Wprowadzenie do problemu / definicja
Współczesne cyberataki coraz rzadziej polegają wyłącznie na technicznym przełamywaniu zabezpieczeń. Coraz częściej napastnicy uzyskują dostęp do środowisk firmowych przy użyciu legalnych danych uwierzytelniających, takich jak loginy, hasła, tokeny sesyjne czy pliki cookie. Z perspektywy wielu narzędzi bezpieczeństwa taka aktywność wygląda jak zwykłe, autoryzowane logowanie, co znacząco utrudnia szybkie wykrycie incydentu.
Tożsamość cyfrowa stała się dziś jednym z najcenniejszych zasobów w organizacji. Gdy atakujący przejmuje konto użytkownika lub administratora, może ominąć część klasycznych mechanizmów ochronnych i wejść do środowiska bez wzbudzania natychmiastowych podejrzeń.
W skrócie
- W 2025 roku wyraźnie wzrosła skala kradzieży poświadczeń i wykorzystania legalnych logowań jako wektora początkowego dostępu.
- Szczególnie cenne dla przestępców są dane do systemów IAM, VPN, usług chmurowych, poczty oraz narzędzi administracyjnych.
- Dużą rolę odgrywają infostealery, combo listy oraz przejmowanie aktywnych sesji z użyciem ciasteczek.
- Sam mechanizm MFA nie zawsze wystarcza, jeżeli organizacja nie kontroluje kontekstu sesji i stanu urządzenia.
- Obrona musi coraz mocniej koncentrować się na tożsamości, ryzyku logowania i ciągłym monitorowaniu sesji.
Kontekst / historia
Przez wiele lat centrum uwagi w cyberbezpieczeństwie stanowiły exploity, luki w oprogramowaniu i ochrona perymetru. Wraz z popularyzacją usług SaaS, pracy zdalnej, federacji tożsamości oraz synchronizacji danych logowania w przeglądarkach środek ciężkości przesunął się jednak na konta użytkowników i administratorów.
Analizy opublikowane w marcu 2026 roku wskazują, iż w 2025 roku w obiegu znalazły się ogromne zbiory skradzionych poświadczeń, a skala kompromitacji wyraźnie wzrosła szczególnie w drugiej połowie roku. Dane te potwierdzają, iż rynek handlu dostępem i tożsamością osiągnął wysoki poziom dojrzałości operacyjnej, a przestępcy coraz częściej wybierają metodę „zaloguj się zamiast się włamywać”.
Trend ten wpisuje się w wcześniejsze ustalenia branżowe, zgodnie z którymi nadużycie skradzionych danych dostępowych pozostaje jednym z najważniejszych sposobów uzyskiwania początkowego dostępu, zwłaszcza w incydentach ransomware, atakach na usługi zdalnego dostępu i oszustwach ukierunkowanych na pocztę elektroniczną.
Analiza techniczna
Obecna fala ataków opiera się na kilku uzupełniających się mechanizmach. Jednym z najważniejszych są infostealery, czyli złośliwe programy przechwytujące hasła zapisane w przeglądarkach, dane formularzy, tokeny, historię logowań oraz artefakty sesyjne. Po zainfekowaniu urządzenia zebrane informacje trafiają do logów sprzedawanych lub wymienianych w podziemnym ekosystemie cyberprzestępczym.
Kolejnym elementem są combo listy, czyli zestawy danych uwierzytelniających agregowane z wielu źródeł: wcześniejszych wycieków, phishingu, malware oraz przejętych baz kont. Umożliwiają one masowe testowanie loginów i haseł wobec usług SSO, VPN, skrzynek pocztowych i platform chmurowych.
Szczególnie groźne jest przejmowanie aktywnych sesji. o ile wraz z poświadczeniami napastnik zdobędzie ważne ciasteczka sesyjne, może odtworzyć zalogowaną sesję użytkownika bez konieczności ponownego podawania hasła. W praktyce oznacza to możliwość obejścia części wdrożeń MFA, zwłaszcza tam, gdzie organizacja nie analizuje ryzyka sesji, urządzenia, lokalizacji i zachowania użytkownika.
Dla przestępców najwyższą wartość mają konta dające szeroki dostęp operacyjny. Dotyczy to przede wszystkim systemów zarządzania tożsamością, korporacyjnych VPN, narzędzi RMM, usług bezpieczeństwa, konsol chmurowych i poczty. Przejęcie takich tożsamości umożliwia eskalację uprawnień, ruch lateralny, wyłączenie części zabezpieczeń i utrzymanie trwałego dostępu.
Skuteczność tych działań zwiększają także automatyzacja i model malware-as-a-service. Gotowe zestawy phishingowe, zautomatyzowane testowanie danych oraz socjotechnika wspierana przez generatywną AI obniżają próg wejścia dla mniej zaawansowanych grup i zwiększają skalę kampanii.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem tego trendu jest osłabienie skuteczności klasycznego modelu obrony skoncentrowanego na perymetrze. o ile przeciwnik korzysta z poprawnych danych logowania, wiele tradycyjnych mechanizmów detekcji może nie uznać takiej aktywności za jednoznacznie złośliwą.
Dla organizacji oznacza to wzrost ryzyka cichego przejęcia kont uprzywilejowanych, przejęcia poczty, oszustw BEC, wycieku danych i ataków ransomware poprzedzonych legalnym logowaniem do usług zdalnego dostępu. Dodatkowym zagrożeniem jest możliwość ataku na łańcuch dostaw poprzez dostawców MSP i narzędzia administracyjne.
Istotnym problemem pozostaje również przenikanie ryzyka z urządzeń prywatnych lub słabiej zarządzanych do środowiska firmowego. W modelu pracy hybrydowej kompromitacja użytkownika poza organizacją może bezpośrednio przełożyć się na bezpieczeństwo systemów korporacyjnych.
Rekomendacje
Organizacje powinny przesunąć punkt ciężkości z samego procesu logowania na ciągłe monitorowanie tożsamości, ryzyka i kontekstu sesji. Ochrona kont musi dziś obejmować nie tylko hasło i drugi składnik, ale również ocenę zachowania użytkownika, urządzenia i warunków dostępu.
W pierwszej kolejności warto wdrożyć phishing-resistant MFA, zwłaszcza rozwiązania oparte na FIDO2 lub kluczach sprzętowych. To nie eliminuje całego ryzyka, ale znacząco utrudnia przejęcie kont przez klasyczny phishing i część ataków pośrednich.
Drugim ważnym krokiem jest stosowanie dostępu warunkowego, który uwzględnia stan urządzenia, lokalizację, reputację sesji, nietypowe zachowanie oraz ocenę ryzyka logowania. Samo MFA bez analizy kontekstu nie jest już wystarczającą odpowiedzią na dzisiejszy krajobraz zagrożeń.
Niezbędne jest też monitorowanie wycieków poświadczeń, logów infostealerów oraz zewnętrznej ekspozycji tożsamości. Reakcja na kompromitację powinna obejmować szybki reset haseł, unieważnienie sesji, rotację tokenów, blokadę dostępu i analizę aktywności po incydencie.
- wdrażać phishing-resistant MFA i klucze sprzętowe dla kont krytycznych,
- ograniczać przechowywanie haseł i tokenów w przeglądarkach,
- wymuszać użycie zarządzanych urządzeń do dostępu do systemów o wysokiej krytyczności,
- skracać czas życia sesji i tokenów,
- wdrażać detekcję przejęć sesji,
- chronić konta administratorów IAM, SIEM, EDR i RMM jako zasoby najwyższej klasy,
- regularnie przeglądać konta nieużywane, nadmiarowe i uprzywilejowane,
- prowadzić szkolenia przeciw phishingowi, vishingowi i podszywaniu się pod partnerów biznesowych.
Podsumowanie
Krajobraz zagrożeń pokazuje jednoznacznie, iż tożsamość stała się główną powierzchnią ataku. Zamiast forsować zabezpieczenia, cyberprzestępcy coraz częściej wykorzystują skradzione poświadczenia i aktywne sesje, aby dostać się do środowiska szybko, cicho i w sposób trudny do odróżnienia od legalnej aktywności.
Dla zespołów bezpieczeństwa oznacza to konieczność zmiany podejścia. Skuteczna obrona wymaga dziś odporności tożsamości, kontroli sesji, monitorowania ryzyka logowania i szybkiej reakcji na nadużycie legalnego dostępu.
Źródła
- Dark Reading – More Attackers Are Logging In, Not Breaking In
https://www.darkreading.com/identity-access-management-security/more-attackers-logging-in-not-breaking-in - Verizon – 2025 Data Breach Investigations Report
https://www.verizon.com/business/resources/reports/dbir/ - Verizon – Verizon’s 2025 Data Breach Investigations Report: Alarming surge in cyberattacks through third-parties
https://www.verizon.com/about/news/2025-data-breach-investigations-report - ASIS International – 1.8 Billion Credentials Stolen in the First Half of 2025—an 800% Increase
https://www.asisonline.org/security-management-magazine/latest-news/today-in-security/2025/august/flashpoint-midyear-report-2025/ - Verizon Business – Credential stuffing attacks: 2025 DBIR research
https://www.verizon.com/business/resources/articles/credential-stuffing-attacks-2025-dbir-research/