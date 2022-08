Angreifer haben am Donnerstag vergangener Woche erfolgreich Phishing-Angriffe auf Twilio-Mitarbeiter gestartet und konnten in der Folge unbefugt auf weitere Informationen zugreifen. Twilio bietet Cloud-Dienste zum automatisierten Senden und Empfangen von SMS-Nachrichten sowie Telefongesprächen oder Chats an. Diese können Kunden wie Airbnb, Salesforce und Uber in ihre Apps und Dienste integrieren, etwa zur Umsetzung von Mehr-Faktor-Authentifizierung.

Eine breit gestreute Phishing-Kampagne gegen Twilio-Angestellte war bei einigen Mitarbeitern erfolgreich, sodass diese ihre Zugangsdaten preisgegeben haben. Die Angreifer haben diese Zugänge genutzt, um auf interne Systeme des Unternehmens zuzugreifen und konnten dabei an bestimmte, nicht näher erläuterte Kundendaten gelangen. Der eigenen Meldung zum Vorfall zufolge kontaktiert Twilio betroffene Kunden direkt. Die Untersuchung sei noch im Gange.

Angreifer mit ausgeklügelten Fähigkeiten

Derzeitige und ehemalige Angestellte haben Textnachrichten erhalten, die vorgaben, von der IT-Abteilung zu stammen. Die typischen Nachrichten lauteten dahingehend, dass etwa das Passwort abgelaufen sei oder dass der Schichtplan sich geändert hätte. Die Empfänger müssten eine URL besuchen und sich dort anmelden. Die URLs waren aus den Bestandteilen "Twilio", "Okta" und "SSO" zusammengesetzt, etwa "twilio-sso.com". Sie standen unter Kontrolle der Angreifer und kopierten die Twilio-Log-in-Seite.

Da die Nachrichten aus USA-basierten Netzwerken stammten, hat Twilio mit den Carriern zusammengearbeitet und die Angreifer abwürgen können. Ebenso konnten die bösartigen URLs zusammen mit den Hosting-Providern vom Netz genommen werden. Twilio berichtet weiter, dass auch andere Unternehmen von diesen Angriffen betroffen waren und dass sie mit denen bei der Bekämpfung zusammengearbeitet hätten. Welche das sind, erläutert der Anbieter jedoch nicht.

Da die Angreifer trotz der Gegenmaßnahmen über andere Carrier und mit weiteren URLs weitermachen konnten, schätzt Twilio sie als gut organisiert, ausgeklügelt und methodisch vorgehend ein. Sie hätten fortgeschrittene Fähigkeiten, da sie in der Lage waren, Angestellten-Namen und deren Telefonnummern abzugleichen.

Folgen noch unklar

Das Unternehmen hat die Zugriffe auf die kompromittierten Zugänge der Angestellten deaktiviert, um die Angriffe abzuwehren. Außerdem habe Twilio eine führende Forensikfirma engagiert, die bei der laufenden Untersuchung der Vorfälle unterstützen soll.

Auf welche Daten die Angreifer zugreifen konnten und welchen Schaden sie damit konkret anrichten können, ist derzeit jedoch noch unklar. Der Fall weckt Erinnerungen an den Einbruch beim Anbieter Sitel Anfang des Jahres, der Kunden des Identitätsmanagement-Providers Okta betreut. Gerüchteweise hätte die Cybergang Lapsus$ Zugriff auf deren Kundensysteme erhalten und so enorme Mengen an Daten ausspähen können. Der abschließenden Analyse zufolge war das jedoch nicht der Fall.

(dmk)