Dark web monitoring: Jak zjistit, zda vaše firemní data unikla na dark web

V roce 2025 bylo na dark webu a hackerských fórech prodáváno přes 10 miliard kompromitovaných přihlašovacích údajů z různých úniků. S velkou pravděpodobností jsou mezi nimi i přihlašovací údaje vašich zaměstnanců — z různých online služeb, kde se registrují soukromě i pracovně. A pokud používají stejné nebo podobné heslo pro firemní systémy, máte problém.

Dark web monitoring je systematická aktivita sledování nelegálních online prostorů (dark webu, paste webů, hackerských fór, Telegramu) s cílem detekovat, zda se tam objevují data patřící vaší organizaci. Není to hacking ani nelegální aktivita — je to zpravodajská (intelligence) schopnost, která vám dává kritický head start.

Co je dark web a jak se liší od deep webu?

Terminologie je zde důležitá — pojmy se často zaměňují:

• Surface web: obsah indexovaný běžnými vyhledávači (Google, Bing). Tvoří přibližně 4 % celkového internetu.
• Deep web: obsah dostupný přes internet, ale neindexovaný vyhledávači — bankovní systémy, firemní intranety, emailové systémy, Netflix katalog. Zcela legitimní a tvoří naprostou většinu internetu.
• Dark web: záměrně skrytá část internetu, přístupná pouze přes specializovaný software (nejčastěji Tor — The Onion Router). Dark web obsahuje jak legitimní použití (anonymní žurnalistika, obcházení cenzury), tak i rozsáhlé kriminální ekosystémy.

Pro bezpečnostní monitoring nás zajímá dark web (Tor .onion stránky), ale také clearnet platformy jako Telegram kanály, paste weby (Pastebin a alternativy) a uzavřená hackerská fóra přístupná přes běžný internet.

Jak firemní data unikají na dark web

Data breaches u třetích stran

Nejčastější cesta: vaši zaměstnanci se registrují na různých online službách (LinkedIn, Dropbox, Adobe, různé e-shopy, fóra) a používají firemní emailovou adresu. Pokud tato služba utrpí únik dat, firemní email a heslo (nebo jeho hash) skončí v databázi úniků. Pokud zaměstnanec používá stejné nebo podobné heslo pro firemní systémy, útočník to přiřadí.

Takzvané "combo lists" — sloučené databáze milionů přihlašovacích údajů z různých úniků — jsou na dark webu volně ke stažení nebo k prodeji za nízké ceny. Útočníci je používají pro credential stuffing útoky na firemní VPN, email, Office 365 nebo jiné portály.

Infostealer malware

Infostealer je kategorie malwaru speciálně navrženého pro krádež přihlašovacích údajů a dalších citlivých dat z infikovaného zařízení. Populární rodiny: Redline Stealer, Raccoon Stealer, Vidar, LummaC2.

Infostealer typicky sbírá:

• Přihlašovací údaje uložené v prohlížečích (Chrome, Firefox, Edge uložená hesla).
• Session cookies — útočník může převzít autentizovanou relaci bez znalosti hesla.
• Kryptopeněženky.
• Soubory z Desktop a Documents složky.
• Systémové informace (IP, hardware, nainstalovaný software).

Ukradená data se nazývají "logs" a jsou prodávána na dark web marketplace (dříve Genesis Market, nyní různé alternativy) nebo Russian Market. Každý "log" obsahuje kompletní profil infikovaného zařízení. Útočník koupí log za pár dolarů a získá přístup ke všemu, co oběť měla uložené v prohlížeči — včetně přístupu do firemního VPN, emailu nebo cloudových systémů.

Přímé útoky a exfiltrace

Po úspěšném průniku do organizace útočníci exfiltrují data a nabízejí je k prodeji ještě před (nebo namísto) nasazení ransomwaru. Ransomware skupiny jako LockBit, Cl0p nebo Black Basta provozují dedikované "leak sites" na dark webu, kde zveřejňují ukradená data firem, které odmítly zaplatit výkupné.

Co na dark webu hledat: Monitoring firemních aktiv

Efektivní dark web monitoring sleduje tyto kategorie firemních aktiv:

Přihlašovací údaje

• Emailové adresy na firemní doméně (@vasfirma.cz) v combo listech a breach databázích.
• Kombinace firemní email + heslo z infostealer logů.
• Přihlašovací údaje k specifickým firemním systémům (VPN, Microsoft 365 tenant, Jira, GitHub).

Technické informace

• IP adresy firemní infrastruktury diskutované v kontextu zranitelností.
• Konfigurační soubory nebo zdrojové kódy z firemních repozitářů.
• Nabídky přístupu ("Initial Access") do organizace — "access brokers" prodávají přístupy do firem jako zboží.

Firemní dokumenty a data

• Zveřejněné dokumenty (smlouvy, interní reporty, zákaznická data) na ransomware leak stránkách.
• Zmínky o firemních aktivech na hackerských fórech (diskuse o potenciálním útoku, sdílení informací o zranitelnostech).

Nástroje a metody dark web monitoringu

Komerční platformy pro firemní monitoring

• Recorded Future: komplexní threat intelligence platforma s rozsáhlou pokrytostí dark webu, hackerských fór i clearnet zdrojů. Nabízí API pro integraci se SIEM.
• Flashpoint: specializace na kriminální fóra a ekosystémy. Analytici Flashpoint aktivně infiltrují uzavřená fóra.
• Digital Shadows (ReliaQuest): zaměření na brand monitoring a digital risk protection, včetně dark webu.
• Cybersixgill: přístup k dark web zdrojům v reálném čase.
• KELA: specializace na finanční a identity theft data.

Free a open-source nástroje

• Have I Been Pwned (HIBP): free kontrola emailů v databázi úniků. Domain Search funkce kontroluje všechny emailové adresy na dané doméně — výborný bezplatný výchozí bod.
• DeHashed: vyhledávání v breach databázích, free tier dostupný.
• IntelligenceX: archiv web, paste webů a dark web zdrojů.

Co dělat při nálezu kompromitovaných dat

Detekce úniku dat je jen začátek — klíčová je správná reakce:

1. Okamžitě resetujte hesla pro nalezené kompromitované účty. Pokud jde o firemní email nebo SSO, vynutte reset pro celou doménu.
2. Prohledejte logy pro detekci, zda již nedošlo k zneužití kompromitovaných přihlašovacích údajů — přihlášení z neobvyklých IP adres nebo v neobvyklých časech.
3. Revokujte session tokeny — platná session může přetrvávat i po resetu hesla. Nuťte uživatele k opětovnému přihlášení.
4. Zapněte MFA pro postižené účty — a ideálně pro všechny účty, pokud ještě není nasazeno.
5. Informujte postižené zaměstnance — vysvětlete jim situaci a dejte jim jasné instrukce, jak se chovat.
6. Proveďte cílené bezpečnostní šetření — pokud jde o infostealer log, zařízení mohlo být kompromitované. Zvažte forenzní analýzu nebo přeinstalaci OS.
7. Posouďte GDPR dopady — pokud únik zahrnuje osobní údaje, zvažte hlášení ÚOOÚ do 72 hodin.

SecureOn.cz poskytuje dark web monitoring jako součást threat intelligence služeb — kontinuální sledování firemních aktiv, alertování při nálezu a asistenční služba při reakci na detekovaný únik. Kontaktujte nás pro nastavení monitoringu.

Preventivní opatření: Snižte riziko úniku

Monitoring je reaktivní — ideálně kombinujte s preventivními opatřeními:

• Password manager povinně: unikátní, silná hesla pro každou službu eliminují riziko credential stuffing útoků z breach databází.
• MFA všude: i kompromitované heslo je bez druhého faktoru k ničemu.
• Zákaz používání firemního emailu pro soukromé účely: omezí expozici firemní domény v breach databázích.
• EDR na všech zařízeních: detekce a blokování infostealer malwaru.
• Školení zaměstnanců: jak neinstalovat nelegální software, jak rozpoznat malware distribuci.

Závěr: Viditelnost je první podmínkou obrany

Nemůžete bránit to, o čem nevíte. Dark web monitoring vám poskytuje viditelnost do prostorů, kde útočníci obchodují s vašimi daty a diskutují o vašich zranitelnostech. Tato viditelnost vám dává čas reagovat — resetovat hesla, posílit autentizaci, varovat zaměstnance — dříve, než útočník informace aktivně využije.

V dnešní době je dark web monitoring pro firmy s jakoukoliv digitální přítomností stejně základní jako firewall. Není to paranoický luxus — je to hygienická nutnost.