Zagrożeń w cyberprzestrzeni stale przybywa, a najbardziej dynamicznie rozwijają się przestępcze wykorzystanie AI, pakiet „usługa wyłudzania okupu” i kradzież danych za pomocą łośliwego oprogramowania. Zespół CSIRT KNF przedstawił właśnie raport podsumowujący trendy zaobserwowane w 2025 r.
„Krajobraz zagrożeń w sektorze finansowym” to tytuł raportu opublikowanego pod koniec kwietnia przez zajmujący się cyberbezpieczeństwem zespół działający przy Komisji Nadzoru Finansowego. W dokumencie podsumowano najważniejsze problemy, z jakimi borykają się instytucje finansowe w cyfrowym świecie. Wśród nich zaledwie część ma bezpośredni związek z klientelą.
5 grup zagrożeń – od APT do pracownika
Bankom, ubezpieczycielom, biurom maklerskim zagrażają działania kilku grup „interesariuszy”. Pierwszą są grupy sponsorowane przez państwa (APT), czyli zespoły, które na życzenie swoich zleceniodawców starają się zakłócić działanie strategicznych sektorów gospodarki i zdobyć cenne z politycznego punktu widzenia informacje. APT sięgają po cybersabotaż, wycelowane ataki phishingowe (spear phishing), nieudokumentowane luki w oprogramowaniu oraz zakażanie modułów (supply chain attacks) jako punkt wejścia do kluczowych systemów.
Drugim typem zagrożenia są zorganizowane grupy przestępcze. Tu cel działania jest głównie finansowy, a przestępcy działają niemal jak korporacje. Tworzą pakiety „usług” sprzedawane każdemu chętnemu (np. ransomware as a service), trojany bankowe, obsługują platformy handlu danymi kart płatniczych, instalują u ofiar oprogramowanie kopiące kryptowaluty (cryptojacking).
Obok przestępczych „biznesów” na rynku nie brakuje indywidualnych cyberprzestępców. Działający samodzielnie kierują się przede wszystkich chęcią zysku. Czasem motywy są osobiste (zemsta, poszukiwanie uznania w środowisku) lub ideologiczne. Do ich arsenału należy phishing, łośliwe oprogramowanie, oprogramowanie wymuszające okup (ransomware), a także socjotechniczne sztuczki służące kradzieży tożsamości.
Ჹٲɾś atakują instytucje finansowe z zupełnie innych pobudek – ideologicznych lub politycznych. „Grupy prorosyjskie stanowią znaczący segment tego środowiska, działając często w ramach nieoficjalnego wsparcia dla interesów rosyjskich” – zauważono w raporcie. Ჹٲɾś wykorzystują ataki DDoS blokujące witryny i usługi sieciowe, podmieniają zawartość serwisów (defacement), ujawniają wrażliwe dane swoich ofiar (doxing), rozpowszechniają dezinformację.
W raporcie wskazano również na nieoczywisty typ aktorów zagrażających cyberbezpieczeństwu instytucji finansowych – użytkowników wewnętrznych, pracowników, współpracowników. Czasem działają oni z premedytacją, a nieraz poprzez zaniedbania narażają na szwank zasoby swoich pracodawców.
Hity 2025 r. – tu ewolucja jest najszybsza
Specjaliści CSIRT KNF zwracają uwagę na kilka szczególnie szybko rozwijających się typów ataków. Coraz powszechniejsze staje się wykorzystanie narzędzi opartych na sztucznej inteligencji, a zwłaszcza technologia deep fake. Znajduje ona zastosowanie do bardziej zaawansowanego phishingu (do pracownika banku np. dzwoni „dyrektor”), podszywania się pod bank, ale także ataków reputacyjnych (fałszywych materiałów oczerniających reprezentantów instytucji). „Ataki z wykorzystaniem AI, w tym deepfake, są wciąż stosunkowo nowe, ale ich częstotliwość rośnie wraz z rozwojem technologii” – wskazano w dokumencie.
Ransomware as a service to z kolei forma “uprzemysłowienia” jednej z form cyberprzestępstw. Mianem ransomware nazywa się łośliwe oprogramowanie, które np. szyfruje dane użytkownika, a następnie żąda okupu za klucz umożliwiający odzyskanie plików. Przestępcy nie muszą dziś sami przygotowywać takich kampanii, mogą skorzystać z gotowych rozwiązań, gdzie za odpowiednią opłatą otrzymuje się wszystkie narzędzia, a także np. dostęp do „pomocy technicznej” online.
W raporcie opisano również stosunkowo nowy typ zagrożenia, wcześniej znany raczej z teoretycznych rozważań. Złośliwe oprogramowanie typu NFC Relay opiera się na skłonieniu ofiary do odczytania przez moduł NFC w telefonie karty zbliżeniowej, a następnie przekierowanie tych danych do próby dokonania płatności lub wypłaty z bankomatu. Pretekstem może być chociażby „weryfikacja klienta” w podrobionej aplikacji mobilnej.
Na polskim rynku odnotowano do tej pory zaledwie jeden przypadek wykorzystania tego schematu, a kampania wycelowana była w klientelę PKO BP. „Zbliżony model ataku, rozbudowany o wątek socjotechniczny oraz wykorzystanie technologii PWA w pierwszej fazie kampanii, obserwowano w 3 kwartale 2024 roku na terenie Czech” – wskazano w raporcie, odnosząc się do . Schemat ma znaczące ograniczenia, ale „w miarę upływu czasu można spodziewać się upowszechnienia ww. techniki wśród atakujących ukierunkowanych na rynek polski” – podkreślają eksperci.
