Napisałem do dziesięciu hakerów z darknetu. Oto co dostałem

June 26, 2026

Zaczęło się od jednego zdania w pewnym forum branżowym: „Potrzebuję kogoś, kto wejdzie na konto mojej byłej żony i sprawdzi, z kim pisze".

Ktoś odpowiedział: „Telegram. Szukaj po słowie 'hacker for hire'. Tanio, szybko, skutecznie."

Postanowiłem sprawdzić, co stoi za tą obietnicą. Przez trzy tygodnie kontaktowałem się z dziesiątką serwisów i anonimowych osób oferujących usługi hakerskie na zlecenie — z darknetu, Telegramu i zwykłych stron clearnetowych pozycjonowanych na frazy pokroju „haker do wynajęcia" czy „hack for hire". Użyłem fikcyjnej tożsamości, jednorazowych skrzynek e-mail i burnerowego konta na Telegramie. Żadnego prawdziwego celu nie podałem. Każdy „cel" to była fałszywa tożsamość, którą sam kontrolowałem.

Wyniki tego eksperymentu są zarazem rozbrajające i niepokojące — i zupełnie inne od tego, czego się spodziewałem.

Rynek, który wygląda jak rynek

Zacznijmy od geografii. Żeby dotrzeć do hakerów do wynajęcia, nie trzeba dziś przechodzić przez siedem kręgów darknetu. Wystarczy Google.

Gdy wpisujesz po angielsku „hire a hacker" lub „hack for hire", dostajesz kilkanaście stron, które wyglądają jak serwisy freelancerskie: czyste layouty, zakładki z cennikiem, sekcje z referencjami, formularze kontaktowe z HTTPS. Kilka z nich — jak choćby hackers-4hire.com — chwali się, że weryfikuje każdego specjalistę osobiście i oferuje płatności w escrow, żebyś „nie mógł stracić pieniędzy, jeśli usługa nie zostanie wykonana".

Po polsku jest nieco gorzej. Polska część tej branży operuje głównie przez Telegram — kanały o nazwach stylizowanych na agencje, z zdjęciami profilowymi przedstawiającymi sylwetki w kapturach i taglinami w stylu „dyskretnie, profesjonalnie, bez śladu". Kilka działa z pozycji stron internetowych z domenami .pl, które wyglądają jak blogi IT i reklamują się na frazach takich właśnie jak „haker do wynajęcia Polska" czy „włamanie na konto Facebook cena".

Zanotowałem dziesięć celów. Ruszyłem z korespondencją.

Kontakt #1–3: Korporacyjny scam

Pierwsze trzy serwisy, do których napisałem, to anglojęzyczne witryny z clearnetem. Mają domeny kupione za kilkadziesiąt dolarów, gotowe szablony WordPressa i treści przełożone prawdopodobnie przez tłumacza maszynowego z jakiegoś wzoru. Na każdej z nich jest formularz kontaktowy z zapewnieniem o „pełnej anonimowości klienta".

Podałem zmyślone zlecenie: chcę dostać się do prywatnej skrzynki e-mail osoby, którą nazwałem „Adam Kowalski". Cel jest fikcyjny — adres e-mail, który podałem jako cel, prowadzi do skrzynki, którą sam założyłem i kontroluję.

Serwis #1 odpisał po czternastu minutach. Brzmiało to tak, jakby odpowiadał automat — bo prawdopodobnie nim był. Wycena: 350 dolarów. „Czas realizacji: 24–72 godziny. Płatność w USDT lub Bitcoin. Po potwierdzeniu przelewu dostarczymy pełny dostęp."

Poprosiłem o dowód umiejętności — jakikolwiek. Automat odpisał: „Możemy pokazać próbkę po wpłacie połowy kwoty zaliczkowej."

Klucz do każdego takiego serwisu leży właśnie tutaj: zaliczka. Płacisz, dostajesz nic. Ewentualnie dostaniesz screenshota, który można wygenerować w pięć minut w Photoshopie, i prośbę o dopłatę za „dostęp premium" lub „obejście 2FA". A potem cisza.

Serwisy #2 i #3 działały identycznie. Różniły się tylko szczegółami estetycznymi i walutami akceptowanymi w płatności.

Kontakt #4: Gracz długoterminowy

Czwarty serwis był bardziej interesujący. Nie odpowiedział automatem. Odezwał się człowiek — a przynajmniej coś, co zachowywało się jak człowiek.

Rozmowa zaczęła się po angielsku, ale gdy napisałem zdanie po polsku, żeby sprawdzić reakcję, odpisał płynnie. Z błędami ortograficznymi typowymi dla kogoś, kto uczy się języka — ale jednak płynnie. Styl sugerował kogoś ze Wschodu, prawdopodobnie z obszaru byłego ZSRR.

Był ostrożny. Zanim w ogóle omówił cenę, zadał mi cztery pytania: dlaczego chcę dostęp do tego konta, jaka jest moja relacja z celem, czy mam jakieś dane startowe (login, numer telefonu) i czy rozumiem, że „tego rodzaju usługi są nielegalne w większości jurysdykcji".

To pytanie mnie zaskoczyło. Zapytałem, po co je zadaje, skoro sam oferuje nielegalne usługi.

„Nie działam dla policji ani dla tych, którzy chcą skrzywdzić kogoś fizycznie. Filtruję klientów."

Przez moment pomyślałem, że mam przed sobą kogoś z prawdziwymi umiejętnościami i prawdziwą etyką zawodową. Potem zapytał o zaliczkę — tym razem jednak sformułował to inaczej: „50% po zawarciu umowy, 50% po dostawie. Jeśli nie dowiozę w ciągu 5 dni, zwracam zaliczkę."

Brzmiało sensownie. Poprosiłem o jakikolwiek dowód wcześniejszych realizacji — anonimizowany zrzut ekranu, referencję od poprzedniego klienta, cokolwiek.

Zamilkł na dwie doby. Potem napisał: „Mam dla ciebie nową wycenę. Koszt się zmienił przez 2FA na koncie celu."

Sprawdziłem: konto, które podałem jako cel, ma wyłączone 2FA. Nie mógł tego wiedzieć, bo nigdy nie próbował wejść na konto. Czyli albo kłamał od początku, albo — co równie prawdopodobne — stosował klasyczny trick: podnosisz cenę, gdy klient zaczyna wykazywać zaangażowanie, żeby sprawdzić, czy da się wycisnąć więcej.

Zakończyłem rozmowę.

Kontakt #5–7: Telegramowa codzienność

Polska część tej branży żyje głównie na Telegramie. Trzy kolejne kontakty to kanały lub boty znalezione przez wyszukiwanie w aplikacji.

Kanał #5 to coś, co na pierwszy rzut oka wygląda jak grupowa dyskusja o cyberbezpieczeństwie. Kilkuset uczestników, regularne posty z infografikami o phishingu i „narzędziach hakerskich". Gdy piszesz prywatnie do admina z pytaniem o zlecenie, jesteś proszony o wejście na stronę zewnętrzną i zapłacenie „opłaty rejestracyjnej za weryfikację klienta" — około 50 złotych w BTC.

To nie jest opłata za cokolwiek realnego. To entry fee do kolejnej warstwy nierobienia czegokolwiek. Zapłacisz, dostaniesz dostęp do drugiego kanału, gdzie będą cię prosić o kolejną opłatę za „subskrypcję premium" z dostępem do „zweryfikowanych hakerów".

To system wielopoziomowych mikropłatności. Żadna z nich nie prowadzi do wykonanej usługi — prowadzi do kolejnej płatności.

Kanały #6 i #7 działają wariantami tego samego schematu. Jeden oferuje „opłatę za anonimizację transakcji", drugi — „tygodniowy abonament na konsultacje ze specjalistą". W obu przypadkach to sito wyłudzające małe kwoty od dużej liczby naiwnych.

Kontakt #8: Niespodziewany zwrot

Ósmy kontakt to darknetowa strona z cebulowym adresem — jeden z nielicznych przypadków w tym eksperymencie, kiedy faktycznie musiałem użyć przeglądarki Tor.

Strona wyglądała niepozornie. Żadnych marketingowych bannerów, żadnych testimoniali. Tylko tekst opisujący możliwości i instrukcja kontaktu przez szyfrowany komunikator Session.

Napisałem. Otrzymałem odpowiedź po ponad dobie.

Rozmowa była krótka i rzeczowa. Podałem swoje fałszywe zlecenie. Zanim ktokolwiek wspomniał o pieniądzach, po drugiej stronie padło pytanie, na które nie byłem gotowy:

„Podaj mi coś, co można zweryfikować. Jakikolwiek publiczny ślad kontaktu z osobą, którą chcesz monitorować. Zanim zacznę wycenę, muszę ocenić realność celu."

Przez chwilę zastanawiałem się, jak zareagować. Odpowiedziałem, że cel jest ostrożny i nie zostawia śladów publicznych. Usłyszałem: „Wtedy nie możemy pomóc. Nasze usługi wymagają minimalnego rekonesansu po stronie klienta."

Nie poproszono mnie o pieniądze. Nie wysłano żadnego linku do płatności. Rozmowa po prostu się urwała.

Nie wiem, czy po drugiej stronie siedział ktoś z faktycznymi umiejętnościami — czy może ktoś, kto nauczył się brzmieć wiarygodnie, żeby odfiltrować potencjalnych policjantów. W każdym razie był to jedyny kontakt, który nie poprosił mnie o ani grosza.

Kontakt #9–10: Polska prowincja

Dwa ostatnie kontakty to serwisy w całości po polsku — jeden znaleziony przez Google na frazie „włamanie na facebook cena", drugi polecony przez kogoś na forum dyskusyjnym o cyberbezpieczeństwie (tak — takie rekomendacje naprawdę krążą w pewnych kręgach).

Pierwszy to strona zbudowana w kreatorze stron typu Webnode, pełna literówek i zdań napisanych przez kogoś, dla kogo polski jest prawdopodobnie trzecim językiem. Wycena „włamania na FB" to 400 złotych, płatnych w BTC lub przelewem na zagraniczne konto. Gdy poprosiłem o próbkę pracy, dostałem wiadomość: „Po wpłacie zaliczki (50%) wyślemy wam potwierdzenie rozpoczęcia pracy."

Nie wpłaciłem.

Drugi kontakt okazał się zaskakująco ludzki. Odpisał po kilku godzinach, po polsku, bez błędów. Zapytał, czego dokładnie potrzebuję. Gdy opisałem zlecenie, odpowiedź była jednoznaczna:

„Nie robimy włamań na prywatne konta. Oferujemy audyty bezpieczeństwa dla firm i testy penetracyjne — ale tylko na systemy, do których masz pisemną zgodę właściciela. Jeśli to twoja firma i chcesz sprawdzić jej bezpieczeństwo, możemy porozmawiać."

Podziękowałem za szczerość. Odpowiedź mnie nie zaskoczyła — ale ucieszyła. Cokolwiek, co odstaje od skryptu.

Co z tych dziesięciu kontaktów wynika

Przede wszystkim to, co udokumentowali już badacze z Google i Uniwersytetu Kalifornijskiego w San Diego w swoim przełomowym studium z 2019 roku: spośród 27 serwisów hakerskich na zlecenie, które przetestowali, zaledwie pięć faktycznie przeprowadziło atak na wskazany cel (będący, podobnie jak u mnie, kontrolowanym honepotem). Reszta to oszustwa, serwisy odmawiające obsługi kont Gmail lub po prostu absurdalne platformy z zerowym wsparciem klienta.

Pięć lat później moje dziesięć kontaktów przynosi podobny wynik: zero zrealizowanych ataków, zero wiarygodnych dowodów umiejętności, dziesięć próśb o zaliczkę lub opłatę wstępną.

Ale to nie jest koniec historii — to jej mniej oczywista część.

Scam wewnątrz scamu

Istnieje pewien paradoks, który większość artykułów o hakerach do wynajęcia całkowicie pomija.

Fakt, że większość serwisów to oszustwa, nie oznacza, że rynek hakerów na zlecenie nie istnieje. Oznacza jedynie, że jest dobrze ukryty — i że przetrzebiają go z dwóch stron jednocześnie: od dołu — naiwni klienci wchodzący na strony z Google, od góry — służby wywiadowcze tworzące własne pułapki.

W marcu 2023 roku Agencja ds. Przestępczości Narodowej Wielkiej Brytanii (NCA) ujawniła coś, co zasługuje na osobny artykuł: przez nieujawniony czas prowadziła sieć fałszywych serwisów DDoS-for-hire. Strony wyglądały identycznie jak prawdziwe — można było się zarejestrować, przeglądać oferty, wypełniać formularze. Ale zamiast narzędzi do ataków, klienci otrzymywali coś zupełnie innego: informację, że ich dane trafiły do śledczych. Tysiące osób zarejestrowało się w tych pułapkach. Służby podkreśliły przy tym, że nie ujawnią, ile takich stron wciąż istnieje — zostawiając w ten sposób potencjalnych przestępców z pytaniem: czy ta strona, na którą właśnie trafiam, jest prawdziwa — czy policyjną honepotem?

To nie jest oderwana anegdota. To obraz systemu, w którym czarny rynek hakerskich usług jest aktywnie zatruwany przez służby, pasywnie pożerany przez oszustów, i marginalizowany przez AI — która coraz skuteczniej zastępuje człowieka w podstawowych zadaniach złośliwego oprogramowania.

Innymi słowy: jeśli komuś naprawdę zależy na nielegalnym włamaniu, nie kupi go od anonimowego sprzedawcy na Telegramie. Kupi go od zaufanej sieci — do której wejście wymaga czegoś, czego żadna wyszukiwarka nie może ci dostarczyć.

Kto naprawdę szuka hakerów do wynajęcia

Po tygodniach w tej ciemnej kieszeni internetu mam wrażenie, że rynek hakerów na zlecenie można podzielić na trzy kategorie — i tylko jedna z nich ma cokolwiek wspólnego z tym, co opisują artykuły pokroju „cennik hakera 2025".

Pierwsza kategoria to klienci desperaccy i naiwni. Były mąż, który chce wiedzieć, z kim rozmawia jego była żona. Rodzic, który chce monitorować nastolatka. Zraniony pracownik, który chce „odegrać się" na szefie. Ludzie w emocjach, którzy Google'ują w środku nocy i trafiają na stronę, która wygląda jak rozwiązanie. Oni wszyscy będą oszukani. Stracą od kilkudziesięciu do kilkuset złotych, dostaną nic albo zdjęcie Photoshopa, i nie pójdą na policję, bo sami są świadomi, że próbowali kupić coś nielegalnego.

Druga kategoria to klienci korporacyjni. Firmy, które — tu cytat z raportu Mandiant — regularnie zatrudniają hakerów do szpiegowania konkurencji. Grupy z dostępem do prawdziwych, zweryfikowanych wykonawców przez zamknięte sieci rekomendacyjne. Ta kategoria nie szuka na Google. W ogóle nigdzie nie szuka publicznie.

Trzecia kategoria to klienci rządowi i parapaństwowi. Firmy takie jak NSO Group czy Intellexa, które sprzedają gotowe oprogramowanie szpiegowskie do rządów. Legalne — przynajmniej w pewnych jurysdykcjach — i operujące całkowicie poza tym, co rozumiemy pod hasłem „haker do wynajęcia".

Ta typologia sprawia, że cały ekosystem serwisów z clearnetem i Telegrama okazuje się czymś w rodzaju teatru. Sceną, na której grają się transakcje między oszustami i ofiarami, podczas gdy prawdziwy rynek odbywa się gdzie indziej — w zaszyfrowanych komunikatorach, w zamkniętych forach z zaproszeniami, w gabinetach firm wywiadowczych.

Epilog: pytanie, które zostało

Gdy skończyłem swoje trzy tygodnie w tej branży, zadałem sobie pytanie, które — jak sądzę — jest ważniejsze niż cenniki i taktyki: dlaczego w ogóle istnieje popyt na te usługi?

Ludzie szukają hakerów do wynajęcia nie dlatego, że są przestępcami. Szukają ich, bo czują się bezsilni. Czują, że ktoś ich zdradził, okradł, skrzywdził — i że standardowe narzędzia prawne są dla nich niedostępne, zbyt wolne albo zbyt drogie. Haker staje się wtedy fantazją o sprawczości — kimś, kto może przywrócić sprawiedliwość w cyfrowym świecie, który wydaje się rządzić przez kogoś innego.

Tego rodzaju popyt nie zniknie, bo nie ma nic wspólnego z technologią. Ma wszystko wspólnego z tym, jak bardzo ludzie potrzebują czuć, że mają kontrolę.

A to oznacza, że kolejni oszuści będą mieli swoich klientów. I że kolejne honeypoty służb będą na nich czekały.

I że lista ofiar — po obu stronach tej transakcji — będzie rosła.

Autor przeprowadził opisany eksperyment z użyciem fikcyjnych tożsamości i fałszywych celów będących pod jego kontrolą. Żadna realna osoba nie była celem żadnego działania. Artykuł nie ujawnia żadnych danych umożliwiających identyfikację serwisów lub osób, z którymi kontaktował się autor.

Grow your business.
Today is the day to build the business of your dreams. Share your mission with the world — and blow your customers away.
Start Now