Все думают, что даркнет — это запрещенка и хакеры. На самом деле там ещё скучнее и страшнее

Представьте обычный вторник. Вы пьёте кофе, смартфон вибрирует, а банк присылает уведомление: «Зафиксирована подозрительная активность». Пароль утёк. Вместе с паролем ушли данные ещё миллионов людей, чья информация только что всплыла на форуме, куда через обычный браузер не попасть. Так выглядит не сюжет триллера, а вполне будничная новость из теневой части сети.

Слово «даркнет» до сих пор вызывает слишком кинематографичные ассоциации: хакеры в худи, зелёные буквы на чёрном фоне, тайные сделки под покровом анонимности. Голливуд постарался, спору нет. Реальность скучнее по форме, но опаснее по масштабу. По данным аналитиков F6, только за 2025 год в открытый доступ утекло 767 миллионов строк с данными пользователей российских компаний. Никакой романтики, одна сухая статистика.

Что такое даркнет и почему вокруг термина столько путаницы

Для начала полезно развести три разных слоя сети, которые часто смешивают в одну кучу. Поверхностная сеть — привычная часть интернета, которую индексируют поисковики: новостные сайты, магазины, форумы, блоги. Глубокая сеть, или deep web («глубокая сеть»), — всё, что скрыто за авторизацией: банковские кабинеты, корпоративные порталы, медицинские архивы, внутренние панели сервисов. По разным оценкам, она занимает около 90% интернета. Даркнет — уже отдельная история: специальные сети поверх обычной инфраструктуры, куда без особого программного обеспечения не попасть.

Никакого «параллельного интернета» в физическом смысле не существует. Те же кабели, дата-центры, маршрутизаторы и серверы. Отличается логика доступа, маршрутизация и модель анонимности. Самая известная сеть такого типа — Tor, сокращение от The Onion Router («луковый маршрутизатор»). Название звучит странно, но как раз хорошо описывает принцип работы.

Почему у Tor луковая архитектура

Представьте письмо, которое нужно отправить так, чтобы ни один посредник не видел всю цепочку целиком. Вы кладёте письмо в один конверт, затем во второй, затем в третий. Первый узел снимает внешний слой и видит только адрес следующего узла. Второй делает то же самое. Третий передаёт сообщение дальше. У каждого участника маршрута есть лишь кусок картины, а полного маршрута не знает никто.

Технологию луковой маршрутизации разработали в середине 1990-х в Военно-морской исследовательской лаборатории США. Над проектом работали Дэвид Голдшлаг, Майк Рид и Пол Сиверсон. Изначальная задача была предельно практичной: скрывать каналы связи разведки. Публичная версия Tor появилась в 2002 году. Дальше случился почти парадокс. Чтобы прикрытие работало, одной разведке мало. Нужна масса обычных пользователей, на фоне которых служебный трафик теряется. Так инструмент для спецслужб постепенно превратился в инструмент для журналистов, активистов, исследователей и, разумеется, преступников.

Сегодня сеть Tor держится на тысячах добровольческих узлов по всему миру. Запросы проходят через несколько случайных точек, а каждый следующий участок маршрута получает только тот объём информации, который нужен для пересылки. Сайты с доменом .onion не открываются через обычный браузер. Нужен Tor Browser. Именно такие адреса и формируют ту часть сети, которую в разговорной речи чаще всего называют тёмным вебом.

Silk Road и момент, когда даркнет стал массовым мемом

Даркнет существовал задолго до того, как о нём начали писать в больших медиа. Но криминальную репутацию на глобальном уровне сформировала одна площадка. В январе 2011 года Росс Ульбрихт, молодой предприниматель из Техаса, запустил Silk Road («Шёлковый путь»). Идея выглядела дерзко даже по меркам раннего криптомира: анонимный маркетплейс в сети Tor, расчёты в биткоинах, рейтинг продавцов, почти как у крупных интернет-магазинов.

Ульбрихт представлял проект как рынок без государственного контроля. Политики увидели в нём совсем другое. В 2011 году сенатор Чак Шумер потребовал закрыть площадку и назвал биткоин инструментом для отмывания денег. Результат получился почти обратный. После громких заявлений интерес к Silk Road только вырос. К середине 2013 года аудитория площадки приблизилась к миллиону пользователей.

Финал оказался прозаичнее легенды. Агент налоговой службы нашёл на форуме Bitcointalk сообщение пользователя «altoid», где впервые упоминался Silk Road. В другой публикации тот же аккаунт оставил реальный адрес электронной почты. В октябре 2013 года ФБР задержало Ульбрихта в библиотеке Сан-Франциско, пока ноутбук оставался разблокированным и сессия площадки была открыта. Суд дал ему два пожизненных срока, а в январе 2025 года Дональд Трамп его помиловал.

История Silk Road хорошо показывает неприятную для романтиков вещь. Самые сложные анонимные схемы часто рушатся не из-за магического взлома сети, а из-за одной человеческой ошибки. Один забытый адрес электронной почты способен сделать больше, чем месяцы технической маскировки.

Чем торгуют на теневых площадках

После закрытия Silk Road рынок не исчез. Рынок повзрослел, раздробился и стал заметно прагматичнее. По данным аналитиков, к концу третьего квартала 2023 года доходы теневых площадок достигали $2 млрд, что примерно на четверть больше, чем годом ранее. Ассортимент давно вышел далеко за пределы стереотипной торговли запрещёнными товарами.

Один из самых быстрорастущих сегментов — доступы к корпоративным сетям. По данным F6, если в 2019 году на продажу выставляли около 130 корпоративных доступов в год, то в 2024 году число перевалило за 4000. Стоимость сильно зависит от размера компании, уровня привилегий и качества доступа. Нижняя граница начинается примерно от $100, верхняя доходит до $10 000 и выше. Для преступного рынка купить вход в инфраструктуру средней компании за несколько сотен долларов — обычная сделка, а не редкая удача.

Вторая крупная категория — базы персональных данных. Наборы с фамилией, именем, отчеством, телефоном, электронной почтой, иногда паспортными сведениями и историей заказов продают пачками. По данным аналитиков, услуга «пробива» по конкретному россиянину к началу 2024 года подорожала в 2,5 раза и достигла 44 000 рублей. Рынок персональной информации давно живёт по законам обычной экономики: спрос растёт, цены подтягиваются следом.

Дальше идут вредоносные программы и уязвимости. Базовый образец вредоносного программного обеспечения может стоить десятки долларов, готовый и поддерживаемый продукт — уже тысячи. Особая категория — уязвимости нулевого дня, то есть дыры, о которых производитель ещё не знает или не успел закрыть. На таких сделках суммы легко доходят до $10 000 000. Десять миллионов долларов за рабочий эксплойт звучит дико только до тех пор, пока не вспомнишь, сколько может стоить успешная атака на банк, госструктуру или крупную промышленную компанию.

Наконец, отдельной строкой идёт вымогательское программное обеспечение как услуга — готовые комплекты для атак по подписке. Модель знакома любому бизнесу: разработчики делают платформу, партнёры запускают атаки, прибыль делят. Касперский приводил пример подписки на Mystic Stealer, инструмент для кражи учётных данных, по цене $150 в месяц. Нелепо звучит только формулировка. Бизнес-модель у такого рынка вполне взрослая.

Почему Россия регулярно всплывает в даркнет-статистике

В подобных рейтингах лучше не занимать первые места. Россия занимает первое место по числу объявлений о продаже корпоративных баз данных в даркнете. За последние два года динамика выглядит особенно неприятно. Речь уже не о единичных громких историях, а о системной проблеме.

По данным «Инфосистемы Джет», сведения 59% российских компаний уже попадали на даркнет-форумы и профильные Telegram-каналы. Число утечек корпоративных учётных записей в 2024 году приблизилось к 16 000, что на 60% больше, чем годом ранее. Аналитики F6 нашли в 2024 году 455 ранее не публиковавшихся баз российских и белорусских компаний, а общий объём строк составил 457 миллионов. В 2025 году число новых баз сократилось до 250, но объём данных вырос до 767 миллионов строк. Инцидентов стало меньше, но каждая отдельная утечка стала тяжелее по последствиям.

Отдельно выделяется рост атак на государственные сервисы. В 2024 году F6 зафиксировал 11 утечек из госорганов, в 2025 году число выросло до 17. Четыре крупнейшие по объёму утечки года затронули именно государственные системы. Картина неприятная не только из-за масштаба, но и из-за символики. Когда государственные сервисы теряют данные не реже бизнеса, разговор о «критической инфраструктуре» начинает звучать куда менее торжественно.

Ещё один важный сдвиг касается самих русскоязычных киберпреступников. По наблюдениям F6, прежнее негласное правило «не работаем по Ру» заметно слабеет. Когда-то часть группировок избегала атак на российские компании, считая такой рынок нежелательной территорией. Сейчас на теневых форумах спокойно продают доступы и базы, связанные с российским бизнесом. Экономический интерес оказался сильнее старых табу.

Как силовики и следователи работают против даркнета

Со стороны кажется, будто правоохранители должны «взломать Tor» и навести порядок одним красивым ударом. На практике самые результативные операции почти всегда строятся иначе. Не через магическое вскрытие анонимной сети, а через обычную оперативную работу: внедрение в сообщества, анализ ошибок участников, отслеживание денежных потоков, контроль физических поставок, агентурную работу и цифровую криминалистику.

В 2024 году прошла серия крупных международных операций против даркнет-форумов и теневой инфраструктуры. «Лаборатория Касперского» ожидает, что публичных арестов и ликвидаций в 2025 году станет больше. Рынок уже подстраивается под давление. Открытые площадки чаще уступают место закрытым теневым форумам по приглашениям, а крупные группировки дробятся на мелкие команды, которые сложнее отследить и сложнее связать в одно дело.

В России Росфинмониторинг сообщал о пресечении работы 10 площадок с суммарным оборотом 28 млрд рублей. Цифра впечатляет, но общий объём теневого рынка заставляет воспринимать такие новости без избыточного оптимизма. Закрыть несколько заметных площадок полезно. Считать проблему решённой после таких операций уже слишком смело.

Кто пользуется даркнетом кроме преступников

Популярный штамп сводит всю аудиторию даркнета к криминалу, хотя реальная картина сложнее. Криминал там, конечно, есть и занимает значительную часть внимания. Но одним преступным миром история не исчерпывается.

Первый заметный сегмент — журналисты, правозащитники и источники в странах с жёсткой цензурой. Через анонимные сервисы вроде SecureDrop (платформа для безопасной передачи документов журналистам) люди передают материалы в редакции, не раскрывая личность и местоположение. У крупных западных изданий, включая New York Times и Guardian, есть .onion-адреса именно для безопасного приёма документов и сообщений.

Второй сегмент — исследователи безопасности и специалисты по разведке угроз. Для таких команд даркнет давно стал рабочей средой, а не экзотикой. Аналитики F6, BI.ZONE и «Лаборатории Касперского» мониторят форумы, чаты и торговые площадки, чтобы заранее находить утечки, следы атак и новые инструменты злоумышленников. Проще говоря, часть людей приходит в даркнет не покупать краденое, а вовремя увидеть, что именно уже продают.

Есть и обычные любопытные пользователи. Кто-то один раз устанавливает Tor Browser, открывает несколько .onion-страниц из чистого интереса, быстро понимает, что большая часть «легендарного тёмного интернета» выглядит довольно уныло, и больше туда не возвращается. Романтический ореол у даркнета громче, чем пользовательский опыт.

И всё же преступники остаются самой заметной и самой доходной частью экосистемы. Причём речь давно не только о мелких одиночках. На теневых рынках работают группы с разделением ролей, службой поддержки, внутренними правилами, партнёрскими программами и почти корпоративной дисциплиной. Иногда весь антураж выглядит так, будто перед вами не преступная структура, а плохо воспитанный стартап.

Почему Telegram всё чаще работает как соседний теневой рынок

За последние годы ещё одна важная вещь стала особенно заметной. Торговля украденными данными, доступами и услугами всё чаще уходит из классического даркнета в Telegram. Не вместо Tor, а рядом с ним. Даркнет остаётся площадкой для части закрытых форумов и инфраструктуры, но Telegram взял на себя скорость, массовость и удобство контакта.

Директор по информационной безопасности «Группы Астра» Дмитрий Сатанин отмечал, что мессенджеры не заменяют даркнет полностью, а работают как удобная надстройка для распространения утёкших данных и быстрых сделок. Для злоумышленников это логичный шаг. Порог входа ниже, скорость публикации выше, аудитория шире.

Для жертв последствия становятся жёстче. Когда база лежит на узком форуме, её ещё надо найти. Когда тот же массив данных расходится по Telegram-каналам с десятками тысяч подписчиков, время между публикацией и практическим злоупотреблением резко сокращается. По данным F6, по итогам 2024 года публикаций в Telegram стало почти вдвое больше, чем на профильных форумах. Проще говоря, теневой рынок стал ближе к обычному смартфону.

Что даркнет меняет в жизни обычного человека

Главная неприятная правда проста. Ваши данные могут оказаться в даркнете вовсе не потому, что вы сами искали приключения. Намного чаще причина выглядит банально: сервис, которому вы доверили информацию, кто-то взломал или сотрудник слил базу. Стоматология, фитнес-приложение, интернет-магазин, служба доставки, государственный портал — цепочка давно знакомая.

Утечка почти никогда не заканчивается простой публикацией архива. Продажа базы — только начало. По оценке аналитиков Positive Technologies, украденные данные затем используют как основу для фишинга, социальной инженерии и подбора доступа к другим сервисам. Когда злоумышленник знает имя, телефон, адрес и банк, звонок «из службы безопасности» звучит куда убедительнее, чем случайная попытка развода наобум.

Для бизнеса и государства давление тоже растёт. В конце 2024 года в России заработали оборотные штрафы за утечки персональных данных. Теперь компания может заплатить до 500 миллионов рублей, а размер санкции в ряде случаев привязан к годовой выручке и достигает 3%. На фоне прежнего потолка в 300 000 рублей разница выглядит почти комичной. Раньше штраф напоминал цену за неловкость. Теперь хотя бы появляется шанс, что защита данных начнёт восприниматься как реальный финансовый риск, а не как скучный пункт в годовом плане.

Мифы о даркнете, которые мешают трезво смотреть на проблему

Первый миф — Tor даёт абсолютную анонимность. Не даёт. Tor сильно усложняет массовую слежку и снижает видимость маршрута, но не делает пользователя неуловимым по определению. Целенаправленное расследование, ошибки операционной безопасности, реальные платежи, повторно использованные учётные записи и простая небрежность ломают анонимность гораздо чаще, чем проблемы самой сети.

Второй миф — даркнет равен Tor. На самом деле кроме Tor существуют I2P (Invisible Internet Project, «Невидимый интернет-проект»), Freenet, ZeroNet и другие решения со своей архитектурой и своими компромиссами между скоростью, устойчивостью и приватностью. Tor просто оказался самым известным и самым массовым.

Третий миф — сам факт входа в даркнет уже делает человека преступником. В большинстве стран использование Tor Browser само по себе не запрещено. Незаконной становится конкретная деятельность: покупка украденных данных, участие в мошенничестве, торговля запрещёнными товарами, атаки на инфраструктуру. Инструмент может быть легальным, а действие — нет. Нож на кухне и нож в криминальной хронике формально один и тот же предмет, но смысл у него разный.

Четвёртый миф — даркнет слишком далёк от обычной жизни, чтобы всерьёз о нём думать. На бумаге фраза звучит успокаивающе. На практике 767 миллионов строк с данными за один год быстро возвращают разговор с уровня абстракции на уровень повседневного риска.

Что будет дальше

«Лаборатория Касперского» выделяет несколько направлений, которые будут определять развитие теневого рынка в ближайшие годы. Среди них дальнейшая фрагментация вымогательских группировок, рост рынка криптодрейнеров — вредоносных программ для кражи криптоактивов — и постепенный уход от открытых площадок к закрытым сообществам по приглашениям. Давление со стороны силовиков делает рынок осторожнее, но не делает его меньше автоматически.

Параллельно усиливается и защитная сторона. Мониторинг теневых ресурсов превращается из экзотической услуги в стандартный элемент корпоративной безопасности. BI.ZONE, F6, Positive Technologies и другие компании держат аналитиков, которые отслеживают форумы, чаты и сливы, чтобы клиент узнавал о компрометации не из вечерних новостей и не от мошенника по телефону.

Есть и более неудобная мысль. Многие технологии, которые ассоциируются с теневым интернетом, в легальном мире нужны не меньше, чем в преступном. Анонимные сети используют журналисты в странах с цензурой, активисты, источники, юристы и исследователи. Tor Project — некоммерческая структура, которую финансируют в том числе западные государства именно потому, что анонимный канал связи может защищать не только преступника, но и человека, которому иначе просто не дадут говорить.

Граница проходит не по названию технологии. Граница проходит по тому, кто и зачем ей пользуется. Даркнет давно перестал быть страшилкой для любителей конспирологии. Даркнет стал частью реальной цифровой экономики, где утечки, доступы, схемы вымогательства и персональные данные продают с холодной деловитостью. И в какой-то момент вся история перестаёт быть «чужой». Обычно ровно тогда, когда на телефон приходит уведомление о подозрительной активности.