In einem alarmierenden Cyber-Angriff wurde der Software-Anbieter Retool Opfer eines Spear-Phishing-Angriffs, wodurch Kryptowährungsvermögen im Wert von 15 Millionen Dollar gefährdet wurde. Der Angreifer manipulierte Benutzer-E-Mails und Passwörter auf Retool und betraf 27 Konten, wobei die Kunden von Retool vor Ort von diesem Vorfall nicht betroffen waren.
Entschlüsselung des betrügerischen Spear-Phishing-Angriffs
Am 27. August wurde Retool, eine renommierte Softwareplattform, zum Ziel eines gut organisierten Spear-Phishing-Angriffs. Dieser Angriff führte zu unbefugtem Zugriff bei einigen der Cloud-Kunden von Retool. Der Angreifer führte geschickt einen SMS-basierten Phishing-Angriff durch und gab sich dabei als Mitglied des IT-Teams von Retool aus.
Der Angreifer verwendete einen betrügerischen Vorwand und behauptete, ein Problem im Zusammenhang mit Gehaltsabrechnungssystemen und der Anmeldung zur offenen Registrierung zu lösen, wobei er eine kritische Sorge der Mitarbeiter ausnutzte – die Krankenversicherung. Der Angriff war zeitlich gut geplant und fiel mit der Migration der Anmeldungen zu Okta zusammen. Die Nachricht enthielt eine URL, die das interne Identitätsportal von Retool imitierte.
Der Phishing-Angriff im Detail
Obwohl die meisten Mitarbeiter nicht mit dem betrügerischen Text interagierten, klickte ein unglücklicher Mitarbeiter auf den Link, der zu einem falschen Portal mit Multi-Faktor-Authentifizierung (MFA)-Aufforderungen führte. Der Angreifer initiierte dann ein Telefonat mit dem Mitarbeiter und benutzte dabei eine Deepfake-Stimme, um ein Mitglied des Retool-IT-Teams zu imitieren. Der Mitarbeiter, trotz wachsender Skepsis, teilte einen zusätzlichen MFA-Code mit, der es dem Angreifer ermöglichte, sein Gerät dem Okta-Konto des Mitarbeiters hinzuzufügen.
Dadurch erhielt der Angreifer Zugriff auf eine aktive GSuite-Sitzung. Interessanterweise hatte Google kürzlich eine Funktion eingeführt, die die Synchronisierung von MFA-Codes in die Cloud ermöglicht, was die Sicherheit gefährden könnte. Der Angreifer nutzte diese Schwachstelle aus, begünstigt durch die dunklen Muster von Google, die die Synchronisierung von MFA-Codes bewarben.
Die Folgen des Angriffs
Die Auswirkungen des Vorfalls erstreckten sich auf die internen Systeme von Retool, einschließlich VPN und Admin-Systeme, was einen Account-Übernahme-Angriff auf bestimmte Kunden, hauptsächlich aus der Kryptobranche, ermöglichte. Insgesamt änderte der Angreifer Benutzer-E-Mails und setzte Passwörter zurück, wodurch 27 Konten betroffen waren.
Nachdem der Vorfall entdeckt wurde, handelte Retool umgehend. Es wurden alle internen authentifizierten Sitzungen widerrufen, betroffene Konten gesichert, betroffene Kunden benachrichtigt und ihre Konten in den ursprünglichen Zustand zurückversetzt. Bemerkenswerterweise blieben die Kunden von Retool vor Ort unbeeinflusst, da das Vor-Ort-System unabhängig von der Cloud-Umgebung von Retool arbeitet.
Retool bestätigte, dass es aktiv mit Strafverfolgungsbehörden und einer externen forensischen Firma zusammenarbeitet, um den Vorfall zu untersuchen. Dieser Vorfall erinnert daran, wie wichtig ständige Wachsamkeit und robuste Sicherheitsmaßnahmen in der digitalen Welt sind, insbesondere für diejenigen, die im Kryptowährungssektor tätig sind. Um Ihre Kryptoinvestitionen im Blick zu behalten und über die neuesten Cybersicherheitsbedrohungen auf dem Laufenden zu bleiben, sollten Sie in Betracht ziehen, Anwendungen wie cryptoview.io zu verwenden.
Beginnen Sie jetzt kostenlos mit der Nutzung unserer Werkzeuge.
