Ein 24-jähriger Brite hat sich vor einem US-Gericht schuldig bekannt, hinter einem der ausgeklügeltsten Phishing-Angriffe auf die Tech-Branche zu stecken. Tyler Robert Buchanan, führendes Mitglied der Hackergruppe Scattered Spider, gab zu, 2022 mit SMS-basierten Attacken die Systeme von Twilio und weiteren Tech-Firmen geknackt zu haben. Der Fall zeigt: Soziale Manipulation bleibt die größte Sicherheitslücke.
CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt in deutschen Unternehmen einsetzen. Diese 7 psychologischen Schwachstellen Ihrer Mitarbeiter nutzen Hacker gnadenlos aus
Die Masche: Per SMS in die Firmenzentrale
Die Angreifer setzten nicht auf klassische E-Mails, sondern auf Smishing – Phishing per SMS. Buchanan und seine Komplizen registrierten täuschend echte domains wie twilio-sso.com oder twilio-okta.com. Dann verschickten sie personalisierte Textnachrichten an aktuelle und ehemalige Twilio-Mitarbeiter. Die Nachrichten gaben sich als dringende IT-Warnungen aus: Passwort abgelaufen, Änderungen im Dienstplan.
Besonders perfide: Die Hacker hatten die privaten Handynummern der Angestellten mit ihren Namen abgeglichen. Wer auf den Link klickte, landete auf einer perfekten Kopie des Twilio-Login-Portals. Die eingegebenen Zugangsdaten waren der Schlüssel zu internen Verwaltungstools.
Kettenreaktion: Von Twilio zu Signal und Krypto-Diebstählen
Die Folgen waren verheerend. Twilio bestätigt: Die Angreifer erbeuteten Daten von 209 Kunden und 93 Nutzern der Authy-Zwei-Faktor-App. Doch die Schäden gingen weiter. Der verschlüsselte Messenger Signal meldete, dass rund 1.900 Nutzer betroffen waren. Die Hacker konnten sehen, welche Telefonnummern bei Signal registriert waren, und in Einzelfällen SMS-Verifikationscodes abfangen.
Die Scattered-Spider-Gruppe nutzte die gestohlenen Daten für einen zweiten Angriff: Sie kaperten SIM-Karten, fingen Einmal-Passwörter ab und plünderten Kryptokonten. Insgesamt 8 Millionen Euro erbeuteten die Hacker auf diese Weise. Die US-Justizbehörde spricht von mehr als 130 angegriffenen Organisationen – darunter DoorDash, Mailchimp und LastPass.
Twilio reagiert: Schulungen statt Technik allein
Nach dem Vorfall zog Twilio die Notbremse. Das Unternehmen sperrte die kompromittierten Accounts, arbeitete mit Mobilfunkanbietern zusammen, um die Phishing-Nummern abzuschalten, und ließ die Fake-Seiten vom Netz nehmen. Die Lehre: Pflicht-Schulungen für alle Mitarbeiter, speziell zum Erkennen von Social-Engineering-Attacken.
Sicherheitsexperten sehen den Fall als Weckruf. SMS-basierte Zwei-Faktor-Authentifizierung ist anfällig – selbst für Unternehmen mit modernster Abwehr. Der menschliche Faktor bleibt die Achillesferse.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zum sicheren Unternehmen
Analyse: Warum Scattered Spider so gefährlich war
Anders als viele Ransomware-Banden setzte Scattered Spider nicht auf technische Lücken, sondern auf „Human Hacking“. Die Gruppe gab sich als Mitarbeiter oder externe Dienstleister aus und überredete IT-Helpdesks zur Freigabe von Zugängen. Zehntausende Phishing-Versuche zeugen von einer Professionalität, die selbst Top-Firmen überforderte.
Der Fall zeigt auch die Verwundbarkeit von Lieferketten: Wenn ein zentraler Dienst wie Twilio kompromittiert wird, sind alle Kunden gefährdet. Branchenkenner fordern deshalb den Umstieg auf phishing-resistente Methoden wie Hardware-Sicherheitsschlüssel.
Ausblick: Harte Strafe, aber keine Entwarnung
Buchanan drohen mehr als 20 Jahre Haft. Doch die Gefahr bleibt. Sicherheitsfirmen warnen: Mit KI-gesteuerten Sprach-Deepfakes werden Vishing- und Smishing-Attacken noch schwerer zu erkennen. Unternehmen beschleunigen daher den Abschied von SMS-Authentifizierung und setzen auf Zero-Trust-Architekturen, bei denen jeder Zugriff permanent geprüft wird.
Der Twilio-Fall ist ein Lehrstück: Selbst die beste Technik nützt nichts, wenn der Mensch die Tür öffnet.
