Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Przeglądarka internetowa stała się centralnym środowiskiem pracy użytkownika końcowego. To właśnie w niej odbywa się logowanie do usług SaaS, obsługa poczty, korzystanie z narzędzi AI, dostęp do paneli administracyjnych oraz wymiana danych biznesowych. W praktyce oznacza to, że rośnie znaczenie zagrożeń, które nie muszą już opierać się na klasycznym malware na stacji roboczej ani bezpośrednim ataku sieciowym.
Zamiast tego coraz więcej incydentów rozpoczyna się w warstwie przeglądarki, gdzie dochodzi do phishingu, kradzieży poświadczeń, nadużyć rozszerzeń oraz wycieku danych do nieautoryzowanych usług AI. To przesunięcie zmienia sposób, w jaki organizacje powinny rozumieć nowoczesną powierzchnię ataku.
W skrócie
Wnioski z Verizon DBIR 2026 oraz dane telemetryczne analizowane przez Keep Aware wskazują na wyraźny trend: istotna część współczesnych zagrożeń i zachowań ryzykownych zaczyna się w przeglądarce. Dotyczy to zarówno działań użytkowników, jak i aktywności napastników wykorzystujących sesję webową jako główny punkt wejścia.
- rośnie skala zjawiska shadow AI,
- kradzież poświadczeń pozostaje jednym z kluczowych wektorów naruszeń,
- rozszerzenia przeglądarkowe stają się realnym źródłem ryzyka,
- techniki socjotechniczne, takie jak ClickFix, zyskują na znaczeniu,
- tradycyjne narzędzia bezpieczeństwa nie zapewniają pełnej widoczności aktywnej sesji przeglądarki.
Kontekst / historia
Przez lata strategie bezpieczeństwa przedsiębiorstw opierały się przede wszystkim na ochronie punktów końcowych, monitoringu sieci oraz kontroli tożsamości. Taki model dobrze odpowiadał środowisku, w którym zagrożenia były widoczne jako pliki wykonywalne, podejrzany ruch sieciowy, połączenia command-and-control czy próby eskalacji uprawnień.
Transformacja do modelu cloud-first i SaaS-first istotnie zmieniła jednak realia operacyjne. Codzienna aktywność użytkownika została przeniesiona do przeglądarki, która pośredniczy w dostępie do systemów firmowych, dokumentów, komunikatorów, środowisk administracyjnych i usług generatywnej AI.
W konsekwencji atakujący coraz częściej wykorzystują techniki działające bezpośrednio w kontekście renderowanej strony, aktywnej sesji i interakcji użytkownika z aplikacją webową. Nie jest to już pojedyncza obserwacja, lecz szeroki trend potwierdzany przez analizy naruszeń, dane DLP i telemetrię z warstwy przeglądarkowej.
Analiza techniczna
Jednym z najważniejszych obszarów jest shadow AI, czyli korzystanie przez pracowników z usług sztucznej inteligencji poza formalnie zatwierdzonymi kanałami organizacji. Problem nie sprowadza się wyłącznie do samego użycia narzędzia, ale do rodzaju danych wprowadzanych do promptów i załączników. Użytkownicy mogą przesyłać dokumenty wewnętrzne, kod źródłowy, fragmenty korespondencji lub dane operacyjne przez prywatne konta, co utrudnia kontrolę i egzekwowanie polityk bezpieczeństwa.
Drugim silnym trendem jest kradzież poświadczeń. Z perspektywy technicznej przeglądarka stanowi idealne miejsce do przechwycenia loginów, tokenów sesyjnych oraz danych związanych z mechanizmami MFA. Strony phishingowe mogą być generowane dynamicznie, dostosowywać treść do ofiary, korzystać z legalnych usług hostingowych i jednocześnie prezentować inną zawartość użytkownikowi niż automatycznym skanerom.
Osobne ryzyko tworzą rozszerzenia przeglądarkowe. Dodatki tego typu często działają z wysokim poziomem uprawnień: mogą odczytywać zawartość stron, modyfikować DOM, obserwować aktywność w kartach, przechwytywać dane wpisywane przez użytkownika oraz integrować się z aplikacjami webowymi. W efekcie rozszerzenie o złej reputacji albo nadmiernych uprawnieniach może pełnić rolę lokalnego kanału eksfiltracji danych bez użycia klasycznego malware.
W materiale zwrócono uwagę również na technikę ClickFix, czyli formę socjotechniki natywnej dla przeglądarki. Mechanizm polega na nakłanianiu użytkownika do wykonania pozornie uzasadnionej czynności naprawczej, która w rzeczywistości uruchamia złośliwy kod lub polecenia na stacji roboczej. Atak rozpoczyna się więc w sesji webowej, ale jego skutki szybko obejmują host, poświadczenia i możliwość dalszego dostępu przez napastnika.
Wnioski z DBIR 2026 wzmacniają także znaczenie czynnika ludzkiego. Phishing, manipulacja treścią, przekierowania przez pośrednie strony, różnicowanie zawartości zależnie od środowiska skanującego czy wstrzykiwanie poleceń do schowka pokazują, że użytkownik jest coraz częściej aktywnym elementem łańcucha ataku.
Konsekwencje / ryzyko
Dla organizacji najważniejszą konsekwencją jest powstanie luki detekcyjnej. Jeżeli zespół bezpieczeństwa obserwuje wyłącznie endpoint, sieć i systemy IAM, może przeoczyć moment, w którym użytkownik loguje się do fałszywej strony, wkleja poufne dane do prywatnego narzędzia AI, instaluje ryzykowne rozszerzenie albo wykonuje instrukcję socjotechniczną wyświetloną w przeglądarce.
Ryzyko obejmuje zarówno skutki techniczne, jak i biznesowe. Wśród najważniejszych zagrożeń znajdują się:
- utrata poufności danych, w tym kodu źródłowego, dokumentów strategicznych i danych klientów,
- przejęcie kont oraz nadużycia sesyjne w usługach chmurowych,
- utrudniona rekonstrukcja przebiegu incydentu,
- możliwość ruchu lateralnego po przejęciu dostępu do aplikacji SaaS,
- błędne poczucie bezpieczeństwa wynikające z ograniczonej widoczności klasycznych narzędzi ochronnych.
Jest to szczególnie istotne w środowiskach pracy zdalnej i rozproszonej, gdzie przeglądarka stała się podstawowym interfejsem dla większości procesów biznesowych.
Rekomendacje
Organizacje powinny traktować przeglądarkę jako pełnoprawną powierzchnię ataku i odrębny obszar kontroli bezpieczeństwa. Wymaga to zmiany podejścia zarówno na poziomie polityk, jak i technologii.
- wdrożenie polityk zarządzania rozszerzeniami z oceną ich uprawnień, reputacji wydawcy i rzeczywistej potrzeby biznesowej,
- objęcie kontrolą korzystania z narzędzi AI w przeglądarce, z rozróżnieniem kont firmowych i prywatnych,
- zwiększenie widoczności SOC w warstwie przeglądarki, w tym monitorowanie stron logowania, prób wpisywania poświadczeń, przekierowań i podejrzanych skryptów,
- aktualizacja programów świadomości bezpieczeństwa o techniki browser-native, takie jak ClickFix i phishing adaptacyjny,
- korelacja telemetrii przeglądarkowej z danymi z endpointu, poczty, IAM i DLP.
Kluczowe jest również zapewnienie użytkownikom bezpiecznych, zatwierdzonych alternatyw dla narzędzi, które obecnie są używane poza kontrolą organizacji. Bez tego pracownicy będą nadal obchodzić polityki bezpieczeństwa w imię wygody i produktywności.
Podsumowanie
DBIR 2026 potwierdza, że przeglądarka przestała być wyłącznie aplikacją dostępową. Stała się jednocześnie podstawowym środowiskiem pracy i jednym z najważniejszych pól działania współczesnych atakujących.
Shadow AI, phishing, kradzież poświadczeń, ryzykowne rozszerzenia oraz techniki takie jak ClickFix pokazują, że wiele krytycznych incydentów zaczyna się dokładnie tam, gdzie użytkownik pracuje każdego dnia. Dla zespołów cyberbezpieczeństwa oznacza to konieczność rozszerzenia modelu obrony o pełną widoczność i kontrolę na poziomie przeglądarki.
Źródła
- What 2026 DBIR Confirms: Attacks Are Living in the Browser — https://www.bleepingcomputer.com/news/security/what-2026-dbir-confirms-attacks-are-living-in-the-browser/
- 2026 Data Breach Investigations Report — https://www.verizon.com/business/resources/reports/dbir/
- Keep Aware — State of Browser Security Report 2026 — https://www.keepaware.com/