SMS-Phishing-Angriff: Lookout-Erkenntnisse zu Cyber-Vorfall bei Twilio

Lookout rät zu Schutz vor mobilen Phishing-Angriffen als wichtigem Bestandteil der allgemeinen Sicherheitsstrategie jedes Unternehmens

[datensicherheit.de, 15.08.2022] Das „Cloud“-Kommunikationsunternehmen Twilio soll laut aktuellen Medienberichten kürzlich Opfer eines Cyber-Angriffs geworden sein – die Angreifer seien dabei offenbar in einige der Kundendatenbanken des Unternehmens eingedrungen, „nachdem sie mittels eines SMS-Phishing-Angriffs Zugangsdaten von Mitarbeitern gestohlen hatten“. Das Forschungsteam von Lookout, Inc., hat nach eigenen Angaben diese Angriffskampagne näher untersucht – „und konnte dank des Lookout-Datensatzes einige überaus wichtige Informationen ermitteln“.

Phishing-Infrastruktur des Angreifers bereits seit Mai/Juni 2022 aktiv

Mit mehr als 5.000 Mitarbeitern in 26 Niederlassungen in 17 Ländern biete Twilio programmierbare Sprach-, Text-, Chat-, Video- und E-Mail-APIs (Application Programming Interfaces / Programmierschnittstellen) an. Mehr als zehn Millionen Entwickler und 150.000 Unternehmen nutzten diese zum Aufbau von Internet-Plattformen zur Kundenbindung. Twilio wurde demnach am 4. August 2022 auf den unbefugten Zugriff auf Informationen aufmerksam, der sich auf eine begrenzte Anzahl von Kundenkonten beschränkt habe.

Die Nachforschungen von Lookout hätten ergeben, dass die Infrastruktur des Angreifers bereits seit Mai oder Juni 2022 aktiv zu sein scheine. Ausgehend von den beobachteten Aktivitäten hätten die Angreifer Mitarbeiter von Unternehmen aus den Bereichen Telekommunikation (T-Mobile und Rogers), Kundenservice (Quaifon, Iqor, TTEC und Medallia), Soziale Medien (TaskUs und Twitter) sowie andere wie Twilio, Intuit und Okta ins Visier genommen. „Anhand der von uns beobachteten Phishing-Domains scheint es dem Angreifer gelungen zu sein, sich Zugang zur Infrastruktur des Unternehmens zu verschaffen, indem er die Multifaktor-Authentifizierungslösung (MFA) auslöste“, erläutert Savio Lau, „Staff Security Intelligence Researcher“ bei Lookout.

Schutz vor mobilen Phishing-Angriffen wichtiger Bestandteil der allgemeinen Sicherheitsstrategie jedes Unternehmens

Der Schutz vor mobilen Phishing-Angriffen sollte ein wichtiger Bestandteil der allgemeinen Sicherheitsstrategie jedes Unternehmens sein, rät Lookout. Angreifer seien nämlich in der Lage, überzeugende Phishing-Kampagnen zu erstellen, „mit denen sie versuchen, Mitarbeiter bestimmter Unternehmen zu manipulieren“. Es werde zunehmend immer schwieriger, diese Angriffe von legitimer Kommunikation zu unterscheiden, warnt Lau. Die Angreifer würden auch immer fähiger, vor allem, weil Phishing-Kits auf dem schnell wachsenden sogenannten Malware-as-a-Service-Markt leicht verfügbar seien. Die auf diesem Markt verkauften Phishing-Kits seien mit fortschrittlichen Funktionen ausgestattet und machten es selbst unerfahrenen Angreifern leicht, komplexe Kampagnen durchzuführen.

Bei Social-Engineering-Phishing-Kampagnen gebe es in der Regel kleine Warnzeichen, diese seien jedoch leicht zu übersehen – insbesondere eben auf mobilen Geräten. „So sind in diesem Fall die Angreifer in der Lage, die MFA-Lösung des betroffenen Mitarbeiters zu aktivieren.“ Ein sofortiges Erkennungszeichen des Angriffs sei aber in jedem Fall, „dass der Standort auf der Benachrichtigung falsch ist“.

Mobiles Phishing für Angreifer häufigste Methode, um Zugangsdaten von Mitarbeitern zu stehlen

„Mitarbeiter sollten stets äußerst vorsichtig sein, wenn sie Nachrichten erhalten, in denen sie aufgefordert werden, ihre Zugangsdaten zu überprüfen. Wenn sie sich ein paar Sekunden mehr Zeit nehmen, um nach Hinweisen zu suchen, die auf böswillige Absichten hindeuten, können sie ihr Unternehmen vor einer schädlichen Datenverletzung bewahren“, betont Lau. Unternehmen sollten zudem sicherstellen, „dass sie sich und ihre Mitarbeiter vor mobilen Phishing-Angriffen schützen“. Dies gelte vor allem, da diese über Kanäle wie SMS, Soziale Medien und Messaging-Plattformen von Drittanbietern wie „WhatsApp“ erfolgen könnten, „die nicht immer unter der Kontrolle des IT- oder Sicherheitsteams stehen“.

Mobiles Phishing sei für Angreifer die häufigste Methode, um Zugangsdaten von Mitarbeitern zu stehlen. Damit könnten sie sich dann in die „Cloud“-Infrastruktur des Unternehmens einloggen und Zugang zu sensiblen Daten erhalten, „die sie stehlen oder verschlüsseln, um einen Ransomware-Angriff auszuführen“. Zusätzlich zum Schutz vor mobilem Phishing sollten Unternehmen jeder Art und Größe eine „Cloud“-Sicherheitsplattform implementieren, „die anomales Verhalten erkennen kann, das auf einen Cyber-Angriff hindeutet“. Diese Anomalien könnten von einem anormalen Anmeldeort bis hin zum Zugriff eines Benutzers auf Daten reichen, mit denen er normalerweise nicht interagieren sollte.

Weitere Informationen zum Thema:

TechCrunch+, Carly Page, 02.08.2022
Twilio hacked by phishing campaign targeting internet companies