ShinyHunters: furto di dati con attacco di vishing
Topic
Approfondimenti
Trending
tutti

ShinyHunters: furto di dati con attacco di vishing

Google ha rilevato diversi attacchi di vishing effettuati dal gruppo ShinyHunters con lo scopo di accedere agli account SSO e rubare dati riservati.
ShinyHunters: furto di dati con attacco di vishing
Sicurezza
Google ha rilevato diversi attacchi di vishing effettuati dal gruppo ShinyHunters con lo scopo di accedere agli account SSO e rubare dati riservati.
Google AI Studio

ShinyHunters è uno dei gruppi più “prolifici” degli ultimi mesi. Hanno messo a segno numerosi attacchi informatici contro varie aziende. Da fine gennaio, i cybercriminali hanno iniziato ad usare la tecnica del vishing (voice phishing) per rubare le credenziali di accesso agli ambienti cloud. Gli esperti del Google Threat Intelligence Group (GTIG) hanno pubblicato una descrizione dettagliata.

Accesso con vishing e furto di dati

Gli esperti dell’azienda di Mountain View hanno rilevato un aumento degli attacchi di vishing da parte di ShinyHunters (UNC6240). In alcuni casi hanno collaborato con altri gruppi (UNC6661 e UNC6671). Il vishing è una tecnica che sfrutta l’ingegneria sociale. I cybercriminali scelgono la vittima (dipendente di un’azienda) e cercano di convincerla a visitare un sito simile a quello ufficiale.

Ciò avviene attraverso un contatto telefonico, spesso impersonando l’assistenza IT interna. Nella pagina di login fasulla devono essere inserite le credenziali dell’account SSO (Single Sign-On) che consente di accedere a tutte le applicazioni SaaS (Software-as-a Service) usate dall’azienda, tra cui Microsoft 365, Salesforce, Slack, Dropbox e Google Drive.

Ovviamente l’accesso è protetto dall’autenticazione multi-fattore (MFA). I cybercriminali ottengono però dal dipendente i codici OTP o l’approvazione tramite app. Dopo aver preso il controllo dell’account SSO possono esfilfrare i dati e chiedere il pagamento di una somma di denaro per evitare la divulgazione online (estorsione).

Durante un attacco recente effettuato dal gruppo UNC6661, i dipendenti di alcune aziende (ignote) hanno consegnato credenziali e codici MFA, in quanto credevano di parlare con i tecnici IT che dovevano aggiornare le impostazioni MFA. Invece gli account sono stati collegati ai dispositivi dei cybercriminali che hanno successivamente rubato i dati da SharePoint e Salesforce. Simili attività sono state eseguite dal gruppo UNC6671. La fase successiva (estorsione) è stata gestita da ShinyHunters.

Google ha pubblicato un lungo elenco di misure preventive che dovrebbero essere seguite dalle aziende, tra cui l’uso di passkey o chiavi hardware FIDO2, invece di notifiche push, SMS e altri metodi di autenticazione vulnerabili.

Fonte: Google

Pubblicato il 2 feb 2026

Link copiato negli appunti

Ti potrebbe interessare

Notepad++ svela dettagli sulla vulnerabilità di WinGup

Notepad++ svela dettagli sulla vulnerabilità di WinGup
Live distant child abuse: la rete degli orrori

Live distant child abuse: la rete degli orrori
Attacco hacker contro La Sapienza: sito offline

Attacco hacker contro La Sapienza: sito offline
Con la promo di Avast stai al sicuro e risparmi il 70%

Con la promo di Avast stai al sicuro e risparmi il 70%
Notepad++ svela dettagli sulla vulnerabilità di WinGup

Notepad++ svela dettagli sulla vulnerabilità di WinGup
Live distant child abuse: la rete degli orrori

Live distant child abuse: la rete degli orrori
Attacco hacker contro La Sapienza: sito offline

Attacco hacker contro La Sapienza: sito offline
Con la promo di Avast stai al sicuro e risparmi il 70%

Con la promo di Avast stai al sicuro e risparmi il 70%
Luca Colantuoni
Pubblicato il
2 feb 2026
Link copiato negli appunti