Atacurile cibernetice nu mai încep cu malware sau exploatări brute, ci pornesc de la identități furate. Pe măsură ce organizațiile mută date critice în platforme SaaS, atacatorii folosesc tot mai mult inteligența artificială (AI) pentru a se da drept utilizatori legitimi, a ocoli controalele de securitate și a opera neobservați în medii de încredere. Rezultatul este un nou tip de risc cibernetic: breșa de identitate alimentată de AI.
Martin Vigo, cercetător principal în securitate la AppOmni, arată că, potrivit raportului State of SaaS Security, 75% dintre organizații au avut, în ultimul an, un incident legat de SaaS, majoritatea implicând credențiale compromise sau politici de acces configurate greșit.
Cu toate acestea, 91% dintre respondenți declară că au încredere în nivelul lor de securitate. Vizibilitatea este ridicată, însă controlul rămâne deficitar.
Actorii rău-intenționați caută dintotdeauna calea cea mai ușoară. În lumea SaaS, aceasta duce adesea direct la identități furate. Parolele, cheile API, token-urile OAuth și codurile de autentificare multifactor (MFA), practic orice element care deblochează accesul, au devenit ținta inițială.
Deși multe organizații tratează identitatea doar ca pe un punct de control, pentru atacatori aceasta a devenit suprafața de atac propriu-zisă. În aplicațiile SaaS, identitatea nu este doar o graniță, ci adesea singura barieră constantă între utilizatori și cele mai sensibile date.
Aproape toate companiile se bazează pe SaaS pentru comunicare, resurse umane, finanțe și chiar dezvoltare software. Aceste sisteme nu împărtășesc un perimetru fizic comun, așa cum se întâmplă în rețelele on-premise.
De aceea, protejarea accesului este esențială: verificarea legitimității fiecărei identități care încearcă să se conecteze. Odată compromis un cont valid, atacatorul moștenește aceleași privilegii ca utilizatorul legitim.
Aceasta explică eficiența atacurilor asupra identității: ele ocolesc firewall-urile, protecția endpoint și aproape toate straturile tradiționale de securitate care monitorizează activitatea din cloud sau blochează accesul neautorizat la date.
Unde intervine AI
AI amplifică fiecare etapă a atacului, de la phishing extrem de convingător la tehnici sofisticate de evitare a detectării. Cercetătorii au observat o creștere semnificativă a campaniilor de phishing de mare volum, cu un limbaj foarte bine adaptat, semn clar că sunt folosite modele lingvistice mari (LLM).
Acestea generează mesaje care imită perfect idiomuri locale, tonul corporativ și chiar stilul individual de scriere.
Nu mai este vorba doar de malware. Arma principală este identitatea: parola, token-ul, consimțământul OAuth care deblochează o aplicație cloud.
Infractorii folosesc AI pentru a compromite mediile SaaS prin identități furate în mai multe moduri: recunoaștere accelerată, exploatarea țintită a credențialelor, identități sintetice la scară largă și execuția automatizată a atacurilor.
Recunoașterea identităților: avantajul AI
Înainte de autentificare, atacatorii au nevoie de context: nume de angajați, structuri ierarhice, fluxuri de aprobare, relații cu terți. AI este folosit pentru a automatiza această etapă.
Într-un caz documentat, un actor de amenințare a introdus tacticile sale într-un fișier numit CLAUDE.md, instruind AI-ul Claude Code să desfășoare autonom operațiuni de descoperire. Sistemul a scanat mii de endpoint-uri VPN, a cartografiat infrastructura expusă și a clasificat țintele pe industrii și țări, fără intervenție umană.
În SaaS, acest lucru permite identificarea rapidă a tenant-urilor corporative, colectarea formatelor de e-mail și testarea portalurilor de autentificare la scară largă. Ceva ce înainte dura săptămâni poate fi realizat acum în câteva ore.
Accesul presupune analizarea unor volume uriașe de date compromise: log-uri de tip info-stealer, dump-uri de parole, forumuri din dark web. A decide ce credențiale sunt cu adevărat valoroase era un proces lent, dar acum este asistat de AI.
Criminalii folosesc AI, inclusiv Claude prin Model Context Protocol, pentru a analiza automat seturi masive de credențiale furate. AI-ul examinează istoricul browserelor și datele de domeniu pentru a construi profiluri de victime și a prioritiza conturile cu valoare ridicată: administratori, manageri financiari, dezvoltatori sau alți utilizatori cu privilegii extinse. Această focalizare crește dramatic șansele de succes.
De la deepfake la acces total
Una dintre cele mai îngrijorătoare evoluții este producerea în masă a identităților furate sau complet sintetice. Comunități online de pe Telegram și Discord folosesc AI pentru a automatiza aproape fiecare pas al înșelăciunii.
Un bot Telegram, cu peste 80.000 de membri, generează în câteva secunde selfie-uri și imagini trucate pentru a impersona persoane reale sau a crea personaje fictive. Alte instrumente traduc mesaje, generează răspunsuri „emoțional inteligente” și mențin personalități coerente în mai multe limbi.
Rezultatul este o formă extrem de sofisticată de fraudă digitală, în care imagini, voci și dialoguri pot fi complet generate de mașini, făcând diferențierea dintre real și fals aproape imposibilă.
Această dinamică se regăsește și la nivel statal. Scheme ample cu lucrători IT nord-coreeni au arătat cum AI a fost folosit pentru a fabrica CV-uri, fotografii profesionale și comunicare fluentă în limba engleză, în vederea obținerii de joburi remote la companii occidentale.
Identitățile sintetice au evoluat de la simple escrocherii la infiltrare industrială și spionaj.
AI nu mai este folosită doar punctual, ci pentru automatizarea întregului ciclu de atac. Platforme precum Villager, un succesor al Cobalt Strike dezvoltat în China, integrează LLM-uri direct în structura de comandă. Agenții autonomi pot efectua recunoaștere, exploatare și post-exploatare prin raționament în limbaj natural.
Aceste instrumente sunt disponibile public și au fost descărcate de mii de ori, alimentând o economie subterană în care atacurile pot fi lansate și scalate fără expertiză tehnică avansată.
Securizarea SaaS în era AI
Phishing-ul, furtul de credențiale și frauda de identitate sunt mai rapide, mai ieftine și mult mai convingătoare datorită AI. Însă aceeași inteligență poate susține și apărarea.
Succesul nu va mai depinde de ziduri tot mai înalte, ci de sisteme capabile să distingă instantaneu autenticitatea de fals.
AI a estompat granița dintre utilizator legitim și impostor, dar prin design atent și strategii proactive, organizațiile pot restabili această graniță și pot face ca încrederea, nu tehnologia, să definească accesul.
