https://www.naszakasa.org.pl/oszustwa-zagrozenia-i-przepisy/jak-dziala-kradziez-srodkow-przez-zlosliwe-wtyczki-w-przegladarce/ pl-PL Sat, 18 Apr 2026 11:11:02 +0000 wpForo 60 https://www.naszakasa.org.pl/oszustwa-zagrozenia-i-przepisy/jak-dziala-kradziez-srodkow-przez-zlosliwe-wtyczki-w-przegladarce/#post-245 Tue, 14 Apr 2026 22:06:16 +0000 jak działa kradzież środków przez złośliwe wtyczki w przeglądarce, to wszyscy zapominają o jednym mega ważnym mechanizmie – chmurze i synchronizacji. Zastanówcie się chwile. Masz włączoną synchronizację konta Google. Instalujesz na firmowym lapku jakiś totalnie losowy konwerter PDF czy wtyczkę do ciemnego motywu (dark mode to w ogóle najgorsze siedlisko syfu). Wtyczka okazuje się lewa i robi ten cały session hijacking o którym pisaliście. I teraz najlepsze - odpalasz kompa w domu, logujesz się do przeglądarki i bum. Chrome sam automatycznie dociąga ci ten złośliwy kod na prywatnego kompa, gdzie masz podpięte giełdy i banki. Infekcja roznosi się sama z automatu bez twojej wiedzy. Dlatego to całe podkradanie funduszy przez dodatki to obecnie taka plaga, wystarczy że złapiesz syf na jednym urządzeniu. Druga sprawa, pisałeś o krypto i że łatwo wszystko wziąść i stracić. Pełna zgoda, ten atak na schowek (clipboard hijacking) zbiera największe żniwo. Ale jest na to jedna żelazna zasada. Jeśli trzymasz sensowne pieniądze na giełdach lub w web3, to MUSISZ mieć portfel sprzętowy typu Ledger albo Trezor podpięty pod Metamaska. Jak to cię chroni przed zainfekowaną przeglądarką? Banalnie prosto. Nawet jak lewy dodatek podmieni adres w tle, albo wyrysuje ci na ekranie idealny overlay wyłudzający dane do przelewu, to i tak na samym końcu musisz fizycznie kliknąć przycisk na tym małym pendrive. I tu jest pies pogrzebany - na małym ekraniku Ledgera widzisz ORGINALNY adres docelowy na który faktycznie idą środki, a nie ten który złośliwy skrypt próbuje ci wcisnąć i oszukać na monitorze kompa. Jak się literki nie zgadzają, po prostu anulujesz transakcję. Bezpośrednie wyprowadzenie kasy z konta krypto bez fizycznego potwierdzenia palcem na urządzeniu sprzętowym jest dla hakera praktycznie niemożliwe, niezależnie co tam siedzi w DOM przeglądarki. Co do tradycyjnej bankowości - wkurza mnie jak ludzie piszą na grupach "ja mam płatnego antywirusa, nic mi nie grozi". Totalna bzdura. Dla Windows Defenderów, Nortonów i innych avastów, modyfikowanie kodu strony w locie przez autoryzowaną wtyczkę jest całkowicie niewidoczne. Antywirus widzi po prostu, że proces przeglądarki wysyła jakieś żądanie sieciowe. Przecież sam dałeś tej wtyczce zezwolenie na odczyt danych witryny, no nie? Więc soft antywirusowy nie wnika, że w tle leci złośliwe oprogramowanie kradnące środki na konto słupa. Hakerzy doskonale o tym wiedzą i omijają skanery z palcem w nosie. Do dobrych rad poprzednika z dzieleniem na profile dorzucę jeszcze jedno ustawienie, które ratuje tyłek. Zamiast bawić się w DevTools (bo nie oszukujmy się, mało kto potrafi czytać ruch sieciowy), wejdź po prostu w ustawienia rozszerzeń i ogranicz im dostęp! Mało kto w ogóle wie, że można kliknąć prawym przyciskiem myszy na ikonkę dodatku i zmienić opcję "Rozszerzenie może odczytywać i zmieniać dane witryny" z automatycznego na "Tylko po kliknięciu rozszerzenia" albo wpisać z palca konkretne adresy URL gdzie ma działać. Dlaczego jakiś bloker reklam czy wtyczka od screenów ma mieć z automatu stały dostęp do domeny twojego mBanku, PKO czy giełdy Binance? Odetnij im to. Nawet złośliwy kod nie zadziała, jeśli przeglądarka odgórnie zablokuje mu dostęp do kodu źródłowego na stronach finansowych. A najprościej to zrób jak ja. Mam Firefoxa zainstalowanego TYLKO do sprawdzania konta i portfeli. Całkowity golas, zero wtyczek, zero historii. A do YT, czytania bzdur i gierek mam Chrome z adblockami. Zrób tak, a ta cała paranoja czy ktoś cię nie podsłuchuje sama zejdzie. Trzymajcie się pany i uważajcie w co klikacie.]]> Oszustwa, zagrożenia i przepisy Giermek_Mlody https://www.naszakasa.org.pl/oszustwa-zagrozenia-i-przepisy/jak-dziala-kradziez-srodkow-przez-zlosliwe-wtyczki-w-przegladarce/#post-245 https://www.naszakasa.org.pl/oszustwa-zagrozenia-i-przepisy/jak-dziala-kradziez-srodkow-przez-zlosliwe-wtyczki-w-przegladarce/#post-244 Tue, 14 Apr 2026 22:05:42 +0000 jak działa kradzież środków przez złośliwe wtyczki w przeglądarce. Mają dostęp do struktury strony tak samo jak ty. Pytałeś o to, czy te złośliwe rozszerzenia robią jakieś niewidzialne nakładki (overlaye), czy raczej klasycznie wstrzykują kod w locie. Prawda jest taka, że to drugie jest o wiele prostsze i skuteczniejsze. Lewy dodatek wykorzystuje swoje uprawnienia do modyfikacji DOM (czyli całego tego drzewa HTML, które przeglądarka wyświetla ci na ekranie). Hakerzy ładują złośliwy kod w JavaScript, który działa jak bardzo wyrafinowany keylogger, ale odpalający się tylko na konkretnych URL-ach, np. na stronie Binance czy mBanku. Piszą skrypt, który po chamsku podpina tzw. event listeners pod pola formularzy. Wpisujesz login, wpisujesz hasło, a złośliwy skrypt w locie wysyła te dane z przeglądarki na zewnętrzny serwer C&C (Command and Control) należący do atakującego. To jest pierwsza i najprostsza metoda na wyprowadzenie kasy z konta – bezpośrednia kradzież poświadczeń. Przejdźmy teraz do tego nieszczęsnego krypto, bo tam skamerzy mają istne eldorado. Wspomniałeś o clipboard hijacking, czyli podmienianiu zawartości schowka systemowego. Tak, to jest dokładnie tak banalnie proste, jak brzmi. Kradzież kryptowalut przez zainfekowane rozszerzenia bardzo często opiera się na przeglądarkowym Clipboard API. Złośliwa wtyczka cały czas skanuje to, co akurat skopiowałeś. Kiedy tylko zauważy ciąg znaków, który pasuje do formatu adresu portfela (tzw. wyrażenia regularne, regex – skrypt wie, jak wygląda adres Bitcoina czy Ethereum), w ułamku sekundy podmienia ten adres w schowku na portfel złodzieja. Ty dajesz CTRL+V w polu wypłaty, nie sprawdzasz dokładnie tych kilkudziesięciu znaków (bo kto to czyta w całości?), autoryzujesz transakcję i hajs znika na zawsze. Co do legitnych portfeli takich jak Metamask czy Phantom – tu sprawa jest trochę bardziej skomplikowana. Architektura nowoczesnych przeglądarek opiera się na czymś takim jak sandboxing (izolacja procesów). Teoretycznie jedna wtyczka zainstalowana obok drugiej nie może wejść w jej pamięć, żeby wyciągnąć seed phrase. Ale hakerzy nie muszą łamać piaskownicy. Zamiast tego złośliwe wtyczki do przeglądarek robią zaawansowany phishing. Kiedy klikasz ikonkę Metamaska, złośliwy skrypt przechwytuje ten klik i rysuje ci na ekranie 100% idealną kopię interfejsu portfela. Myślisz, że odblokowujesz swój portfel, wpisujesz swoje hasło lokalne, a tak naprawdę oddajesz je rozszerzeniu złodzieja. Kiedy mają hasło, mogą wyciągnąć zaszyfrowany plik ze zrzutem portfela (vault z LocalStorage), wysłać go do siebie na serwer i tam spokojnie zdekodować, zyskując dostęp do kluczy prywatnych. Szach mat, znowu. Teraz najgrubsza sprawa – polskie banki, 2FA i cała reszta tych zabezpieczeń. Jak podkradanie funduszy przez dodatki radzi sobie z tokenami? Wogóle (no dobra, tutaj musiałem użyć tego słowa) to mit, że aplikacja mobilna cię w 100% obroni. Tutaj wkraczają dwa bardzo potężne ataki. Pierwszy to session hijacking (przechwytywanie ciasteczek sesyjnych). Złośliwy kod po prostu kradnie twoje cookies, gdy jesteś zalogowany w banku. Haker eksportuje te ciasteczka u siebie, ładuje do specjalnej przeglądarki antidetect i bum – system bankowy myśli, że to ty, bo sesja jest już autoryzowana. Zero logowania, zero weryfikacji sprzętu. Ale co z potwierdzeniem przelewu? I tu dochodzimy do koszmaru o którym ci ktoś opowiadał, czyli ataku Man-in-the-Browser (MitB) połączonego z web-injectami w czasie rzeczywistym. To jest ten moment, kiedy sam podsłuch w przeglądarce zamienia się w aktywną kradzież. Działa to tak: masz na widelcu odpalony przelew. Wpisujesz odbiorcę, dajesz np. 150 zł za rachunki. Klikasz "Wyślij". Zainfekowany JavaScript w tym ułamku sekundy przechwytuje twoje żądanie (request), modyfikuje jego zawartość – zmienia numer konta docelowego na słupa i kwotę na 20 000 zł – a następnie puszcza to do serwera banku. Haczyk polega na tym, że ten sam złośliwy dodatek w Chrome modyfikuje to, co wyświetla ci się na ekranie! Ty na monitorze cały czas widzisz podsumowanie na 150 zł. Bank wysyła ci pusha na telefon. I tu jest największy problem czynnika ludzkiego. 99% z nas nie czyta uważnie powiadomień autoryzacyjnych na małym ekranie telefonu. Widzimy powiadomienie z mBanku czy ING, klikamy "Zatwierdź" i dopiero na drugi dzień orientujemy się, że konto wyzerowane. Właśnie tak kradzież pieniędzy przez lewy kod wygląda pod maską. To wcale nie są legendy miejskie. Zastanawiasz się pewnie, jak ten cały syf przechodzi weryfikację w Chrome Web Store, która przecież powinna odrzucać złośliwe oprogramowanie kradnące środki z kont. Google weryfikuje kod automatycznie, a te automaty są ślepe na zaawansowane techniki. Ale najgorszy wektor ataku jest o wiele bardziej bezczelny i bazuje na kasie. Wyobraź sobie kolesia, który napisał fajną, lekką apkę do robienia screenów. Wtyczka wisi dwa lata, ma 3 miliony pobrań, oceny 5 gwiazdek. Gość jest zmęczony rozwijaniem jej za darmo. Nagle dostaje maila z jakiejś lewej firmy z ofertą: "Kupimy prawa do tego dodatku za 50 tysięcy dolarów". Chłopak sprzedaje projekt, oddaje im dostęp do panelu dewelopera. I co robią nowi właściciele? Wypuszczają "drobną optymalizację kodu". Taka cicha aktualizacja wjeżdża do przeglądarek wszystkich 3 milionów ludzi. Dodatek jest obfuskowany (kod jest zaciemniony, żeby automat Google nic nie wykrył), a złośliwy ładunek (malware) pobiera się z zewnętrznego serwera dopiero po kilku dniach od aktualizacji wtyczki. Zanim ktokolwiek wujkowi Google to zgłosi, tysiące ludzi traci krypto i oszczędności życia. Przejmowanie wtyczek w przeglądarce to obecnie plaga, więc fakt, że dany dodatek ma miliony pobrań, nie znaczy kompletnie nic. Pytasz, jak się chronić, jak analizować to całe niebezpieczeństwo płynące z wtyczek przeglądarkowych. Po pierwsze, stary, usunięcie tego szajsu to jedyna sensowna opcja. Masz ich 15? Zostaw uBlock Origin i jakiegoś dobrego menedżera haseł (Bitwarden itp.), resztę wywal w kosmos. Serio, czy motyw graficzny do chroma jest wart ryzyka straty hajsu? Druga, absolutnie krytyczna sprawa: compartmentalization, czyli podział na profile. Zrób sobie w Chrome albo Brave osobny profil "HAJSY". Nie instaluj tam kompletnie ŻADNYCH dodatków. Używaj tego profilu tylko i wyłącznie do wchodzenia na giełdę, do banku i do obsługi portfeli. Całą resztę (Youtube, gierki, artykuły) czytaj na swoim zasyfionym profilu codziennym. To z miejsca ucina 90% problemów, bo złośliwe rozszerzenia mają zasięg tylko w obrębie profilu, na którym zostały zainstalowane. Jeśli chodzi o logi i to, co wtyczka wysyła w świat, to twoim najlepszym przyjacielem jest wbudowane narzędzie dla programistów – DevTools (F12). Zrób tak: odpal podejrzaną wtyczkę, wejdź na strone banku (bez logowania, po prostu strona główna) i wciśnij F12. Przejdź do zakładki Network (Sieć). Tam widzisz na żywo każde pojedyncze połączenie, jakie przeglądarka nawiązuje w tle. Jeśli widzisz, że nagle lecą jakieś podejrzane POST requesty (wysyłanie danych) do dziwnych chińskich domen, Firebase'a, czy dziwnych adresów IP, o których istnieniu nie miałeś pojęcia, to wiesz, że coś cię właśnie próbuje podsłuchiwać. To samo z ciasteczkami – możesz w DevTools sprawdzić, które skrypty dobierają się do twoich cookies w zakładce Application. Oprócz tego, do samej analizy, co wtyczka ma w środku, fajne jest rozszerzenie "Extension Source Viewer" (ironicznie, musisz doinstalować dodatek żeby badać inne dodatki lol). Pozwala ci to pobrać kod dowolnej wtyczki ze sklepu w pliku ZIP. Możesz wypakować i przejrzeć kod JavaScript. Nawet jeśli nie jesteś programistą, to jak otworzysz pliki "background.js" albo "content_script.js" i zobaczysz tam wielki blok kompletnie nieczytelnych, losowych znaków (użycie funkcji eval, atob, czy innych narzędzi zaciemniających) zamiast normalnego, czytelnego kodu, to z miejsca możesz założyć, że autor ma coś do ukrycia i planuje wyprowadzanie funduszy. Bądź mega uważny. Ten problem jak działa kradzież środków przez złośliwe wtyczki w przeglądarce cały czas ewoluuje. Skamerzy zarabiają na tym grube miliony, więc będą wymyślać coraz cwańsze omijanie zabezpieczeń. Nie instaluj bzdur, pilnuj profili i czytaj dokładnie co potwierdzasz w aplikacji na telefonie. Lepiej mieć paranoję niż puste konto. Trzymaj się tam bezpiecznie w tym internecie!]]> Oszustwa, zagrożenia i przepisy PanLis https://www.naszakasa.org.pl/oszustwa-zagrozenia-i-przepisy/jak-dziala-kradziez-srodkow-przez-zlosliwe-wtyczki-w-przegladarce/#post-244 https://www.naszakasa.org.pl/oszustwa-zagrozenia-i-przepisy/jak-dziala-kradziez-srodkow-przez-zlosliwe-wtyczki-w-przegladarce/#post-243 Tue, 14 Apr 2026 22:04:44 +0000 kradzież środków przez złośliwe wtyczki w przeglądarce od strony czysto technicznej. Ktoś z was w tym siedzi i potrafi to wytłumaczyć tak na chłopski rozum? Kojarzę podstawy – instalujesz jakiś lewy dodatek, niby to bloker reklam, darmowy VPN, kalkulator walut czy fajny motyw graficzny, a pod spodem siedzi chamski malware. Odpalasz, dajesz mu uprawnienia do "odczytu i zmiany danych na odwiedzanych witrynach" i bum, mają cię na widelcu. Ale jak konkretnie dochodzi do samego wyprowadzenia kasy z konta? Czy te złośliwe rozszerzenia robią jakiś ukryty overlay (nakładkę) na stronie banku? Czy po prostu wstrzykują lewy kod w JavaScript w locie, żeby przechwycić login i hasło jak stary, dobry keylogger? Najbardziej interesuje mnie motyw z kryptowalutami, bo tam najłatwiej wziąść i wszystko stracić bezpowrotnie. Słyszałem o czymś takim jak clipboard hijacking. Czyli że zainfekowana wtyczka non-stop skanuje systemowy schowek i w ułamku sekundy podmienia skopiowany adres portfela docelowego na adres oszusta, akurat jak chcesz zrobic przelew na giełdzie. Serio to takie banalne? Przecież przeglądarka powinna jakoś mocniej izolować dostęp do schowka. A co z legitnymi portfelami w formie wtyczek, typu Metamask czy Phantom? Czy taki fałszywy add-on jest w stanie czytać dane i wyciągnąć seed phrase bezpośrednio z innej wtyczki zainstalowanej obok? Druga sprawa to normalne polskie banki. Mamy teraz 2FA, tokeny, mobilne autoryzacje w apkach. Więc jak sam podsłuch w przeglądarce ma pomóc w kradzieży pieniędzy? Czy oni wyciągają ciasteczka sesyjne (session hijacking), żeby w ogóle pominąć logowanie na nowym urządzeniu, czy robią to jakoś w tle na odpalonej karcie, kiedy jestem już normalnie zalogowany np. do mBanku? Ktoś mi kiedyś opowiadał, że zainfekowane wtyczki potrafią same inicjować przelewy w tle, modyfikując widok strony. Ty widzisz na ekranie swój przelew za prąd na 150 zł, autoryzujesz go w telefonie, a w tle tak naprawdę leci zmodyfikowane żądanie na grube tysiące na konto słupa. Brzmi to mega niebezpiecznie. Pytam o to wszystko, bo sam mam nawalone tych dodatków z Chrome Web Store chyba z piętnaście i powoli zaczynam łapać paranoję. Napewno część z nich ma zdecydowanie za duże uprawnienia. Zastanawia mnie też, jak w ogóle hakerzy omijają weryfikację wujka Google? Czasami wtyczka jest w stu procentach legitna przez rok, ma miliony pobrań na koncie, a potem wjeżdża jakaś cicha aktualizacja i nagle staje się złodziejem. Jak się przed tym szajsem w ogóle chronić na co dzień (poza usunięciem wszystkiego)? Macie jakieś sprawdzone narzędzia albo logi do sprawdzania, co dany dodatek wysyła w świat? Z chęcią poczytam, jak to całe podkradanie funduszy działa pod maską, bo temat wydaje się coraz grubszy.]]> Oszustwa, zagrożenia i przepisy xX_ZnanyKowalski_Xx https://www.naszakasa.org.pl/oszustwa-zagrozenia-i-przepisy/jak-dziala-kradziez-srodkow-przez-zlosliwe-wtyczki-w-przegladarce/#post-243