ShinyHunters Klaim Dalangi Pencurian Data Akun SSO Lewat Serangan Vishing

Kelompok pemerasan siber ShinyHunters mengklaim bertanggung jawab atas gelombang serangan voice phishing atau vishing yang menargetkan akun single sign-on (SSO) milik perusahaan. Serangan ini menyasar layanan autentikasi populer seperti Okta, Microsoft Entra, dan Google, dengan tujuan membobol platform SaaS perusahaan dan mencuri data untuk pemerasan.

Dalam skema serangan tersebut, pelaku berpura-pura menjadi staf dukungan TI dan menghubungi karyawan melalui telepon. Korban kemudian dibujuk untuk memasukkan kredensial serta kode multi-factor authentication (MFA) pada situs phishing yang meniru halaman login resmi perusahaan. Proses ini dilakukan secara real time, sehingga penyerang dapat langsung memanfaatkan kredensial yang diperoleh.

Begitu akun SSO berhasil dikompromikan, pelaku mendapatkan akses ke berbagai aplikasi dan layanan enterprise yang terhubung melalui satu identitas login. Dashboard SSO umumnya menampilkan seluruh layanan yang terintegrasi, menjadikan satu akun yang bocor sebagai pintu masuk utama ke sistem dan data perusahaan.

Berbagai platform bisnis umum yang sering terhubung melalui SSO antara lain layanan produktivitas, penyimpanan cloud, sistem CRM, aplikasi kolaborasi, hingga platform dukungan pelanggan. Dengan akses ini, penyerang dapat menelusuri layanan yang tersedia dan mulai mengekstraksi data bernilai tinggi.

Serangan vishing ini pertama kali teridentifikasi melalui laporan sejumlah perusahaan yang kemudian menerima tuntutan pemerasan dengan tanda tangan ShinyHunters. Pola serangan menunjukkan adanya rekayasa sosial yang terstruktur, di mana pelaku memandu korban secara langsung untuk menyelesaikan proses login dan MFA sesuai instruksi di layar phishing.

Laporan teknis terbaru mengungkap bahwa kit phishing yang digunakan memiliki panel kontrol berbasis web. Fitur ini memungkinkan penyerang mengubah tampilan dialog pada halaman phishing secara dinamis saat berbicara dengan korban di telepon. Dengan cara tersebut, korban diarahkan untuk menyetujui notifikasi push, memasukkan kode OTP, atau menyelesaikan langkah autentikasi lain yang diminta sistem asli.

ShinyHunters mengonfirmasi keterlibatannya dalam sebagian serangan tersebut dan menyatakan bahwa target utama mereka adalah platform CRM, sementara layanan lain dimanfaatkan sebagai jalur pendukung. Kelompok ini juga mengakui menggunakan data hasil kebocoran sebelumnya untuk mengidentifikasi dan menghubungi karyawan, termasuk nomor telepon, jabatan, dan nama, agar skenario rekayasa sosial terdengar lebih meyakinkan.

Dalam perkembangan terkait, situs kebocoran data milik ShinyHunters kembali aktif dan mulai mencantumkan sejumlah organisasi sebagai korban. Beberapa perusahaan telah mengonfirmasi insiden keamanan dan pencurian data dari jaringan internal mereka, meski dampak operasional disebut masih terkendali.

Kasus ini menegaskan bahwa SSO, meski memudahkan akses dan manajemen identitas, juga menjadi target bernilai tinggi bagi penyerang. Satu akun yang berhasil diambil alih dapat membuka akses luas ke ekosistem aplikasi perusahaan. Oleh karena itu, organisasi disarankan memperkuat pelatihan kesadaran keamanan, membatasi hak akses berbasis peran, serta menerapkan perlindungan tambahan terhadap serangan rekayasa sosial berbasis suara.