Fising se vraća kao glavna pretnja: Q1 2026 analiza trendova sajber napada
Fising se vratio kao najpopularniji vektor napada u Q1 2026, a napadači koriste AI alate za brzu izradu kampanja usmerenih na javnu administraciju i zdravstvo.
Šta se desilo?
Prema analizi Cisco Talos incident response tima, fising je ponovljeno postao najčešće korišćeni vektor za početnu infiltraciju sistema, što čini preko trećine registrovanih incidenta u prvom kvartalu 2026. godine. Ovo predstavlja povratak nakon što je fising izgubio status broja jedan u drugom kvartalu 2025. godine. Istovremeno, napadači su počeli da koriste AI alate za izradu sofisticiranijih kampanja, što je omogućilo i manje iskusnim napadačima da brže izvršavaju napade.
Koga pogađa?
Javna administracija i zdravstveni sektor su se pokazali kao najprivlačniji ciljevi, sa po 24 procenta svih incidenta. Javna administracija je treće uzastopno tromesečje na vrhu liste ciljeva napadača. Posebna pažnja je posvećena organizacijama koje koriste cloud servise, gde su napadači iskoristili legitimne API-je i razvojne alate za pristup i krađu podataka.
Kako se zaštititi?
- Sprovesti obuku zaposlenih o prepoznavanju fising poruka i bezbednosti kredencijala
- Čuvati API tokene, lozinke i tajne ključeve u bezbednim vault-ovima, nikada ne objavljivati ih na javnim platformama
- Redovno pregledavati GitHub repozitorijume i cloud okruženja za slučajno otkrivene tajne
- Implementirati jaka autentifikacione mehanizme za cloud servise i lokalni infrastrukturu
- Praćenja neobične aktivnosti na cloud API-jima i legitimnim razvojnim alatima
- Ažurirati i zakrpati ranjivosti na svim sistemima, posebno na firewall-ima i VPN pristupima
- Primenjivati principu najmanje privilegije za sve korisnike i service account-e
Tehnički detalji
U kampanjama se ističe korišćenje Softr AI alata za brzu izradu stranama za prikupljanje kredencijala usmerenih na Microsoft Exchange i Outlook Web Access (OWA) korisnike. Napadači koriste open-source alate kao što je TruffleHop za skeniranje GitHub repozitorijuma i pronalaženje osjetljivih informacija. Microsoft Graph API-ji su zloupotrebljani za autentifikaciju i navigaciju kroz Azure cloud skladišta, dok su pokušaji injekcije zlonamjernog koda u repozitorijume dizajnirani da prosledi buduće otkrivene tajne napadačima. Kao novi trend identifikovan je prvi dokumentovani slučaj grupe Crimson Collective koja je koristila slučajno objavljen GitHub Personal Access Token (PAT) kao početnu tačku napada.
Preporuka Sajber Radara
Organizacije moraju hitno pregledati svoje GitHub repozitorijume i cloud okruženja kako bi pronašle slučajno objavljivene tajne i token-e, a zatim ih odmah opozvati. Paralelno sa tim, neophodno je pojačati monitoring legitimnih alata i API-ja koji se koriste u normalnim poslovnim procesima, jer napadači sve više koriste iste te alate za skrivanje svoje aktivnosti.