Oszuści łączą kilka technik naraz. Chodzi o Twoje pieniądze i dane

W cyberprzestrzeni nieustannie trafiamy na przypadki szkodliwych działań mających na celu m.in. oszukanie użytkowników i pozbawienie ich nie tylko dostępu do ważnych kont, lecz także środków finansowych. To właśnie ten problem został wskazany przez CERT Polska w opisywanym przez nas raporcie za 2025 rok jako najpospolitszy, stanowiąc 97 proc. z 260,7 tys. obsłużonych incydentów.

Kilka technik w jednym ataku

To właśnie sprawy finansowe są jednym z najbardziej atrakcyjnych celów dla aktorów zagrożeń, co przyznaje sam CSIRT KNF.

W najnowszym raporcie dotyczącym krajobrazu cyberzagrożeń w polskim sektorze finansowym zauważono, że jest to efekt kilku czynników występujących w tymże sektorze:

• usługi cyfrowe są nieprzerwanie dostępne,
• przetwarzane dane mają dużą wartość,
• istnieją silne powiązania z infrastrukturą krytyczną,
• zaufanie klientów ma duże znaczenie dla stabilności rynku finansowego.

Działania sprawców jednak ewoluują. Zespół zwraca uwagę, że coraz częściej w atakach dochodzi do łączenia kilku technik jednocześnie: dane przechwycone przez infostealery mogą zostać wykorzystane do ataku ransomware czy uzyskania dostępu do środowisk chmurowych, zaś ataki DDoS mogą być elementem odwrócenia uwagi od innych operacji czy presji medialnej.

Istotnym problemem jest uzależnienie sektora finansowego od dostawców zewnętrznych m.in. w zakresie ICT, rozwiązań security-as-a-service (SaaS), obsługi płatności czy core banking. Jeżeli bowiem dojdzie do incydentu w jednym podmiocie, w ramach „efektu domina” skutki może odczuć wiele organizacji, co wzmacnia ryzyko systemowe.

„Szczególnego znaczenia nabierają wymagania dotyczące odporności operacyjnej, klasyfikacji krytyczności dostawców, testowania planów ciągłości działania oraz monitorowania zależności technologicznych” – podkreślił CSIRT KNF w publikacji.

Ransomware już nie tylko do szyfrowania

Spośród ośmiu wskazanych przez zespół najistotniejszych zagrożeń dla sektora finansowego, trzem nadano priorytet „bardzo wysoki”. W tym gronie znalazły się:

• kradzieże tożsamości, sesji i poświadczeń, które dzięki przejmowaniu cookies czy tokenów w połączeniu z danymi logowania umożliwiają ominięcie mechanizmów obronnych;
• cyberoszustwa przeprowadzane przy pomocy sztucznej inteligencji, która zwiększa skuteczność ataków takich jak smishing czy phishing ze względu na większą personalizację i trudniejsze odróżnienie od autentycznych przypadków;
• ataki ransomware.

„Wysokie” znaczenie nadano z kolei:

• atakom na łańcuch dostaw oprogramowania, dostawcom ICT i koncentracji technologicznej w kontekście uzależnienia sektora finansowego;
• rynkowi dostępów, gdzie dochodzi do wymiany i handlu danymi pozyskanymi z wycieków czy przy pomocy malware.

Ewoluuje również samo podejście do stosowania ransomware. Atakujący nie ograniczają się już wyłącznie do szyfrowania danych; kluczowa staje się również ich kradzież i grożenie ich publikacją, do czego możliwe jest wykorzystanie reputacji zaatakowanego podmiotu jako narzędzia wymuszenia.

AI w działaniach ofensywnych. Sektor znajdzie się pod presją

CSIRT KNF zwrócił jednocześnie uwagę, że największe znaczenie mają te zagrożenia, które są hybrydą kilku elementów: od cyberataków, oszustw finansowych, wymuszeń, po kradzież tożsamości czy działania socjotechniczne.

„Najważniejszą zmianą nie jest pojedynczy nowy typ ataku, lecz łączenie wielu technik w ramach jednej kampanii. Fraud, kradzież tożsamości, ransomware, ataki na dostawców DDoS i operacje reputacyjne coraz częściej się uzupełniają” – podkreślił zespół w swoim dokumencie.

Jak natomiast będzie kształtować się przyszłość?

Autorzy raportu przewidują, że w najbliższych latach szczególną rolę w krajobrazie zagrożeń odegra AI. O ile w tym roku mówi się o generowaniu wiarygodnych fałszywych treści czy personalizacji działań socjotechnicznych, tak w 2027 roku nowa technologia ma być wykorzystywana w ofensywie: od wyszukiwania podatności i automatyzacji rekonesansu, przez planowanie ścieżek ataku, po przyspieszanie cyklu życia luki od ujawnienia do wykorzystania.

„Sektor finansowy będzie działał pod rosnącą presją czasu. Jeżeli exploitacja podatności coraz częściej pojawia się przed pełnym wdrożeniem poprawek, klasyczny cykl „skan – raport – plan – zmiana – patch” może być zbyt wolny dla systemów eksponowanych do Internetu” – zaznaczył CSIRT KNF. Wskazano również na zmianę modelu docelowego, którym powinno być szybkie łatanie podatności przez kontrolowany i weryfikowalny proces.