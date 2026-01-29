Группировка ShinyHunters взяла на себя ответственность за масштабную волну фишинговых атак. Хакеры атакуют системы единого входа (SSO) Okta, Microsoft Entra и Google, нацеливаясь на корпоративные SaaS-платформы и данные компаний.

Злоумышленники используют социальную инженерию: звонят сотрудникам компаний, представляются ИТ-поддержкой и убеждают жертв ввести учетные данные и коды многофакторной аутентификации на фишинговых сайтах. Как только учетные данные попадают в руки хакеров, они получают доступ к SSO-аккаунту жертвы, а через него и ко всем подключенным корпоративным сервисам.

С SSO обычно связаны десятки сервисов: Salesforce, Microsoft 365, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian и многие другие. В результате, скомпрометировав один аккаунт, атакующие получают полный набор инструментов для кражи данных из корпоративной экосистемы.

Специалисты Okta выпустили отчет, посвященный фишинговым инструментам, которые применяются в этих атаках. Однако компания не стала связывать эти атаки с деятельностью ShinyHunters.

По данным экспертов, хакеры используют веб-панели управления, позволяющие динамически менять содержимое фишингового сайта прямо во время телефонного разговора с жертвой. Злоумышленники пошагово «ведут» жертву в процессе авторизации: если система запрашивает подтверждение через push-уведомление, на экране жертвы тут же появляется соответствующая инструкция, если нужен TOTP-код — форма меняется снова.

В конце прошлой недели группировка ShinyHunters перезапустила свой Tor-сайт, предназначенный для «слива» данных, и опубликовала информацию о взломах SoundCloud, Betterment и Crunchbase.

Представители SoundCloud признали утечку данных примерно 20% пользовательской базы сервиса (около 28 млн человек) еще в декабре прошлого года.

Компания Betterment тоже подтвердила, что хакеры проникли в ее системы посредством социальной инженерии и использовали полученный доступ для рассылки криптовалютных скам-сообщений клиентам.

Crunchbase, которая ранее не сообщала об инциденте, подтвердила факт кибератаки после публикации данных на сайте ShinyHunters:

«Мы обнаружили киберинцидент, в ходе которого злоумышленник получил доступ к определенным документам в нашей корпоративной сети. Бизнес-операции не пострадали. Инцидент локализован, и все системы защищены. Мы привлекли к расследованию экспертов по кибербезопасности и уведомили федеральные органы».

На своем сайте хакеры утверждают, что похитили более 2 млн записей у Crunchbase, более 20 млн записей у Betterment и более 30 млн записей у SoundCloud. Все украденные данные якобы содержат персональную информацию пользователей.

Специалисты ИБ-компании Hudson Rock сообщают, что изучили файлы Crunchbase, опубликованные злоумышленниками, и действительно обнаружили в дампе персональные данные, подписанные контракты и внутреннюю корпоративную информацию.

Представители хак-группы заявили СМИ, что используют данные, украденные во время предыдущих атак (включая массовые взломы Salesforce), чтобы находить и обзванивать сотрудников компаний. Украденная ранее информация содержит телефоны, должности, имена и другие детали, которые помогают злоумышленникам сделать атаки более убедительными.