Masz włączone MFA na każdym koncie w firmie i mimo to możesz stracić dostęp do systemu w kilka sekund. Atakujący nie musi znać Twojego hasła. Wystarczy mu token sesji, który Twoja przeglądarka już ma otwarty.
Co to jest infostealer i czemu admin go zwykle nie widzi
Infostealer to malware, którego jedynym zadaniem jest kradzież danych: logowania, tokenów sesji, danych zapisanych w autouzupełnianiu przeglądarki, czasem też danych finansowych. Instaluje się po cichu, siedzi w tle i wysyła zebrane informacje do atakującego, zanim ktokolwiek w firmie zorientuje się, że coś jest nie tak.
W małych i średnich firmach ochrona przeglądarki kończy się zwykle na antywirusie na endpoincie i filtrze URL na firewallu. To działa dobrze, kiedy zagrożeniem jest plik do pobrania albo złośliwy link. Kłopot w tym, że coraz więcej ataków w ogóle nie dotyka dysku. Dzieje się wyłącznie w sesji przeglądarki, po tym jak użytkownik już się zalogował i klasyczny stack po prostu tego nie widzi.
Infostealery nie są nowością. CrowdStrike opisuje je jako aktywne zagrożenie już od połowy lat 2000., a jednym z pierwszych szeroko znanych przykładów był wirus Zeus, znany też jako Zbot, który infekował urządzenia przez phishing i drive-by download, celując w dane logowania do bankowości internetowej. Od tamtego czasu ta kategoria malware ewoluowała. CrowdStrike wymienia w tym kontekście między innymi Emotet, Racoon Stealer i Lumma Stealer jako przykłady infostealerów, które w kolejnych latach na dużą skalę wykradały dane logowania i tokeny sesji z przeglądarek.
Przejęcie sesji obchodzi MFA
Session hijacking, czyli przejęcie sesji, to technika, w której atakujący zdobywa aktywny token sesji użytkownika i dzięki temu uzyskuje dostęp do systemu bez znajomości hasła i bez przechodzenia przez wyzwanie MFA. Token sesji jest dowodem, że użytkownik już się zalogował i przeszedł weryfikację. Jeśli ten dowód trafi w ręce atakującego, może on podszyć się pod użytkownika, jakby był nim samym.
To odróżnia infostealery od ransomware. Ransomware działa hałaśliwie i widocznie, infostealer po cichu. Jego skutki, na przykład nieautoryzowane logowanie do poczty firmowej, dashboardu w chmurze czy portalu finansowego, mogą wyjść na jaw dopiero po fakcie, kiedy dane już wyciekły albo doszło do nieautoryzowanych transakcji.
Konsekwencje takiego ataku nie kończą się na jednym incydencie. Skradzione dane logowania trafiają na czarny rynek i mogą prowadzić do kradzieży tożsamości. Przejęta sesja do systemu firmowego może oznaczać wyciek danych objęty obowiązkami regulacyjnymi. Koszty reakcji na incydent, przywrócenia systemów i powiadomienia klientów rosną szybko, niezależnie od wielkości firmy.
Dlaczego firewall i brama webowa tu nie pomogą
Przeglądarka stała się w praktyce systemem operacyjnym firmy: większość codziennej pracy, od poczty po CRM i wewnętrzne portale, dzieje się właśnie w przeglądarkach. Z danych wynika, że ponad 85% organizacji korzysta z jakiejś formy SaaS. Problem w tym, że stack bezpieczeństwa był budowany dla sieci i endpointu, nie dla przeglądarki, więc ten obszar wciąż zostaje bez ochrony.
Nawet klasyczne narzędzia typu secure web gateway albo CASB, które teoretycznie miały pilnować ruchu do aplikacji w chmurze, tracą widoczność w momencie, gdy użytkownik już się zaloguje. Widzą, że ktoś wszedł do aplikacji. Nie widzą, co dzieje się dalej wewnątrz sesji.
Niektóre firmy próbują domykać ten obszar rozszerzeniami przeglądarkowymi klasy security. Problem w tym, że takie rozszerzenie z definicji ma ograniczony dostęp do wnętrza przeglądarki, nie widzi ruchu HTTP, zwykle skupia się tylko na ochronie cookies i reaguje, gdy atak już się zaczął, a nie zanim się zacznie.
I właśnie tu admin bez własnego SOC zostaje sam. Firewall, antywirus, brama webowa: żadne z nich nie widzi, co się dzieje wewnątrz sesji po zalogowaniu.
Falcon Secure Access: moduł, nie osobna przeglądarka
Falcon Secure Access to moduł platformy CrowdStrike Falcon®, który zabezpiecza przeglądarkę od wewnątrz. Nie zmienia przeglądarki, nie przekierowuje ruchu przez dodatkową infrastrukturę i nie zmienia sposobu, w jaki ludzie pracują. To dobra odpowiedź na mit, że ochrona tej klasy wymaga dedykowanej „bezpiecznej przeglądarki”, przebudowy sieci albo kosztownego VDI dla pracowników zdalnych.
Mechanizm działa w oparciu o moduł bezpieczeństwa runtime, osadzony w silniku JavaScript samej przeglądarki. Dzięki temu exploity zero-day, phishing i przejęcia sesji są wykrywane i blokowane w czasie rzeczywistym, a nie na podstawie sygnatur czy list znanych zagrożeń.
Jak wygląda działanie Falcon Secure Access?
-
Zatrzymuje exploity zero-day i N-day dzięki technologii moving target defense (MTD), która zaburza przewidywalny przebieg działania exploitu. Atak nie musi być wcześniej znany, by go zablokować.
-
Blokuje sofistykowany phishing na bieżąco. Silnik antyphishingowy ocenia sygnały ryzyka w momencie renderowania strony i wychwytuje między innymi ataki reverse-proxy i browser-in-the-browser (BitB). Strony uznane za złośliwe otwierają się w trybie tylko do odczytu, więc nie da się w nich wpisać danych logowania.
-
Blokuje złośliwy JavaScript, zanim się wykona, w tym m.in. SocGholish, Gootloader, HTML smuggling czy XSS.
-
Szyfruje tokeny sesji lokalnie, w przeglądarce. Nawet jeśli ktoś je przechwyci, są bezużyteczne. Poziom ryzyka jest oceniany na bieżąco przez całą sesję, nie tylko w momencie logowania.
-
Chroni urządzenia niezarządzane i BYOD bez enrolmentu MDM, klienta VPN czy VDI, co ma szczególne znaczenie przy kontraktorach i pracownikach zdalnych.
-
Kontroluje rozszerzenia przeglądarki. Ciągła inwentaryzacja i analiza ryzyka (reputacja, kod, historia, zachowanie) pozwalają zablokować podejrzane rozszerzenie, zanim zdąży dobrać się do danych firmowych.
Warto zwrócić uwagę na jedną rzecz w architekturze: to, co dzieje się w przeglądarce, trafia do platformy Falcon i łączy się z sygnałami z endpointów i tożsamości w jednym widoku. CrowdStrike od zawsze opisuje swój silnik jako jeden, lekki agent działający natywnie w chmurze, i tu widać, co to znaczy w praktyce: admin nie uczy się nowego panelu i nie wdraża kolejnego systemu od zera, tylko dokłada moduł do tego, co już ma.
Ile to kosztuje i co to znaczy dla firmy bez SOC
Licencjonowanie Falcon Secure Access jest rozliczane per endpoint, w wariancie rocznym albo miesięcznym. Czyli tak samo, jak reszta platformy Falcon. Nie trzeba negocjować osobnego kontraktu na osobny system, wystarczy dokupić moduł do licencji, którą już masz.
Firmy, które płacą rocznie za licencje VDI, żeby zapewnić bezpieczny dostęp zdalny, mogą tę infrastrukturę wycofać na rzecz dostępu przeglądarkowego bez klienta, bez peeringu sieciowego i bez proxy steeringu. Dla pracownika zdalnego czy kontraktora to po prostu prostsze doświadczenie.
Dla firmy z jednym administratorem, bez działu bezpieczeństwa, liczą się dwie rzeczy: mniej infrastruktury do utrzymania, bo nie trzeba budować i podtrzymywać VPN-a czy VDI, i mniej czasu spędzonego na ręcznej reakcji na incydenty w przeglądarce. Weźmy prosty przykład: firma zatrudnia dwóch zdalnych kontraktorów i księgową pracującą z domu na własnym laptopie. Bez tego modułu każdy z nich musiałby dostać VPN-a albo dostęp przez VDI, a admin musiałby ręcznie pilnować, co się dzieje na ich nieznanych mu urządzeniach. Z Falcon Secure Access dostają bezpieczny dostęp z przeglądarki, którą już mają, bez enrolmentu i bez szkolenia, a admin widzi ich sesje w tym samym miejscu, w którym widzi resztę platformy Falcon.
Skala problemu w liczbach
CrowdStrike w 2026 Global Threat Report podaje kilka liczb, które dobrze pokazują, czemu ten temat zyskał priorytet. 82% wykrytych ataków w analizowanym okresie było malware-free. Liczba incydentów z fałszywym CAPTCHA jako wektorem wzrosła o 563%. Liczba wykorzystanych podatności zero-day, zanim producent zdążył je publicznie ujawnić, wzrosła o 42%. Średni czas breakout, czyli od pierwszego przyczółka do ruchu lateralnego w sieci, CrowdStrike szacuje na 29 minut.
Falcon Secure Access trafił też na listę liderów w dwóch niezależnych opracowaniach z 2025 roku: GigaOm Radar for Secure Enterprise Browsing 2025, kategoria Leader and Fast Mover, oraz Frost & Sullivan Radar: Global Zero Trust Browser Security Market, 2025, kategoria Leader.
FAQ: infostealery, przejęcie sesji i Falcon Secure Access
Czy trzeba zmienić przeglądarkę firmową? Nie. Rozwiązanie działa na Chrome, Edge, Safari, Firefoxie i każdej przeglądarce opartej na Chromium. Nie ma migracji na dedykowaną „bezpieczną przeglądarkę”.
Czy to ma sens dla firmy bez własnego SOC? Tak, jeśli firma korzysta już z platformy Falcon albo planuje jej wdrożenie. Moduł działa na istniejącej architekturze, nie trzeba budować pod niego odrębnego zespołu.
Czy MFA nie wystarcza przed przejęciem sesji? Nie zawsze. Kto ma ważny token sesji, ten może ominąć MFA, bo token jest dowodem już zakończonej, poprawnej weryfikacji.
Czy potrzebny jest VPN dla pracowników zdalnych i kontraktorów? Nie. Jedno z zastosowań tego modułu to właśnie ograniczenie albo zastąpienie VPN-a i VDI, przy zachowaniu kontroli dostępu.