В 2026 году кража учётных данных остаётся одной из ключевых угроз в области кибербезопасности, но, несмотря на это, многие организации по‑прежнему используют примитивные инструменты и checkbox‑подходы для борьбы с ней, что недостаточно для противостояния современным атакам.
По результатам недавнего исследования платформы для мониторинга даркнета Lunar, 85 % организаций считают угрозу кражи учетных данных высокой или очень высокой, а 62 % включили её в тройку самых приоритетных рисков по безопасности.
Однако многие ИТ‑команды ошибочно полагают, что наличие многофакторной аутентификации (MFA), EDR‑систем и zero‑trust подходов полностью защищает их от компрометации сервисов, аналитики и учётных записей. Это далеко не так: перечисленные меры часто не защищают от атак, в которых злоумышленник получает действительные сессионные данные или обходит механизмы контроля.
В чём проблема традиционного мониторинга утечек
Многие организации используют решения, которые сосредоточены на реакции на уже произошедшие утечки данных, вместо того чтобы обнаруживать и предотвращать активные угрозы, порождаемые инфостилерами.
Ключевые недостатки обычных инструментов мониторинга:
- фокус на исторических утечках вместо анализа инфостилеров;
- получение неполных и нефункциональных данных;
- высокая задержка и неактуальные источники данных;
- отсутствие автоматизации и интеграций для расследования.
Лишь около 32 % организаций используют специализированные решения для мониторинга утечек учётных данных, а 17 % вовсе не имеют таких инструментов. Более 60 % проверяют утечки раз в месяц или реже, что даёт злоумышленникам достаточно времени для проникновения и эксплуатации сетей.
Угроза инфостилеров и почему она серьёзнее, чем кажется
Классические утечки — это лишь верхушка айсберга. Современные инфостилеры — это вредоносные инструменты, которые собирают:
- логины и пароли;
- сессионные куки и маркеры доступа;
- данные из браузеров и приложений;
- учётные данные SaaS‑сервисов.
Существует множество семейств инфостилеров, таких как LummaC2, Vidar, Acreed, Atomic macOS Stealer и другие, которые могут незаметно преодолевать защиту даже «взрослых» инфраструктур.
Сессионные куки — особенно опасный актив: они позволяют злоумышленникам обойти MFA, так как предоставляют доступ к уже авторизованным сессиям без ввода пароля.
Типичный сценарий атаки инфостилера
Этапы атаки могут быть следующими:
- устройство жертвы инфицируется через эксплойт, вредоносное расширение браузера, игру или пиратское ПО;
- инфостилер извлекает учётные данные и сессионные токены из браузера;
- полученные данные объединяются в так называемые combolists и продаются на тёмных рынках;
- злоумышленник использует действительные сессионные данные для доступа к корпоративной сети.
Этот процесс может быть завершён всего за несколько часов, тогда как устаревшие инструменты мониторинга могут сообщить о компрометации лишь спустя долгое время, когда злоумышленник уже нанес значительный ущерб.
Как создать зрелую программу мониторинга угроз
Чтобы эффективно защищаться, организациям необходимо перейти от разовых проверок к зрелой, автоматизированной программе мониторинга утечек и компрометации.
Ключевые элементы такой программы:
- непрерывный мониторинг и нормализация данных из разных источников (утечки, инфостилеры, combolists, каналы обмена);
- автоматизация для уменьшения ложных срабатываний и сокращения ручной работы;
- интеграции с существующим стеком безопасности (SIEM, SOAR, IDP) для выполнения сценариев реагирования.
Такой подход даёт видимость угроз, контекст для анализа и инструменты для автоматической реакции, например сброс паролей или аннулирование сессий.
Заключение
Традиционный мониторинг утечек учётных данных больше не обеспечивает достаточной защиты в современных реалиях, когда инфостилеры действуют быстро и незаметно. Организациям необходимо перейти к зрелым, автоматизированным программам мониторинга, которые обеспечат непрерывную видимость угроз и возможности для быстрого реагирования.
Только такой подход позволяет своевременно обнаруживать компрометированные учетные данные, сессионные токены и скрытые активности злоумышленников, минимизируя ущерб и риски.
Часто задаваемые вопросы
Что такое инфостилер?
Инфостилер — это вредоносное ПО, которое крадёт учётные данные, сессионные куки и другие данные из браузера или приложений жертвы, а затем передаёт их злоумышленникам.
Почему обычный мониторинг утечек недостаточен?
Потому что он ориентирован на исторические утечки и не даёт своевременной информации о текущих угрозах, таких как активные инфостилеры или компрометации сессионных токенов.
Как можно защититься от атак с использованием сессионных куки?
Необходимо использовать более продвинутые решения, которые анализируют активность сессий, интегрируются с SIEM/SOAR и автоматизируют реагирование на инциденты.
Что такое зрелая программа мониторинга угроз?
Это непрерывный подход к сбору, нормализации и анализу данных о компрометациях, с автоматизацией и интеграцией с существующими системами безопасности.