【安全资讯】ShinyHunters黑客组织声称对针对Okta、微软、谷歌SSO账户的语音钓鱼攻击负责

概要：

近期，网络安全领域出现了一系列针对企业单点登录（SSO）账户的复杂语音钓鱼攻击，影响波及全球多家知名科技公司。勒索软件团伙ShinyHunters已声称对此类攻击负责，其利用精心设计的社会工程学手段，窃取员工凭证并绕过多因素认证，进而入侵企业SaaS平台并窃取数据以进行勒索，凸显了针对身份认证系统的攻击已成为当前企业安全的主要威胁之一。

主要内容：

此次攻击的核心手法是语音钓鱼。ShinyHunters组织成员冒充IT支持人员，通过电话联系目标公司员工，利用社会工程学技巧诱导员工访问仿冒的公司登录门户钓鱼网站，并实时输入其凭证和多因素认证（MFA）代码。攻击者使用了一套包含基于Web控制面板的钓鱼工具包，该面板允许他们在与受害者通话时，动态更改钓鱼网站上显示的内容，从而逐步引导受害者完成整个登录和MFA验证流程。

攻击一旦成功，威胁行为体便能完全控制受害者的SSO账户。由于Okta、Microsoft Entra和Google的SSO服务集成了Salesforce、Microsoft 365、Google Workspace等大量第三方企业应用，一个被攻破的SSO账户便成为入侵企业整个云服务生态系统的跳板。攻击者随后会浏览并窃取该账户有权访问的所有连接平台上的公司数据。

ShinyHunters组织向BleepingComputer确认了其参与部分攻击，并透露其利用先前数据泄露事件（如广泛的Salesforce数据窃取攻击）中获取的员工信息（包括电话号码、职位等）来精准定位和联系受害者，使钓鱼电话更具说服力。该组织近期重新启动了其Tor数据泄露网站，列出了SoundCloud、Betterment和Crunchbase等公司的数据泄露条目。

尽管Okta发布了相关钓鱼工具包的分析报告，微软和谷歌则表示目前没有证据表明其产品在此次攻击活动中被滥用或受到影响。此次事件暴露了依赖SSO和MFA的企业在面对高度定制化、实时交互式社会工程学攻击时的脆弱性，安全防护需从单纯的技术验证向人员意识和流程管控延伸。