hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
22 czerwca 2026

Krajobraz Zagrożeń – 22.06.2026

FortiBleed; Mistrzostwa Świata FIFA 2026, oszustwa w ekosystemie Steam
Krajobraz Zagrożeń

W cyberbezpieczeństwie sezon ogórkowy nie istnieje. Wręcz przeciwnie – cyberprzestępcy bardzo chętnie wykorzystują wydarzenia, które przyciągają uwagę milionów ludzi. W ostatnich tygodniach jednym z takich tematów stały się Mistrzostwa Świata FIFA 2026. Wokół turnieju szybko pojawiły się kampanie phishingowe, fałszywe strony sprzedaży biletów, oszustwa związane z transmisjami oraz podszycia pod znane marki. Jednocześnie mijający tydzień przyniósł interesujące przykłady zagrożeń, których źródłem nie są nowe podatności, lecz znacznie bardziej przyziemne problemy. Kampania FortiBleed pokazała, jak dużą wartość dla przestępców nadal mają przejęte poświadczenia i dostęp do organizacji. Z kolei analiza zagrożeń związanych ze Steam przypomina, że cyberprzestępcy skutecznie wykorzystują miejsca, którym użytkownicy ufają na co dzień. Zapraszamy do czytania Krajobrazu Zagrożeń.

Na skróty:

    1. Temat tygodnia: FortiBleed – kiedy problemem nie jest nowa podatność, lecz stare hasła.
    2. Oszustwa i podszycia: Oszustwa wokół FIFA World Cup 2026.
    3. Cybercrime: Nie tylko cheaterzy oszukują. Jak cyberprzestępcy wykorzystują Steam

Temat tygodnia

FortiBleed – kiedy problemem nie jest nowa podatność, lecz stare hasła.

  • Kampania nazwana „FortiBleed” doprowadziła do zgromadzenia przez przestępców dziesiątek tysięcy działających poświadczeń do urządzeń Fortinet/FortiGate wykorzystywanych przez organizacje na całym świecie. Szacunki badaczy wskazują na skalę od około 74 tys. do ponad 86 tys. urządzeń.  
  • Nie ma obecnie dowodów na wykorzystanie nowej podatności. Analizy wskazują raczej na połączenie wcześniejszych wycieków, przejętych skrótów haseł, ataków brute force oraz niewłaściwego zarządzania poświadczeniami.  
  • Incydent pokazuje, że nawet najbardziej zaawansowane urządzenia bezpieczeństwa nie chronią organizacji przed konsekwencjami słabej higieny tożsamościowej. 

W połowie czerwca badacze bezpieczeństwa natrafili na infrastrukturę wykorzystywaną przez grupę cyberprzestępczą prowadzącą szeroko zakrojoną kampanię przeciwko urządzeniom Fortinet FortiGate oraz usługom SSL VPN. Analiza ujawnionych danych wskazała, że napastnicy przez dłuższy czas systematycznie budowali bazę zweryfikowanych danych dostępowych do organizacji z niemal całego świata. Wśród znalezionych informacji znajdowały się m.in. adresy paneli zarządzania urządzeń, nazwy użytkowników oraz poświadczenia umożliwiające dostęp do urządzeń. 

Jednak tym razem nie mamy do czynienia z typowym scenariuszem, w którym źródłem problemu jest nowa podatność krytyczna. Z dostępnych analiz wynika, że przeciwnik wykorzystywał kombinację wielu technik: przejęte wcześniej dane uwierzytelniające, ataki brute force, wykorzystywanie poświadczeń pochodzących z wcześniejszych wycieków oraz łamanie pozyskanych skrótów haseł. Badacze opisują wykorzystanie klastra składającego się z dziesiątek kart graficznych zarządzanych przez platformę Hashtopolis służącą do rozproszonego łamania haseł. 

FortiBleed przypomina działalność wyspecjalizowanego Initial Access Brokera (IAB), którego celem nie jest bezpośrednie przeprowadzenie ataku ransomware czy kradzież danych, lecz masowe pozyskiwanie dostępu do organizacji i jego dalsza monetyzacja. W takim modelu biznesowym sam dostęp do organizacji staje się produktem sprzedawanym kolejnym grupom przestępczym. 

Analiza przyczyny źródłowej 

Analizując FortiBleed, łatwo skoncentrować uwagę na samych urządzeniach Fortinet. Byłby to jednak błędne podejście. Najważniejszą przyczyną sukcesu kampanii wydaje się niewłaściwe zarządzanie poświadczeniami oraz wystawianie krytycznych usług uwierzytelniających do Internetu bez odpowiednich zabezpieczeń. Atakujący nie musieli przełamywać zaawansowanych mechanizmów ochronnych. W wielu przypadkach wystarczyło wykorzystać hasła pozyskane wcześniej z innych wycieków, przeprowadzić ataki password spraying lub złamać przejęte skróty haseł. FortiBleed jest więc przypomnieniem, że bezpieczeństwo organizacji w dużej mierze zależy od ochrony tożsamości i poświadczeń, a nie wyłącznie od liczby wdrożonych urządzeń bezpieczeństwa. 

Błędy przeciwnika  

Paradoksalnie jednym z najcenniejszych elementów całej historii okazały się błędy popełnione przez samych napastników. Badacze uzyskali dostęp do niezabezpieczonego katalogu zawierającego elementy infrastruktury wykorzystywanej przez grupę. 

Dzięki pozostawionemu bez odpowiedniego zabezpieczenia katalogowi możliwe było odtworzenie części infrastruktury wykorzystywanej do zarządzania kampanią, procesu łamania haseł oraz sposobu katalogowania pozyskiwanych dostępów. Tego typu sytuacje zdarzają się stosunkowo rzadko i dostarczają społeczności bezpieczeństwa wyjątkowo wartościowych informacji o metodach działania atakujących. Dla zespołów CTI oraz DFIR takie artefakty pozwalają lepiej zrozumieć proces działania przeciwnika, zidentyfikować jego cele, metody pozyskiwania dostępu oraz potencjalne kierunki dalszych działań. 

Jednocześnie podkreślamy, że dane pozyskane w taki sposób często zawierają informacje należące do ofiar. Ich analiza powinna odbywać się zgodnie z zasadami odpowiedzialnego ujawniania informacji oraz przy zachowaniu wymogów prawnych i etycznych. Celem powinno być ostrzeganie organizacji i ograniczanie skutków incydentu, a nie dalsze rozpowszechnianie pozyskanych poświadczeń. 

Obsługa incydentu i działania naprawcze 

Jeżeli organizacja wykorzystuje urządzenia Fortinet wystawione do Internetu, samo sprawdzenie, czy dane znalazły się w ujawnionych zbiorach, nie powinno być traktowane jako wystarczające działanie. Podejście powinno opierać się na założeniu potencjalnej kompromitacji. W pierwszej kolejności należy przeprowadzić rotację wszystkich poświadczeń administracyjnych oraz użytkowników korzystających z SSL VPN. Następnie należy zweryfikować historię logowań, przeanalizować zmiany konfiguracji urządzeń oraz poszukać oznak utrzymywania dostępu przez przeciwnika. Szczególną uwagę warto zwrócić na nietypowe konta administracyjne, zmodyfikowane polityki bezpieczeństwa oraz zmiany w konfiguracji VPN.  

Kolejnym krokiem powinno być wdrożenie lub egzekwowanie uwierzytelniania wieloskładnikowego, aktualizacja urządzeń do najnowszych wersji FortiOS oraz ograniczenie ekspozycji interfejsów administracyjnych do Internetu wyłącznie do przypadków, w których jest to rzeczywiście konieczne. 

Dostęp do urządzenia brzegowego często stanowi jedynie punkt wejścia do dalszej kompromitacji środowiska oraz systemów wewnętrznych. Dlatego zaleca się przeprowadzenie analizy potencjalnego ruchu bocznego (lateral movement) oraz poszukiwanie śladów dalszej aktywności przeciwnika wewnątrz środowiska. 

Patrząc szerzej

FortiBleed jest jednym z tych incydentów, które przypominają, że cyberbezpieczeństwo bardzo rzadko przegrywa z powodu pojedynczej podatności. Znacznie częściej przegrywa przez nagromadzenie małych zaniedbań: stare hasła, brak rotacji poświadczeń, brak MFA, nadmierną ekspozycję usług do Internetu oraz przekonanie, że zakup odpowiedniego rozwiązania bezpieczeństwa automatycznie rozwiązuje problem. 

Najciekawszy aspekt tej historii nie dotyczy samego Fortineta. Dotyczy ekonomii cyberprzestępczości. FortiBleed pokazuje, jak ogromną wartość przedstawiają dziś zweryfikowane dane dostępowe. Dla współczesnych grup ransomware czy operatorów kampanii szpiegowskich dostęp do organizacji jest produktem, który można kupić, sprzedać lub wymienić.  

FortiBleed nie jest historią o nowej podatności w FortiOS. To historia o tym, że dostęp do organizacji stał się towarem, a skuteczna ochrona poświadczeń pozostaje jednym z najważniejszych elementów współczesnego cyberbezpieczeństwa. 

Więcej informacji:
https://www.hudsonrock.com/blog/fortibleed-75000-fortinet-firewalls-compromised-global-enterprises-exposed-claim-your-ethical-disclosure 
https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/ 
https://www.cloudsek.com/blog/inside-the-fortibleed-open-directory-a-technical-analysis-of-what-the-attacker-left-behind 
https://doublepulsar.com/an-update-on-fortibleed-whats-happening-with-victim-orgs-c0671a50e7f4

Oszustwa i podszycia

Oszustwa wokół FIFA World Cup 2026

  • Kampanie wykorzystujące markę FIFA 2026 ruszyły na długo przed turniejem i objęły nie tylko fałszywe bilety oraz streamy, ale też phishing, podszycia pod oficjalne sklepy i oferty pracy.
  • Skala przygotowań była widoczna już na poziomie infrastruktury. W pierwszych miesiącach 2026 roku zarejestrowano ponad 13 tys. domen związanych z turniejem. 
  • O skuteczności tych kampanii w dużej mierze decydowała socjotechnika. Presja czasu, ograniczona dostępność i wiarygodna oprawa wystarczały, by wyłudzać dane i pieniądze.

Mistrzostwa świata FIFA 2026 jeszcze przed rozpoczęciem turnieju stały się pretekstem do wielu kampanii oszustw i podszyć. Obejmowały fałszywe strony biletowe, sklepy wykorzystujące markę FIFA, kampanie phishingowe oraz oferty pracy rzekomo związane z turniejem. Przestępcy korzystali z tego, że zainteresowanie wydarzeniem było wysokie, a użytkownicy często działali szybko, szukając biletu, albo atrakcyjnej oferty. 

Skalę przygotowań dobrze widać po samej infrastrukturze. W analizie Checkpoint wskazano, że między styczniem a majem 2026 roku zarejestrowano ponad 13 tys. domen związanych z turniejem, z czego blisko 9 proc. uznano za złośliwe lub podejrzane. Osobno odnotowano też wyraźne wzrosty liczby rejestracji domen zawierających odniesienia do FIFA i World Cup w momentach, gdy rosło zainteresowanie turniejem. To pokazuje, że zaplecze dla takich kampanii budowano z wyprzedzeniem, a domeny pozostawały jednym z podstawowych narzędzi do phishingu, podszyć i kierowania ruchu do fałszywych usług. 

Najbardziej oczywistym obszarem nadużyć są bilety. Jak przy każdym dużym wydarzeniu użytkownik szuka wejściówek, trafia na stronę wyglądającą wiarygodnie, przechodzi proces rejestracji lub płatności, a finalnie przekazuje dane, które później mogą posłużyć do dalszych oszustw. W przypadku FIFA 2026 wykorzystywano zarówno domeny łudząco podobne do oficjalnych adresów, jak i serwisy odwołujące się do sprzedaży wejściówek czy ofert specjalnych. Sama warstwa techniczna nie była tu szczególnie wyszukana — decydowało raczej dobre podszycie pod markę i moment, w którym użytkownik działa pod presją dostępności. 

Analitycy CERT Orange Polska zaobserwowali również takie kampanie phishingowe z podszyciem pod Orange. Oszuści przekonywali, że użytkownik może dostać pieniądze w ramach świętowania Mistrzostw Świata. 

Rys. Kampania phishingowa z podszyciem pod Orange. Źródło: wewnętrzne. 

Podobnie wyglądał obszar fałszywych streamów. Badacze Malwarebytes opisywali ponad 40 niemal identycznych stron zbudowanych na tych samych szablonach i tej samej infrastrukturze reklamowej. Ich celem była monetyzacja ruchu przez przekierowania, wyskakujące okna, fałszywe ostrzeżenia, pułapki subskrypcyjne i kolejne strony oszustw. Sam mecz był tu tylko przynętą. To ważne, bo pokazuje, że użytkownik nie zawsze trafia od razu na próbę klasycznej infekcji, częściej jest stopniowo wciągany w łańcuch nadużyć oparty na reklamach, fałszywych komunikatach i wymuszonych kliknięciach. 

Osobnym wątkiem były złośliwe lub wyraźnie podejrzane aplikacje i strony wymuszające pobranie dodatkowego oprogramowania. Część serwisów podszywających się pod usługi związane z turniejem próbowała skłonić użytkowników do pobrania playera, „niezbędnego” komponentu, aktualizacji albo aplikacji mającej rzekomo umożliwić dostęp do transmisji czy ofert specjalnych. Ten sam mechanizm pojawiał się także w kampaniach związanych z fałszywymi ofertami pracy, gdzie pretekstem nie był bilet czy stream, ale możliwość zatrudnienia przy wydarzeniu lub u partnerów turnieju. 

Na tym tle ciekawie wypada również wątek podatności w samej infrastrukturze FIFA. Temat był związany z luką dotyczącą błędu kontroli dostępu, który pozwalał po zmianie identyfikatora w żądaniu uzyskać dostęp do zasobów lub danych, do których użytkownik nie powinien mieć wglądu. Innymi słowy, system nie sprawdzał poprawnie, czy dana osoba rzeczywiście ma uprawnienia do konkretnego obiektu, więc możliwe było podejrzenie cudzych informacji bez przełamywania zabezpieczeń.  infrastruktury płatności bezstykowych. 

Patrząc szerzej

Mistrzostwa Świata 2026 potwierdzają schemat dobrze znany z innych dużych wydarzeń. Rozpoznawalna marka i ogromne zainteresowanie wystarczają, by wokół jednego tematu szybko pojawiły się różne typy oszustw. Bilety, transmisje, sklepy, rekrutacja i komunikacja wokół turnieju tworzą wiele punktów wejścia dla phishingu, fraudów i kampanii opartych na podszyciach, których powodzenie zwykle nie zależy od złożonych technik, ale od umiejętnego wykorzystania pośpiechu, emocji i wiarygodnej oprawy. 

Przy wydarzeniu tej skali powierzchnia ataku obejmuje zarówno użytkownika końcowego, jak i zaplecze technologiczne całego ekosystemu. Złośliwe operacje często są przygotowywane wcześniej i prowadzone na skalę widoczną już na poziomie domen, wzorców rejestracji i powtarzalnej infrastruktury. Jest wiele sygnałów wyprzedzających, takich jak nagły wzrost rejestracji domen, podobne szablony stron, wspólne zaplecze reklamowe i łączenie kilku metod oszustwa wokół jednego tematu.  

Więcej informacji:  
https://www.malwarebytes.com/blog/threat-intel/2026/06/free-world-cup-stream-sites-are-serving-scams-not-football 
https://blog.checkpoint.com/research/before-the-first-whistle-how-cyber-criminals-are-targeting-world-cup-2026/ 
https://www.darkreading.com/application-security/fifa-bug-world-cup-streams-remote-takeover 
https://www.fortinet.com/blog/threat-research/cybercriminals-are-targeting-the-fifa-world-cup-2026 

Cybercrime

Nie tylko cheaterzy oszukują. Jak cyberprzestępcy wykorzystują Steam

  • Steam pozostaje atrakcyjnym środowiskiem dla cyberprzestępców, ponieważ łączy dużą bazę użytkowników, wysoki poziom zaufania do platformy oraz możliwość szybkiej monetyzacji przejętych kont i cyfrowych przedmiotów.  
  • Zagrożenia nie ograniczają się do samych gier. Złośliwy kod może być dystrybuowany także przez treści społecznościowe, czego przykładem są przypadki zainfekowanych materiałów publikowanych w Steam Workshop dla Wallpaper Engine.
  • Najczęstszy punkt wejścia to socjotechnika, fałszywe konta, linki do rzekomych turniejów, prośby o głosowanie i wiadomości wysyłane z przejętych kont znajomych.

Steam to rozbudowany ekosystem obejmujący oprócz gier konta użytkowników, komunikację między graczami, treści tworzone przez społeczność oraz obrót cyfrowymi przedmiotami. Im bardziej rozbudowana platforma, tym bardziej jest atrakcyjna dla cyberprzestępców. 

Jednym z przykładów jest kampania opisana przez badaczy Kaspersky, dotycząca złośliwych tapet publikowanych w Steam Workshop dla Wallpaper Engine. Z perspektywy użytkownika wyglądały jak zwykłe tapety udostępniane przez społeczność, ale w rzeczywistości zawierały komponenty pozwalające na uruchomienie złośliwego kodu. Część z tych plików prowadziła do pobrania kolejnych etapów infekcji, w tym backdoora, koparki kryptowalut, a nawet ransomware. 

Osobną kategorię stanowią przypadki, w których sam tytuł dostępny na platformie był wykorzystywany jako element łańcucha infekcji. FBI opublikowało komunikat dotyczący śledztwa obejmującego kilka gier powiązanych z malware. Według FBI zagrożenie dotyczyło przede wszystkim użytkowników, którzy instalowali wskazane tytuły w okresie od maja 2024 roku do stycznia 2026 roku. 

BlockBlasters i StealC 

Szczególnie interesujący jest przypadek BlockBlasters, opisany przez analityków G DATA. Według ich ustaleń złośliwe działanie było związane z aktualizacją opublikowaną 30 sierpnia 2025 roku jako Build 19799326. Dla użytkownika wyglądało to jak standardowy patch, ale w praktyce uruchamiało dodatkowy łańcuch prowadzący do pobrania malware. 

Końcowym etapem był StealC, czyli infostealer służący do kradzieży danych z systemu ofiary. Tego typu malware zwykle koncentruje się na danych zapisanych w przeglądarkach takich jak hasła, ciasteczka, dane autouzupełniania, a także informacjach mogących umożliwić przejęcie innych kont lub portfeli kryptowalutowych. 

Użytkownik nie uruchamiał cracka ani narzędzia z podejrzanego źródła. Wchodził w zwykły dla gracza proces instalacji i aktualizacji, co dobrze pokazuje, jak skutecznie atakujący wykorzystują zaufanie do platformy i jej procesy. 

Konto Steam 

Drugim głównym obszarem zagrożeń są przejęcia kont. W tym modelu konto Steam nie jest celem wyłącznie dlatego, że daje dostęp do biblioteki gier. Dla atakującego to jednocześnie tożsamość, kanał komunikacji, historia relacji i często również zasób finansowy w postaci przedmiotów, salda lub powiązanych metod płatności. 

Najczęściej obserwowany scenariusz zaczyna się od phishingu. Ofiara otrzymuje wiadomość z prośbą o zagłosowanie na projekt, zalogowanie się na stronie turnieju, potwierdzenie udziału w meczu albo kontakt z rzekomym administratorem. W każdym wariancie finalnie użytkownik ma trafić na stronę podszywającą się pod Steam i przekazać dane uwierzytelniające. 

Skuteczność takich kampanii wynika w dużej mierze z wykorzystania przejętych lub kupionych kont. Oszust kontaktuje się z ofiarą z profilu, który wygląda wiarygodnie, bo należy do znajomego, albo dobrze imituje jego konto. To szczególnie istotne w przypadku graczy Counter-Strike 2, gdzie przejęcie konta może oznaczać nie tylko utratę dostępu, ale również kradzież skinów i innych przedmiotów o realnej wartości rynkowej. 

Karta podarunkowa 

Osobnym, choć powiązanym zjawiskiem, pozostają oszustwa z użyciem kart podarunkowych Steam. W tym przypadku platforma często nie jest celem samym w sobie, ale wygodnym narzędziem do transferu wartości. Ofiara otrzymuje informację o rzekomej konieczności opłaty, odblokowania usługi, potwierdzenia tożsamości lub uniknięcia konsekwencji administracyjnych, a następnie jest nakłaniana do zakupu karty i przekazania kodu. 

Ten model utrzymuje się od lat, ponieważ jest prosty i skuteczny. Kod z karty można szybko wykorzystać lub odsprzedać, a sama forma płatności utrudnia odzyskanie środków.  W ostatnich dniach Valve podjęło decyzję o wycofaniu fizycznych kart podarunkowych Steam, co oznacza koniec programu funkcjonującego od ponad dziesięciu lat, właśnie ze względu na oszustwa związane z kartami podarunkowymi, pomimo wieloletnich wysiłków na rzecz ochrony klientów. 

Patrząc szerzej

W jednym ekosystemie dostępne są jednocześnie mechanizmy dystrybucji treści, komunikacja między użytkownikami, relacje zaufania oparte na listach znajomych oraz zasoby, które można bezpośrednio monetyzować po przejęciu konta. To oznacza, że obserwowane są tam różne typy zagrożeń, od infostealerów, przez phishing, po oszustwa związane z handlem przedmiotami. Nie funkcjonują one oddzielnie, ale wzajemnie się uzupełniają. Z punktu widzenia analitycznego problemem jest więc nie tylko obecność złośliwych kampanii, ale niska bariera operacyjna po stronie atakującego. Przejęte konto może służyć jednocześnie do dalszej dystrybucji phishingu, budowania wiarygodności i szybkiego spieniężenia.  

Dla użytkowników najważniejsze pozostaje zachowanie ostrożności wobec linków, stron logowania i wszelkich „pilnych” próśb związanych z turniejami, głosowaniem lub weryfikacją konta, nawet jeśli wiadomość pochodzi pozornie od znajomego. Warto też mieć włączony Steam Guard, nie przechowywać nadmiarowo haseł w przeglądarce i pamiętać, że żadna legalnie działająca instytucja nie oczekuje płatności kartą podarunkową Steam.

Więcej informacji:
https://securelist.com/dozens-of-malicious-wallpapers-found-on-steam-workshop/120186/ 
https://www.fbi.gov/how-we-can-help-you/victim-services/seeking-victim-information/seeking-victim-information-in-steam-malware-investigation 
https://blog.gdatasoftware.com/2025/09/38265-steam-blockblasters-game-downloads-malware 
https://skinsmonkey.com/blog/hot-to-avoid-scams-on-steam 
https://www.bitdefender.com/en-us/blog/hotforsecurity/scammers-steam-gift-cards-dead 

Zobacz także

15 czerwca 2026
Krajobraz Zagrożeń – 15.06.2026
Dowiedz się więcej
8 czerwca 2026
Krajobraz Zagrożeń – 08.06.2026
Dowiedz się więcej