Eine einzige erfolgreich abgefangene Anmeldung an einem Single‑Sign‑On‑Konto (SSO) kann heute Zugang zu Dutzenden Geschäftsapplikationen eröffnen. Genau auf diesen Effekt zielt die bekannte Cybercrime‑Gruppe ShinyHunters, die eine breit angelegte Phishing‑Kampagne gegen SSO‑Lösungen von Okta, Microsoft Entra ID und Google betreibt und damit mehrere große Online‑Plattformen kompromittiert haben soll.
Gezielte SSO‑Phishing-Kampagne gegen Okta, Microsoft Entra ID und Google
Nach vorliegenden Erkenntnissen fokussiert ShinyHunters ihre Angriffe auf unternehmenseigene SSO‑Konten, die über Okta, Microsoft Entra ID (ehemals Azure AD) oder Google SSO verwaltet werden. Gelingt der Zugriff auf ein Mitarbeiterkonto, erhalten die Angreifer häufig direkten Zugang zu Salesforce, Microsoft 365, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian und zahlreichen weiteren SaaS‑Diensten – also zum Kern der digitalen Wertschöpfung vieler Unternehmen.
Okta hat einen technischen Bericht zu den beobachteten Phishing‑Werkzeugen und der Infrastruktur veröffentlicht. Eine formale Zuordnung der beschriebenen Aktivitäten zu ShinyHunters erfolgte zwar nicht, die Muster decken sich jedoch mit den von Sicherheitsforschern dokumentierten Taktiken der Gruppe.
Ablauf der Angriffe: Social Engineering und Echtzeit‑Umgehung von MFA
Zentrales Einfallstor ist Social Engineering. Angreifer rufen Mitarbeiter an, geben sich als IT‑Support oder Security‑Team aus und verweisen auf angebliche Störungen, Sicherheitsprüfungen oder nötige Re‑Authentifizierungen. Im Gespräch werden die Opfer auf täuschend echt gestaltete Phishing‑Seiten gelotst, die das SSO‑Portal des Unternehmens nachahmen.
Technisch kommen dafür spezialisierte Web‑Panels zum Einsatz, die den echten Login‑Flow in Echtzeit spiegeln. Abhängig von der tatsächlich verwendeten Multi‑Faktor‑Authentifizierung (MFA) – etwa Push‑Benachrichtigung, TOTP‑Code oder SMS – passt sich die Phishing‑Seite dynamisch an und fordert genau die Daten an, die das echte System verlangt. So werden Passwort und Einmalcodes simultan abgefangen, die Session übernommen und MFA wirksam umgangen.
Solche MFA‑Phishing‑Angriffe gelten inzwischen als eine der relevantesten Bedrohungen im Identitätskontext. Der Verizon Data Breach Investigations Report 2023 zeigt, dass rund drei Viertel aller Sicherheitsvorfälle einen menschlichen Faktor beinhalten – Phishing und Vishing (telefonisches Phishing) spielen dabei eine zentrale Rolle.
SoundCloud, Betterment, Crunchbase: Umfang und Folgen der Datenabflüsse
SoundCloud: Millionen Nutzerkonten betroffen
ShinyHunters behaupten, über mehr als 30 Millionen Datensätze von SoundCloud zu verfügen. Das Unternehmen hatte bereits im Dezember einen Vorfall bestätigt, der etwa 20 % der Nutzerbasis (rund 28 Millionen Accounts) betraf. Die neuen Angaben deuten darauf hin, dass das Ausmaß der Exfiltration größer sein könnte als zunächst kommuniziert – mit potenziellen Folgen wie Identitätsdiebstahl und Credential‑Stuffing‑Angriffen auf andere Dienste.
Betterment: Social Engineering und Krypto‑Betrug
Die Fintech‑Plattform Betterment bestätigte, dass Angreifer mittels Social Engineering Zugriff auf interne Systeme erlangten. Der Zugang wurde genutzt, um sowohl Daten abzugreifen als auch betrügerische Nachrichten mit Bezug zu Kryptowährungs‑Investments an Kunden zu versenden. Neben Datenschutz‑risiken entsteht so ein erhebliches Finanzrisiko für Endkunden sowie ein Reputationsschaden für den Anbieter.
Crunchbase: Interne Dokumente und Kommunikation offengelegt
Crunchbase hatte den Vorfall zunächst nicht öffentlich gemacht, räumte nach Veröffentlichung von Datenarchiven durch ShinyHunters jedoch eine Kompromittierung ein. Ein Angreifer erhielt Zugriff auf interne Dokumente im Unternehmensnetz. Laut Crunchbase seien Geschäftsprozesse nicht beeinträchtigt worden. Analysen des Sicherheitsunternehmens Hudson Rock zeigen in den bereitgestellten Daten jedoch personenbezogene Informationen von Nutzern, unterschriebene Verträge und interne E‑Mails – mit entsprechenden regulatorischen und rechtlichen Implikationen.
Warum kompromittierte SSO‑Konten ein extremes Geschäftsrisiko darstellen
SSO erhöht Komfort und erleichtert zentrales Identitätsmanagement, schafft aber zugleich eine Single Point of Failure. Die Übernahme eines privilegierten SSO‑Kontos kann führen zu:
- unkontrolliertem Zugriff auf zahlreiche kritische SaaS‑Plattformen und interne Systeme,
- großflächigen Leaks sensibler personenbezogener und geschäftlicher Informationen,
- Eskalation von Berechtigungen und lateraler Bewegung in der Infrastruktur,
- Missbrauch kompromittierter Konten für weitere Phishing‑, BEC‑ und Supply‑Chain‑Angriffe auf Partner und Kunden.
ShinyHunters nutzen dabei umfangreiche bereits gestohlene Datensätze – inklusive echter Telefonnummern, Funktionsbezeichnungen und interner Terminologie –, um Anrufe maximal glaubwürdig zu gestalten und die Erfolgsquote ihrer Phishing‑Versuche deutlich zu erhöhen.
Maßnahmen zur Härtung von SSO und zur Abwehr von Social‑Engineering-Angriffen
Führende Behörden wie CISA, NIST und BSI empfehlen einen mehrschichtigen Ansatz zur Absicherung von Identitäten und SSO‑Infrastrukturen. Organisationen sollten insbesondere:
- phishing‑resistente MFA einsetzen (z. B. FIDO2‑Security‑Keys, Smartcards, Zertifikate) und die Abhängigkeit von TOTP, SMS und einfachen Push‑Freigaben reduzieren,
- kontextbezogene Zugriffskontrollen in Okta, Microsoft Entra ID und Google aktivieren (Geräte‑Trust, Geostandort, Risiko‑Scores, anomales Verhalten),
- klare Prozesse für IT‑Support definieren, inklusive striktem Verbot, Passwörter oder MFA‑Codes per Telefon, Chat oder E‑Mail abzufragen,
- regelmäßige Awareness‑Trainings zu Phishing, Vishing und Voice‑Spoofing durchführen und diese durch simulierte Angriffe testen,
- Security‑Monitoring und Alarmierung für verdächtige Logins und privilegierte Aktionen in zentralen SaaS‑Diensten etablieren,
- das Least‑Privilege‑Prinzip konsequent umsetzen, um den Schaden bei Kompromittierung eines einzelnen Kontos zu begrenzen.
Die aktuelle ShinyHunters‑Kampagne macht deutlich, dass klassische MFA allein keinen ausreichenden Schutz mehr bietet, wenn Social Engineering und Echtzeit‑Phishing im Spiel sind. Unternehmen sollten ihre SSO‑Konfigurationen, MFA‑Strategie und Schulungsprogramme zeitnah überprüfen, auf phishing‑resistente Authentifizierung umstellen und Anomalien in Identitäts‑ und Zugriffsströmen kontinuierlich überwachen. Wer diese Schritte jetzt proaktiv geht, reduziert das Risiko erheblich, in der nächsten großen Datenpanne namentlich aufzutauchen.
