ShinyHunters, Firmen

ShinyHunters attackiert Firmen mit raffinierter Vishing-Welle

03.02.2026 - 19:43:12

Die Hackergruppe ShinyHunters nutzt gezieltes Vishing, um Mitarbeiter zur Herausgabe von Zugangsdaten zu manipulieren. Experten warnen, dass klassische Multi-Faktor-Authentifizierung allein nicht mehr ausreicht.

ShinyHunters attackiert Firmen mit raffinierter Vishing-Welle - Foto: über boerse-global.de
ShinyHunters attackiert Firmen mit raffinierter Vishing-Welle - Foto: über boerse-global.de

Die Hackergruppe ShinyHunters greift derzeit gezielt Unternehmen an. Ihre perfide Methode: Sie überreden Mitarbeiter am Telefon, ihre Zugangsdaten und Multi-Faktor-Authentifizierungs-Codes (MFA) preiszugeben. Mit diesen Daten dringen die Kriminellen in Cloud-Systeme ein, stehlen sensible Informationen und erpressen Lösegeld.

So funktioniert der Telefon-Betrug

Sicherheitsforscher von Mandiant beobachten seit Anfang des Jahres eine deutliche Zunahme dieser Angriffe. Die Täter geben sich am Telefon als interne IT-Mitarbeiter aus. Unter dem Vorwand, ein wichtiges Sicherheitsupdate durchführen zu müssen, lenken sie ihr Opfer auf eine gefälschte Login-Seite des Unternehmens.

  • Der Mitarbeiter gibt dort seine Anmeldedaten ein.
  • Parallel fordert der „IT-Support“ am Telefon den gerade generierten MFA-Code an.
  • Mit beidem verschaffen sich die Angreifer sofort vollen Zugang zum Konto.

Die gefälschten Webseiten wirken täuschend echt. Oft nutzen sie Domains wie „firmenname-sso.com“, um Vertrauen vorzutäuschen.

Vom Zugang zur systematischen Erpressung

Einmal im System, sichern sich die Hacker den dauerhaften Zugriff, indem sie ein eigenes Gerät für die MFA registrieren. Dann durchsuchen sie systematisch Plattformen wie Salesforce, SharePoint oder Slack nach wertvollen Daten.

Anzeige

Telefon-Betrug wie Vishing zielt genau auf MFA-Codes und Login‑Daten — ein einmaliger Fehler genügt, um Cloud‑Zugänge zu verlieren. Unser kostenloses Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie Mitarbeitende wirksam schulen, verdächtige Anrufe erkennen und CEO‑Fraud verhindern. Enthalten sind Checklisten, psychologische Angriffsbeispiele, Vorlagen für Incident‑Response und konkrete Abwehrmaßnahmen für IT‑Verantwortliche, damit Sie Konten sichern und teure Datenleaks vermeiden. Anti‑Phishing‑Paket kostenlos herunterladen

Ihre Searchbegriffe: „vertraulich“, „intern“ oder „VPN“. Haben sie genug Material gestohlen, beginnt die Erpressung. Die Gruppe, die Mandiant als UNC6240 identifiziert, geht dabei aggressiv vor.

Berichten zufolge schrecken die Täter nicht davor zurück, Mitarbeiter und sogar deren Familien zu belästigen, um den Druck zu erhöhen. Weigert sich ein Unternehmen zu zahlen, landen die Daten auf Untergrund-Marktplätzen oder werden öffentlich geleakt.

Warum klassische MFA nicht mehr ausreicht

Die aktuelle Welle zeigt ein klares Problem: Die Multi-Faktor-Authentifizierung allein schützt nicht mehr. Die Angreifer hacken keine Software, sie manipulieren Menschen. Die direkte Interaktion am Telefon senkt die natürliche Skepsis der Opfer erheblich.

Mandiant verfolgt die Aktivitäten unter Clustern wie UNC6661 und UNC6671 und sieht darin eine Weiterentwicklung der ShinyHunters-Taktik. Das Ziel bleibt gleich: Immer neue Cloud-Plattformen anzuzapfen, um wertvolle Erpressungshebel zu finden.

Wie sich Unternehmen schützen können

Gegen diese Angriffsform hilft nur eine Kombination aus Technik und Schulung. Experten raten zu diesen Maßnahmen:

  • Sensibilisierung der Mitarbeiter: Regelmäßige Trainings zu Social Engineering und Vishing sind unerlässlich.
  • Phishing-resistente Authentifizierung: Wo möglich, sollten Firmen auf FIDO2-Keys oder Passkeys umsteigen, die gegen solche Angriffe immun sind.
  • Aktive Überwachung: Ungewöhnliche Aktivitäten wie die Registrierung neuer MFA-Geräte müssen sofort auffallen.
  • Schnelle Reaktion: Bei einem Verdacht müssen Konten sofort gesperrt, Sitzungen beendet und Passwörter zurückgesetzt werden. Die Selbstregistrierung neuer MFA-Geräte sollte vorübergehend gestoppt werden.

Die Bedrohung durch solche menschzentrierten Angriffe wird 2026 weiter zunehmen. Unternehmen müssen ihre Sicherheitsstrategien proaktiv anpassen und auf eine Zero-Trust-Architektur setzen, um nicht ins Visier zu geraten.

Anzeige

PS: Viele Sicherheitsverantwortliche verlassen sich allein auf MFA — die aktuelle Vishing‑Welle zeigt, dass technische Maßnahmen ohne gezielte Schulung nicht ausreichen. Das Anti‑Phishing‑Paket liefert praxisnahe Trainings, Vorlagen für interne Richtlinien und eine 4‑Punkte‑Checkliste, mit der Sie die Selbstregistrierung fremder MFA‑Geräte verhindern und verdächtige Anmeldeversuche schnell erkennen. Schützen Sie Ihre Cloud‑Konten bevor Lösegeldforderungen folgen. Jetzt Anti‑Phishing‑Guide sichern

@ boerse-global.de
Mach mehr aus deinem Geld: Erfahre live und kostenlos, welche Strategien am besten funktionieren. Jetzt anmelden.