
2026 m. gegužę aiškiai vyravo tapatybės ir prisijungimo duomenų vagystės. Sukčiavimo (angl. phishing) kampanijos kaip ir dažniausiai – nukreiptos į „Microsoft 365“ bei kitas el. pašto paskyras, o pažangiausios jų realiu laiku apeina dvigubą autentifikaciją (AiTM). 6 iš 10 įvykių per gegužės mėnesį buvo susiję būtent su prisijungimo duomenų rinkimu ar sesijų užgrobimu. Tą patį mėnesį Lietuvą sukrėtė didelio masto valstybės registrų nutekėjimas, kurio pagrindas, panašu, taip pat yra piktavalių užvaldyti teisėti prisijungimo duomenys. Tai geriausiai iliustruoja pagrindinę mėnesio žinią: šiandien įsilaužiama ne „laužiant duris“, o prisijungiant svetimais raktais.
Sukčiavimas ir AiTM: vien MFA nepakanka
Daugiausia gegužės įvykių buvo sukčiavimo el. laiškai, vedantys į prisijungimo duomenų rinkimo puslapius, dažniausiai imituojančius „Microsoft 365“ prisijungimą. Kelios kampanijos naudojo AiTM (angl. adversary-in-the-middle) techniką: aukai prisijungus, piktavalis realiu laiku perima komunikaciją ir pavagia sesijos tokeną (token), taip apeidamas net įjungtą MFA.
Buvo stebimas ir prekės ženklų klastojimas: fiksavome bandymus apsimesti interneto paslaugų teikėju, siekiant pateikti netikras sąskaitas ir taip išvilioti pinigus, taip pat banko prisijungimo puslapių imitaciją per kompromituotą užsienio domeną, taikytą Lietuvos vartotojams. Atakuotojai vis dažniau slepiasi už teisėtų debesų paslaugų (pvz., „Cloudflare Workers“) ir nukreipimo grandinių, todėl tokius laiškus sunkiau atfiltruoti. Tendencija ne lokali: per pastaruosius metus AiTM atakų skaičius pasaulyje išaugo apie 146 %, o kovą Europolas sustabdė didelę „phishing-as-a-service“ platformą „Tycoon 2FA“. Išvada paprasta – MFA būtinas, bet to nepakanka: reikia taikyti atsparų sukčiavimui (angl. phishing-resistant) MFA ir stebėti sesijų panaudojimų anomalijas, indikuojančias galimą jų vagystę.
ClickFix – „Lumma Stealer“
ClickFix atakos, dominavusios ir ankstesniais mėnesiais, gegužę išliko aktyvios. Aukai parodomas netikras CAPTCHA ar „klaidos“ puslapis, raginantis „patvirtinti“ arba „pataisyti“ prieigą – įklijuojant komandą į „Windows Run“ langelį. Taip paleidžiama PowerShell komanda, kuri „Lumma Stealer“ infostealerį įkrauna tiesiai į atmintį, nepaliekant failų pačiame diske. Per gegužę užfiksavome du tokius ClickFix „Lumma“ pavyzdžius. Kadangi kenkėjiškas kodas veikia atmintyje, signatūromis (angl. signature based) grįsta apsauga jį sunkiai aptinka, būtina elgsenos (angl. behavioral) analizė.
Kryptingos atakos prieš Lietuvos taikinius
Šalia masinio sukčiavimo matėme ir tikslingų bandymų įsilaužti veiksmų, fiksavome SSL/VPN prisijungimo bandymus naudojant lietuvišką naudotojų vardų sąrašą, kas rodo, kad atakuotojai iš anksto rinko informaciją apie konkrečią organizaciją. Stebėjome ir automatizuotus viešai pasiekiamų sistemų skenavimus bei bandymus išnaudoti pažeidžiamumus (pvz., SSRF), taip pat kenkėjiško kodo platinimą per suklastotus diegimo paketus ir CDN (pvz., „trojanizuotą JDownloader“, „DriverHub“ PUA). Skirtingi metodai, bet bendras vardiklis tas pats – pirminė prieiga per žmogų arba per neapsaugotą viešą paslaugą.
Pagrindinės įžvalgos
Pavogti teisėti prisijungimo duomenys išlieka vienu iš pagrindinių įsilaužimo vektorių. MFA būtina, tačiau AiTM ją apeina, todėl reikia atsparios sukčiavimui MFA, sesijų tokenų pernaudojimo bei neįprastų prisijungimų stebėsenos.
Sukčiavimo laiškai vis dažniau ateina iš teisėtų, bet kompromituotų pašto dėžučių ar patikimų domenų ir slepiasi už debesų paslaugų, kurių tradiciniai pašto filtrai nefiksuoja. ClickFix ir infostealer tipo virusai veikia atmintyje, be failų, todėl signatūromis grįsta apsauga jų negaudo – reikia elgsenos ir konteksto analizės bei nuolatinio darbuotojų mokymo.
Žvilgsnis į priekį
Organizacijoms verta sutelkti dėmesį į:
Šaltiniai
Nacionaline-kibernetinio-saugumo-ataskaita-2025.pdf
https://www.elastic.co/security-labs/tycoon-2fa-aitm-detection-engineering
https://thehackernews.com/2026/05/microsoft-details-phishing-campaign.html
Šis straipsnis – dalis „SOCshare“ projekto, kuriuo siekiama skatinti efektyvesnį dalijimąsi informacija apie kibernetines grėsmes ir jų aptikimo būdus. Projektą iš dalies finansuoja Europos Sąjunga. Išsakytos nuomonės ir požiūriai yra tik autorių ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.