Google waarschuwt organisaties voor datadiefstal uit Software as a Service (SaaS)-omgevingen, waarbij de aanvallers gebruikmaken van vishing, zoals telefonische phishing wordt genoemd. Een groep criminelen die zich ShinyHunters noemt wist de afgelopen maanden op deze manier toegang tot grote hoeveelheden data van organisaties te krijgen, met daarin allerlei persoonlijke gegevens.

Volgens Google doen de aanvallers zich voor als it-personeel en bellen medewerkers van aangevallen organisaties. Daarbij beweren ze dat het bedrijf de MFA (multifactorauthenticatie) instellingen aan het aanpassen is. Vervolgens wordt de opgebelde medewerker naar een speciaal voor de organisatie gemaakte phishingsite doorgestuurd. Deze phishingsite moet SSO-inloggegevens en MFA-codes onderscheppen. Vervolgens registreren de aanvallers hun eigen toestel voor MFA-gebruik.

Nadat de aanvallers toegang tot een account hebben proberen ze zich door de omgeving van de aangevallen organisatie te bewegen en data uit verschillende SaaS-omgevingen te stelen. De onderzoekers stellen dat de toegang tot deze platforms waarschijnlijk opportunistisch is en wordt bepaald door de permissies en applicaties die via het gecompromitteerde account toegankelijk zijn.

Zodra de aanvallers data weten te stelen, dreigen ze die openbaar te maken tenzij het aangevallen bedrijf betaalt. De onderzoekers stellen dat de aanvallen niet het gevolg zijn van kwetsbaarheden in producten of infrastructuur, maar de effectiviteit van social engineering aantonen. Daarnaast onderstrepen de aanvallen volgens Google het belang van het gebruik van phishingbestendige MFA.