Šezdeset posto kibernetičkih napada započinje ukradenim vjerodajnicama.
Ne kreću sa sofisticiranim zlonamjernim softverom, niti kompleksnim zero-day ranjivostima, nego kompromitiranim korisničkim imenima, lozinkama i autentifikacijskim tokenima.
Najnovije sigurnosne analize pokazuju da napadači uopće ne trebaju probijati infrastrukturu. Dovoljno je samo da se prijave koristeći legitimne podatke.
Identitet postaje središnja točka rizika u digitalnim sustavima.
Isto pravilo vrijedi za bankarske platforme i fintech aplikacije. Baš kao i za servise u oblaku i za korporativna poslova okruženja općenito.
Ovaj podatak nije izolirana statistika, nego dio šireg trenda.
Globalna izvješća o odgovorima na incidente potvrđuju da su identitet i pristupni podaci postali primarni vektor kompromitacije.
U velikoj većini analiziranih slučajeva napadači nisu provalili sustav u klasičnom smislu.
Naime, iskoristili postojeće račune. Kako je Derek Abdine, stručnjak za kibernetičku sigurnost i bivši voditelj odgovora na incidente u Microsoftu sažeo:
Napadači se danas ne probijaju, oni se prijavljuju.
Ovaj trend potvrđuje i globalna analiza incidenta u kojoj identitet kao primarni vektor napada dominira istragama. Od 750 incidenata pokrivenih analitikom, identitet je bio ključni faktor u gotovo 90% slučajeva, saznajte Help Net Security.
Pristup sustavima pokrenut ukradenim vjerodajnicama uključivao je phishing, reuse zaporki i brute-force napade.
Identitet kao nova napadačka površina
Digitalna transformacija organizacija dovela je do eksplozije digitalnih identiteta.
I sada svaki zaposlenik, partner, vanjski suradnik, API integracija ili korisnički račun predstavlja potencijalnu točku ulaza.
Problem dodatno eskalira u cloud i SaaS okruženjima gdje tvrtke upravljaju desecima, pa i stotinama aplikacija, često bez potpune kontrole nad privilegijama i aktivnim sesijama.
Nakon prijave slijedi eskalacija privilegija, lateralno kretanje kroz mrežu i pristup osjetljivim podacima.
Drugim riječima, kompromitirana lozinka postala je univerzalni ključ.
Ukradene vjerodajnice kreću ovako
Metode kompromitacije možda zvuče poznato, ali su danas tehnički naprednije i skalabilnije nego ikada prije.
Phishing kampanje više nisu generičke. Uz pomoć umjetne inteligencije napadači kreiraju personalizirane, gramatički besprijekorne poruke koje se savršeno uklapaju u komunikacijski stil određene tvrtke.
Punjenje vjerodajnica vrsta je napada koji koriste podatke iz ranijih curenja i automatizirano testiraju iste kombinacije lozinki na različitim servisima.
Krađa tokena (osobnih podataka) u svojim napadima iskorištavaju slabosti u upravljanju sesijama i autentifikacijskim mehanizmima kako bi zaobišli klasičnu zaštitu.
Posebno zabrinjava rast napada kroz web (mrežne) preglednike. Sigurnosne analize pokazuju da gotovo polovica modernih incidenata uključuje preglednik kao početnu točku kompromitacije. Dolaze kroz lažne web stranice, trovanje SEO-a ili zlonamjerne skripte koje kradu pohranjene lozinke.
Napad je jednostavan. Klik. Unos podataka. Prijava. I sustav više ne razlikuje napadača od legitimnog korisnika.
Super učinkovit model prijevare
Kada napadač raspolaže valjanim vjerodajnicama, on ne mora zaobilaziti obrambene mehanizme. Nema potrebe za složenim exploitima ili bučnim probojima. Sustav vidi legitimnu autentifikaciju. Kao da niti nisu ukradene vjerodajnice.
Time napadači dobivaju ogromnu prednost. Dobivaju vrijeme!
Umjesto brzog i uočljivog napada, kompromitirani identitet omogućuje tiho istraživanje sustava, prikupljanje podataka, širenje pristupa i planiranje daljnjih koraka. U mnogim slučajevima kompromitacija uopće ne bude otkrivena tjednima ili mjesecima.
Sve navedeno ide identitetski orijentiranim kibernetičkim napadima na ruku. Zahvaljujući tim okolnostima, ti napadi imaju razorniji učinak od klasičnih napada temeljenih na zlonamjernom softveru.
AI kao multiplikator prijetnje
Umjetna inteligencija dodatno ubrzava i pojačava napade temeljene na identitetu. Generativni modeli se koriste za izradu realističnih phishing poruka, lažnih login portala i automatiziranih napada pogađanja zaporki.
Još da nadodamo da napadači više ne rade ručno. Sada sustavi rade umjesto njih, testiraju tisuće kombinacija i prilagođavaju strategije u stvarnom vremenu. Sve se razvija, pa tako i socijalni inženjering postaje sofisticiraniji, personaliziraniji i uvjerljiviji. Ukradene vjerodajnice više nisu nešto neobično.
I koliko napadači napreduju, toliko tvrtke baš i ne. Podosta njih i dalje ovisi o tradicionalnim obrambenim modelima koji su dizajnirani za drugačiju vrstu prijetnje.
U kontekstu identitetskih napada, perimetar mreže više nije primarna linija obrane.
Identitet jest.
Identitet kao novi perimetar
Nekada se sigurnost temeljila na zaštiti mrežnog ruba. Vatrozid je bio granica. Danas je ta granica ipak pomaknuta.
Jer ako je korisnički račun kompromitiran, napadač je već unutra. Bez obzira nalazi li se infrastruktura u podatkovnom centru ili u cloudu, kompromitirani identitet ruši koncept tradicionalnog perimetra.
U takvim poslovnim i životnim okolnostima tvrtke trebaju kontinuirano pratiti obrasce prijava, analizirati ponašanje korisnika i prepoznati anomalije u stvarnom vremenu. Jednokratna autentifikacija više nije dovoljna. Nema spavanja!
Model Zero Trust (ne vjeruj nikome bez kontinuirane provjere) moraju imati svi!
Uvijek je do čovjeka
No, možemo imati vrhunska tehnološka rješenja, ali ljudski faktor je najvažniji. Napadači iskorištavaju psihologiju, a ne samo tehnologiju.
Edukacija zaposlenika o prepoznavanju phishing poruka, lažnih domena i sumnjivih zahtjeva za autentifikaciju i dalje je jedna od najvažnijih obrambenih mjera.
Tvrtke koje ulažu samo u alate, a zanemaruju svijest korisnika, ostavljaju otvorena vrata.
Tehnologija može filtrirati prijetnje, ali ne može u potpunosti eliminirati ljudsku pogrešku.
Za otporne sustave
Ukradene vjerodajnice početak su dobrih 60% napada, sada već znamo tu informaciju.
Poslovanja moraju identitet tretirati kao kritičnu infrastrukturu. Obavezno moraju uvesti višefaktorsku autentifikaciju otpornu na phishing, strogo ograničiti privilegije prema načelu najmanjeg potrebnog pristupa, kontinuirano pratiti obrasce prijava i ponašanja korisnika te automatizirano reagirati na svaku anomaliju.
Redovita revizija korisničkih računa, uklanjanje neaktivnih identiteta i sustavna edukacija zaposlenika moraju postati standard, a ne povremena aktivnost.
Identitetski napadi su naša današnjica. Događaju se upravo sada dok čitate ovaj tekst.
U digitalnom okruženju 2026. godine identitet je nova sigurnosna granica. Tko kontrolira pristup, kontrolira sustav.
Tvrtke koje na vrijeme shvate, smanjuju rizik da kompromitirana lozinka preraste u ozbiljnu sigurnosnu krizu.
