Wprowadzenie do problemu / definicja
Współczesny krajobraz zagrożeń pokazuje wyraźną zmianę podejścia cyberprzestępców do uzyskiwania dostępu do środowisk firmowych. Zamiast głośnych ataków opartych na eksploatacji podatności, coraz częściej wykorzystywane są przejęte tożsamości cyfrowe: loginy, hasła, tokeny sesyjne oraz cookies uwierzytelniające. W praktyce oznacza to, iż napastnik nie musi już „włamywać się” do systemu — może zalogować się jak legalny użytkownik.
Dla organizacji to szczególnie trudny scenariusz, ponieważ aktywność intruza bywa niemal nieodróżnialna od zwykłego ruchu administracyjnego lub biznesowego. W efekcie tradycyjne mechanizmy detekcji, skoncentrowane na sygnaturach exploitów i nietypowych próbach włamań, przestają wystarczać.
W skrócie
- W drugiej połowie 2025 roku wzrosła skala kradzieży poświadczeń i nadużyć legalnych kont.
- Rozwój infostealerów oraz modelu malware-as-a-service przyspieszył obrót danymi logowania w cyberprzestępczym ekosystemie.
- Aktywne ciasteczka sesyjne i tokeny mogą pozwalać na obejście części zabezpieczeń, w tym mechanizmów MFA.
- Ciężar obrony przesuwa się z ochrony perymetru na ochronę tożsamości, sesji i urządzeń końcowych.
Kontekst / historia
Przez lata bezpieczeństwo IT skupiało się głównie na ograniczaniu skutków luk w oprogramowaniu, ataków typu remote code execution oraz kompromitacji usług wystawionych do Internetu. Tego rodzaju zagrożenia przez cały czas są istotne, jednak rozwój usług SaaS, pracy zdalnej, synchronizacji kont między urządzeniami oraz przechowywania sekretów w przeglądarkach zmienił punkt ciężkości.
Tożsamość użytkownika stała się dziś jednym z najcenniejszych zasobów operacyjnych. Przejęcie dostępu do systemów IAM, poczty elektronicznej, portali VPN, usług chmurowych czy narzędzi zdalnego zarządzania umożliwia napastnikowi szybkie rozszerzenie przyczółka, eskalację uprawnień i prowadzenie dalszych działań bez wzbudzania oczywistych alarmów. Z perspektywy obrońców to przejście od modelu „obrona przed włamaniem” do modelu „wykrywanie nadużycia zaufanej tożsamości”.
Analiza techniczna
Jednym z głównych narzędzi wspierających ten trend są infostealery, czyli złośliwe programy wyspecjalizowane w wykradaniu danych z endpointów. Potrafią one pozyskiwać zapisane hasła, dane autouzupełniania, cookies, tokeny sesyjne, informacje z portfeli kryptowalutowych oraz inne artefakty uwierzytelniające. Dane te trafiają następnie do podziemnych baz, combo lists lub są sprzedawane jako gotowe pakiety dostępu.
Szczególnie niebezpieczne są aktywne ciasteczka sesyjne. W odróżnieniu od samego hasła mogą one reprezentować już uwierzytelnioną sesję użytkownika. jeżeli atakujący przejmie taki artefakt i odtworzy odpowiedni kontekst, może uzyskać dostęp do aplikacji bez konieczności ponownego logowania. W wybranych scenariuszach pozwala to również ominąć dodatkowe warstwy ochrony, jeżeli organizacja nie zabezpiecza odpowiednio sesji i urządzeń.
Najbardziej atrakcyjne dla napastników są poświadczenia prowadzące do centralnych punktów dostępu. Chodzi przede wszystkim o platformy tożsamości, systemy katalogowe, usługi pocztowe, konsole chmurowe, VPN-y, RDP oraz narzędzia RMM. Dostęp do takich zasobów daje szeroką widoczność środowiska i często umożliwia dalszy ruch boczny przy znacznie niższym poziomie hałasu niż klasyczne wykorzystanie podatności.
Wzrost skuteczności kampanii wspiera również wykorzystanie sztucznej inteligencji w socjotechnice. Modele generatywne pozwalają szybciej tworzyć wiarygodne wiadomości phishingowe, personalizować treść pod konkretną organizację i imitować styl komunikacji współpracowników lub partnerów biznesowych. W połączeniu z gotowymi usługami przestępczymi obniża to próg wejścia dla mniej zaawansowanych grup.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem rosnącej skali kradzieży poświadczeń jest trudniejsze wykrywanie incydentów. Gdy napastnik korzysta z prawidłowego konta, legalnej ścieżki dostępu i prawidłowo uwierzytelnionej sesji, jego działania mogą długo pozostawać niezauważone. To wydłuża czas obecności intruza w środowisku i zwiększa prawdopodobieństwo eskalacji uprawnień, kradzieży danych oraz przygotowania sabotażu.
Duże ryzyko wiąże się także z kompromitacją kont uprzywilejowanych i narzędzi bezpieczeństwa. Przejęcie dostępu do IAM, konsol administracyjnych, SIEM-ów czy platform zdalnego zarządzania może umożliwić modyfikację polityk, wyłączenie alertów, utworzenie trwałych punktów dostępu i przejęcie kontroli nad wieloma zasobami jednocześnie. W przypadku dostawców usług zarządzanych skutki takiego incydentu mogą rozlać się także na klientów.
Niebezpieczne jest również fałszywe przekonanie, iż samo wdrożenie MFA rozwiązuje problem. Wieloskładnikowe uwierzytelnianie pozostaje kluczowym zabezpieczeniem, ale nie eliminuje ryzyka przejęcia aktywnej sesji, nadużycia tokenów czy ataków adversary-in-the-middle. Bez kontroli stanu urządzenia, reputacji sesji i zachowań użytkownika ochrona pozostaje niepełna.
Rekomendacje
Organizacje powinny traktować tożsamość jako nowy perymetr bezpieczeństwa. Oznacza to konieczność ciągłego monitorowania logowań, sesji, poziomu ryzyka urządzeń oraz zachowań użytkowników. Każde odstępstwo od normy — nowe urządzenie, nietypowa lokalizacja, nagła zmiana wzorca dostępu czy użycie rzadko wykorzystywanej aplikacji uprzywilejowanej — powinno uruchamiać dodatkową weryfikację lub reakcję automatyczną.
- Wdrażać phishing-resistant MFA, najlepiej oparte na FIDO2 lub passkeys.
- Stosować conditional access zależny od stanu urządzenia, ryzyka sesji i klasy chronionego zasobu.
- Wzmacniać endpointy przy pomocy EDR/XDR oraz ograniczać możliwość uruchamiania nieautoryzowanego oprogramowania.
- Ograniczać lokalne przechowywanie sekretów i monitorować artefakty charakterystyczne dla infostealerów.
- Szybko unieważniać sesje, rotować hasła i tokeny oraz reagować na wycieki poświadczeń w źródłach zewnętrznych.
- Traktować konta administracyjne, IAM i bezpieczeństwa jako zasoby najwyższej krytyczności, z separacją i pełnym audytem.
- Łączyć edukację użytkowników z kontrolami technicznymi, takimi jak ochrona poczty, filtrowanie URL i izolacja przeglądarki.
Szczególnej ochrony wymagają konta powiązane z administracją chmury, systemami bezpieczeństwa, usługami katalogowymi i narzędziami zdalnego zarządzania. Takie tożsamości powinny być objęte zasadami just-in-time access, ścisłą rotacją sekretów i ograniczeniem wykorzystania ich do codziennej pracy biurowej.
Podsumowanie
Rosnąca liczba incydentów opartych na kradzieży poświadczeń pokazuje, iż cyberprzestępcy coraz częściej wybierają ciche logowanie zamiast klasycznego włamania. To zmienia sposób myślenia o obronie: nie wystarczy już chronić wyłącznie sieci, serwerów i aplikacji. Należy zabezpieczać cały łańcuch tożsamości — od urządzenia końcowego, przez proces uwierzytelnienia i sesję, po bieżącą analizę dostępu do systemów krytycznych.
W praktyce najlepiej przygotowane będą te organizacje, które uznają, iż tożsamość użytkownika stała się dziś jednym z najważniejszych zasobów bezpieczeństwa. Odpowiedź na ten trend wymaga połączenia nowoczesnego IAM, odpornego MFA, ochrony endpointów i ciągłego monitoringu zachowań.