Okta pod ostrzałem. Ten scenariusz może pojawić się także w Polsce

2026-04-14

TL;DR

Nowe ostrzeżenia wokół Okta pokazują, że przestępcy coraz częściej nie zaczynają już od zwykłego maila z linkiem. Zamiast tego atakują warstwę tożsamości, wykorzystują telefon, live chat, fałszywe strony wsparcia i scenariusze podszywania się pod IT lub helpdesk. Kiedy zdobędą dostęp do Okta albo innego dostawcy tożsamości, nie muszą włamywać się do każdej usługi osobno. Wystarczy im jeden punkt wejścia, żeby przejść dalej przez SSO do poczty, plików, komunikatorów, CRM i innych systemów.

To ważny sygnał także dla firm w Polsce. Nie dlatego, że każdy używa dokładnie tego samego zestawu narzędzi, ale dlatego, że sam mechanizm jest uniwersalny. Tam, gdzie działa zdalny helpdesk, MFA, reset dostępu i logowanie do wielu usług z jednego miejsca, podobny scenariusz może zostać wykorzystany również lokalnie.

O co chodzi w tych atakach

W materiale z GBHackers pojawia się prosta teza: napastnicy przesuwają ciężar z klasycznego phishingu e-mail na atak bezpośrednio w systemy tożsamości, takie jak Okta. To uproszczenie jest trafne, ale warto je doprecyzować.

Jak opisał Okta Threat Intelligence, część grup korzysta dziś z phishing kitów przygotowanych specjalnie pod kampanie vishingowe. Nie chodzi już wyłącznie o wysłanie linku i czekanie, aż ktoś kliknie. Atakujący dzwoni, prowadzi rozmowę, podaje gotowy pretekst, a w tle steruje przebiegiem logowania na fałszywej stronie w czasie rzeczywistym. Dzięki temu może nakłonić ofiarę do wpisania hasła, podania kodu jednorazowego albo zaakceptowania powiadomienia MFA w momencie, który z perspektywy ofiary wygląda wiarygodnie.

To o tyle istotne, bo takim modelu użytkownik nie ma wrażenia, że uczestniczy w oczywistym oszustwie. Ma wrażenie, że rozwiązuje techniczny problem.

To nie jest tylko temat Okta

Nie chodzi wyłącznie o jedną markę. Raport Google Threat Intelligence i Mandiant pokazuje, że grupy wykorzystujące vishing oraz fałszywe strony logowania próbują zdobywać dane do SSO i kody MFA, a po wejściu do środowiska przechodzą dalej do aplikacji SaaS w celu kradzieży danych i późniejszego wymuszenia. Co równie istotne, autorzy wprost zaznaczają, że ten typ incydentów nie wynika z luki w infrastrukturze dostawcy, tylko z efektywności socjotechniki oraz słabo chronionych procesów związanych z tożsamością.

To oznacza, że podobny scenariusz może dotyczyć różnych środowisk: Okta, Microsoft 365, Google Workspace, Slack, Salesforce czy innych platform, które są spięte jednym modelem logowania i uprawnień. Kiedy napastnik przejmie warstwę tożsamości, zyskuje znacznie więcej niż pojedyncze konto.

Jeżeli chcesz uporządkować sam fundament tego zjawiska, zacznij od materiału co to jest phishing. W tym przypadku zmienia się kanał i technika prowadzenia ofiary, ale rdzeń pozostaje ten sam: presja, podszycie się pod zaufany podmiot i skłonienie człowieka do oddania kontroli.

Jak wygląda taki scenariusz krok po kroku

Najpierw pojawia się rozpoznanie. Napastnik zbiera informacje o firmie, strukturze, nazwach zespołów, numerach telefonów, pracownikach helpdesku i narzędziach, które organizacja prawdopodobnie wykorzystuje. Czasem wystarczy LinkedIn, strona firmy, wcześniejsze wycieki albo publiczne dane kontaktowe.

Później przychodzi etap kontaktu. To może być rozmowa telefoniczna, live chat albo wiadomość podszywająca się pod wsparcie techniczne usługi. W części opisanych przypadków atakujący kierują pracownika na fałszywe strony logowania lub fałszywe portale wsparcia, które naśladują środowiska takie jak Okta czy Zendesk. SecurityWeek opisał też świeży przypadek kampanii UNC6783, w której celem byli pracownicy BPO, helpdesku i wsparcia technicznego, a przynętą były właśnie podszyte strony Okta i Zendesk.

Dalej robi się groźniej. Gdy użytkownik poda dane albo pomoże napastnikowi przejść przez proces resetu i MFA, atakujący może dodać własne urządzenie do uwierzytelniania, uzyskać trwały dostęp i poruszać się po kolejnych usługach. To właśnie ten moment sprawia, że incydent przestaje być zwykłym kliknięciem w link, a zaczyna być problemem dla całej organizacji.

Jeśli chcesz zobaczyć inny wariant tego samego problemu, sprawdź też materiał o phishingu omijającym MFA w modelu AiTM. Tu również atak nie polega na łamaniu technologii siłą, ale na przejęciu procesu, sesji i decyzji użytkownika.

Dlaczego taki scenariusz może pojawić się także w Polsce

Najkrótsza odpowiedź brzmi: bo nie wymaga on luki. Wymaga ludzi, procesów, telefonu, presji i organizacji, która loguje się do wielu usług przez jedną warstwę tożsamości.

To właśnie dlatego ten model daje się łatwo przenieść między krajami. Jeżeli firma w Polsce korzysta z Okta, Microsoft 365, Google Workspace, narzędzi helpdeskowych albo outsourcuje część wsparcia, to operacyjnie nie różni się aż tak bardzo od zagranicznych organizacji będących celem podobnych kampanii. Zmienia się język, nazwy działów i lokalny pretekst, ale nie mechanika ataku.

Polski kontekst tylko wzmacnia ten wniosek. Jak wynika z raportu CERT Polska za 2025 rok, zarejestrowano 260 783 unikalne incydenty bezpieczeństwa, a 97 procent z nich stanowiły oszustwa komputerowe, w tym phishing i inne formy wyłudzeń. To nie dowód na identyczną kampanię 1 do 1, ale bardzo mocna przesłanka, że środowisko zagrożeń w Polsce jest podatne na podobne modele socjotechniczne.

Zresztą już dziś widać lokalne warianty tej logiki. Raz atakujący wykorzystują fałszywe komunikaty Meta dotyczące stron firmowych, innym razem legalne powiadomienia z GitHub i Jira jako nośnik phishingu, a jeszcze innym razem zwykły smishing prowadzący do przejęcia konta Telegram. Zmienia się transport i przynęta. To, co pozostaje wspólne, to wykorzystanie zaufania, rutyny i pośpiechu.

Co powinno zapalić lampkę ostrzegawczą

Szczególnie podejrzane są sytuacje, w których ktoś kontaktuje się z pracownikiem lub helpdeskiem i próbuje szybko doprowadzić do zmiany w MFA, zresetowania czynników logowania, dopisania nowego urządzenia albo zatwierdzenia nietypowej akcji związanej z tożsamością. Tak samo należy traktować prośby o wejście na wskazany adres w celu naprawy problemu z logowaniem albo bezpieczeństwem konta.

Niepokojące są też nagłe zmiany po stronie technicznej, zwłaszcza gdy pojawiają się tuż po kontakcie z rzekomym wsparciem. Należą do nich nowe metody MFA, nietypowe logowania, dostęp z nowych lokalizacji, szybkie przechodzenie między wieloma aplikacjami albo wzrost aktywności w takich usługach jak SharePoint, OneDrive czy Slack. To są właśnie te sygnały, które powinny być spięte w jednym obrazie incydentu.

Co powinny zrobić organizacje żeby wzmocnić ochronę

Najważniejszy wniosek z historii wokół Okta jest prosty: nowoczesny phishing coraz częściej przestaje przypominać klasyczny mail z podejrzanym linkiem. Dziś może wyglądać jak rozmowa z supportem, szybka prośba o pomoc, problem z MFA, pilna weryfikacja albo techniczna czynność, którą trzeba wykonać natychmiast.

To właśnie dlatego ten scenariusz może pojawić się także w Polsce. Dlatego, że polskie organizacje działają na tych samych mechanizmach zaufania, zdalnego wsparcia, tożsamości i SSO. A tam, gdzie jest człowiek, helpdesk i presja czasu, tam taka socjotechnika ma przestrzeń do działania.

Jeżeli chcesz przygotować organizację na tego typu scenariusze, warto ćwiczyć nie tylko klasyczne maile, ale też przypadki związane z MFA, wsparciem technicznym, fałszywymi portalami i przejęciem tożsamości. Taki właśnie kierunek buduje realną odporność, a nie tylko pozorne poczucie bezpieczeństwa.