Одна успешно выполненная фишинговая атака на корпоративный аккаунт единого входа (SSO) сегодня способна открыть злоумышленникам доступ сразу к десяткам критичных бизнес‑систем. Именно такой подход, по данным исследователей, активно применяет киберпреступная группировка ShinyHunters, которая заявила о масштабной кампании против SSO‑решений Okta, Microsoft Entra и Google.
Фишинговая кампания ShinyHunters против SSO‑систем
По имеющейся информации, ShinyHunters ведут целенаправленные фишинговые атаки на корпоративные учетные записи, обслуживаемые популярными платформами единого входа: Okta, Microsoft Entra ID (бывший Azure AD) и SSO‑механизмы Google. Цель — получить доступ к учетной записи сотрудника и через нее — к широкому набору подключенных SaaS‑сервисов и внутренних систем компании.
К SSO‑профилю, как правило, привязаны облачные сервисы уровня Salesforce, Microsoft 365, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian и другие. Компрометация одного аккаунта превращается в точку входа во всю цифровую экосистему организации, что создает условия для масштабной кражи данных, саботажа и дальнейшего распространения атак.
Компания Okta опубликовала технический отчет о применяемых в этих операциях фишинговых инструментах и инфраструктуре, однако прямую связь описанных атак с группировкой ShinyHunters официально не подтвердила.
Как работает атака: социальная инженерия и обход многофакторной аутентификации
Ключевым инструментом злоумышленников является социальная инженерия. Атакующие звонят сотрудникам, выдавая себя за представителей ИТ‑поддержки или службы безопасности компании. В ходе разговора жертву убеждают перейти по специально подготовленной фишинговой ссылке и пройти «проверку» или «повторную авторизацию» в корпоративной системе.
Используются специализированные веб‑панели, которые позволяют динамически изменять содержимое фишингового сайта в режиме реального времени. В зависимости от того, какой метод многофакторной аутентификации (MFA) запрашивает настоящая система (push‑уведомление, TOTP‑код, SMS и т. п.), интерфейс поддельной страницы тут же подстраивается, показывая жертве необходимые поля и инструкции.
Фактически это дает злоумышленникам возможность перехватывать как логин и пароль, так и одноразовые коды и подтверждения входа. В результате хакеры получают полноценный доступ к SSO‑сессии пользователя, обходя защиту, которая традиционно считается надежной — MFA‑фишинг уже стал одной из наиболее опасных тенденций в современном ландшафте угроз.
Компрометация крупных онлайн‑платформ и масштаб утечки данных
В конце прошлой недели ShinyHunters перезапустили свой Tor‑ресурс для публикации похищенных данных, заявив о взломах SoundCloud, Betterment и Crunchbase. На сайте группировки утверждается, что у них на руках более 30 млн записей SoundCloud, свыше 20 млн записей Betterment и более 2 млн записей Crunchbase, включающих персональные данные пользователей.
SoundCloud: подтвержденная утечка миллионов записей
Представители SoundCloud еще в декабре сообщили об инциденте, затронувшем около 20% пользовательской базы — ориентировочно 28 млн аккаунтов. На фоне заявлений ShinyHunters это выглядит как продолжение уже известной компрометации с возможным расширением объема утекших данных.
Betterment: социальная инженерия и криптовалютный скам
Финтех‑компания Betterment подтвердила, что злоумышленники сумели проникнуть в ее инфраструктуру, используя социальную инженерию. Полученный доступ был использован не только для кражи данных, но и для рассылки клиентам мошеннических сообщений, связанных с криптовалютными инвестициями, что создает дополнительный финансовый риск для пользователей.
Crunchbase: доступ к внутренним документам и корпоративной информации
Crunchbase ранее публично об инциденте не сообщала, однако после публикации архивов на сайте ShinyHunters компания признала факт кибератаки. По словам представителей, злоумышленник получил доступ к ряду документов в корпоративной сети, при этом бизнес‑процессы, по утверждению компании, не были нарушены. К расследованию привлечены внешние специалисты по кибербезопасности, уведомлены государственные органы.
Исследователи из Hudson Rock, проанализировав выложенные данные Crunchbase, обнаружили в них персональные данные пользователей, подписанные контракты и внутреннюю корпоративную переписку, что подтверждает серьезность произошедшего инцидента.
Почему атаки на SSO особенно опасны для бизнеса
SSO‑системы внедряются ради удобства и централизованного управления доступами, однако одновременно формируют единую точку отказа безопасности. Компрометация одной учетной записи может привести к:
- неконтролируемому доступу к десяткам критичных SaaS‑сервисов;
- массовой утечке персональных и коммерчески чувствительных данных;
- эскалации прав и продвижению злоумышленников вглубь инфраструктуры;
- использованию взломанных аккаунтов для дальнейших фишинговых и BEC‑атак на партнеров и клиентов.
Сами ShinyHunters заявляют, что используют массивы данных, похищенные в ходе предыдущих кампаний (включая крупные инциденты с участием Salesforce), чтобы подбирать и обзванивать сотрудников. Наличие реальных телефонов, должностей, имен руководителей и внутренних терминов делает сценарий звонка максимально правдоподобным и значительно увеличивает конверсию фишинга.
Рекомендации по защите SSO и противодействию социальным атакам
Для снижения рисков атак, подобных описываемым, организациям целесообразно внедрить комплексный подход к защите SSO‑инфраструктуры и сотрудников:
- использовать фишинг‑устойчивые методы MFA (FIDO2‑ключи, аппаратные токены, сертификаты), минимизируя зависимость от TOTP/SMS/push;
- включить контекстную аутентификацию (анализ устройства, геолокации, аномального поведения) в Okta, Microsoft Entra и аналогичных платформах;
- жестко регламентировать процесс работы ИТ‑поддержки: запрет на запрос логинов, паролей и кодов подтверждения по телефону или e‑mail;
- регулярно проводить обучение сотрудников по выявлению фишинга и vishing‑атак (псевдозвонки службы безопасности, срочные «проверки доступа» и т. п.);
- настроить мониторинг и алерты на аномальные входы и операционные действия в ключевых SaaS‑сервисах;
- минимизировать права доступа по принципу наименьших привилегий, чтобы взлом одного аккаунта не открывал полный административный контроль.
Масштабная кампания ShinyHunters демонстрирует, насколько уязвимыми оказываются даже зрелые организации, полагающиеся на SSO и классическую MFA без дополнительных уровней защиты. Повышение грамотности сотрудников, переход к фишинг‑устойчивой аутентификации, жесткий контроль доступов и проактивный мониторинг аномалий становятся необходимым минимумом для любой компании, работающей с облачными сервисами. Инвестиции в эти меры сегодня значительно снижают вероятность того, что следующий крупный «слив» данных окажется связан именно с вашим брендом.
