Infostealery kradną sesje, nie hasła. Dlaczego MFA już nie wystarcza

Infostealery kradną sesje, nie hasła. Dlaczego MFA już nie wystarcza

Masz włączone MFA na każdym koncie w firmie i mimo to możesz stracić dostęp do systemu w kilka sekund. Atakujący nie musi znać Twojego hasła. Wystarczy mu token sesji, który Twoja przeglądarka już ma otwarty.

Co to jest infostealer i czemu admin go zwykle nie widzi

Infostealer to malware, którego jedynym zadaniem jest kradzież danych: logowania, tokenów sesji, danych zapisanych w autouzupełnianiu przeglądarki, czasem też danych finansowych. Instaluje się po cichu, siedzi w tle i wysyła zebrane informacje do atakującego, zanim ktokolwiek w firmie zorientuje się, że coś jest nie tak.
W małych i średnich firmach ochrona przeglądarki kończy się zwykle na antywirusie na endpoincie i filtrze URL na firewallu. To działa dobrze, kiedy zagrożeniem jest plik do pobrania albo złośliwy link. Kłopot w tym, że coraz więcej ataków w ogóle nie dotyka dysku. Dzieje się wyłącznie w sesji przeglądarki, po tym jak użytkownik już się zalogował i klasyczny stack po prostu tego nie widzi.
Infostealery nie są nowością. CrowdStrike opisuje je jako aktywne zagrożenie już od połowy lat 2000., a jednym z pierwszych szeroko znanych przykładów był wirus Zeus, znany też jako Zbot, który infekował urządzenia przez phishing i drive-by download, celując w dane logowania do bankowości internetowej. Od tamtego czasu ta kategoria malware ewoluowała. CrowdStrike wymienia w tym kontekście między innymi Emotet, Racoon Stealer i Lumma Stealer jako przykłady infostealerów, które w kolejnych latach na dużą skalę wykradały dane logowania i tokeny sesji z przeglądarek.

Przejęcie sesji obchodzi MFA

Session hijacking, czyli przejęcie sesji, to technika, w której atakujący zdobywa aktywny token sesji użytkownika i dzięki temu uzyskuje dostęp do systemu bez znajomości hasła i bez przechodzenia przez wyzwanie MFA. Token sesji jest dowodem, że użytkownik już się zalogował i przeszedł weryfikację. Jeśli ten dowód trafi w ręce atakującego, może on podszyć się pod użytkownika, jakby był nim samym.
To odróżnia infostealery od ransomware. Ransomware działa hałaśliwie i widocznie, infostealer po cichu. Jego skutki, na przykład nieautoryzowane logowanie do poczty firmowej, dashboardu w chmurze czy portalu finansowego, mogą wyjść na jaw dopiero po fakcie, kiedy dane już wyciekły albo doszło do nieautoryzowanych transakcji.
Konsekwencje takiego ataku nie kończą się na jednym incydencie. Skradzione dane logowania trafiają na czarny rynek i mogą prowadzić do kradzieży tożsamości. Przejęta sesja do systemu firmowego może oznaczać wyciek danych objęty obowiązkami regulacyjnymi. Koszty reakcji na incydent, przywrócenia systemów i powiadomienia klientów rosną szybko, niezależnie od wielkości firmy.

Dlaczego firewall i brama webowa tu nie pomogą

Przeglądarka stała się w praktyce systemem operacyjnym firmy: większość codziennej pracy, od poczty po CRM i wewnętrzne portale, dzieje się właśnie w przeglądarkach. Z danych wynika, że ponad 85% organizacji korzysta z jakiejś formy SaaS. Problem w tym, że stack bezpieczeństwa był budowany dla sieci i endpointu, nie dla przeglądarki, więc ten obszar wciąż zostaje bez ochrony.
Nawet klasyczne narzędzia typu secure web gateway albo CASB, które teoretycznie miały pilnować ruchu do aplikacji w chmurze, tracą widoczność w momencie, gdy użytkownik już się zaloguje. Widzą, że ktoś wszedł do aplikacji. Nie widzą, co dzieje się dalej wewnątrz sesji.
Niektóre firmy próbują domykać ten obszar rozszerzeniami przeglądarkowymi klasy security. Problem w tym, że takie rozszerzenie z definicji ma ograniczony dostęp do wnętrza przeglądarki, nie widzi ruchu HTTP, zwykle skupia się tylko na ochronie cookies i reaguje, gdy atak już się zaczął, a nie zanim się zacznie.
I właśnie tu admin bez własnego SOC zostaje sam. Firewall, antywirus, brama webowa: żadne z nich nie widzi, co się dzieje wewnątrz sesji po zalogowaniu.

Falcon Secure Access: moduł, nie osobna przeglądarka

Falcon Secure Access to moduł platformy CrowdStrike Falcon®, który zabezpiecza przeglądarkę od wewnątrz. Nie zmienia przeglądarki, nie przekierowuje ruchu przez dodatkową infrastrukturę i nie zmienia sposobu, w jaki ludzie pracują. To dobra odpowiedź na mit, że ochrona tej klasy wymaga dedykowanej „bezpiecznej przeglądarki”, przebudowy sieci albo kosztownego VDI dla pracowników zdalnych.
Mechanizm działa w oparciu o moduł bezpieczeństwa runtime, osadzony w silniku JavaScript samej przeglądarki. Dzięki temu exploity zero-day, phishing i przejęcia sesji są wykrywane i blokowane w czasie rzeczywistym, a nie na podstawie sygnatur czy list znanych zagrożeń.
Jak wygląda działanie Falcon Secure Access?
  • Zatrzymuje exploity zero-day i N-day dzięki technologii moving target defense (MTD), która zaburza przewidywalny przebieg działania exploitu. Atak nie musi być wcześniej znany, by go zablokować.
  • Blokuje sofistykowany phishing na bieżąco. Silnik antyphishingowy ocenia sygnały ryzyka w momencie renderowania strony i wychwytuje między innymi ataki reverse-proxy i browser-in-the-browser (BitB). Strony uznane za złośliwe otwierają się w trybie tylko do odczytu, więc nie da się w nich wpisać danych logowania.
  • Blokuje złośliwy JavaScript, zanim się wykona, w tym m.in. SocGholish, Gootloader, HTML smuggling czy XSS.
  • Szyfruje tokeny sesji lokalnie, w przeglądarce. Nawet jeśli ktoś je przechwyci, są bezużyteczne. Poziom ryzyka jest oceniany na bieżąco przez całą sesję, nie tylko w momencie logowania.
  • Chroni urządzenia niezarządzane i BYOD bez enrolmentu MDM, klienta VPN czy VDI, co ma szczególne znaczenie przy kontraktorach i pracownikach zdalnych.
  • Kontroluje rozszerzenia przeglądarki. Ciągła inwentaryzacja i analiza ryzyka (reputacja, kod, historia, zachowanie) pozwalają zablokować podejrzane rozszerzenie, zanim zdąży dobrać się do danych firmowych.
Warto zwrócić uwagę na jedną rzecz w architekturze: to, co dzieje się w przeglądarce, trafia do platformy Falcon i łączy się z sygnałami z endpointów i tożsamości w jednym widoku. CrowdStrike od zawsze opisuje swój silnik jako jeden, lekki agent działający natywnie w chmurze, i tu widać, co to znaczy w praktyce: admin nie uczy się nowego panelu i nie wdraża kolejnego systemu od zera, tylko dokłada moduł do tego, co już ma.

Ile to kosztuje i co to znaczy dla firmy bez SOC

Licencjonowanie Falcon Secure Access jest rozliczane per endpoint, w wariancie rocznym albo miesięcznym. Czyli tak samo, jak reszta platformy Falcon. Nie trzeba negocjować osobnego kontraktu na osobny system, wystarczy dokupić moduł do licencji, którą już masz.
Firmy, które płacą rocznie za licencje VDI, żeby zapewnić bezpieczny dostęp zdalny, mogą tę infrastrukturę wycofać na rzecz dostępu przeglądarkowego bez klienta, bez peeringu sieciowego i bez proxy steeringu. Dla pracownika zdalnego czy kontraktora to po prostu prostsze doświadczenie.
Dla firmy z jednym administratorem, bez działu bezpieczeństwa, liczą się dwie rzeczy: mniej infrastruktury do utrzymania, bo nie trzeba budować i podtrzymywać VPN-a czy VDI, i mniej czasu spędzonego na ręcznej reakcji na incydenty w przeglądarce. Weźmy prosty przykład: firma zatrudnia dwóch zdalnych kontraktorów i księgową pracującą z domu na własnym laptopie. Bez tego modułu każdy z nich musiałby dostać VPN-a albo dostęp przez VDI, a admin musiałby ręcznie pilnować, co się dzieje na ich nieznanych mu urządzeniach. Z Falcon Secure Access dostają bezpieczny dostęp z przeglądarki, którą już mają, bez enrolmentu i bez szkolenia, a admin widzi ich sesje w tym samym miejscu, w którym widzi resztę platformy Falcon.

Skala problemu w liczbach

CrowdStrike w 2026 Global Threat Report podaje kilka liczb, które dobrze pokazują, czemu ten temat zyskał priorytet. 82% wykrytych ataków w analizowanym okresie było malware-free. Liczba incydentów z fałszywym CAPTCHA jako wektorem wzrosła o 563%. Liczba wykorzystanych podatności zero-day, zanim producent zdążył je publicznie ujawnić, wzrosła o 42%. Średni czas breakout, czyli od pierwszego przyczółka do ruchu lateralnego w sieci, CrowdStrike szacuje na 29 minut.
Falcon Secure Access trafił też na listę liderów w dwóch niezależnych opracowaniach z 2025 roku: GigaOm Radar for Secure Enterprise Browsing 2025, kategoria Leader and Fast Mover, oraz Frost & Sullivan Radar: Global Zero Trust Browser Security Market, 2025, kategoria Leader.

FAQ: infostealery, przejęcie sesji i Falcon Secure Access

Czy trzeba zmienić przeglądarkę firmową? Nie. Rozwiązanie działa na Chrome, Edge, Safari, Firefoxie i każdej przeglądarce opartej na Chromium. Nie ma migracji na dedykowaną „bezpieczną przeglądarkę”.
Czy to ma sens dla firmy bez własnego SOC? Tak, jeśli firma korzysta już z platformy Falcon albo planuje jej wdrożenie. Moduł działa na istniejącej architekturze, nie trzeba budować pod niego odrębnego zespołu.
Czy MFA nie wystarcza przed przejęciem sesji? Nie zawsze. Kto ma ważny token sesji, ten może ominąć MFA, bo token jest dowodem już zakończonej, poprawnej weryfikacji.
Czy potrzebny jest VPN dla pracowników zdalnych i kontraktorów? Nie. Jedno z zastosowań tego modułu to właśnie ograniczenie albo zastąpienie VPN-a i VDI, przy zachowaniu kontroli dostępu.

Chcesz sprawdzić, czy Twoja platforma CrowdStrike może zostać rozszerzona o ochronę przeglądarki i sesji, bez zmiany infrastruktury? Umów rozmowę z naszym specjalistą i sprawdź moduły CrowdStrike dostępne w Net Complex.
Zobacz też, jak CrowdStrike broni się przed atakami malware-free w praktyce: film z Akademii Cyberbezpieczeństwa Net Complex.
Marketing Specialist
Autor artykułu
Marketing Specialist
Oceń blog:
Czas czytania: 12 min
Data: 08.07.2026

Terminarz

prev

next

Lista najbliższych webinariów

03.09.2026
09:00 Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
08.09.2026
09:00 Szkolenie Ansible z Windows i Active Directory
Szkolenie Ansible z Windows i Active Directory
10.09.2026
09:00 Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
22.09.2026
09:00 Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Agenci AI i bezpieczeństwo tożsamości – kto naprawdę działa w systemie? Autoryzacja i Zarządzanie Tożsamością
Ochrona endpointów i XDR – ataki, które nie wyglądają jak wirusy Extended Detection and Response (XDR)
Masz 29 minut. Jak szybko haker może przejąć firmę Endpoint Detection and Response (EDR)
Infostealery kradną sesje. Dlaczego MFA już nie wystarcza Autoryzacja i Zarządzanie Tożsamością
Forcepoint DSPM (Data Security Posture Management)

Forcepoint DSPM (Data Security Posture Management)

Wycena indywidualna
Zobacz więcej
Forcepoint DLP for Email

Forcepoint DLP for Email

Wycena indywidualna
Zobacz więcej
Barracuda Web Application Firewall Nowość

Barracuda Web Application Firewall

Barracuda WAF zabezpiecza aplikacje internetowe przed DDoS, botami i exploitami, zwiększając wydajność, dostępność i ochronę danych.

Wycena indywidualna
Zobacz więcej