Domenica 05 Luglio 2026 13:37:47 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Breaches & Data Leaks

Dentro il colpo SSO: come ShinyHunters e gli imitatori trasformano la fiducia in un’ondata di crimini nel cloud

Pubblicato: 01 Febbraio 2026 03:37Categoria: Breaches & Data LeaksAutore: AUDITWOLF

Sottotitolo: Una nuova razza di estorsori informatici sta sfruttando i sistemi di single sign-on per saccheggiare i caveau cloud aziendali, lasciando dietro di sé una scia di dati rubati e imprese scosse.

Tutto inizia con una telefonata. La voce dall’altra parte sostiene di chiamare dall’helpdesk IT della tua azienda, invitandoti ad aggiornare l’autenticazione a più fattori. Nulla di preoccupante-finché non ti rendi conto di essere stato attirato in un gioco di fiducia ad alto rischio, che sta alimentando un’impennata di violazioni dei dati nel cloud in tutto il mondo. Benvenuti nel mondo di ShinyHunters, dove la fiducia nella schermata di login diventa l’arma definitiva.

L’anatomia di un moderno colpo nel cloud

La saga di ShinyHunters è più di una semplice campagna di phishing-è un modello di come i criminali informatici stiano trasformando in armi proprio i sistemi progettati per tenere al sicuro le aziende. Secondo un nuovo report di Mandiant, questi attacchi mescolano ingegneria sociale mirata e trucchi tecnici sofisticati, sfruttando i portali di single sign-on (SSO) come varco d’accesso ai gioielli della corona del cloud.

L’operazione inizia con attaccanti che si spacciano per personale IT, chiamano i dipendenti e li guidano verso siti di phishing meticolosamente realizzati che imitano i portali di accesso della loro azienda. Mentre sono al telefono, gli attaccanti catturano credenziali e codici di autenticazione a più fattori (MFA) in tempo reale, arrivando persino a “coaching” delle vittime durante il processo. Con questo accesso, registrano immediatamente i propri dispositivi per l’MFA, assicurandosi un controllo persistente.

Ciò che rende l’attacco così devastante è la dashboard SSO stessa-un hub centralizzato che concede accesso a piattaforme come Salesforce, Microsoft 365, SharePoint, Slack e altro ancora. Con un singolo account compromesso, gli attaccanti possono esfiltrare dati da decine di servizi, spesso prima che qualcuno se ne accorga. L’indagine di Mandiant ha rivelato casi in cui i criminali informatici hanno usato script PowerShell per scaricare in massa file da SharePoint, hanno abilitato componenti aggiuntivi malevoli di Google Workspace per cancellare le prove nelle email e hanno eliminato con cura le notifiche di sicurezza per restare nascosti.

Il bersaglio principale del gruppo? Dati di alto valore-soprattutto da piattaforme come Salesforce. Ma la campagna è opportunistica, con attaccanti che saccheggiano qualunque risorsa riescano a raggiungere. Dopo la violazione, ShinyHunters e i loro imitatori si muovono rapidamente per estorcere le vittime, lanciando siti di leak e inviando richieste di riscatto tramite messaggistica cifrata.

Imitazione ed escalation

I ricercatori di Mandiant hanno tracciato più cluster di minaccia che usano queste tattiche, con alcuni gruppi che imitano ShinyHunters ma registrano domini di phishing tramite provider diversi ed esasperano le tattiche di molestia. I domini falsi spesso somigliano molto ai portali aziendali legittimi, rendendo difficile l’individuazione-pensate a companysso.com o companyinternal.com. Gli attaccanti mascherano spesso le proprie tracce usando VPN e proxy residenziali, complicando le indagini.

Per contrastare la minaccia, gli esperti invitano le organizzazioni a irrobustire i flussi di lavoro dell’identità, esaminare attività SSO insolite e monitorare autorizzazioni OAuth sospette o avvisi di sicurezza eliminati. Il messaggio è chiaro: in un’epoca in cui la fiducia è la vulnerabilità definitiva, la vigilanza è l’unico scudo.

Conclusione

ShinyHunters e i loro simili hanno messo in luce un paradosso pericoloso: la stessa comodità dell’SSO e della connettività cloud è ormai un’arma a doppio taglio. Man mano che gli attaccanti affinano ingegneria sociale e capacità tecniche, le aziende devono adattarsi o rischiare di vedere i propri dati più preziosi scivolare via attraverso un singolo login compromesso.

WIKICROOK

  • Single Sign: Il Single Sign-On (SSO) consente agli utenti di accedere a più servizi con un solo login, semplificando l’accesso ma aumentando il rischio se le credenziali vengono compromesse.
  • Multi: Multi si riferisce all’uso di una combinazione di tecnologie o sistemi diversi-come satelliti LEO e GEO-per migliorare affidabilità, copertura e sicurezza.
  • Vishing: Il vishing è una truffa telefonica in cui gli attaccanti si spacciano per entità fidate per rubare informazioni sensibili o denaro tramite chiamate ingannevoli.
  • Phishing Kit: Un phishing kit è un insieme di strumenti pronti all’uso che consente ai criminali di creare rapidamente siti web falsi e rubare informazioni sensibili degli utenti.
  • Data Exfiltration: L’esfiltrazione dei dati è il trasferimento non autorizzato di dati sensibili dal sistema di una vittima al controllo di un attaccante, spesso per scopi malevoli.