Nowoczesne cyberzagrożenia: Gdy przeglądarka i logowanie stają się Twoim wrogiem – złośliwe rozszerzenia i ataki Adversary-in-the-Middle
🧠 Nowoczesne cyberzagrożenia: Gdy przeglądarka i logowanie stają się Twoim wrogiem – złośliwe rozszerzenia i ataki Adversary-in-the-Middle
W epoce cyfrowej, gdzie przeglądarka internetowa stała się oknem na świat, a proces logowania – bramą do niemal każdej platformy, cyberprzestępcy coraz częściej kierują swoje działania właśnie tam, gdzie użytkownik czuje się najbardziej komfortowo i… bezpiecznie. Dziś nie trzeba już łamać szyfrowania czy przeprowadzać skomplikowanych operacji na poziomie systemu – wystarczy przekonać użytkownika, by sam zainstalował „broń” do własnego komputera, lub przechwycić jego dane podczas logowania w sposób, który nie wzbudzi podejrzeń.
Dwa zjawiska, które szczególnie zasługują na uwagę w 2025 roku, to złośliwe rozszerzenia przeglądarki oraz ataki typu adversary-in-the-middle (AiTM). Ich skuteczność, trudność wykrycia oraz niski próg wejścia dla cyberprzestępców czynią je realnym zagrożeniem zarówno dla użytkowników indywidualnych, jak i dużych organizacji.
🧩 Złośliwe rozszerzenia przeglądarki – koń trojański XXI wieku
📌 Czym są rozszerzenia i dlaczego są niebezpieczne?
Rozszerzenia przeglądarki to małe programy, które wzbogacają możliwości przeglądarek takich jak Chrome, Edge czy Firefox. Mogą blokować reklamy, tłumaczyć strony, zarządzać zakładkami lub integrować się z narzędziami firmowymi. Ale… mogą też:
- śledzić aktywność użytkownika,
- czytać dane z formularzy (w tym loginy i hasła),
- przechwytywać ciasteczka i tokeny sesyjne,
- wstrzykiwać złośliwy kod JavaScript na odwiedzane strony.
Wszystko to pod przykrywką „pomocnego narzędzia”. Co gorsza, złośliwe rozszerzenia często pojawiają się w oficjalnych sklepach z dodatkami – dopiero po czasie są usuwane przez administratorów.
🧠 Jak działają złośliwe rozszerzenia?
Po zainstalowaniu, rozszerzenie uzyskuje dostęp do DOM (struktury strony), historii przeglądania, zawartości formularzy, a nawet komunikacji sieciowej. Działa w tle, jest odporne na aktualizacje przeglądarki i często posiada uprawnienia wykraczające poza potrzeby użytkownika.
Przykładowo:
- Rozszerzenie deklaruje, że służy do zarządzania zakładkami, a w tle śledzi aktywność na stronach banków lub poczty.
- Użytkownik instaluje rozszerzenie do PDF, a to kopiuje dane kart płatniczych z e-commerce.
- Po kliknięciu linku phishingowego, użytkownik instaluje „rozszerzenie zabezpieczające”, które w rzeczywistości przechwytuje tokeny logowania i wysyła je do atakującego.
📊 Statystyka i skala problemu
W badaniach Google z 2023 roku wykazano, że ponad 1,5% użytkowników Chrome miało zainstalowane przynajmniej jedno podejrzane rozszerzenie. Co gorsza, większość z nich była dostępna przez wiele miesięcy w oficjalnym Chrome Web Store.
W 2024 roku wykryto dużą kampanię, w której złośliwe rozszerzenia symulowały narzędzia AI, wykorzystując popularność chatbotów. Po zainstalowaniu – kradły dane logowania do Gmaila i Slacka.
🧠 Adversary-in-the-Middle (AiTM) – nowa era phishingu
📌 Co to jest AiTM?
Adversary-in-the-Middle (AiTM) to technika, która polega na przechwyceniu komunikacji między użytkownikiem a prawdziwą witryną logowania. W przeciwieństwie do klasycznego phishingu, AiTM nie pokazuje fałszywej strony – pośredniczy w sesji, przekazując dane do rzeczywistego serwera, a potem kradnie token uwierzytelnienia.
Dzięki temu:
- użytkownik widzi prawdziwą stronę logowania,
- system uwierzytelnia go (nawet przez MFA),
- ale atakujący przejmuje sesję i nie musi znać hasła ani mieć dostępu do kodu MFA.
⚙️ Jak działa AiTM?
- Użytkownik otrzymuje link do pozornie bezpiecznej strony – np. login.microsoftonline.com.verify-access.com.
- Strona działa jako proxy, przekazując formularze do prawdziwego Microsoft Online.
- Użytkownik podaje dane i zatwierdza MFA – wszystko wygląda normalnie.
- Atakujący przechwytuje token sesyjny i loguje się w jego imieniu.
📉 Dlaczego to takie groźne?
- Omijanie MFA – użytkownik myśli, że zabezpieczył konto, a atakujący i tak przejmuje dostęp.
- Brak widocznych symptomów – nie dochodzi do fałszywego ekranu logowania.
- Trwałość dostępu – dzięki tokenom sesji napastnik może zachować dostęp przez wiele godzin lub dni.
Ataki AiTM były wykorzystywane m.in. przez grupę Storm-1167, która w 2023 roku zaatakowała setki kont w Microsoft 365, wykorzystując infrastrukturę proxy hostowaną w chmurach AWS i Azure.
🛡️ Jak się bronić?
🧩 W przypadku złośliwych rozszerzeń:
- Stosuj polityki zarządzania rozszerzeniami w firmach (np. blokada zewnętrznych dodatków).
- Monitoruj aktywność sieciową rozszerzeń i szukaj połączeń do nieznanych domen.
- Korzystaj z przeglądarek z funkcją izolacji rozszerzeń (np. Edge).
- Edukuj użytkowników – rozszerzenie to też program!
🧠 W przypadku AiTM:
- Wprowadź FIDO2/WebAuthn (klucze sprzętowe) – ataki AiTM ich nie przejdą.
- Monitoruj lokalizację i kontekst sesji (systemy CASB, UEBA).
- Weryfikuj adresy URL nawet przy MFA.
- Wdrażaj zasady Zero Trust – nie ufaj logowaniu, nawet jeśli zostało wykonane poprawnie.
🔚 Podsumowanie
Świat cyberzagrożeń nie stoi w miejscu – on ewoluuje wraz z naszymi narzędziami, nawykami i złudnym poczuciem bezpieczeństwa. Złośliwe rozszerzenia przeglądarki oraz ataki Adversary-in-the-Middle pokazują, że zagrożenie często czai się nie tam, gdzie się go spodziewamy – ale dokładnie tam, gdzie czujemy się najpewniej.
To nie jest czas na pasywność – to czas na świadome podejmowanie decyzji technologicznych, edukację użytkowników i budowanie odporności nie tylko infrastrukturalnej, ale i mentalnej. Bo bezpieczeństwo cyfrowe to nie produkt. To proces.
Ataki na Konteneryzację (Docker, Kubernetes Exploitation): Zagrożenia w nowoczesnych środowiskach 📦 Co to jest konteneryzacja? Konteneryzacja to metoda pakowania aplikacji Czytaj dalej
💣 DDoS-for-Hire (Booter/Stresser Services): Czarny rynek usług DDoS i ich dostępność 📌 Wprowadzenie W erze cyfrowej, w której każda firma Czytaj dalej
