{"id":1041,"date":"2025-12-17T15:26:03","date_gmt":"2025-12-17T14:26:03","guid":{"rendered":"https:\/\/vali.now\/2025\/12\/17\/lehren-aus-retool-twilio-social-engineering-aufgedeckt\/"},"modified":"2026-02-03T13:05:54","modified_gmt":"2026-02-03T12:05:54","slug":"lehren-aus-retool-twilio-social-engineering-aufgedeckt","status":"publish","type":"post","link":"https:\/\/vali.now\/de\/2025\/12\/17\/lehren-aus-retool-twilio-social-engineering-aufgedeckt\/","title":{"rendered":"Lehren aus Retool & Twilio: Social Engineering aufgedeckt"},"content":{"rendered":"\n

Wir von vali.now analysieren h\u00e4ufig reale Vorf\u00e4lle, um auf Risiken bei Social<\/a>–Engineering<\/a>-Angriffen hinzuweisen. Der Vorfall bei Retool im Jahr 2023 dient als deutliches Beispiel daf\u00fcr, wie SMS-basiertes Phishing zu erheblichen Kompromittierungen f\u00fchren kann. <\/strong><\/p>\n\n

Der Retool-Vorfall (2023)<\/h2>\n\n

Angreifer zielten mit SMS-Nachrichten auf Retool<\/a>-Mitarbeiter ab, die als IT-Team-Kommunikation \u00fcber Gehaltsabrechnungsprobleme getarnt waren. Ein Mitarbeiter klickte auf einen b\u00f6sartigen Link und landete auf einer gef\u00e4lschten Seite, die seine Anmeldedaten erfasste. Die Angreifer verwendeten anschlie\u00dfend einen Deepfake-Sprachanruf, um einen MFA-Code zu erhalten und ihr Ger\u00e4t zum Okta-Konto des Mitarbeiters hinzuzuf\u00fcgen. Dies gew\u00e4hrte dauerhaften Zugriff. <\/p>\n\n

Ein wichtiger Eskalationsfaktor war die Verwendung der Cloud<\/a>–Sync<\/a>–Funktion<\/a> von Google Authenticator durch den Mitarbeiter, die im April 2023 eingef\u00fchrt wurde. Sie erm\u00f6glichte es Angreifern, auf synchronisierte OTPs zuzugreifen und den MFA-Faktor \u201eetwas, das Sie haben\u201c zu umgehen. Sie kompromittierten letztendlich 27 Cloud-Kundenkonten, haupts\u00e4chlich im Kryptow\u00e4hrungssektor, was zu Passwortzur\u00fccksetzungen und finanziellen Verlusten f\u00fchrte, darunter etwa 15 Millionen Dollar, die einem Kunden gestohlen wurden. <\/p>\n\n

Dieser Vorfall stimmt mit Taktiken \u00fcberein, die von der Gruppe Scattered Spider (UNC3944) verwendet werden, die f\u00fcr hochentwickeltes Phishing und Stimmenimitation bekannt ist.<\/p>\n\n

Der Twilio-Vorfall (2022)<\/strong><\/h2>\n\n

Ein \u00e4hnlicher<\/a> <\/a>Ein Fall<\/a> ereignete sich 2022 bei Twilio<\/strong>. Angreifer sendeten SMS-Nachrichten an Mitarbeiter, gaben sich als IT aus und warnten vor dem Ablauf von Passw\u00f6rtern oder vor Termin\u00e4nderungen, mit Links, die Begriffe wie \u201eOkta\u201c oder \u201eSSO\u201c enthielten. Kompromittierte Anmeldedaten erm\u00f6glichten den Zugriff auf interne Systeme, was sich auf eine begrenzte Anzahl von Kunden auswirkte (etwa 163 gemeldet). Dies war Teil der umfassenderen 0ktapus<\/a>-Kampagne, die auf \u00fcber 130 Organisationen abzielte. <\/p>\n\n

\u00c4hnlichkeiten<\/strong>:<\/p>\n\n