BezpieczeństwoTwoja sesja bankowa jest cenniejsza niż hasło. Cyberprzestępcy już o tym wiedzą. > Robert Kamiński Opublikowane 21 czerwca 20260 0 0 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Przez lata rada brzmiała prosto: używaj silnego hasła, włącz dwuskładnikowe uwierzytelnianie i będziesz bezpieczny. To była dobra rada. Tyle że cyberprzestępcy ją przeczytali i poszli dalej. Dziś coraz częściej nie kradną hasła. Kradną coś, czego hasło już nie chroni — aktywną sesję w twoim banku. I robią to tak, żebyś przez długi czas nie miał pojęcia, że cokolwiek się stało. Hasło to już nie jest główna nagrodaKiedy logujesz się do bankowości elektronicznej, twój bank nie weryfikuje cię przy każdym kliknięciu od nowa. Robi to raz — przy logowaniu — a potem wydaje coś w rodzaju cyfrowego biletu wstępu: token sesji lub cookie, który potwierdza, że jesteś tym, za kogo się podajesz. Ten bilet jest ważny przez określony czas i pozwala swobodnie poruszać się po koncie.Problem polega na tym, że jeśli ktoś ten bilet ukradnie, może wejść razem z tobą — albo zamiast ciebie. Bez hasła. Bez kodu SMS. Bez żadnego dodatkowego uwierzytelnienia.To jest właśnie session hijacking — przejęcie aktywnej sesji użytkownika. I według danych z raportu Unit 42 Palo Alto Networks słabości związane z tożsamością cyfrową — w tym przejęte tokeny i sesje — odgrywały istotną rolę w niemal 90% analizowanych incydentów bezpieczeństwa. To liczba z raportu vendora, ale kierunek, który opisuje, potwierdzają niezależne źródła.31 tysięcy incydentów w jednym miesiącuŻeby zrozumieć skalę problemu w Polsce, wystarczy spojrzeć na dane CERT Polska: w marcu 2026 roku liczba zgłoszonych incydentów cyberbezpieczeństwa wyniosła około 31 tysięcy. To wzrost o 178 procent rok do roku. Nie chodzi o liczbę prób — chodzi o zarejestrowane incydenty, z których wiele było powiązanych z kilkoma zgłoszeniami jednocześnie.W tym samym czasie CSIRT KNF — czyli zespół reagowania na incydenty działający przy Komisji Nadzoru Finansowego — zgłosił do blokady 778 fałszywych profili w mediach społecznościowych. Wszystkie publikowały reklamy fałszywych inwestycji. Wszystkie podszywały się pod znane polskie banki. Cel był jeden: wyłudzić dane logowania i informacje o kartach płatniczych.To jest kontekst, w którym działa dziś każda firma korzystająca z bankowości elektronicznej. Nie abstrakcyjne zagrożenie z raportów — konkretna, aktywna działalność przestępcza wymierzona w użytkowników polskich instytucji finansowych.Gremlin Stealer — co potrafi nowoczesny złodziej danychJednym z narzędzi, które badacze Unit 42 przeanalizowali w ostatnim czasie, jest Gremlin Stealer — złośliwe oprogramowanie działające dokładnie według opisanego wyżej schematu. Nie blokuje komputera, nie szyfruje plików, nie domaga się okupu. Siedzi cicho i zbiera.Co konkretnie? Hasła zapisane w przeglądarce, cookies i tokeny sesji, dane kart płatniczych, dane portfeli kryptowalutowych — i zawartość schowka systemowego. Ten ostatni element jest szczególnie groźny dla osób operujących kryptowalutami: Gremlin Stealer potrafi podmienić adres portfela kopiowany podczas transakcji. Wklejasz jeden adres, wysyłasz na inny. Pieniądze znikają, zanim zdążysz sprawdzić potwierdzenie.Zebrane dane są pakowane w archiwa ZIP i przesyłane do przestępców. Użytkownik nadal siedzi przy komputerze, przeglądarka działa normalnie, bank wyświetla saldo. Nic nie wskazuje na to, że cokolwiek się wydarzyło.Jak to ujął Tomasz Pietrzyk, dyrektor techniczny Palo Alto Networks na Europę Środkowo-Wschodnią: współczesne złośliwe oprogramowanie jest projektowane tak, „aby pozostawać jak najdłużej niewidoczne zarówno dla użytkownika, jak i tradycyjnych zabezpieczeń”. Celem nie jest zakłócenie działania urządzenia — celem jest czas. Im dłużej nikt nie wie, tym więcej można zebrać i wykorzystać.Cyberprzestępczość jako usługaJest jeszcze jeden wymiar tego zjawiska, który bezpośrednio wpływa na skalę zagrożenia: profesjonalizacja rynku przestępczego. Narzędzia takie jak Gremlin Stealer nie są pisane na zamówienie dla konkretnego ataku. Funkcjonują w modelu, który branża nazywa cybercrime-as-a-service — gotowe oprogramowanie i infrastruktura sprzedawane lub wynajmowane innym przestępcom, podobnie jak legalne narzędzia SaaS.To oznacza, że do przeprowadzenia skutecznego ataku nie trzeba już być programistą ani znać się na bezpieczeństwie systemów. Wystarczy wiedzieć, gdzie kupić narzędzie i kogo zaatakować. Próg wejścia dla cyberprzestępcy drastycznie zmalał. Liczba potencjalnych atakujących — wzrosła.Dla firm oznacza to, że zagrożenie nie pochodzi już wyłącznie od wyspecjalizowanych grup hakerskich. Pochodzi od szerokiego, zróżnicowanego ekosystemu przestępczego, który operuje narzędziami przemysłowej jakości.Co z tego wynika dla właściciela firmyMFA — uwierzytelnianie wieloskładnikowe — nadal warto stosować. Chroni przed kradzieżą hasła i wieloma atakami phishingowymi. Ale nie chroni przed przejęciem sesji, która już trwa. Jeśli złośliwe oprogramowanie siedzi na urządzeniu i kradnie token po zalogowaniu, drugi składnik uwierzytelnienia nie ma znaczenia — ofiara już go podała.To zmienia myślenie o bezpieczeństwie. Zamiast skupiać się wyłącznie na ochronie dostępu — silne hasło, MFA, VPN — warto zacząć myśleć o tym, co dzieje się po zalogowaniu. Czy systemy firmy wykrywają podejrzaną aktywność w ramach aktywnej sesji? Czy pracownicy wiedzą, że wylogowanie się z bankowości po zakończeniu pracy nie jest opcją, lecz nawykiem bezpieczeństwa? Czy urządzenia używane do bankowości elektronicznej są regularnie skanowane?Sesja bankowa ma wartość rynkową. Jest sprzedawana w cyberprzestępczym obiegu, wykorzystywana do przelewów, wyłudzeń i dalszych ataków. Traktowanie jej jako czegoś, co „samo wygaśnie” to założenie, na którym można stracić więcej niż tylko pieniądze z konta.Related PostsPrzeczytaj również! Uwaga na zakładki w przeglądarce USA tracą na cyberprzestępczości Przeglądarka za 10 dolarów. Czy mały biznes to kupi?
