文章总结： 本文深度拆解了黑客组织ShinyHunters发起的Vishing语音钓鱼攻击链路。攻击者伪装IT人员致电员工诱导访问钓鱼网站窃取SSO凭据和MFA验证码随即注册自有设备实现持久化访问随后在SaaS平台横向移动窃取数据并实施勒索。文章指出传统MFA在社工攻击前脆弱性并提出防御方案采用FIDO2安全密钥或Passkeys进行抗钓鱼认证强化MFA设备变更日志审计限制管理平面访问及监控异常数据导出行为。 综合评分： 85 文章分类： 威胁情报,社会工程学,云安全,安全意识,漏洞分析

从 Vishing 到 SaaS 脱裤：深度拆解 2026 开年最凶猛的凭据窃取术

原创

Hankzheng Hankzheng

技术修道场

2026年2月5日 07:57 广东

大家好，就在最近，Google 旗下的安全大厂 Mandiant 抛出了一个重磅炸弹：著名的黑客组织 ShinyHunters（及其马甲们）正掀起一轮疯狂的“Vishing（语音钓鱼）”攻势。 这帮人不仅技术硬，心理战玩得更溜，甚至已经开始通过骚扰受害者员工来进行勒索了。今天，我就带大家拆解一下这套攻击链路，看看咱们的 SaaS 平台到底是怎么被“偷家”的。

1. 这种“打法”为什么防不住？

首先，咱们得明确一个概念：Vishing (Voice Phishing)。也就是语音钓鱼。

以前黑客发个钓鱼邮件，咱们现在的安全网关识别率已经很高了。但这次 ShinyHunters 的思路变了：直接打电话。

黑客会伪装成公司的“IT 支持人员”，语气专业且客气。他会告诉你：“亲，公司的 MFA 设置升级了，麻烦你配合操作一下。”

这种“人对人”的压力，对于很多非技术岗位人员来说，防备心理会瞬间下降。一旦你点开了他发给你的那个“公司内网”链接（其实是黑客精心伪装的钓鱼站），你的 SSO 凭据和 MFA 验证码就彻底交代了。

2. 深度拆解：黑客的“三板斧”

Mandiant 将这波活动追踪为三个集群：UNC6661、UNC6671 和 UNC6240。虽然代号不同，但套路如出一辙，我们可以将其归纳为以下技术链路：

第一步：精准投放的“镜像钓鱼”

黑客注册了大量极具欺骗性的域名（比如 okta-mycompany.com）。有趣的是，不同的组织有不同的“口味”：

• UNC6661 偏爱在 NICENIC 注册域名。
• UNC6671 则喜欢用 Tucows。

他们会复刻目标公司的品牌页面，让你在输入账号密码时毫无察觉。这种“克隆站”在 UI 上几乎可以乱真。

第二步：MFA 绕过与设备注册

这是最硬核的一步。黑客拿到了你的 MFA 码之后，动作极快：

1. 即时拦截：在钓鱼站后台实时填入真实的登录页面。 2. “狸猫换太子”：登录后，黑客第一时间并不是看数据，而是注册自己的设备作为新的 MFA 验证源。

关键点：

一旦黑客的设备被合规注册，你改密码都没用，他已经拥有了持续访问的“通行证”。

第三步：SaaS 平台的横向移动

拿到权限后，黑客开始在云端疯狂蹦迪：

• SharePoint/OneDrive

  使用 PowerShell 脚本自动化下载敏感文档。

• Okta 渗透

  直接进入身份提供商后台，修改权限，扩大战果。

• 邮件武器化

  UNC6661 甚至会接管受害者的邮箱，发邮件给合作伙伴（尤其是加密货币公司）继续钓鱼，发完后秒删邮件，主打一个“销声匿迹”。

3. 为什么传统的 MFA 已经“脆”了？

咱们在做系统架构时，总觉得有了 MFA 就万事大吉。但 Mandiant 这份报告打脸了：基于推送（Push）、短信（SMS）和电话语音的 MFA，在社会工程学面前就是纸糊的。

黑客利用的是同步重放攻击：你输入一个码，他那边同步填一个。

解决方案：迈向“抗钓鱼”认证

Google 给出的建议非常直接：别用短信和 Push 了。

• FIDO2 安全密钥 / Passkeys

  这是目前唯一的解法。它是基于硬件和域名绑定的，即使黑客把你骗到了钓鱼网站，由于域名不匹配，硬件密钥根本不会签名。

• 实时视频核身

  如果有人打电话自称 IT 部，要求改权限，HR 或运维必须要求视频通话验证身份。

4. 给同行们的“避雷”建议

作为技术人，咱们除了在代码层面加固，在防御思路上也得升级：

• 强化日志审计

  重点关注 MFA 生命周期变化。比如：某个用户突然在非办公时间增加了一个新的 MFA 设备，这必须触发告警。

• 限制管理平面访问

  管理后台别直接裸奔，必须限制受信任的 IP（Egress Points）。

• 检测异常导出

  监控 SaaS 平台的大规模导出行为，尤其是像 ToogleBox 这种邮件召回工具的异常调用。

我有话说

其实这事儿挺感慨的。咱们天天研究算法、研究 K8s 的高可用，但最后黑客可能只是通过一个电话就绕过了所有的防御。

安全不只是代码逻辑，更是人性的博弈。

你是如何看待这种“语音钓鱼”攻击的？你们公司目前强制使用物理 Key 吗？

欢迎在评论区和我聊聊你的看法！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：技术修道场 Hankzheng Hankzheng《从 Vishing 到 SaaS 脱裤：深度拆解 2026 开年最凶猛的凭据窃取术》