Ξεχάστε την απλουστευμένη εικόνα που κυκλοφορεί για το Σκοτεινό Διαδίκτυο (Dark Web). Δεν πρόκειται απλώς για ένα ψηφιακό καταφύγιο παρανομίας και σκοτεινών συναλλαγών, όπως συχνά παρουσιάζεται. Στην πραγματικότητα, μιλάμε για έναν περίπλοκο και πολυεπίπεδο ψηφιακό χώρο, με δικούς του κανόνες, ρίσκα και «μονοπάτια» που απαιτούν γνώση για να τα διασχίσει κανείς με ασφάλεια.
Κάτω από το πέπλο της κρυπτογράφησης υπάρχει ένας παράλληλος κόσμος που δεν είναι εξ ολοκλήρου παράνομος: φιλοξενεί ιστοσελίδες και φόρουμ με απολύτως νόμιμο περιεχόμενο, τα οποία δίνουν έμφαση στην προστασία της ιδιωτικής ζωής και της ανωνυμίας.
Ωστόσο, αυτή ακριβώς η ανωνυμία λειτουργεί και ως ισχυρός πόλος έλξης για τον υπόκοσμο του κυβερνοεγκλήματος. Το Σκοτεινό Διαδίκτυο αποτελεί, όπως επισημαίνει ο Φιλ Μουνκάστερ από την ομάδα της παγκόσμιας εταιρίας ψηφιακής ασφάλειας ESET, έναν χώρο όπου κυβερνοεγκληματίες κινούνται με μεγαλύτερη άνεση, χωρίς τον άμεσο φόβο παρακολούθησης ή αποκάλυψης της ταυτότητάς τους. Εκεί συχνάζουν σε φόρουμ, παράνομες αγορές και εξειδικευμένες ιστοσελίδες, εκμεταλλευόμενοι τα εργαλεία ανωνυμίας για να ανταλλάσσουν πληροφορίες και να οργανώνουν δραστηριότητες.
Πολλές από αυτές τις πλατφόρμες έχουν στηθεί αποκλειστικά για να εξυπηρετούν το εμπόριο κλεμμένων προσωπικών και οικονομικών δεδομένων. Σε αυτές τις «αγορές», τα στοιχεία ταυτότητας, οι αριθμοί πιστωτικών καρτών και οι λογαριασμοί χρηστών αλλάζουν χέρια σαν απλά εμπορεύματα, συχνά δίπλα σε ναρκωτικές ουσίες, εργαλεία hacking ή έτοιμα exploits για ψηφιακές επιθέσεις. Το περιβάλλον είναι ψυχρό, απρόσωπο και πλήρως προσανατολισμένο στο κέρδος.
Το κρίσιμο ερώτημα για τον απλό χρήστη είναι αναπόφευκτο: πώς θα αντιδράσει αν ανακαλύψει ότι τα προσωπικά του δεδομένα διακινούνται σε μια τέτοια ιστοσελίδα; Πριν, όμως, φτάσει κανείς σε αυτό το σημείο, αξίζει να κατανοήσει τη διαδρομή που ακολουθούν τα δεδομένα μέχρι να καταλήξουν στο dark web και τι ακριβώς επιδιώκουν όσοι τα συλλέγουν και τα εμπορεύονται. Μόνο έτσι μπορεί να αντιληφθεί κανείς το πραγματικό μέγεθος του κινδύνου και να θωρακιστεί αποτελεσματικά απέναντι σε έναν ψηφιακό κόσμο που κινείται στη σκιά, αλλά επηρεάζει άμεσα την καθημερινότητά μας.
Πώς καταλήγουν τα προσωπικά δεδομένα στο dark web
Υπάρχουν διάφοροι τρόποι με τους οποίους οικονομικά δεδομένα, Προσωπικά Αναγνωρίσιμες Πληροφορίες (PII) και διαπιστευτήρια και μπορούν να πέσουν στα χέρια κυβερνοεγκληματιών.
Οι παραβιάσεις δεδομένων περιλαμβάνουν την κλοπή, σε μεγάλη κλίμακα, πληροφοριών πελατών ή εργαζομένων, οι οποίες στη συνέχεια συνήθως εμφανίζονται προς πώληση στο Σκοτεινό Διαδίκτυο. Οι Ηνωμένες Πολιτείες βρίσκονταν σε τροχιά νέου ρεκόρ σε αυτόν τον τομέα, έχοντας ήδη καταγράψει 1.732 περιστατικά το πρώτο εξάμηνο του 2025, που οδήγησαν σε περισσότερες από 165,7 εκατομμύρια ειδοποιήσεις παραβίασης δεδομένων.
Καθώς όλοι μας συνεργαζόμαστε πλέον με έναν αυξανόμενο αριθμό εταιρειών online, ο κίνδυνος να εμπλακούμε σε μια παραβίαση αυξάνεται διαρκώς. Οι περισσότεροι από εμάς θα έχουμε λάβει τουλάχιστον ένα σχετικό email ενημέρωσης. Ο κίνδυνος αυτός εντείνεται περαιτέρω από την εξάπλωση των επιθέσεων ransomware διπλής εκβίασης, όπου τα δεδομένα κλέβονται με σκοπό όχι μόνο την κρυπτογράφηση, αλλά και την εκβίαση της εταιρείας-θύματος μέσω απειλής διαρροής.
Το κακόβουλο λογισμικό Infostealer (ή αλλιώς λογισμικό κατασκοπείας) κάνει ακριβώς αυτό που υποδηλώνει το όνομά του. Έχει γίνει εξαιρετικά δημοφιλές χάρη σε «as-a-service» κιτ, όπως τα RedLine και Lumma Stealer. Το κακόβουλο λογισμικό μπορεί να κρύβεται σε φαινομενικά νόμιμες εφαρμογές για κινητά, σε ιστοσελίδες, σε κακόβουλες διαφημίσεις, καθώς και σε συνδέσμους ή συνημμένα ηλεκτρονικού «ψαρέματος» (phishing). Τα δεδομένα που συλλέγονται συγκεντρώνονται από τους δράστες και πωλούνται στη συνέχεια στο dark web. Συχνά κλέβονται όχι μόνο διαπιστευτήρια σύνδεσης, αλλά και cookies περιόδου λειτουργίας, γεγονός που διευκολύνει τους χάκερ να παρακάμπτουν ακόμη και την πολυπαραγοντική ταυτοποίηση (MFA).
Το ηλεκτρονικό ψάρεμα (phishing) υπήρξε διαχρονικά ένας από τους πιο διαδεδομένους τρόπους υποκλοπής πληροφοριών από ανυποψίαστα θύματα. Ωστόσο, η εμφάνιση των εργαλείων γενετικής τεχνητής νοημοσύνης (GenAI) έχει διευκολύνει σημαντικά τους δράστες απειλών να κλιμακώσουν τις επιθέσεις τους, να τις εξατομικεύσουν και να τις συντάξουν σε άψογη γλώσσα, αυξάνοντας έτσι τις πιθανότητες επιτυχίας. Εάν ένας χρήστης κάνει κλικ χωρίς να το αντιληφθεί και εισαγάγει τα στοιχεία του σε μια σελίδα phishing, οι πληροφορίες αυτές ενδέχεται να πωληθούν στο dark web.
Οι τυχαίες διαρροές δεδομένων αποτελούν επίσης συχνό φαινόμενο στο Διαδίκτυο. Συχνά οφείλονται σε λανθασμένη διαμόρφωση συστημάτων cloud, όπως η απουσία απαίτησης κωδικού πρόσβασης για την πρόσβαση σε ηλεκτρονικές βάσεις δεδομένων. Αυτό μπορεί να αφήσει ευαίσθητα δεδομένα εκτεθειμένα σε οποιονδήποτε γνωρίζει πού να τα αναζητήσει ή έχει σαρώσει το διαδίκτυο για τέτοιου είδους ευπάθειες. Εάν μια βάση δεδομένων παραμείνει ανοιχτή για μεγάλο χρονικό διάστημα, υπάρχει κίνδυνος να κλαπεί και να πωληθεί στο dark web. Σε ορισμένες περιπτώσεις, οι δράστες απειλών ενδέχεται ακόμη και να διαγράψουν την αρχική βάση δεδομένων, προκειμένου να εκβιάσουν την επιχείρηση-θύμα.
Οι επιθέσεις στην αλυσίδα εφοδιασμού είναι παρόμοιες με τις κλασικές παραβιάσεις δεδομένων, με τη διαφορά ότι αντί να παραβιαστεί άμεσα η εταιρεία με την οποία ο χρήστης μοιράστηκε τα δεδομένα του, ο στόχος είναι ένας προμηθευτής ή συνεργαζόμενος οργανισμός. Σε αυτούς τους τρίτους έχει δοθεί νόμιμη άδεια πρόσβασης και χρήσης των πληροφοριών, ωστόσο συχνά δε διαθέτουν το ίδιο επίπεδο ισχυρής ασφάλειας. Αυτό τους καθιστά ελκυστικούς στόχους, καθώς μία μόνο επιτυχημένη επίθεση μπορεί να προσφέρει πρόσβαση σε δεδομένα πολλών εταιρικών πελατών.
Σε αρκετές περιπτώσεις, οι προμηθευτές αυτοί είναι πάροχοι ψηφιακών υπηρεσιών. Χαρακτηριστικό παράδειγμα αποτελεί η Progress Software, όταν το 2023 εκμεταλλεύτηκαν μια ευπάθεια zero-day στο δημοφιλές λογισμικό μεταφοράς αρχείων MOVEit, με αποτέλεσμα να επηρεαστούν χιλιάδες οργανισμοί και περισσότεροι από 90 εκατομμύρια πελάτες. Ένας ακόμη πιθανός αδύναμος κρίκος είναι οι μεσίτες δεδομένων, οι οποίοι συλλέγουν πληροφορίες νόμιμα μέσω web scraping και μηχανισμών παρακολούθησης, αλλά δεν τις προστατεύουν πάντοτε επαρκώς.
Αυτό που πραγματικά επιδιώκουν οι κυβερνοεγκληματίες είναι η πρόσβαση σε οικονομικά δεδομένα, όπως αριθμούς τραπεζικών λογαριασμών, στοιχεία πιστωτικών καρτών και διαπιστευτήρια σύνδεσης, καθώς και σε προσωπικά δεδομένα (PII) και στοιχεία πρόσβασης σε λογαριασμούς. Με αυτές τις πληροφορίες, μπορούν να καταλάβουν λογαριασμούς, να αποσπάσουν δεδομένα και χρήματα και, ενδεχομένως, να αποκτήσουν πρόσβαση σε αποθηκευμένα στοιχεία καρτών. Παράλληλα, μπορούν να αξιοποιήσουν τα PII σε επακόλουθες απόπειρες ηλεκτρονικού ψαρέματος, με στόχο την περαιτέρω υποκλοπή οικονομικών στοιχείων.
Εναλλακτικά, τα PII μπορούν να χρησιμοποιηθούν για απάτη ταυτότητας, όπως για την υποβολή αιτήσεων για νέες πιστωτικές γραμμές, την απόκτηση ιατρικής περίθαλψης ή τη διεκδίκηση κοινωνικών παροχών στο όνομα του θύματος.
Τα βιομετρικά δεδομένα θεωρούνται ιδιαίτερα ευαίσθητα, καθώς δεν μπορούν να «επανεκδοθούν» ή να αντικατασταθούν όπως ένας κωδικός πρόσβασης. Αντίστοιχα, τα διακριτικά συνεδρίας (session tokens) και τα cookies είναι εξαιρετικά πολύτιμα για τους δράστες απειλών, καθώς μπορούν να τους επιτρέψουν να παρακάμψουν μηχανισμούς πολυπαραγοντικού ελέγχου ταυτότητας (MFA).
Οι επιπτώσεις τέτοιων επιθέσεων μπορεί να είναι ιδιαίτερα σοβαρές σε οικονομικό επίπεδο. Σύμφωνα με πρόσφατη έκθεση του Identity Theft Resource Center (ITRC), το 20% των θυμάτων απάτης στις ΗΠΑ μέσα σε ένα μόνο έτος ανέφερε απώλειες άνω των 100.000 δολαρίων, ενώ περισσότερο από το 10% δήλωσε απώλειες τουλάχιστον 1 εκατομμυρίου δολαρίων.
Εάν λάβετε ειδοποίηση ότι προσωπικές ή/και οικονομικές σας πληροφορίες έχουν εμφανιστεί στο Σκοτεινό Διαδίκτυο είναι σημαντικό να ενεργήσετε άμεσα εξηγεί ο Μουνκάστερ.
Ανάλογα με το είδος των δεδομένων που έχουν διαρρεύσει, συνιστώνται τα ακόλουθα μέτρα:
- Αλλάξτε άμεσα όλους τους παραβιασμένους κωδικούς πρόσβασης. Βεβαιωθείτε ότι χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς για κάθε λογαριασμό και αποθηκεύστε τους σε έναν αξιόπιστο διαχειριστή κωδικών πρόσβασης.
- Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) σε όλους τους λογαριασμούς. Προτιμήστε εφαρμογές ελέγχου ταυτότητας ή φυσικά κλειδιά ασφαλείας αντί για SMS, τα οποία μπορούν να υποκλαπούν.
- Αποσυνδεθείτε από όλες τις συσκευές. Με αυτόν τον τρόπο αποτρέπετε την πρόσβαση χάκερ που ενδέχεται να έχουν αποκτήσει cookies ενεργής συνεδρίας.
- Επικοινωνήστε άμεσα με την τράπεζά σας. Ζητήστε το πάγωμα των καρτών σας και την επανέκδοση τους, εάν υπάρχει κίνδυνος οικονομικής απάτης.
- Ενεργοποιήστε ειδοποιήσεις για ύποπτες συναλλαγές και εξετάστε το ενδεχόμενο δέσμευσης του λογαριασμού σας στο Teiresias (ή άλλη αντίστοιχη υπηρεσία), ώστε να αποτραπεί η χρήση των στοιχείων σας για νέα δάνεια ή πιστώσεις.
- Σαρώστε όλες τις συσκευές σας για κακόβουλο λογισμικό. Ιδιαίτερη προσοχή πρέπει να δοθεί σε λογισμικό που κλέβει διαπιστευτήρια ή προσωπικά δεδομένα.
- Αναφέρετε τη διαρροή στις αρμόδιες αρχές.
Μακροπρόθεσμα μέτρα για την προστασία των προσωπικών σας δεδομένων
Μόλις η κατάσταση ηρεμήσει, υπάρχουν συγκεκριμένα βήματα που μπορείτε να ακολουθήσετε για να μειώσετε τον κίνδυνο να καταλήξουν ευαίσθητες πληροφορίες στο dark web. Εξετάστε τη χρήση υπηρεσιών όπως το Hide My Email, ώστε να περιορίσετε την ποσότητα των προσωπικών δεδομένων που αποθηκεύουν οι εταιρείες. Είναι επίσης καλή πρακτική να ολοκληρώνετε τις αγορές σας ως επισκέπτης και να μην αποθηκεύετε ποτέ στοιχεία πιστωτικής ή χρεωστικής κάρτας όταν ψωνίζετε από ιστοσελίδες τρίτων.
Στη συνέχεια, μειώστε τις πιθανότητες μόλυνσης από infostealers και επιθέσεις phishing εγκαθιστώντας αξιόπιστο λογισμικό ασφαλείας σε όλες τις συσκευές και τους υπολογιστές σας. Κατεβάζετε εφαρμογές μόνο από επίσημα καταστήματα και να είστε ιδιαίτερα προσεκτικοί με ανεπιθύμητα email, SMS ή μηνύματα στα κοινωνικά δίκτυα που περιέχουν συνδέσμους ή συνημμένα αρχεία.
Επιπλέον περιορίστε τον όγκο των δεδομένων που είναι διαθέσιμα σε data brokers, διασφαλίζοντας ότι όλοι οι λογαριασμοί σας στα μέσα κοινωνικής δικτύωσης είναι ρυθμισμένοι ως «ιδιωτικοί». Χρησιμοποιήστε κρυπτογραφημένες υπηρεσίες επικοινωνίας, καθώς και προγράμματα περιήγησης και μηχανές αναζήτησης με ενισχυμένες δυνατότητες προστασίας της ιδιωτικότητας. Μπορείτε επίσης να εξετάσετε το ενδεχόμενο υποβολής αιτημάτων «δικαιώματος στη λήθη» προς data brokers, ενδεχομένως μέσω εξειδικευμένων υπηρεσιών με την απαραίτητη τεχνογνωσία.
Τέλος, εγγραφείτε σε υπηρεσίες προστασίας ταυτότητας και σε ιστοσελίδες όπως το Have I Been Pwned, οι οποίες σας ειδοποιούν όταν προσωπικά δεδομένα (PII) εμφανίζονται στο dark web. Η παραβίαση προσωπικών πληροφοριών και στοιχείων σύνδεσης μπορεί να είναι τόσο συναισθηματικά επιβαρυντική όσο και οικονομικά επιζήμια. Επιπλέον, η επαναχρησιμοποίηση στοιχείων σύνδεσης σε επαγγελματικούς λογαριασμούς ενδέχεται να έχει σοβαρές επιπτώσεις στην καριέρα σας, αν επιτρέψει σε χάκερ να αποκτήσουν πρόσβαση σε εταιρικούς πόρους.
Διαβάστε ακόμη
Ε.Ε: Ερχεται η επόμενη mega – εμπορική συμφωνία με τις πλούσιες περιοχές του Κόλπου
Slow travel: Η νέα τάση στον τουρισμό για το 2026 – Η φιλοσοφία για τα αργά ταξίδια
Ο Ρούπερτ Μέρντοχ αρνείται να αποσυρθεί
Για όλες τις υπόλοιπες ειδήσεις της επικαιρότητας μπορείτε να επισκεφτείτε το Πρώτο Θέμα