Person Kamil Grabowski, Inżynier Infrastruktury IT
Aurora DarkWatch
cyberbezpieczeństwo
darknet
10 czerwca 2025
Time 6 minut czytania

Kto stoi za wyciekami danych? Złodzieje informacji na celowniku [Raport DarkWatch]

Person Kamil Grabowski, Inżynier Infrastruktury IT

W mrocznych zakamarkach internetu dynamicznie rozwija się rynek handlu skradzionymi danymi użytkowników. Jednym z najczęściej zgłaszanych incydentów przez system Aurora Darkwatch wśród naszych klientów są przypadki, w których dane pracowników pojawiają się na sprzedaż na darknetowych forach bądź telegramie.

Czym właściwie są złodzieje informacji? Jak dochodzi do wycieku danych? I co można zrobić, aby skutecznie się przed tym bronić? Odpowiedzi na te pytania znajdziesz w poniższym artykule.

Czym są złodzieje informacji?

Złodzieje informacji to rodzaj złośliwego oprogramowania zaprojektowanego do kradzieży danych i plików z urządzeń użytkowników – zazwyczaj bez ich wiedzy. Infostealery, bo tak są potocznie nazywane, potrafią przechwytywać hasła, dane logowania, pliki firmowe, dane kart płatniczych, a w najgorszym przypadku nawet tokeny sesji umożliwiające obejście dwuetapowej weryfikacji.

Na jakiej zasadzie działają złodzieje informacji?
  • Keylogging – jedna z najpopularniejszych technik. Złośliwe oprogramowanie, które rejestruje każde naciśnięcie klawisza, umożliwiając przechwycenie haseł, danych logowania oraz treści wiadomości.
  • Form Grabbing – to technika, która polega na przechwytywaniu danych wprowadzanych w formularzach na stronach internetowych, zanim jeszcze zostaną one zaszyfrowane przez przeglądarkę. To naprawdę skuteczna metoda kradzieży loginów oraz informacji o kartach kredytowych.
  • Clipboard Hijacking – malware monitoruje zawartość schowka systemowego. Ta technika pozwala na kradzież haseł kopiowanych z menedżerów haseł, takich jak Bitwarden, a nawet ich podmianę – na przykład zmieniając numer konta bankowego na taki, który należy do cyberprzestępcy.
  • Przechwytywanie ekranu (screenshotting) – to technika, którą wykorzystuje złośliwe oprogramowanie do robienia zrzutów ekranu w kluczowych momentach, na przykład podczas wpisywania hasła czy przeglądania poufnych informacji. Dzięki temu mogą ominąć ograniczenia związane z wyciąganiem danych tekstowych.
  • Kradzież danych przeglądarki – Infostealer potrafi wykradać ciasteczka i tokeny sesji, co pozwala na podszycie się pod użytkownika na innym urządzeniu. Jeśli dojdzie do przejęcia konta z dostępem do kluczowych zasobów firmy, konsekwencje mogą być naprawdę poważne.
  • Credential Dumping – to technika, która polega na zdobywaniu poświadczeń przechowywanych w lokalnych magazynach haseł, najczęściej w przeglądarkach internetowych. Cyberprzestępcy często mają dostęp do narzędzi, które umożliwiają im łamanie ich szyfrowania.
  • Man-in-the-Browser (MitB) – to zaawansowany typ ataku, w którym złośliwe oprogramowanie wprowadza szkodliwy kod bezpośrednio do przeglądarki. Dzięki temu możliwe jest przechwytywanie, a nawet modyfikowanie danych wprowadzanych na zabezpieczonych stronach internetowych – i to w czasie rzeczywistym.
  • Email Harvesting – złośliwe oprogramowanie przeszukuje pliki i skrzynki pocztowe w poszukiwaniu adresów e-mail, które następnie są wykorzystywane w kampaniach phishingowych lub spamowych.
  • Crypto Wallet Harvesting – niektóre rodzaje złośliwego oprogramowania są stworzone specjalnie w celu kradzieży portfeli kryptowalutowych. Infostealer stara się zdobyć klucze prywatne, które pozwalają na przejęcie funduszy i realizację transakcji z konta ofiary.
Jak dochodzi do zarażenia złośliwym oprogramowaniem?

W większości przypadków to użytkownik ponosi winę za infekcję, stając się ofiarą ataku phishingowego lub pobierając zainfekowany plik z złośliwym oprogramowaniem. Najczęściej do zarażenia dochodzi podczas instalacji nielegalnego oprogramowania, takiego jak cracki czy cheaty do gier, a także programów z niezaufanych źródeł.

Złośliwe oprogramowanie często ukrywa się w kopiach drogich, komercyjnych aplikacji, które użytkownicy próbują zdobyć za darmo. Warto zaznaczyć, że złodzieje informacji rzadko celują w konkretne osoby czy firmy. W większości przypadków infekcje są przypadkowe i wynikają z nieświadomych działań użytkowników.

Dane z systemu Aurora Darkwatch pokazują, że większość zainfekowanych urządzeń to prywatne komputery, na których pracownicy przechowują dane firmowe lub mają włączoną synchronizację, np. przez OneDrive lub przeglądarkę internetową, z komputerem służbowym. Takie połączenia znacznie zwiększają ryzyko przeniesienia zagrożenia do środowiska firmowego.

Co dzieje się po zarażeniu?

Po zainfekowaniu urządzenia, złośliwe oprogramowanie zaczyna przesyłać zebrane dane – takie jak loginy, hasła, ciasteczka sesyjne czy pliki – prosto do cyberprzestępcy. Następnie te informacje trafiają na sprzedaż w darknecie.

Zanim jednak dane zostaną sprzedane, przestępcy często publikują próbki – fragmenty loginów, wybrane hasła lub adresy e-mail – które potencjalni kupujący mogą samodzielnie sprawdzić. Jeśli dane okazują się prawdziwe i działające, zwiększa to wiarygodność oferty i zachęca do zakupu pełnych pakietów informacji. W efekcie nawet przypadkowe zainfekowanie jednego komputera może prowadzić do poważnego naruszenia bezpieczeństwa systemów firmowych.

Jak Aurora Darkwatch pomaga w przypadku wycieku?

Nasza usługa monitorowania darknetu pozwala na szybkie wykrycie wycieku danych i identyfikację zainfekowanego urządzenia. Dzięki temu możliwe jest błyskawiczne podjęcie działań naprawczych – takich jak zablokowanie konta użytkownika jeszcze zanim ktoś zdąży zakupić i wykorzystać skradzione informacje na masową skalę.

Wczesna reakcja znacząco ogranicza potencjalne szkody, chroniąc nie tylko dane pracownika, ale także zasoby całej organizacji.

Jak można się zabezpieczyć przed takimi wyciekami?

Kluczem do skutecznej ochrony przed wyciekiem danych jest edukacja i uświadamianie pracowników o zagrożeniach, które mogą ich spotkać. Bez tego elementu nawet najbardziej zaawansowane rozwiązania techniczne nie będą w stanie zapewnić pełnej ochrony.

Choć wiele firm wprowadza surowe polityki bezpieczeństwa, systemy klasy EDR i inne narzędzia ochrony końcówek nie będą skuteczne, jeśli użytkownicy przechowują dane firmowe na prywatnych urządzeniach lub korzystają z firmowych adresów e-mail z tymi samymi hasłami, co na zewnętrznych portalach.

Człowiek wciąż pozostaje najsłabszym ogniwem w całym systemie – dlatego tak ważne jest połączenie technologii z dobrze przemyślanym programem szkoleń oraz świadomą kulturą bezpieczeństwa w organizacji.

Ostatnia linia obrony: Aurora Darkwatch

Kiedy wszystkie inne mechanizmy zawiodą – polityka, technologia i czynniki ludzkie – Aurora Darkwatch staje się ostatnią deską ratunku. Nasza usługa błyskawicznie wykrywa wycieki danych w darknecie, identyfikuje zagrożonych użytkowników i pozwala firmie natychmiast zareagować, zanim cyberprzestępcy wykorzystają te informacje.

Chcesz poznać więcej szczegółów? Napisz do nas na adres eksperci@itpunkt.pl lub skorzystaj z formularza kontaktowego poniżej.

Myślisz o wdrożeniu Aurora DarkWatch?

Porozmawiajmy.

Newsletter:


* Pola wymagane

Image
Artykuły eksperckie
Cyberatak na szpital MSWiA – czy można było tego uniknąć?

Większość z nas słyszała o wydarzeniach z 8 marca 2025 roku, które miały miejsce w…

cyberatak
cybersecurity
ransomware
02 kwietnia 2025
Image
Artykuły eksperckie
Polityki Attack Surface Reduction (ASR) – skuteczna część ochrony przed malware

Attack Surface Reduction (ASR) to zestaw technik, zasad i mechanizmów bezpieczeństwa, które mają na celu…

cyberbezpieczeństwo
malware
Polityki ASR
08 maja 2025
Image
Artykuły eksperckie
Jak chronić firmę przed phishingiem?

Phishing to jedna z najczęstszych form cyberataków, której celem jest wyłudzenie poufnych danych poprzez podszywanie…

cyberbezpieczeństwo
nis2
phishing
12 marca 2025