Ataki wymierzone w użytkowników usług cyfrowych nie koncentrują się już wyłącznie na kradzieży haseł. Celem stają się aktywne sesje użytkowników, dane finansowe oraz dostęp do bankowości elektronicznej i portfeli kryptowalutowych. Analiza Palo Alto Networks pokazuje, że nowoczesne złośliwe oprogramowanie coraz częściej służy do przejęcia całej cyfrowej tożsamości użytkownika, która następnie jest wykorzystywana w dalszych oszustwach i atakach.
Rosnąca liczba cyberataków coraz częściej dotyczy usług finansowych i bankowości elektronicznej. Według danych CSIRT KNF tylko w marcu 2026 r. zgłoszono do blokady 778 fałszywych profili publikujących reklamy fałszywych inwestycji, a cyberprzestępcy regularnie podszywali się pod największe polskie banki. Następnie wyłudzali dane logowania do bankowości elektronicznej oraz informacje o kartach płatniczych . Polska pozostaje jednym z krajów szczególnie narażonych na cyberataki i oszustwa cyfrowe. CERT Polska informował, że w marcu 2026 r. liczba incydentów cyberbezpieczeństwa wzrosła do ok. 31 tys. (+ 178% y/y), a wielu przypadkach ten sam incydent powiązany był z kilkoma zgłoszeniami . Wraz z dynamicznym rozwojem usług i rozwiązań cyfrowych, cyberprzestępcy coraz częściej koncentrują się na przejęciu pełnego profilu użytkownika, a nie jedynie jego danych logowania. Rosnąca liczba cyberataków coraz częściej dotyczy również usług finansowych i bankowości elektronicznej.
Potwierdzają to również wnioski z analizy badaczy Unit 42 Palo Alto Networks dotyczącej Gremlin Stealer . Jest to złośliwe oprogramowanie, które potrafi przechwytywać hasła, cookies i tokeny sesji, dane kart płatniczych, portfeli kryptowalutowych, a także informacje kopiowane do schowka systemowego. Współczesne cyberataki coraz częściej polegają na przejmowaniu aktywnych sesji użytkowników, co umożliwia dostęp do kont nawet mimo stosowania uwierzytelniania wieloskładnikowego (MFA). Ta tendencja jest coraz wyraźniej widoczna również w globalnych analizach incydentów bezpieczeństwa. Raport Unit 42 wskazuje, że słabości związane z tożsamością cyfrową odgrywały istotną rolę w niemal 90% analizowanych incydentów, a cyberprzestępcy coraz częściej wykorzystują przejęte dane logowania, tokeny i sesje użytkowników jako główny wektor ataku .
Nowoczesne złośliwe oprogramowanie coraz częściej działa „po cichu” – zamiast zakłócać działanie komputera, koncentruje się na gromadzeniu danych użytkownika i przekazywaniu ich cyberprzestępcom. W tym celu stosowane są różne techniki ukrywania działań kodu i jego „zaciemnianie” które ma umożliwić obejście zabezpieczeń. Gremlin Stealer grupuje przejęte dane w archiwach ZIP, które mogą zawierać m.in. dane logowania, informacje finansowe oraz dane związane z kryptowalutami .
Dodatkowo może monitorować schowek systemowy i podmieniać np. adresy portfeli kryptowalutowych podczas wykonywania transakcji.
– Jeszcze kilka lat temu większość cyberzagrożeń kojarzona była głównie z phishingiem lub kradzieżą haseł. Natomiast współczesne złośliwe oprogramowanie jest projektowane tak, aby pozostawać jak najdłużej niewidoczne zarówno dla użytkownika, jak i tradycyjnych zabezpieczeń. Coraz częściej jego celem nie jest zakłócenie działania urządzenia, ale ciche zbieranie informacji, które mogą być później wykorzystywane w kolejnych etapach ataku lub w nowych atakach – mówi Tomasz Pietrzyk, dyrektor techniczny w Palo Alto Networks w Europie Środkowo-Wschodniej.
W praktyce oznacza to, że użytkownik często nie ma świadomości, że jego dane logowania, informacje finansowe czy aktywne sesje zostały już przejęte i mogą być wykorzystywane do dalszych oszustw lub sprzedaży w cyberprzestępczym obiegu. Szczególnie niebezpieczne są ataki związane z płatnościami cyfrowymi i kryptowalutami, ponieważ w wielu przypadkach umożliwiają natychmiastowe przejęcie środków finansowych bez wiedzy zaatakowanego użytkownika. Rosnąca skala zagrożeń wynika również z profesjonalizacji samego rynku cyberprzestępczego. Eksperci wskazują, że współczesne złośliwe oprogramowanie oraz infrastruktura z nim związana coraz częściej funkcjonują w modelu „cybercrime-as-a-service”, w którym gotowe narzędzia i usługi są sprzedawane lub wynajmowane podobnie jak legalne usługi cyfrowe . Obniża to próg wejścia dla cyberprzestępców i zwiększa skalę zagrożeń, również wobec użytkowników.
Wnioski z raportu Unit 42 pokazują, że cyberbezpieczeństwo coraz mocniej powinno się koncentrować wokół ochrony tożsamości cyfrowej oraz danych finansowych użytkowników. W środowisku, w którym cyberprzestępcy wyraźnie częściej wykorzystują przejęte sesje i skradzione informacje do dalszych ataków, kluczowego znaczenia nabiera szybkie wykrywanie podejrzanej aktywności oraz ograniczanie nadmiernych uprawnień dostępu.
Zostaw komentarz