The S-Unit

The S-Unit 100% offensive security
Menu

Blog

The voice of ShinyHunters

The voice of Shinyhunters

De hackersgroep ShinyHunters kwam de afgelopen maanden veelvuldig in het nieuws door aanvallen op Salesforce-omgevingen van onder andere Odido en Hallmark, met grote datalekken tot gevolg.

Wat deze groep kenmerkt, is niet alleen de schaal van hun aanvallen, maar vooral hun methode. Hoe zetten zij social engineering (met name vishing) in om bij organisaties binnen te komen? Op welke manier misbruiken ze legitieme inlogprocessen en sessies, zoals MFA en SSO? En misschien nog belangrijker: hoe kun je jouw organisatie hiertegen beschermen?

In deze blog krijg je inzicht in de werkwijze – ‘The Voice’ – van de ShinyHunters en concrete handvatten om je verdediging hierop aan te passen.

De “voice attack”: social engineering op zijn best

De kern van de aanvalsmethodiek van ShinyHunters is verrassend eenvoudig en daardoor juist zo effectief. De aanvaller belt een medewerker en doet zich voor als bijvoorbeeld een IT-supportmedewerker, security engineer of een externe leverancier. Met een geloofwaardig verhaal (bijvoorbeeld een dringend security-incident) wordt het slachtoffer overtuigd om in te loggen via een ‘nieuwe’ of ‘tijdelijke’ omgeving. Maar die omgeving is nep. 

Real-time phishing met MFA-bypass

Waar traditionele phishing stopt bij het verzamelen van wachtwoorden, gaat ShinyHunters een stapje verder.

De aanval werkt als volgt:

1. Het slachtoffer wordt telefonisch benaderd (vishing) en overtuigd om in te loggen op een malafide loginpagina.

2. Terwijl het slachtoffer zijn gegevens invoert op de malafide site, worden deze real-time doorgestuurd of door de aanvaller zelf ingevoerd op de echte omgeving (zoals Okta of Microsoft Entra ID).

3. De aanvaller stuurt dit MFA-verzoek real-time door naar het slachtoffer.

4. Het slachtoffer keurt dit MFA-verzoek goed, in de veronderstelling dat het bij de “login” hoort. De aanvaller krijgt toegang.

Dit gebeurt via een controlepaneel dat gekoppeld is aan de phishingomgeving. De aanvaller zit letterlijk mee te kijken en handelt alles live af. Wat uiteindelijk leidt tot een volledige accountovername, ondanks MFA.

Afpersing en laterale beweging

Zodra toegang is verkregen, volgen meestal drie stappen:

1. Data-exfiltratie: gevoelige data wordt gedownload en veiliggesteld.

2. Afpersing: bedrijven worden gechanteerd met dreiging van publicatie.

3. Doorbraak naar andere organisaties: gestolen accounts en data worden hergebruikt om personen aan te vallen op basis van relatie informatie. · 

Hierdoor groeit één incident snel uit tot een kettingreactie.

Waarom deze aanval zo effectief is

De kracht van ShinyHunters zit in de combinatie van:

  • Menselijke manipulatie (telefonisch vertrouwen winnen)
  • Technische eenvoud (geen complexe exploits nodig)
  • Realtime interactie (MFA omzeilen zonder te kraken)

Dit maakt de aanval moeilijk te detecteren en lastig te stoppen met traditionele beveiligingsmaatregelen.

Actie & advies: zo verdedig je je tegen ShinyHunters

Aanvallen zoals deze laten zien dat traditionele security niet meer volstaat. Het draait niet alleen om techniek, maar juist om de slimme combinatie van mens, proces en detectie. Deze maatregelen helpen jou om weerbaarder te worden tegen dit soort aanvallen.

1. Awareness: train op telefonische aanvallen

Veel organisaties trainen medewerkers op phishingmails, maar vergeten de kracht van telefonische aanvallen (vishing). Juist daar ligt bij deze aanvalsmethode de ingang. Zorg dat medewerkers leren:

  • Hoe aanvallers zich voordoen als IT-medewerker
  • Welke signalen wijzen op een verdacht telefoontje
  • Dat ze nooit onder druk moeten inloggen of MFA-verzoeken moeten goedkeuren

Maak dit concreet met realistische scenario’s en oefeningen.

2. Detectie op afwijkend login-gedrag

Omdat aanvallers gebruikmaken van legitieme inlogprocessen, is klassieke detectie vaak niet voldoende. Richt je daarom op afwijkingen in gedrag, zoals:

  • Loginpogingen vanaf ongebruikelijke locaties
  • Plotselinge MFA-verzoeken zonder duidelijke aanleiding
  • “Impossible travel” (bijvoorbeeld inloggen vanuit twee landen binnen korte tijd)

Door dit soort signalen actief te monitoren, kun je sneller ingrijpen.

3. Conditional access en risicogebaseerde authenticatie

Vertrouw niet blind op correcte inloggegevens. Moderne aanvallen laten zien dat credentials en MFA niet altijd genoeg zijn. Gebruik daarom aanvullende controles via oplossingen zoals Microsoft Entra ID of Okta:

  • Blokkeer of challenge verdachte logins automatisch
  • Beperk toegang op basis van context (locatie, device, gedrag)

4. Zorg voor een sterk incident response plan (IRP)

Als het toch misgaat, moet je snel kunnen handelen. Zorg dat je voorbereid bent op scenario’s zoals, account takeover, datalekken of afpersing. Een goed IRP bevat duidelijke rollen, communicatielijnen en stappenplannen, zodat je geen tijd verliest tijdens een incident.

5. Dataminimalisatie: beperk de impact

Niet alle data hoeft bewaard te blijven. Hoe minder gevoelige informatie beschikbaar is, hoe kleiner de impact van een aanval. Denk aan:

  • het opschonen van oude of overbodige data
  • het beperken van toegang via segmentatie en least privilege

Zo verklein je de “buit” van een aanvaller.

6. Blijf up-to-date over aanvalstechnieken

Aanvallers en dreigingen ontwikkelen zich continu. Informeer daarom medewerkers regelmatig over: nieuwe aanvalsmethoden, actuele dreigingen en concrete voorbeelden uit de praktijk. Door deze kennis actief te delen, vergroot je het bewustzijn en verklein je de kans op succesvolle aanvallen.

Met onze Threats & Insights-dienst blijf je op de hoogte van actuele aanvalstechnieken en krijg je direct toepasbare adviezen om je weerbaarheid te vergroten. Lees hier meer over de dienst Threats & Insights. 

Wilt u meer weten over de diensten van The S-Unit? Of heeft u een andere S-entiële vraag voor ons?
Neem contact op