей картины.
Злоумышленники развивают инструменты и каналы взаимодействия с такой же скоростью, с какой развивается легальный цифровой бизнес. Они предлагают удобные сервисы, выстраивают партнёрские сети и продают атаки как готовые продукты. Чтобы быть на шаг впереди, нужно говорить с ними на одном языке — языке данных, источников и фактов.
Ваша защита начинается там, где заканчивается привычная зона видимости. И именно дарквеб сегодня — это территория, где нужно начать смотреть в первую очередь.