Die berüchtigte Erpresserbande ShinyHunters hat eine neue Woche hochwirksamer Voice-Phishing-Angriffe auf Mitarbeiter gestartet, um sich Zugang zu Single-Sign-On-Systemen zu erschleichen. Das Ziel: sensible Daten stehlen und Unternehmen erpressen.
Samstag, 24. Januar 2026 – Eine neue, koordinierte Cyberangriffswelle nutzt gezielt menschliche Schwächen aus, um moderne Sicherheitsvorkehrungen zu umgehen. Die finanziell motivierte Hackergruppe ShinyHunters hat sich zu einer Serie laufender Voice-Phishing-Angriffe bekannt. Diese zielen auf die SSO-Konten großer Identitätsanbieter wie Okta, Microsoft und Google ab. Die Kampagne hat bereits zu erheblichen Datenleaks bei mehreren Unternehmen geführt, darunter der Unternehmensdatenbank Crunchbase, der Streaming-Plattform SoundCloud und dem Finanzdienstleister Betterment. Die gestohlenen Daten wurden laut Berichten veröffentlicht, nachdem Erpressungsforderungen nicht erfüllt wurden.
Diese Angriffe markieren eine gefährliche Eskalation im Bereich Social Engineering. Sie kombinieren Echtzeit-Interaktion mit hochentwickelten Phishing-Toolkits, um die Multi-Faktor-Authentifizierung (MFA) zu überwinden – eine zentrale Säule der Cybersicherheit. Gelingt es Angreifern, ein einziges SSO-Konto zu kompromittieren, erhalten sie weitreichenden Zugriff auf eine Vielzahl verbundener Unternehmensanwendungen. Aus einem einzelnen Schwachpunkt wird so ein katastrophales Sicherheitsereignis.
Die Anatomie eines modernen Vishing-Angriffs
Die aktuelle Offensive zeigt eine minutiös geplante Strategie, die Social Engineering mit technischer Täuschung verbindet. Die Angreifer starten mit umfangreicher Aufklärung. Sie sammeln Informationen über Mitarbeiter, deren Rollen und die spezifische IT-Infrastruktur ihres Unternehmens – einschließlich der eingesetzten Identitätsprüfungs-Apps.
Mit diesen Informationen im Gepäck starten die Angreifer den Vishing-Anruf. Sie geben sich als Mitarbeiter der IT-Abteilung oder des Helpdesks aus. Dann lenken sie den ahnungslosen Mitarbeiter auf eine raffinierte Phishing-Webseite. Diese ist eine pixelgenaue Kopie des legitimen SSO-Login-Portals des Unternehmens.
Viele moderne Angriffe, wie die hier beschriebene Vishing‑Kampagne, nutzen gezielt Mitarbeitende und umgehen gängige MFA‑Methoden. Ein kostenloses Anti‑Phishing‑Paket erklärt in einer klaren 4‑Schritte‑Strategie, wie Sie SSO‑Angriffe erkennen, Mitarbeitende sensibilisieren und technische Gegenmaßnahmen (inkl. Phishing‑resistenter MFA‑Checks) sofort umsetzen können. Mit praktischen Vorlagen, Incident‑Playbooks und CEO‑Fraud‑Checks erhalten Sicherheitsverantwortliche Werkzeuge, um echte Angriffe früh zu stoppen. Jetzt Anti‑Phishing‑Paket anfordern
Besonders wirksam macht diese Kampagne der Einsatz fortschrittlicher „as-a-service“-Phishing-Kits. Diese Toolkits erlauben es dem Angreifer am Telefon, die Phishing-Seite in Echtzeit zu steuern und zu manipulieren. So synchronisiert er die betrügerische Website perfekt mit seinen mündlichen Anweisungen. Beispielsweise kann der Angreifer, während er versucht, sich mit gestohlenen Zugangsdaten einzuloggen, dem Opfer sagen, es solle eine MFA-Push-Benachrichtigung erwarten und diese genehmigen. Dies verleiht der Aufforderung einen trügerischen Anschein von Legitimität. Diese Echtzeit-Orchestrierung ist effektiv, um viele gängige, nicht phishing-resistente Formen der MFA zu umgehen.
Identität als neue Sicherheitsgrenze: SSO unter Beschuss
Diese Kampagne unterstreicht einen kritischen Wandel in der Cybersicherheitslandschaft: Die Identität ist zur neuen Sicherheitsgrenze geworden. Experten betonen, dass traditionelle Netzwerk- und Endpunktsicherheitsmaßnahmen weitgehend wirkungslos werden, sobald ein Angreifer eine Identität kompromittiert hat. SSO-Systeme, die für Komfort und zentralisiertes Zugriffsmanagement entwickelt wurden, können bei einem erfolgreichen Angriff zum Einfallstor für umfangreichen Datendiebstahl werden. Ein einziger erfolgreicher SSO-Bruch kann Angreifern Zugriff auf eine Vielzahl sensibler Unternehmensplattformen verschaffen – darunter Salesforce, Microsoft 365, Google Workspace und andere geschäftskritische Anwendungen.
Als Reaktion auf diese Bedrohungen hat der Identitätsanbieter Okta bereits Anfang dieser Woche eine private Warnung an die Sicherheitsverantwortlichen seiner Kunden verschickt. Die Threat-Intelligence-Abteilung des Unternehmens analysiert aktiv diese Vishing-Kits, die von einer wachsenden Zahl von Bedrohungsakteuren eingesetzt werden. Sie zielen nicht nur auf Okta, sondern auch auf Google, Microsoft und verschiedene Kryptowährungsanbieter ab. Okta-Forscher hoben hervor, dass die Angreifer den gesamten Authentifizierungsablauf steuern können, den der Nutzer sieht, und ihn mit ihrem Skript synchronisieren, um Sicherheitsprotokolle zu überwinden.
ShinyHunters reklamiert Erfolge für sich
Die berüchtigte Erpressergruppe ShinyHunters, bekannt für eine Reihe spektakulärer Datenleaks seit 2020, hat die Verantwortung für diese Vishing-Kampagne öffentlich übernommen. Laut Alon Gal, CTO von Hudson Rock, kontaktierte ihn die Gruppe direkt, um die Urheberschaft zu beanspruchen.
Nach den Sicherheitsverletzungen versuchte ShinyHunters angeblich, die betroffenen Unternehmen zu erpressen. Als diese Versuche scheiterten, veröffentlichte die Gruppe die gestohlenen Daten mutmaßlich auf einer dedizierten Leak-Site im Dark Web. Die von Crunchbase durchgesickerten Informationen sollen personenbezogene Daten und Unternehmensdaten wie unterzeichnete Verträge umfassen. Crunchbase hat inzwischen bestätigt, einen Cybersicherheitsvorfall entdeckt zu haben, bei dem ein Bedrohungsakteur Dokumente aus dem Unternehmensnetzwerk exfiltriert hat. Das Unternehmen gab an, den Vorfall eingedämmt und die Strafverfolgungsbehörden kontaktiert zu haben.
Analyse: Eine industrialisierte Bedrohung
Sicherheitsanalysten sehen in dieser Kampagne eine bedeutende Weiterentwicklung von Social Engineering. Die Angriffe haben sich weit über generische Phishing-E-Mails hinaus entwickelt. Sie sind nun hochgradig zielgerichtet, interaktiv und technologisch ausgefeilt. Die Verfügbarkeit von Vishing-Kits auf Abonnementbasis industrialisiert diese fortschrittliche Bedrohung und macht sie für eine breitere Palette bösartiger Akteure zugänglich.
Der Erfolg dieser Angriffe zeigt: Die primäre Schwachstelle ist kein Fehler in der Technologie der SSO-Anbieter, sondern die Ausnutzung von menschlichem Vertrauen. Die Angreifer brechen nicht ein – sie werden von Mitarbeitern hereingelassen, die geschickt manipuliert werden, um zu glauben, legitimen IT-Prozeduren zu folgen. Das macht traditionelle Sicherheitsschulungen, die sich oft auf das Erkennen bösartiger Links in E-Mails konzentrieren, unzureichend, um diesen fortschrittlichen Bedrohungen zu begegnen.
Ausblick und Schutzmaßnahmen
Da Bedrohungsakteure diese identitätsbasierten Angriffe weiter verfeinern, drängen Experten Organisationen zu einer widerstandsfähigeren Sicherheitsposition. Die primäre Empfehlung ist der Wechsel zu phishing-resistenten MFA-Lösungen. Dazu gehören FIDO2-konforme Hardware-Schlüssel, die nicht über Phishing-Seiten abgefangen werden können.
Darüber hinaus wird Sicherheitsteams geraten, ihre Identitäts- und Zugriffsverwaltungsplattformen als „Tier-0“-Infrastruktur zu behandeln. Das bedeutet, sie sollten mit den höchsten Sicherheitsstandards geschützt werden, einschließlich strenger Zugriffskontrollen und intensiver Überwachung.
Unternehmen müssen auch ihre internen Sicherheitsstrategien weiterentwickeln, um das Nutzerverhalten nach einem erfolgreichen Login zu überwachen. Durch die Analyse, was eine Identität mit ihrem Zugang zu sensiblen Daten tut, können Sicherheitsteams anomale Aktivitäten erkennen und einen laufenden Angriff aufdecken – selbst wenn der initiale Login legitim erscheint. Dieser Wechsel von einem Fokus allein auf die Authentifizierung hin zu einer kontinuierlichen Überwachung des Post-Authentifizierungs-Verhaltens wird entscheidend sein, um sich gegen die nächste Generation von Cyber-Bedrohungen zu verteidigen.
PS: Wollen Sie verhindern, dass ein kompromittiertes SSO‑Konto Ihr Unternehmen lahmlegt? Dieses Gratis‑Anti‑Phishing‑Paket liefert sofort einsetzbare Checklisten für MFA‑Härtung, Notfall‑Antwortpläne und konkrete Maßnahmen gegen Voice‑Phishing‑Anrufe. Zusätzlich bekommen Sie Schulungsmaterialien für Helpdesk‑Szenarien und Vorlagen zur Vorfallkommunikation – ideal, um laterale Bewegungen nach einem Missbrauch zu erkennen und einzudämmen. Gratis Anti‑Phishing‑Guide herunterladen
