Wir von vali.now analysieren häufig reale Vorfälle, um auf Risiken bei Social–Engineering-Angriffen hinzuweisen. Der Vorfall bei Retool im Jahr 2023 dient als deutliches Beispiel dafür, wie SMS-basiertes Phishing zu erheblichen Kompromittierungen führen kann.
Der Retool-Vorfall (2023)
Angreifer zielten mit SMS-Nachrichten auf Retool-Mitarbeiter ab, die als IT-Team-Kommunikation über Gehaltsabrechnungsprobleme getarnt waren. Ein Mitarbeiter klickte auf einen bösartigen Link und landete auf einer gefälschten Seite, die seine Anmeldedaten erfasste. Die Angreifer verwendeten anschließend einen Deepfake-Sprachanruf, um einen MFA-Code zu erhalten und ihr Gerät zum Okta-Konto des Mitarbeiters hinzuzufügen. Dies gewährte dauerhaften Zugriff.
Ein wichtiger Eskalationsfaktor war die Verwendung der Cloud–Sync–Funktion von Google Authenticator durch den Mitarbeiter, die im April 2023 eingeführt wurde. Sie ermöglichte es Angreifern, auf synchronisierte OTPs zuzugreifen und den MFA-Faktor „etwas, das Sie haben“ zu umgehen. Sie kompromittierten letztendlich 27 Cloud-Kundenkonten, hauptsächlich im Kryptowährungssektor, was zu Passwortzurücksetzungen und finanziellen Verlusten führte, darunter etwa 15 Millionen Dollar, die einem Kunden gestohlen wurden.
Dieser Vorfall stimmt mit Taktiken überein, die von der Gruppe Scattered Spider (UNC3944) verwendet werden, die für hochentwickeltes Phishing und Stimmenimitation bekannt ist.
Der Twilio-Vorfall (2022)
Ein ähnlicher Ein Fall ereignete sich 2022 bei Twilio. Angreifer sendeten SMS-Nachrichten an Mitarbeiter, gaben sich als IT aus und warnten vor dem Ablauf von Passwörtern oder vor Terminänderungen, mit Links, die Begriffe wie „Okta“ oder „SSO“ enthielten. Kompromittierte Anmeldedaten ermöglichten den Zugriff auf interne Systeme, was sich auf eine begrenzte Anzahl von Kunden auswirkte (etwa 163 gemeldet). Dies war Teil der umfassenderen 0ktapus-Kampagne, die auf über 130 Organisationen abzielte.
Ähnlichkeiten:
- Beide begannen mit gezieltem SMS-Phishing, um Anmeldedaten zu stehlen.
- Angreifer kombinierten SMS mit Social Engineering (Sprachanrufe bei Retool; persistentes Phishing bei Twilio).
- Beide nutzten Okta-Umgebungen und MFA-Schwachstellen aus.
- Zuschreibung zu sich überschneidenden Akteuren (Scattered Spider/0ktapus).
Unterschiede:
- Retool beinhaltete Voice-Deepfaking und nutzte die Google Authenticator Cloud-Synchronisierung für den OTP-Zugriff.
- Twilio konzentrierte sich stärker auf breite SMS-Kampagnen ohne gemeldete Voice-Deepfakes, was zu Auswirkungen auf die Lieferkette für nachgelagerte Kunden führte.
Wir stellen fest, dass die Vorfälle bei Retool und Twilio die anhaltenden Risiken durch SMS- und sprachbasiertes Social Engineering veranschaulichen, wie sie in den Taktiken von Scattered Spider (oder: UNC3944) zu sehen sind.
Diese Gruppe blieb bis Mitte 2025 aktiv, einschließlich hochentwickelter Nachahmung, Push-Bombing und SIM-Swapping. Angriffe zielten auf den Einzelhandel (z. B. Vorfälle in Großbritannien im April/Mai 2025), Versicherungen und andere Sektoren ab, oft unter Einsatz von Ransomware-Varianten wie DragonForce.
Social Engineering ist weiterhin ein führender anfänglicher Zugangsvektor und macht laut Unit-42-Daten 36 % der Vorfallreaktionsfälle von Mai 2024 bis Mai 2025 aus, wobei Phishing dominiert. MFA-Bypass-Techniken, wie z. B. Token-Replay spielte in bemerkenswerten Vorfällen eine Rolle.
Um diese Bedrohungen in Geschäftsumgebungen zu mindern, empfehlen wir Phishing-resistente MFA (FIDO2-Hardware-Schlüssel oder Passkeys), strenge Helpdesk-Verifizierung, Deaktivierung der OTP-Cloud-Synchronisierung und regelmäßige Mitarbeiterschulungen zu unaufgeforderten dringenden Anfragen. Proaktive Maßnahmen und die Überwachung von Bedrohungsinformationen sind für die Widerstandsfähigkeit unerlässlich.
Im Zweifelsfall: vali.now
Ihre beste Verteidigung ist eine gesunde Skepsis. Wenn etwas nur ein wenig daneben oder ein bisschen zu gut erscheint, um wahr zu sein, ist es das wahrscheinlich auch. Ihre beste Option ist es, die Details an help@vali.now weiterzuleiten. Unsere Cybersicherheitsexperten erkennen und bekämpfen solche Angriffe seit Jahrzehnten. Ihr erster Fall (bis zu einer Stunde Recherche) ist auf unserer Seite kostenlos, danach gelten günstige Tarife. Sie haben nichts zu verlieren und könnten durch Kontaktaufnahme katastrophale Verluste verhindern.