Forum Cebulka w polskim dark necie

Od złodziei samochodów po złodziei BLIKów. Co słychać w polskim dark necie.

O tym, że w internetowym podziemiu dostępne są miejsca, w których kwitnie handel nielegalnymi towarami oraz czarny rynek usług wie chyba każdy. Od czasu do czasu docierają do nas informacje o pojawiających się na podziemnych forach ogłoszeniach związanych np. ze sprzedażą danych pochodzących z kradzieży, złośliwego oprogramowania, 0-dayów czy usług w postaci ataków DDOS lub dostępu do botnetów.

Postanowiłem zrobić mały przegląd treści ogłoszeń aktualnie udostępnianych w polskiej części dark netu, czyli na najprężniej w tej chwili działającym polskojęzycznym forum w sieci TOR – „Cebulce”.

Dragi i dowody osobiste w promocji

Na początek przyjrzyjmy się ofertom promowanym, które widnieją na głównej stronie forum:

Oferty promowane na cebulkowym forum - narkotyki i fałszywe dokumenty
Oferty promowane na „cebulkowym” forum

Jak widać największą popularnością cieszą się nielegalne towary z rodziny substancji odurzających (narkotyki twarde, grzybki halucynogenne, marihuana) i medykamenty typu sterydy czy anaboliki. Towarzyszom im też fałszywe dowody osobiste oraz prawa jazdy. Specjalnie mnie to nie dziwi ponieważ jednym z najczęściej czytanych artykułów na OpenSecurity.pl jest tekst pt. tworzymy człowieka, czyli fałszywa tożsamość. Zdarzyło mi się już np. otrzymać zapytanie od kierowcy autobusu, który utracił uprawnienia do kierowania pojazdem i oczekiwał pomocy w wyrobieniu fałszywego dokumentu. Jak widać, na tego typu usługi jest zapotrzebowanie, a rynek nie lubi próżni.

Warto jednak zauważyć, że tego typu ogłoszenia znaleźć można również w tradycyjnym Internecie posługując się słowem kluczem: „dokumenty kolekcjonerskie”:

fałszywe dowody osobiste i prawa jazdy sprzedawane jako "dokumenty kolekcjonerskie"
„dokumenty kolekcjonerskie” w serwisie dokumenciki.net

Złodzieje samochodów

Poza ofertami promowanymi przyjrzałem się też ogłoszeniom pochodzącym z ostatnich kilkunastu tygodni. Wśród nich możemy znaleźć np. takie:

ogłoszenie złodzieja samochodów oferującego swoje usługi
ogłoszenie z ofertą złodzieja samochodów
Ogłoszenie z ofertą dostarczenia kradzionych samochodów
Poszukiwany odbiorca kradzionych samochodów

Jak widać, dark net jest miejscem spotkań nie tylko cyber-przestępców, ale również tych pospolitych, parających się przestępstwami bardziej tradycyjnymi.

Targ różności

Oprócz często spotykanych przestępstw i ogłoszeń można jednak znaleźć i takie o charakterze bardziej indywidualnym:

Ogłoszenie z danymi właściciela firmy i propozycja wspólnej kradzieży
Na sprzedaż dane właściciela firmy i propozycja wspólnej kradzieży

Może to być zarówno oferta t.zw. insidera, czyli osoby zatrudnionej w danej firmie, jak i kogoś, kto uzyskał nieautoryzowany dostęp do komputera przedsiębiorcy. Podobny charakter ma też kolejne ogłoszenie:

Ogłoszenie z ofertą sprzedaży dostępu do laptopa osoby posiadającej około 200 tys. zł.
Oferta sprzedaży dostępu do laptopa

Poniżej natomiast dwa przykład ogłoszeń, w których poszukiwani są przestępcy gotowi za wynagrodzeniem wyrządzić szkodę na czyimś wizerunku lub mieniu.

Ogłoszenie z propozycją zapłaty za wykonanie szkody na wizerunku osoby publicznej
Szkoda na wizerunku osoby publicznej – zamówienie
Propozycja zapłaty za zniszczenie mienia osoby prywatnej
Propozycja zapłaty za zniszczenie mienia

Praca (w dark necie) szuka człowieka

Kolejną kategorię stanowią ogłoszenia związane z najpopularniejszymi obecnie cyberprzestępstwami. W ogłoszeniach tych rekrutowane są osoby, które gotowe są wziąć udział w wyłudzeniach kodów BLIK, kampaniach phishingowych czy czyszczeniu kont bankowych.

Oferta udziału w wyłudzeniach kodów BLIK za wynagrodzeniem rzędu kilku tysięcy zł dziennie
Oferta z propozycją płatnego udziału w wyłudzeniach kodów BLIK
Oferta z propozycją płatnego udziału w atakach phishingowych i czyszczeniu kont bankowych
Oferta z propozycją płatnego udziału w czyszczeniu kont bankowych

Z powyższych ofert wynika, że niepotrzebne są żadne umiejętności techniczne, zainteresowani pracą otrzymają odpowiednie narzędzia i przeszkolenie oraz zarobki do kilku tysięcy złotych dziennie. Najprawdopodobniej pomysłodawcy tych przestępstw nie chcą ryzykować sami i wolą pozostać w cieniu pełniąc rolę „mózgów operacji”.

A jak to bywa na rynku pracy (nie tylko tym czarnym) tam gdzie poszukiwani są ludzie, tam też pojawiają się pośrednicy ze swoją ofertą:

Oferta z propozycją dostarczenia t.zw. "słupów"
Oferta z propozycją dostarczenia t.zw. „słupów”

T.zw. „słupy”, czyli osoby, które mają na siebie ściągnąć uwagę i ewentualne działania organów ścigania pozwalają pomysłodawcom operacji pozostawać anonimowymi i czerpać większość zysków z przestępstwa.

„Bankierzy”, „karderzy” i „bramkarze”

Kolejne przykłady ogłoszeń związane są z przestępstwami polegającymi na kradzieży środków z kont bankowych, kart płatniczych lub poprzez fałszywe bramki płatności. Stąd też osobom parającym się tego typu działalnością w podziemnych światku przypisywane są określenia, odpowiednio: bankierów, karderów lub bramkarzy.

Ogłoszenie z ofertą współpracy dla "bankiera"
Ogłoszenie z ofertą współpracy dla „bankiera”
Oferta kupna danych kart płatniczych
Oferta kupna danych kart płatniczych

Autor powyższego ogłoszenia na pewno chętnie nawiąże współpracę z autorem oferty zamieszczonej poniżej:

Oferta sprzedaży danych kart płatniczych
Oferta sprzedaży danych kart płatniczych

I jeszcze jeden „karder” tym razem z ofertą pobierania opłat za pomocą terminala. Jest to o tyle interesujące, że tego typu kradzieże uznaje się za mało prawdopodobne ze względu na konieczność zarejestrowania terminala płatniczego i opóźnienia w przekazywaniu pobranych za jego pomocą środków. Z ogłoszenia wynika jednak, że wypłata możliwa jest już następnego dnia.

Oferta ściągania płatności z kart przy użyciu terminala
Oferta ściągania płatności z kart przy użyciu terminala

Na koniec ogłoszeń z tej kategorii pozostał nam jeszcze przedstawiciel „bramkarzy”:

Oferta udostępnienia bramki płatności
Oferta udostępnienia bramki płatności

SIM swapy

SIM swap, czyli przejęcie czyjegoś numeru telefonu poprzez wyrobienie duplikatu karty SIM to metoda stosowana już od wielu lat. Za jej pomocą przestępcy są w stanie przechwycić SMS-y z kodami potwierdzającymi operacje na kontach bankowych. Więcej na ten temat pisaliśmy w tekstach: brak zasięgu w telefonie może oznaczać próbę włamania na konto bankowe oraz SIM swap – jak przestępcy czyszczą konta bankowe.

Z poniższych ogłoszeń wynika, że tego typu przestępstwa cieszą się niezmiennie dużą popularnością.

Oferta wykonania duplikatu karty SIM
Oferta wykonania duplikatu karty SIM
Oferta kupna niezarejestrowanych kart SIM
Oferta kupna niezarejestrowanych kart SIM
Oferta wykonania SIM swap-u przez pracownika sieci Orange

Z ostatniego z powyższych ogłoszeń wynika niestety, że przestępcy nie zawsze muszą liczyć na to, iż uda im się oszukać pracownika salonu GSM przy pomocy dokumentów „kolekcjonerskich”. Czasami wystarczy, że podzielą się łupem z kolegą po fachu.

Kradzieże tożsamości i telefoniści

Kradzież tożsamości to również bardzo popularna forma przestępstwa. Przejęcie skanu czyjegoś dowodu osobistego wystarczy np. do wyłudzenia t.zw. „chwilówki” lub zakupu ratalnego wartościowych towarów. Stąd też zapewne biorą się ogłoszenia takie jak to:

Oferta kupna skanów dowodów osobistych
Oferta kupna skanów dowodów osobistych

A co jeśli do któregoś z przestępstw oszust będzie potrzebował zrealizować połączenie telefoniczne? W końcu każdy szanujący się biznesmen powinien mieć asystenta. Jak to często bywa w biznesie polegającym na pozyskiwaniu leadów, wynagrodzenie prowizyjne:

Złodzieju, uważaj na oszustów – mechanizm Escrow

Zwróciliście uwagę na ramkę z czerwonym tekstem w ostatnim ogłoszeniu? Okazuje się (cóż za niespodzianka), że na forum dla różnej maści złodziei i przestępców można zostać oszukanym. Jego bywalcy nie podzielają jednak powszechnie panującego przekonania, że jak złodziej okradnie złodzieja to nic się nie stało. Dlatego też na „Cebulce” wprowadzono mechanizm Escrow, który jest czymś w rodzaju bezpiecznych płatności stosowanych w portalach ogłoszeniowych. Kupujący wpłaca najpierw środki na konto pośrednika i dopiero gdy potwierdzi otrzymanie zamówionych usług bądź artykułów pośrednik przekazuje je sprzedającemu. Dzięki temu oszust oszusta więcej nie oszuka (chyba, że oszustem okaże się pośrednik).

Nie bądź jak minister

Gdyby zdarzyło Wam się, podobnie jak jednemu z ministrów, trzymać w skrzynce mailowej skany dowodu osobistego i prawa jazdy, to niestety musicie się liczyć z tym, że one również mogą się pojawić w dark necie. I to nie w formie zanonimizowanej – na poniższym zdjęciu filtry zostały nałożone przeze mnie, na Cebulce zdjęcia zostały opublikowane w pełnej okazałości.

Dokumenty wykradzione z maila i opublikowane w dark necie
Dokumenty wykradzione ze skrzynki ministra i opublikowane w dark necie

Tutaj warto wspomnieć o kolejnej grupie funkcjonującej w ramach forum Cebulka – t.zw. „profilerzy” to osoby specjalizujące się w wykradaniu m.in. danych osobowych, tożsamości, prywatnych wiadomości, zdjęć i skanów dokumentów.

Na koniec ostrzeżenie dla osób inwestujących w kryptowaluty

Jeżeli zdarza Wam się inwestować w kryptowaluty, to pamiętajcie, że najbezpieczniejszą formą ich przechowywania są zawsze portfele sprzętowe. A jeśli nie wiecie dlaczego, to proponuję zapoznać się z poniższymi ogłoszeniami:

Oferta zakupu oprogramowania do kradzieży środków z portfeli software'owych
Oferta zakupu oprogramowania do kradzieży środków z portfeli software’owych

Mam nadzieję, że nie przyjdzie wam do głowy uruchamianie narzędzi, które podeśle życzliwy kolega z grupy internetowej. Autor powyższego ogłoszenia prawdopodobnie ubił już interes z dostawcą takim jak ten:

Pamiętajcie też, że trzymanie środków na giełdzie, nawet jeśli wasze konto jest zabezpieczone uwierzytelnianiem dwu- lub wieloskładnikowym (2FA/MFA) również nie daje gwarancji bezpieczeństwa. W mechanizmach tych też zdarzają się luki, a sprytni złodzieje mogą skorzystać chociażby z opisywanej wcześniej techniki SIM swap. Świadczyć o tym może poniższe ogłoszenie:

Oferta zakupu informacji o kontach na giełdach kryptowalut
Oferta zakupu informacji o kontach na giełdach kryptowalut

(Przy okazji, jeśli temat inwestycji w kryptowaluty jest wam bliski, to zapoznajcie się z tekstem czy inwestowanie w kryptowaluty jest bezpieczne? – analiza ryzyka.)

Mam nadzieję, że nie zepsułem wam zbytnio humoru. Śledzenie tego typu treści jest zapewne dołujące, ale ma też charakter edukacyjny. Nie żyjemy niestety w świecie idealnym i musimy się nauczyć ostrożności na każdym kroku.


Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

15 komentarzy

    1. Dzięki za komentarz. Nie było moją intencją przedstawianie Cebulki jako reprezentatywnego przykładu dla polskiego darkwebu/darknetu. Artykuł powstał trochę przy okazji bo zbierałem materiały do szkolenia. W Cebulce miałem kiedyś założone konto i znam ją jako najdłużej w tej chwili działające polskie forum, więc tam najłatwiej było mi sięgnąć. Być może pojawi się kiedyś artykuł zgłębiający temat innych miejsc, które zaczęły powstawać gdy Cebulka trochę podupadła.

  1. Kuba wiekszość tutaj to honeypoty, ja wiem że Cebulka wszystkich jara – od tego zaczynał niebezpiecznik i z3s – zakladali konta a potem donosili na psiarnie. śmietanki nie ma już dawno na torowisku wszyscy uciekli na zagraniczne fora – nikt normalny nie pisze po polskiemu żeby psiarnia musiala chociaz trochę mózgi wysilic.

    prawda jest taka że nawet w realu są miejsca gdzie zwykli ludzie nie powinni zaglądać – zapraszam Cie na dworzec np do Avenidy po 21 – zalatwisz wszystko – są określone znaki np butelka coli w ręce

    Na TORa zwykli tez nie powinni zagladac bo oszaleja

    1. Domyślam się, że pewnie te najgrubsze tematy typu samochody itp. to są prowokacje policyjne. Pewnie też dragi i dowody. Ale myślę, że drobniejsze, jakieś BLIKi itp. to mogą być jednak świeżaki, które coś tam się nauczyły, słyszały o cebulce i myślą, że zrobią interes. Oczywiście pewności nie ma. Jak pisałem, powstanie być może kontynuacja tego artykułu, w której zajmiemy się innymi miejscami.

      1. Zamawiałem dokumenty kolekcjonerskie tzn. „komplet” ze strony którą podlinkowałeś czyli dokumenciki.net – nie, nie biore kredytów na ludzi i wole o tym napisać zanim wyleje się na mnie fala hejtu. Po prostu potrzebowałem założyć sobie revoluta, monese i konto u bukmachera. Jakościowo nie odbiegają ani troche od oryginalnych dokumentów. Byłem w szoku. Odzwozorwane 1do1. Nie wiem na ile poważne są posty z cebulki ale produkty z dokumenciki.net wyglądają jak oryginalne. Szok.

        1. Na swojej stronie piszą o konkretnych zabezpieczeniach (jednych z wielu na dowodzie) i zastawia mnie na ile dowód jako całość jest w stanie emulować prawdziwy?

          Pytam się, bo weryfikacja prawdziwości dowodu osobistego jest jednym z moich obowiązków (traktowanym bardzo serio).

          1. Nie miałem okazji oglądać takiego dowodu, ale podobno nie są one tak dobrze podrobione. Osoby przeszkolone z rozpoznawania fałszywych dokumentów będą prawdopodobnie w stanie znaleźć różnice. Niestety do wyłudzenia SIM w salonie GSM najczęściej wystarczy taki „dowód kolekcjonerski”.

          2. Oni akurat mają zajebistą jakość. Po dźwięku tylko można odróżnić. Po wyglądzie nie bardzo…

        2. tylko dokumenciki.net wysyłają towar i są rzetelni a inni sprzedawcy nie są uczciwi i przestrzegam wszystkich bo się dałem nabrać. Zamawiajcie tylko na dokumenciki.net a ja oszusta ze skleppiracki dopadnę i znajdę nie odpuszczę mu 1200zł ponad!

          1. Nie blokuję tych komentarzy, bo nie naruszają jakoś specjalnie norm przyzwoitości. Ale mam nadzieję, że czytający je zdają sobie sprawę z tego, że pachnie to mocno kryptoreklamą.

            Drodzy sprzedawcy kolekcjonerskich dowodów, jak chcecie żeby zrecenzować wasze produkty, podeślijcie mi próbkę, chętnie się zapoznam i opiszę jeśli rzeczywiście są tak dobre. Obiecuję rzetelną opinię.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.