W najnowszym Krajobrazie Zagrożeń przyglądamy się trzem różnym obszarom cyberbezpieczeństwa, które łączy jeden wspólny mianownik – rosnące wykorzystywanie zaufanych technologii i usług do realizacji działań, których użytkownicy oraz administratorzy często nie dostrzegają na pierwszy rzut oka. Analizujemy, w jaki sposób urządzenia Smart TV mogą stać się elementem residential proxy, NFCshare czyli jak ewoluują oszustwa wykorzystujące technologię NFC i płatności zbliżeniowe oraz dlaczego aktywna exploitacja krytycznej podatności CVE-2026-10520 w Ivanti Sentry po raz kolejny przypomina o zagrożeniach związanych z systemami brzegowymi.  

Telco

Twój Smart TV pracuje dla AI?

• Badacze wykazali, że niektóre aplikacje instalowane na telewizorach Smart TV mogą przekształcać urządzenia użytkowników w elementy komercyjnych sieci proxy wykorzystywanych m.in. do zbierania danych dla modeli AI. 
• Sieci residential proxy coraz częściej wykorzystują urządzenia IoT, telefony, telewizory oraz aplikacje zawierające specjalne moduły (SDK), umożliwiające przekazywanie ruchu internetowego przez infrastrukturę należącą do zwykłych użytkowników.  
• Zjawisko stanowi nie tylko problem prywatności, ale również bezpieczeństwa – ruch generowany przez podmioty trzecie może być wykorzystywany do omijania mechanizmów antyfraudowych, prowadzenia kampanii scrapingowych lub ukrywania aktywności cyberprzestępczej. 

Badacze z Include Security opisali mechanizm działania komercyjnych sieci residential proxy wykorzystywanych na potrzeby masowego pozyskiwania danych z Internetu, w tym danych wykorzystywanych do trenowania modeli sztucznej inteligencji. Problematyka ta nie jest nowa – w marcu 2026 r. Opisywaliśmy na stronach CERT Orange Polska, w jaki sposób telewizory Smart TV i inne urządzenia konsumenckie mogą być wykorzystywane jako elementy rozproszonych sieci proxy. Najnowsze badania wskazują jednak, że zjawisko nabiera nowego znaczenia w związku z rosnącym zapotrzebowaniem na dane wykorzystywane przez sektor AI. 

Analiza wykazała, że niektóre darmowe aplikacje instalowane na urządzeniach Smart TV zawierają komponenty umożliwiające wykorzystanie połączenia internetowego użytkownika do realizacji żądań pochodzących od podmiotów trzecich. W praktyce telewizor może stać się węzłem sieci proxy, przez który przekazywany jest ruch wykorzystywany do automatycznego pobierania danych z witryn internetowych. Mechanizm ten często przedstawiany jest jako sposób finansowania darmowych aplikacji, jednak większość użytkowników nie zdaje sobie sprawy ze skali wykorzystania swoich urządzeń i adresów IP. 

Model ten opiera się na wykorzystaniu tzw. residential proxies, czyli adresów IP należących do gospodarstw domowych. Dla operatorów systemów wykrywających boty taki ruch wygląda jak aktywność zwykłego użytkownika Internetu, co znacząco utrudnia identyfikację i blokowanie automatycznych operacji. Według analiz Infoblox zjawisko osiągnęło już skalę masową – ponad 65% monitorowanych organizacji odnotowało komunikację z domenami powiązanymi z sieciami residential proxy, a liczba takich połączeń stale rośnie. Część tego wzrostu analitycy wiążą z rosnącym zapotrzebowaniem na dane wykorzystywane do trenowania i rozwoju systemów sztucznej inteligencji. 

Szczególną uwagę zwraca sposób pozyskiwania urządzeń do takich sieci. Oprócz systemów przejętych przez malware operatorzy sieci proxy coraz częściej wykorzystują legalne aplikacje zawierające specjalne biblioteki SDK umożliwiające współdzielenie łącza internetowego użytkownika. Rozwiązania takie spotykane są w aplikacjach mobilnych, programach VPN, wygaszaczach ekranu, aplikacjach streamingowych, urządzeniach IoT oraz platformach Smart TV. W efekcie właściciel urządzenia może formalnie wyrazić zgodę na udział w takim programie, nie rozumiejąc jednocześnie jego konsekwencji dla prywatności i bezpieczeństwa. 

Komentarz eksperta

Residential proxy są atrakcyjnym narzędziem zarówno dla legalnego i półlegalnego automatyzowania działań, jak i dla działalności stricte przestępczej. Ruch przechodzący przez takie sieci upodabnia się do aktywności zwykłych klientów, co może utrudniać wykrywanie na podstawie heurystyk opartych na ASN, IP lub geolokalizacji. Residential proxy znacząco komplikują też atrybucję, ponieważ technicznym źródłem incydentu staje się niczego nieświadomy użytkownik zwykłej aplikacji lub urządzenia

Analiza Infoblox wskazuje również, że infrastruktura residential proxy jest wykorzystywana nie tylko do legalnego scrapingu danych, monitorowania cen czy badań rynku. Tego typu sieci są regularnie wykorzystywane do omijania mechanizmów antybotowych, prowadzenia kampanii phishingowych, zakładania fałszywych kont, obchodzenia ograniczeń geograficznych oraz ukrywania rzeczywistego źródła ruchu podczas działań cyberprzestępczych. Oznacza to, że ruch pochodzący z legalnych adresów IP użytkowników domowych coraz częściej nie może być automatycznie traktowany jako zaufany. 

Rosnąca popularność generatywnej sztucznej inteligencji dodatkowo zwiększa popyt na tego typu usługi. Sieci residential proxy mogą być wykorzystywane do masowego pozyskiwania danych z serwisów internetowych przy jednoczesnym utrudnianiu identyfikacji zautomatyzowanego ruchu przez właścicieli witryn. Powoduje to dalszy wzrost zainteresowania pozyskiwaniem nowych urządzeń do takich sieci i zwiększa ryzyko, że telewizory Smart TV, urządzenia IoT oraz smartfony użytkowników będą wykorzystywane jako elementy infrastruktury, nad którą właściciele mają jedynie ograniczoną kontrolę. 

Patrząc szerzej

Opisywane zjawisko pokazuje, że współczesne zagrożenia coraz częściej nie wymagają kompromitacji urządzeń przy użyciu klasycznego malware. W wielu przypadkach użytkownicy sami instalują aplikacje, które zgodnie z zaakceptowanym regulaminem udostępniają część zasobów urządzenia operatorom sieci proxy. W efekcie granica pomiędzy legalnym modelem biznesowym a potencjalnym nadużyciem staje się coraz mniej wyraźna. 

Dla branży cyberbezpieczeństwa oznacza to konieczność redefinicji pojęcia „zaufanego źródła ruchu”. Skoro ruch pochodzący z adresów IP użytkowników domowych może być generowany przez sieci residential proxy, systemy antyfraudowe i rozwiązania wykrywające boty muszą w coraz większym stopniu opierać się na analizie behawioralnej i kontekstowej. Z perspektywy użytkowników rośnie natomiast znaczenie świadomego zarządzania urządzeniami Smart TV i IoT oraz ograniczania instalacji oprogramowania pochodzącego z niezweryfikowanych źródeł. 

Więcej informacji:
https://blog.includesecurity.com/2026/06/the-smart-tv-in-your-livingroom-is-a-node-in-the-aiscraping-economy/ 
https://www.infoblox.com/blog/threat-intelligence/residential-proxies-in-the-wild/ 
https://cert.orange.pl/aktualnosci/twoj-telewizor-szpieguje-internet-ciebie-tez/ 

Mobile

NFCShare – ewolucja oszustw NFC i wykorzystanie GitHuba

• Kampania NFCShare rozszerzyła zasięg z pojedynczej instytucji finansowej na wiele banków w Europie, wykorzystując fałszywe aktualizacje aplikacji bankowych.
• Atakujący wykorzystują funkcję NFC w smartfonach do pozyskiwania danych kart płatniczych oraz kodów PIN, co umożliwia przeprowadzanie oszustw z użyciem technologii zbliżeniowych.  
• Dystrybucja złośliwych aplikacji za pośrednictwem repozytoriów GitHub pokazuje rosnące wykorzystywanie legalnych platform do zwiększania wiarygodności kampanii phishingowych.

Badacze z D3Lab zaobserwowali znaczącą ewolucję kampanii NFCShare, która od początku 2026 r. przekształciła się z pojedynczej operacji phishingowej wymierzonej w klientów Deutsche Bank w wielomarkową kampanię obejmującą banki i instytucje finansowe w Europie. Najnowsze warianty wykorzystują repozytoria GitHub jako źródło dystrybucji fałszywych aktualizacji aplikacji mobilnych, co zwiększa wiarygodność całego łańcucha infekcji i utrudnia identyfikację zagrożenia przez użytkowników. 

Po instalacji aplikacja podszywa się pod legalne rozwiązania płatnicze i prezentuje użytkownikowi proces rzekomej weryfikacji bezpieczeństwa karty. Ofiara jest instruowana, aby przyłożyć kartę płatniczą do telefonu oraz wprowadzić kod PIN. W rzeczywistości malware wykorzystuje interfejs NFC urządzenia do odczytu danych EMV zapisanych na karcie i przesłania ich do infrastruktury operatorów kampanii. Pozyskane informacje są następnie wykorzystywane w atakach typu NFC relay, w których komunikacja pomiędzy kartą a terminalem płatniczym jest przekazywana przez urządzenia kontrolowane przez przestępców. 

Technika ta wpisuje się w rozwijający się od kilku lat trend nadużyć technologii NFC. Jednym z pierwszych szeroko opisanych przykładów był NGate – malware ujawniony przez ESET w 2024 r., który wykorzystywał narzędzie NFCGate do przechwytywania i przekazywania ruchu NFC pomiędzy urządzeniem ofiary a telefonem przestępcy znajdującym się przy bankomacie. Kampania umożliwiała wykonywanie wypłat gotówki bez fizycznego posiadania karty płatniczej ofiary. W kolejnych latach badacze obserwowali dalszą profesjonalizację tego typu zagrożeń. Kolejne warianty NGate wykorzystywały zmodyfikowane legalne narzędzia służące do przekazywania ruchu NFC, co utrudniało ich wykrywanie i analizę. 

Analiza D3Lab wskazuje, że NFCShare stanowi kolejny etap tej ewolucji. W przeciwieństwie do klasycznych trojanów bankowych, których głównym celem było przechwycenie danych uwierzytelniających do bankowości elektronicznej, nowe kampanie koncentrują się na pozyskaniu danych kart płatniczych umożliwiających przeprowadzenie oszustw zbliżeniowych. Oznacza to przesunięcie aktywności cyberprzestępców z obszaru kradzieży loginów i haseł w kierunku nadużyć infrastruktury płatności bezstykowych. 

Patrząc szerzej

Wyzwaniem dla sektora finansowego jest ograniczona możliwość wykrywania tego typu nadużyć po stronie banku. W przeciwieństwie do klasycznych ataków na bankowość elektroniczną, gdzie możliwe jest monitorowanie anomalii logowania, urządzeń, adresów IP czy zachowań użytkownika, w przypadku kampanii wykorzystujących NFC większość złośliwych działań realizowana jest bezpośrednio na urządzeniu ofiary. Przechwycenie danych karty, komunikacja NFC oraz proces socjotechniczny odbywają się poza infrastrukturą bankową, co znacząco ogranicza widoczność ataku dla systemów antyfraudowych. 

Oznacza to konieczność większego nacisku na ochronę urządzeń końcowych, w tym wykrywanie nieautoryzowanych aplikacji, monitorowanie prób instalacji oprogramowania spoza oficjalnych sklepów oraz rozwijanie mechanizmów Mobile Threat Defense (MTD). Obrona przed tego typu zagrożeniami będzie wymagała połączenia klasycznych systemów antyfraudowych z rozwiązaniami zwiększającymi bezpieczeństwo samych urządzeń mobilnych, które stają się głównym celem współczesnych kampanii finansowych.    

Więcej informacji:  
https://www.d3lab.net/nfcshare-evolves-from-a-banking-phishing-apk-to-a-github-hosted-android-nfc-fraud-campaign/ 

CVE Tygodnia

Ivanti Sentry: aktywna exploitacja CVE-2026-10520

• CVE-2026-10520 to krytyczna podatność w Ivanti Sentry, umożliwiająca zdalne wykonanie poleceń systemowych bez uwierzytelnienia i przejęcie systemu z uprawnieniami root.  
• Po ujawnieniu szczegółów technicznych i upublicznieniu PoC bardzo szybko pojawiły się próby wykorzystania luki.
• 11 czerwca 2026 r. CISA dodała CVE-2026-10520 do katalogu KEV, co potwierdza wykorzystywanie podatności w rzeczywistych atakach.

CVE-2026-10520 dotyczy Ivanti Sentry, komponentu wykorzystywanego w środowiskach MDM. To system działający blisko mechanizmów kontroli dostępu i ruchu kierowanego do usług wewnętrznych, dlatego jego skuteczna kompromitacja może mieć istotne konsekwencje dla organizacji. 

Jest to podatność typu OS command injection, która pozwala nieuwierzytelnionemu atakującemu zdalnie wykonać kod z uprawnieniami root. Innymi słowy, atak nie wymaga wcześniejszego logowania ani przejęcia konta. Jeśli podatna instancja jest osiągalna z sieci, sama ekspozycja może wystarczyć do pełnego przejęcia systemu. Problem dotyczy wersji wcześniejszych niż R10.5.2, R10.6.2 i R10.7.1. 

Analiza watchTowr pokazuje też coś więcej niż sam opis podatności. Badacze zestawili wersję 10.5.1 z poprawioną 10.5.2 i wskazali, że zmiany nie ograniczały się wyłącznie do kodu aplikacji. Według ich ustaleń producent dodał również zabezpieczenia w konfiguracji Apache, aby utrudnić dostęp do podatnego endpointu przed uwierzytelnieniem. Chodzi o ścieżkę związaną z Sentry, dostępną pod /mics. To sugeruje, że poprawka miała ograniczyć nie tylko sam błąd, ale też możliwość prostego dotarcia do miejsca, w którym można go było wykorzystać. 

Shadowserver obserwował aktywność wskazującą na próby exploitacji, którym sprzyjał publicznie dostępny PoC. Ten obraz uzupełniają także dane z Shadowserver dotyczące wystawionych do internetu paneli Ivanti Sentry Admin Portal. Nie dają pełnego obrazu całej populacji systemów, ale pokazują, że powierzchnia ataku jest realna i widoczna. Przy luce typu pre-auth RCE to wystarczy, żeby podatne hosty szybko trafiły na listy celów automatycznych skanerów i prostych kampanii oportunistycznych. Jeżeli dodać do tego publicznie opisany mechanizm ataku i potwierdzenie eksploatacji, to trudno mówić już o ryzyku wyłącznie teoretycznym.     

Rys. Wystawione do internetu panele Ivanti Sentry Admin Portal. Źródło: Shadowserver. 

11 czerwca 2026 r. CISA dodała CVE-2026-10520 do KEV, potwierdzając wykorzystywanie tej podatności w rzeczywistych atakach. Dla zespołów bezpieczeństwa to zwykle jasny sygnał, że odkładanie aktualizacji znacząco podnosi ryzyko.

Patrząc szerzej

CVE-2026-10520 to kolejny przykład problemu, który regularnie wraca przy systemach brzegowych i produktach pośredniczących w dostępie do usług organizacji. Gdy podatność działa przed uwierzytelnieniem, daje wysoki poziom dostępu i da się ją szybko odtworzyć na podstawie publicznych materiałów, czas między ujawnieniem a realnym wykorzystaniem zwykle jest krótki. 

Takie przypadki przypominają, że o wadze podatności nie decyduje wyłącznie ocena CVSS ani nawet liczba wystawionych hostów. Równie istotne jest to, jakie miejsce dany produkt zajmuje w architekturze organizacji, jak łatwo odtworzyć exploit i czy pojawiają się wiarygodne sygnały aktywnego wykorzystania. W przypadku Ivanti Sentry wszystkie te elementy złożyły się na realne zagrożenie, które nie daje dużo czasu na reakcję.

Więcej informacji:
https://www.bleepingcomputer.com/news/security/max-severity-ivanti-sentry-vulnerability-now-exploited-in-attacks/ 
https://labs.watchtowr.com/more-evidence-that-words-dont-mean-what-we-thought-they-meant-ivanti-sentry-pre-auth-os-command-injection-cve-2026-10520/ 
https://dashboard.shadowserver.org/pl/statistics/iot-devices/time-series/?date_range=other_range&d1=2026-06-04&d2=2026-06-10&vendor=ivanti&type=mobile-device-management&model=sentry+admin+portal&tag=exposed-admin-panel%2B&dataset=count&limit=100&group_by=geo&stacking=stacked