ShinyHunters attackiert EU-Kommission mit neuartigem Vishing

Brüssel im Visier von Cyberkriminellen: Eine Welle ausgeklügelter Voice-Phishing-Angriffe hat die IT der Europäischen Kommission kompromittiert. Fast 90 Gigabyte sensible Daten wurden gestohlen. Die Attacke offenbart eine gefährliche neue Angriffsmethode, die auch Zwei-Faktor-Authentifizierung umgeht.

Die Sicherheitslage hat sich Ende März 2026 dramatisch verschärft. Die Cyberkriminellen von ShinyHunters haben ihre Attacken auf Single-Sign-On-Plattformen (SSO) intensiviert. Sie setzen nicht mehr auf simple E-Mail-Phishing, sondern auf hochgradig personalisiertes Social Engineering in Echtzeit – per Telefon. Diese sogenannten Vishing-Angriffe haben bereits zu schwerwiegenden Sicherheitsvorfällen geführt, wie der jetzt bestätigte Einbruch bei der EU-Kommission zeigt.

Der aktuelle Vorfall bei der EU-Kommission verdeutlicht, dass selbst hochsensible Organisationen vor modernen Phishing-Methoden nicht sicher sind. Dieser Experten-Guide zeigt Ihnen in 4 Schritten, wie Sie branchenspezifische Gefahren erkennen und Ihr Unternehmen effektiv vor Hackern schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr: So schützen Sie Ihr Unternehmen vor Phishing

EU-Kommission verliert 90 GB Daten an Erpresser

Am 27. März 2026 bestätigte die Europäische Kommission einen schweren Cyberangriff auf ihre Cloud-Dienste und die Plattform Europa.eu. Bis zum 30. März zeigte sich: Das Ausmaß ist größer als zunächst angenommen. Sicherheitsforscher des International Cyber Digest berichten, dass ShinyHunters Zugriff auf AWS-Konten und interne Datenbanken der Kommission erlangte.

Die Angreifer erbeuteten ein vollständiges SSO-Benutzerverzeichnis, DKIM-Signaturschlüssel für E-Mails und administrative URLs. Mit diesen Werkzeugen könnten sie künftig hochrangige EU-Beamte in gefälschten Kommunikationen perfekt imitieren.

Die Methode ist typisch für die aktuelle Angriffswelle: Zuerst recherchieren die Täter gezielt nach Mitarbeitern und IT-Support-Prozessen. Dann geben sie sich am Telefon als Techniksupport aus und leiten die Opfer auf gefälschte Login-Portale. Nach der Eingabe der Zugangsdaten bewegen sich die Angreifer seitlich durch das Netzwerk. Bei der Kommission gelangten sie so auch auf Plattformen wie NextCloud und das Militärfinanzierungssystem Athena.

Die Kommission betont, sofortige Eindämmungsmaßnahmen ergriffen zu haben. Doch die Veröffentlichung der 90 GB Daten auf einer Leak-Seite der Erpresser spricht eine andere Sprache. Sensible Informationen liegen bereits im Darknet.

Live-Orchestrierung: So wird MFA ausgehebelt

Die technische Raffinesse der neuen Vishing-Welle liegt in der Echtzeit-Orchestrierung. Ältere Phishing-Methoden sammelten nur Zugangsdaten für eine spätere Nutzung. Die aktuellen Tools von ShinyHunters ermöglichen einen synchronisierten Angriff in Echtzeit.

Laut Threat-Intelligence-Berichten von Okta und Mandiant können die Angreifer kontrollieren, was das Opfer auf seinem Bildschirm sieht – während sie gleichzeitig mit ihm telefonieren. Wird das Opfer auf eine gefälschte SSO-Login-Seite gelockt, überwacht der Täter die Interaktion live.

Gibt das Opfer Benutzername und Passwort ein, leitet der Angreifer diese sofort an die legitime Login-Seite weiter. Löst das System eine Zwei-Faktor-Authentifizierung (MFA) aus – etwa per Push-Benachrichtigung oder Einmal-Code – lenkt der Täter das Opfer per Telefon durch den Bestätigungsprozess.

Diese Synchronisation macht klassische MFA-Methoden wie SMS-Codes oder Push-Benachrichtigungen wirkungslos. Das Opfer glaubt, mit einem echten IT-Mitarbeiter zu sprechen, und bestätigt bereitwillig die MFA-Anfrage – und gewährt so dem Angreifer Zugang. Sicherheitsanalysten nennen dies einen „Adversary-in-the-Middle“-Angriff, der den Nutzer zum unfreiwilligen Komplizen macht.

Während Angreifer immer raffiniertere psychologische Tricks anwenden, bleiben viele deutsche Unternehmen unzureichend auf diese Bedrohungen vorbereitet. Erfahren Sie in diesem kostenlosen Report, welche Strategien Experten empfehlen, um Ihre IT-Sicherheit ohne Budget-Explosion massiv zu stärken. Wie mittelständische Unternehmen sich gegen Cyberkriminelle wappnen

SSO-Plattformen: Der Schlüssel zum Königreich

Der strategische Fokus auf SSO-Plattformen ist kalkuliert. Unternehmen bündeln ihr Zugangsmanagement zunehmend in zentralen Hubs wie Okta oder Microsoft Entra ID. Diese Plattformen sind zum „Schlüssel zum Königreich“ geworden. Ein kompromittierter SSO-Zugang öffnet Türen zu Dutzenden SaaS-Anwendungen wie Salesforce, Slack, AWS oder Firmen-E-Mails.

Mitte März 2026 warnte Salesforce selbst vor einer Kampagne, die gezielt falsch konfigurierte Experience-Cloud-Plattformen angriff. Auch diese wurde ShinyHunters zugeschrieben. Der Umfang ist immens: Über 100 Organisationen wurden bereits mit Domains angegriffen, die Login-Seiten von Atlassian, Canva oder ZoomInfo nachahmen.

Die Schwachstelle liegt nicht in der SSO-Software, sondern im menschlichen Faktor der Identitätsprüfung. Angreifer nutzen zunehmend KI-Tools, um Stimmen von IT-Mitarbeitern zu klonen oder hochpersonalisierte Telefonskripte aus vorher gestohlenen Daten zu generieren. Der Vishing-Anruf wirkt dadurch authentischer, die Wachsamkeit der Opfer sinkt.

Die Antwort: Phishing-resistente Authentifizierung

Als Reaktion auf die eskalierende Bedrohung fordern Cybersicherheitsbehörden und Identity-Provider einen grundlegenden Wandel. Der Konsens: Herkömmliche, „phishbare“ MFA reicht für sensible Ziele nicht mehr aus. Stattdessen drängen sie auf phishing-resistente Authentifizierungsmethoden wie FIDO2-konforme Sicherheitsschlüssel (Security Keys) oder Passkeys.

Diese hardwarebasierten Lösungen sind immun gegen Vishing. Sie erfordern eine physische Interaktion, die ein Angreifer nicht abfangen oder weiterleiten kann. Ein Passkey erstellt eine kryptografische Bindung zwischen dem Gerät des Nutzers und der legitimen Domain des Dienstes. Wird der Nutzer auf eine gefälschte Seite geleitet, schlägt die Authentifizierung fehl – der Diebstahl ist vereitelt.

Zudem raten Experten zu robusterer Verhaltensüberwachung auf Datenebene. Da Angreifer Logins nun mit legitimen Zugangsdaten und MFA-Bestätigungen „normal“ aussehen lassen können, muss der Fokus darauf liegen, was eine Identität nach der Anmeldung tut. Plötzliche Massen-Downloads aus Google Drive oder unbefugte Änderungen in AWS-Administrationseinstellungen sind oft die letzten Warnsignale einer erfolgreichen Vishing-Infiltration.

Ausblick: Identität wird zur neuen Sicherheitsgrenze

Die Branche behandelt Identität inzwischen als neuen Sicherheitsperimeter. Der Einbruch bei der EU-Kommission zeigt: Netzwerkverteidigung ist zweitrangig gegenüber dem Schutz von Zugangsdaten. Die nächsten zwölf Monate werden einen massiven Übergang zu Zero-Trust-Architekturen bringen, die jeden Login-Versuch – selbst mit korrektem Passwort und MFA – als potenziell böswillig betrachten.

Der Druck auf CIOs und CISOs, ihre Identity-Stacks zu modernisieren, hat einen kritischen Punkt erreicht. Phishing-resistente Zwei-Faktor-Authentifizierung ist kein Luxus mehr, sondern eine Notwendigkeit für jede Cloud-first-Organisation.

Künftig rechnen Experten mit mehr KI-gestütztem Social Engineering, wo Deepfakes Vishing noch schwerer erkennbar machen. Der Gegentrend dürfte hin zu automatisierten Identitätsprüfungen gehen, die keine menschliche Interaktion mehr erfordern – und so den von Angreifern ausgenutzten „menschlichen Faktor“ eliminieren. Bis dahin bleibt die beste Verteidigung eine Kombination aus fortsrittlichen technischen Kontrollen und intensivem Mitarbeitertraining, das das für Vishing essentielle Vertrauensverhältnis durchbricht.

boerse | 69034333 |