Eine neue, hochgefährliche Phishing-Kampagne des Cybercrime-Kollektivs ShinyHunters zielt gezielt auf Unternehmen ab. Die Angreifer nutzen gefälschte Telefonanrufe und täuschend echte Login-Portale, um Mitarbeiter zur Preisgabe ihrer Zugangsdaten zu manipulieren – selbst die Zwei-Faktor-Authentifizierung bietet keinen Schutz mehr.
Die Angriffe haben bereits zu schwerwiegenden Datenleaks bei mehreren Unternehmen geführt, darunter die Marktforschungsfirma Crunchbase und der Streaming-Dienst SoundCloud. Die gestohlenen Informationen werden für Erpressungsversuche genutzt. Cybersicherheitsforscher sind alarmiert, denn die Methode kombiniert Echtzeit-Telefonate mit ausgeklügelten Phishing-Kits zu einer bisher kaum bekannten Bedrohung.
So funktioniert der moderne Vishing-Angriff
Der Erfolg der Kampagne basiert auf einer perfiden Verknüpfung von Technologie und Psychologie. Die Täter rufen gezielt Mitarbeiter an und geben sich als Mitarbeiter der IT-Hotline oder des Helpdesks aus. Parallel leiten sie das Opfer auf eine maßgeschneiderte Phishing-Webseite, die täuschend echt das Login-Portal des Unternehmens – etwa von Okta, Microsoft oder Google – nachahmt.
Moderne Vishing- und Phishing-Angriffe nutzen Telefonmanipulationen und täuschend echte Login‑Formulare, sodass selbst erfahrene Mitarbeiter Zugangsdaten preisgeben. Unser kostenloses Anti‑Phishing‑Paket erklärt in einer 4‑Schritte‑Anleitung, wie Sie CEO‑Fraud, zentrale Psychotricks und branchenspezifische Risiken erkennen und technische wie organisatorische Schutzmaßnahmen umsetzen. Inklusive Checklisten für Mitarbeitertraining und Vorfall‑Reaktion sowie praxiserprobten Vorlagen für Awareness‑Workshops — ideal für IT‑Verantwortliche und Führungskräfte, die schnelle, wirksame Maßnahmen ohne teure Berater benötigen. Anti‑Phishing‑Paket jetzt gratis herunterladen
Das Entscheidende: Der Social Engineer am Telefon kann die Webinhalte im Browser des Opfers in Echtzeit steuern. So kann er seine Anweisungen perfekt mit den gefälschten Login-Aufforderungen auf dem Bildschirm synchronisieren. Dieser massive Druck führt oft dazu, dass Mitarbeiter nicht nur ihre Zugangsdaten eingeben, sondern auch die Zwei-Faktor-Authentifizierung (MFA) bestätigen. Die hoch entwickelten Phishing-Kits werden Berichten zufolge sogar im Abo-Modell angeboten, was auf eine weite Verbreitung unter Cyberkriminellen hindeutet.
Bekannte Opfer und Erpressungsversuche
ShinyHunters hat die Verantwortung für mehrere erfolgreiche Angriffe übernommen und Daten veröffentlicht, nachdem Lösegeldforderungen nicht erfüllt wurden. Zu den betroffenen Unternehmen zählen:
* Crunchbase: Das Marktforschungsunternehmen bestätigte einen Vorfall, bei dem Dokumente aus dem Firmennetzwerk entwendet wurden. Nach Verhandlungen veröffentlichte die Gruppe über 400 MB komprimierte Daten, darunter personenbezogene Informationen und Verträge.
* Betterment & SoundCloud: Auch von diesen Unternehmen wurden laut ShinyHunters Daten auf einem Tor-Blog geleakt, nachdem Erpressungsversuche scheiterten.
Alarmstufe Rot für die IT-Sicherheitsbranche
Die Kampagne hat die Anbieter von Identitätsmanagementlösungen in höchste Alarmbereitschaft versetzt. Okta, dessen SSO-Dienste häufig gefälscht werden, hat seine Kunden frühzeitig gewarnt und detaillierte Informationen zu den fortschrittlichen Vishing-Toolkits veröffentlicht. Das Unternehmen betont, dass seine eigene Plattform sicher sei, warnt aber vor den immer raffinierteren Social-Engineering-Methoden.
Führende Sicherheitsunternehmen wie Mandiant (eine Google-Tochter) und Sophos verfolgen die Bedrohung aktiv. Sophos-Forscher identifizierten etwa 150 Domains, die im Dezember speziell für diese zielgerichteten Angriffe registriert wurden. Google und Microsoft betonen, dass ihre Dienste nicht kompromittiert wurden – die Angreifer imitieren lediglich die Login-Oberflächen.
Warum die Angriffe so erfolgreich sind
Für ShinyHunters, eine Gruppe mit einer Geschichte großer Datendiebstähle (u.a. bei Salesforce- und Snowflake-Kunden), markiert diese Kampagne eine taktische Weiterentwicklung. Der Fokus liegt nun auf der Ausnutzung des menschlichen Faktors, der zur schwächsten Stelle im Sicherheitsperimeter geworden ist.
Die Verbreitung von Remote-Arbeit spielt den Angreifern in die Hände: Es ist heute normal, IT-Support von unbekannten Personen zu erhalten. Dieses Vertrauen nutzen die Täter aus, um auch gängige MFA-Methoden wie Push-Benachrichtigungen oder SMS-Codes zu umgehen, die gegen solche manipulativen Angriffe machtlos sind.
Wie sich Unternehmen schützen können
Die Bedrohung ist aktiv und wird voraussichtlich weiter zunehmen. Sicherheitsexperten drängen Unternehmen deshalb zu einem Wechsel hin zu phishing-resistenter Zwei-Faktor-Authentifizierung. Die wichtigste Empfehlung ist die Einführung von FIDO2-konformen Sicherheitsschlüsseln oder Passkeys, die nicht über Phishing-Seiten abgefangen werden können.
Zusätzlich raten Experten zu verstärkter Überwachung auf ungewöhnliche Aktivitäten, wie etwa die Registrierung unbekannter Geräte im MFA-System. Striktere Netzwerkzugangskontrollen, die Verbindungen über Anonymisierungsdienste blockieren, können solche Angriffe ebenfalls erschweren. In einem Umfeld, in dem Angreifer ihre Methoden zur Manipulation stetig verfeinern, sind robuste technische Kontrollen kombiniert mit kontinuierlicher Mitarbeitersensibilisierung der beste Schutz.
PS: Wenn Angreifer Webinhalte in Echtzeit steuern, reichen SMS‑Codes oder Push‑MFA oft nicht aus. Das Anti‑Phishing‑Paket zeigt praxisnahe Maßnahmen — von phishing‑resistenter MFA bis zu konkreten Erkennungs-Checks und Mitarbeitersensibilisierung — damit Sie kompromittierte Logins und Erpressungsversuche deutlich erschweren. Im Gratis-Download enthalten: Umsetzungsplan, Vorlagen für Awareness‑Trainings und Checklisten für Incident‑Response. Ideal für kleine und mittlere Unternehmen, die schnell handeln müssen. Jetzt Anti‑Phishing‑Leitfaden sichern
