文章总结： ShinyHunters声称针对Okta、微软及谷歌SSO发起语音钓鱼攻击，冒充IT人员诱骗员工提交凭据与MFA，利用动态钓鱼面板绕过验证并窃取连接平台数据。攻击者结合此前泄露数据增强诈骗可信度，已有多家公司收到勒索。建议企业强化员工反诈意识并验证来电身份，警惕此类社会工程学入侵。 综合评分： 75 文章分类： 威胁情报,社会工程学,数据泄露

ShinyHunters 声称对 SSO 账户数据窃取攻击事件负责

原创

ZM ZM

暗镜

2026年1月24日 11:55 北京

ShinyHunters 勒索团伙声称，他们正对 Okta、微软和谷歌的单点登录 (SSO) 帐户发起一波持续的语音网络钓鱼攻击，使威胁行为者能够入侵企业 SaaS 平台并窃取公司数据进行勒索。

在这些攻击中，威胁行为者冒充 IT 支持人员，打电话给员工，诱骗他们在模仿公司登录门户的钓鱼网站上输入凭据和多因素身份验证 (MFA) 代码。

一旦系统被攻破，攻击者就能访问受害者的 SSO 帐户，进而访问其他连接的企业应用程序和服务。

Okta、Microsoft Entra 和 Google 提供的 SSO 服务使公司能够将第三方应用程序连接到单一身份验证流程中，从而使员工能够通过一次登录访问云服务、内部工具和业务平台。

这些 SSO 控制面板通常会列出所有已连接的服务，这使得被盗用的帐户成为进入企业系统和数据的入口。通过 SSO 连接的常见平台包括 Salesforce、Microsoft 365、Google Workspace、Dropbox、Adobe、SAP、Slack、Zendesk、Atlassian 等。

威胁行为者通过打电话给员工并冒充 IT 人员，利用社会工程手段诱骗他们登录钓鱼页面并实时完成 MFA 验证，从而实施这些攻击。

攻击者在获得受害者的 SSO 帐户访问权限后，会浏览已连接的应用程序列表，并开始从该用户可用的平台上收集数据。

BleepingComputer 了解到，有多家公司成为这些攻击的目标，并且已经收到了由 ShinyHunters 签署的勒索要求，这表明该组织是这些入侵事件的幕后黑手。

本周早些时候，BleepingComputer 就数据泄露事件联系了 Okta，但该公司拒绝就数据窃取攻击发表评论。

然而，Okta 昨天发布了一份报告，描述了这些基于语音的攻击中使用的网络钓鱼工具包，这与 BleepingComputer 所了解到的情况相符。

据Okta称，这些钓鱼工具包包含一个基于Web的控制面板，攻击者可以利用该面板在与受害者通话的同时，动态地改变受害者在钓鱼网站上看到的内容。这使得攻击者能够引导受害者完成登录和多因素身份验证（MFA）过程的每一步。

如果攻击者将窃取的凭据输入到真正的服务中，并被提示进行 MFA，他们可以在钓鱼网站上实时显示新的对话框，指示受害者批准推送通知、输入 TOTP 代码或执行其他身份验证步骤。

虽然 ShinyHunters 昨晚拒绝就这些攻击发表评论，但该组织今天早上向 BleepingComputer 证实，他们对其中一些社会工程攻击负有责任。

ShinyHunters 声称其目标不仅包括 Okta，还包括 Microsoft Entra 和 Google SSO 平台。

微软表示目前没有什么可以分享的，谷歌则表示没有证据表明其产品在此次活动中被滥用。

谷歌发言人告诉 BleepingComputer：“目前，我们没有任何迹象表明谷歌本身或其产品受到此次活动的影响。”

ShinyHunters 声称正在利用此前数据泄露事件（例如Salesforce 大规模数据窃取攻击）中窃取的数据来识别和联系员工。这些数据包括电话号码、职位、姓名以及其他用于增强社交工程诈骗电话可信度的详细信息。

昨晚，该组织重新启动了其 Tor 数据泄露网站，该网站目前列出了 SoundCloud、Betterment 和 Crunchbase 的数据泄露事件。

SoundCloud此前在 2025 年 12 月披露了一起数据泄露事件，而Betterment 本月证实，其电子邮件平台被滥用以发送加密货币诈骗信息，并且数据被盗。

此前未披露数据泄露事件的 Crunchbase 今天证实，其企业网络中的数据被盗。

Crunchbase发言人告诉BleepingComputer：“Crunchbase检测到一起网络安全事件，有攻击者从我们的企业网络中窃取了某些文件。此次事件并未对任何业务运营造成影响。我们已控制住事件，系统安全无虞。”

“发现事件后，我们立即联系了网络安全专家并咨询了联邦执法部门。我们正在审查受影响的信息，以确定是否需要根据适用的法律要求发布任何通知。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《ShinyHunters 声称对 SSO 账户数据窃取攻击事件负责》