Kurt wurde erwischt

 (fly.io)
1 Punkte von GN⁺ 2025-10-10 | 1 Kommentare | Auf WhatsApp teilen
  • Der Twitter-Account von Fly.io wurde durch einen Phishing-Angriff kompromittiert
  • CEO Kurt Mackey erklärt, wie er durch eine raffiniert gestaltete Phishing-E-Mail seine Account-Daten preisgab
  • Der Twitter-Account galt intern als wenig wichtiges Asset und war daher von den Sicherheitsprioritäten ausgenommen
  • Zur Abwehr von Phishing wird die Bedeutung von phishing-resistenter Authentifizierung (MFA, Passkeys, FIDO2 usw.) hervorgehoben
  • Der Vorfall machte deutlich, dass die MFA-Sicherheit des Twitter-Accounts verstärkt und das Sicherheitsbewusstsein neu ausgerichtet werden müssen

Überblick über den Twitter-Phishing-Vorfall bei Fly.io

  • Der Twitter-Account von Fly.io wurde durch einen Phishing-Angriff übernommen
  • CEO Kurt Mackey erhielt eine ausgefeilt konstruierte Phishing-E-Mail und gab seine Account-Daten ein, wodurch der Angriff erfolgreich wurde
  • Der grundlegende Hintergrund für den Erfolg des Phishing-Angriffs war, dass der betreffende Twitter-Account objektiv als wenig wichtig wahrgenommen wurde und das zuständige Team psychologisch angreifbar war, weil es mit junger Internetkultur nicht vertraut war

Konkreter Ablauf des Phishing-Angriffs

  • Fly.io hatte die Verwaltung des Twitter-Kanals schon lange teilweise an externe Auftragnehmer ausgelagert und war mit Inhalten der jüngeren Generation wie kreativen Memes nicht ausreichend vertraut
  • Die bei diesem Angriff verwendete Phishing-E-Mail war so gestaltet, dass sie wie eine echte Warnmeldung von x.com (Twitter) wirkte, und zielte auf psychologische Trigger ab, die die Unsicherheit des Managements verstärken
  • Kurt rief die Account-Daten aus 1Password ab und meldete sich auf einer vom Angreifer präparierten Phishing-Seite an
  • Unmittelbar nach dem Angriff wurden Spuren entdeckt, etwa dass die E-Mail-Adresse des Twitter-Accounts auf eine Adresse im Besitz des Angreifers geändert worden war, worauf intern alle Zugriffsrechte überprüft und gesperrt wurden

Phishing-Abwehrstrategie und Sicherheitslage der Organisation

  • Generell hat Phishing-Abwehr nur durch „Mitarbeiterschulungen“ ihre Grenzen; notwendig ist die Einsicht, dass jeder versehentlich klicken kann
  • Die grundlegende Gegenmaßnahme ist die Einführung von phishing-resistenter Authentifizierung (U2F, FIDO2, Passkeys usw.) mit gegenseitiger Authentifizierung
  • Die interne Infrastruktur von Fly.io ist durch SSO und sichere MFA über Google IdP geschützt, sodass nur Twitter und andere Legacy-Bereiche relativ verwundbar blieben
  • Der Vorfall führte zur Erkenntnis, dass auch auf nicht-kritische Bereiche wie gemeinsam genutzte Social-Media-Accounts Authentifizierungssicherheit auf demselben Niveau angewendet werden muss

Reaktion auf den Vorfall und Wiederherstellung

  • Die Angreifer verwarfen sofort alle Sessions und versuchten, 2FA zurückzusetzen; selbst nachdem Fly.io das Passwort schnell geändert hatte, dauerte die Wiederherstellung des Accounts noch einige Zeit
  • Mit manueller Unterstützung von X.com wurde die vollständige Kontrolle über den Account innerhalb von etwa 15 Stunden wiederhergestellt
  • Insgesamt gab es kein Abfließen von Nutzer- oder Kundendaten; entstanden sind vor allem kurzfristige Imageschäden für die Marke und zusätzlicher Aufwand für die Engineers in der Reaktion
  • Die Angreifer löschten einen Teil des Twitter-Verlaufs von Fly.io, der tatsächliche Schaden blieb jedoch begrenzt

Fazit und Lehren

  • Die wichtigste Lehre aus diesem Vorfall lautet: Selbst ein CEO vertraut E-Mails leicht, und Phishing kann jeden treffen
  • Künftig soll für alle wichtigen Accounts Passkey-basierte MFA verpflichtend eingeführt werden, außerdem will man den Vorfall als Fallbeispiel für Security-Compliance wie SOC2 nutzen
  • Wenn es in Sicherheitsentscheidungen innerhalb einer Organisation Assets gibt, auf die „phishing-resistente Authentifizierung und SSO-IdP-Anbindung“ noch nicht angewendet wurden, müssen diese zwingend als Risikofaktoren betrachtet werden
  • Es wird gehofft, dass dieser Vorfall als warnendes Beispiel für ähnliche Organisationen dient

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-10-10
Hacker-News-Kommentare

  • Jedes Mal, wenn wir in einer früheren Firma die jährliche Pentest-Sicherheitsprüfung hatten, schlug die Prüffirma immer vor, es auch mit Phishing oder Social-Engineering-Angriffen zu versuchen, empfahl es aber nie, weil es immer erfolgreich sei.
    Eine Geschichte, die mir im Gedächtnis geblieben ist: Wenn die Pentest-Firma absichtlich USB-Sticks auf dem Firmenparkplatz liegen ließ, hob immer jemand einen auf und versuchte, ihn an einen Büro-PC anzuschließen, sodass es am Ende zu einem erfolgreichen Hack kam.
    Bei Phishing ist es im Grunde nicht groß anders.
    Das ist ein guter Zeitpunkt, Passkeys einzurichten; siehe den Passkeys-Leitfaden

    • Auch bei uns führt man regelmäßig Phishing-Übungen gegen interne Teams durch, und der Anteil derer, die nicht klicken, liegt bei etwa 90 % (die genaue Zahl weiß ich nicht sicher).
      Trotzdem ist es erschreckend, sich klarzumachen, dass 10 % eben 1500 Menschen sind.
      Kürzlich wurde bei Phishing-Mails die Absenderdomain auf eine interne Domain umgestellt, sodass das sonst übliche Banner für externe Mails nicht erschien, und selbst ich bin darauf hereingefallen.

    • Es wurde die Geschichte erwähnt, dass jemand einen gefundenen USB-Stick eingesteckt hat und gehackt wurde; dazu gibt es ein Zitat, das ich mag.
      Es stammt von einer anonymen Person, die am Angriff auf iranische Atomkraftwerke 2012 beteiligt war (Stuxnet).
      „Es gibt immer irgendeinen Idioten, der sich über den USB-Stick in seiner Hand keine Gedanken macht.“

    • Letztes Jahr bekam ich eine Phishing-Mail an meine Firmenadresse, und sie war ziemlich überzeugend.
      Ich wusste zwar, dass es Phishing war, aber wenn ich wirklich im Stress gewesen wäre, hätte ich vielleicht darauf hereingefallen sein können.
      Bei solchen ausgefeilten Phishing-Seiten öffne ich sie absichtlich gern in einer Sandbox-Umgebung und fülle Formulare nur mit Dummy-Daten aus, um die Zeit der Angreifer zu verschwenden.
      Später stellte sich aber heraus, dass sie von der Pentest-Firma stammte, die unser Unternehmen beauftragt hatte, und die URL enthielt einen mit meinem Konto verknüpften Code, sodass gemeldet wurde, ich sei auf Phishing hereingefallen, obwohl ich überhaupt keine Informationen eingegeben hatte.
      Wenn nach solchen Kriterien der Erfolg von Phishing beurteilt wird, halte ich Pentests für wenig sinnvoll.

    • Wenn man gehackt wird, weil man gedankenlos eine ausführbare Datei von einem USB-Laufwerk oder Ähnlichem startet, dann helfen Passkeys auch nicht.
      Dasselbe gilt, wenn man sich per Social Engineering dazu bringen lässt, irgendeine zufällige ausführbare Datei zu installieren.

    • Man hört oft, dass Stuxnet genau auf diese Weise über USB-Sticks verbreitet wurde, aber ehrlich gesagt weiß ich nicht, ob so etwas in der heutigen Welt noch immer funktioniert.

  • Ich wäre früher einmal fast auf Phishing hereingefallen.
    Ich hatte eine leicht veränderte Domain übersehen, bin aber dank einer Hardware-Wallet davongekommen.
    Dabei wurde mir klar, dass wirklich jeder auf Phishing hereinfallen kann, wenn er beschäftigt oder müde ist oder nur für einen Moment nicht aufpasst.
    Wie Thomas sagt, ist es wichtig, für alle Dienste Passkeys zu verwenden.

    • Wenn man mit dem Apple-Ökosystem vertraut ist, gibt es ein selbst zusammengestelltes Tutorial dazu, wie man PassKey in iOS-Apps implementiert.

    • Als Gegenargument würde ich sagen, dass Passkeys noch immer verwirrend sind und viele Einschränkungen haben, sodass ich gegenüber einem guten Passwort-Manager mit starken Passwörtern keinen großen Vorteil sehe.

    • Der Aussage „Niemand ist zu 100 % vor Phishing sicher“ stimme ich voll zu.
      Vor einigen Jahren habe ich sogar einen Sicherheitsverantwortlichen in einem Test dazu gebracht, auf Phishing hereinzufallen.
      Da merkt man, dass wirklich jeder gefährdet ist.

  • Beim Thema des betrügerischen Phishings rund um Fly.io denke ich, dass man die Sache nicht so leicht abgetan hätte, wenn der Angriff tatsächlich großen Schaden angerichtet hätte.
    Trotzdem bleibt bei mir die Sorge, dass, falls jemand über den Link tatsächlich Kryptowährung verloren hat, die Verantwortung von Fly.io zum Thema werden könnte.

  • Es gibt Forschungsergebnisse, nach denen Phishing-Training nicht besonders wirksam ist.
    Siehe "Understanding the Efficacy of Phishing Training in Practice"

    • Der Rat „Geben Sie Ihr Passwort nicht auf Websites ein, auf denen Sie es nicht eingeben sollten, sondern nur dort, wo Sie es eingeben sollten“ ist letztlich eine Tautologie.
      Das ist ähnlich wie bei 2FA-SMS mit dem Hinweis „Teilen Sie diesen Code niemandem mit!“, obwohl man ihn beim Login letztlich direkt auf der Website eingibt und damit übermittelt.
      Solche Warnhinweise fand ich immer frustrierend.

    • Ich arbeite in einer stark regulierten Branche, und nachdem vor einigen Jahren ein Mitarbeiter auf Phishing hereingefallen war, verlangte die Aufsichtsbehörde die Phishing-Test- und Schulungsprotokolle der letzten fünf Jahre.
      Für Leute wie uns sind solche Übungen also eine Art notwendiges Übel.

    • Im ursprünglichen Artikel wird derselbe Link zu dieser Arbeit bereits erwähnt.

    • Ich kann mich mit der Aussage identifizieren: „Unser Zoomer-Kind sagt, dass Erwachsene wie wir zu uncool sind, um uns in solchen Dingen zu trauen.“
      Trotzdem gefällt mir die Haltung, das mit Humor zu nehmen.

  • Phishing-Mails nach dem Muster „Auf X veröffentlichte Inhalte verstoßen gegen die Regeln“ sind so häufig, dass ich fast jede Woche mehr als zehn davon bekomme.
    Deshalb musste ich meine Mailfilter mehrfach anpassen (es ist nicht einfach, einfach nur den Buchstaben X zu filtern, und die Betrüger ändern ihre Formulierungen ständig).
    Ich habe schließlich sogar meinen bisherigen E-Mail-Sicherheitsdienst gewechselt; ich habe mehrere Anbieter ausprobiert, aber nur Check Point hat alle X-Phishing-Mails blockiert (keine Werbung, nur als Hinweis).
    Aus Sicht eines Sicherheitsunternehmens war es ehrlich gesagt schon fast peinlich, wie oft solche klaren Phishing-Anzeichen trotzdem nicht erkannt wurden.

  • Ich wurde vor einigen Monaten ebenfalls Ziel genau dieser Art von Phishing-Angriff.
    Das Niveau des UI-Engineering war wirklich beeindruckend.
    Screenshot des Phishing-Bildschirms geteilt

    • Es gibt Nachrichten darüber, dass Chromium daran arbeitet, lokale AI-Funktionen in den Browser zu integrieren; ich könnte mir vorstellen, dass so etwas irgendwann auch für Sicherheitsprüfungen genutzt werden kann.
      Zum Beispiel könnte AI bei externen Links, die in einem neuen Tab geöffnet werden, erkennen und warnen: „Diese Seite sieht wie eine bekannte Website aus, aber die URL ist anders.“
      Schon wenn das nur für die bekanntesten 1000 Websites gelten würde, ließen sich wohl viele Phishing-Vorfälle verhindern.

    • Eine URL wie „imagecontent-x.com“ sollte für jeden ein Warnsignal sein, finde ich.

    • Ich frage mich, ob der Browser in diesem Fall die Login-Informationen nicht automatisch ausgefüllt hat.
      Mich würde auch interessieren, ob so etwas im legitimen Traffic häufig vorkommt und ob das Schloss-Symbol neben der Adressleiste korrekt angezeigt wird.

  • Wenn man sieht, wie überzeugend die Angreifer die gefälschte Landingpage und die Phishing-Mail gestaltet haben, ist das schon beeindruckend.
    Ich kenne mich mit Krypto normalerweise nicht gut aus, deshalb frage ich mich, worauf die Behauptung beruhte, die Angreifer hätten „nur geringe Erfolgschancen und keinen Schaden“ gehabt.
    Ich würde gern wissen, ob man die auf der gefälschten Landingpage verwendeten Wallets nachverfolgen kann, um zu prüfen, ob es tatsächlich keine Opfer gab.

  • Diese Erfahrung hat mich erneut die Bedeutung eines gut funktionierenden Passwort-Managers erkennen lassen.
    Wer eine Website betreibt, sollte darauf achten, dass Passwort-Manager nicht kaputtgemacht werden.
    Wenn auf einer Website die automatische Passwortvervollständigung nicht funktioniert, ist das für mich sofort ein starkes Warnsignal.
    Codebasierte 2FA halte ich zur Phishing-Abwehr für völlig nutzlos.
    Wenn ich mich einlogge, kann der Angreifer den 2FA-Code ebenso abgreifen, also hilft das unabhängig von der Methode nicht.

    • Sogar der Ersteller von haveibeenpwned.com hat Phishing erlebt (und ist trotz Passwort-Manager darauf hereingefallen).

    • Mich würde interessieren, wie man Fälle einordnet, in denen technisch versierte Menschen trotz Passwort-Manager auf Phishing hereinfallen.

    • Die AutoFill-Funktion sollte man deaktivieren.
      Moderne Angriffe nutzen auch Dinge wie Tapjacking, daher ist das riskant.

  • Ich habe mich erst gefragt, warum dieser Beitrag so weit oben gelandet ist, aber als ich am Ende den Namen des Autors sah (Kurt), habe ich es verstanden.
    Die Lehre ist: „Wenn es Kurt treffen kann, kann es jeden treffen.“
    Diesmal war der Schaden sehr klein, aber jeder hat blinde Flecken, und gerade in unbeachtet gelassenen Ecken verstecken sich solche Schwachstellen.
    Wäre der Angreifer nicht bloß ein gewöhnlicher Betrüger, sondern wirklich bösartig gewesen, hätte er von einem offiziellen Firmenkonto aus wohl noch weitergehendes Social Engineering betreiben können.

    • Gemeint ist vermutlich die Person namens Kurt.

  • Der Text selbst ist großartig, aber auch die Phishing-Technik wirkt wirklich sehr ausgefeilt.

    • Ich habe gehört, dass diese Phishing-Masche in letzter Zeit verbreitet war und nicht nur wir davon betroffen waren.
      Aber bevor so etwas tatsächlich passiert, weiß man das eben nicht.

    • Der selbstironische Humor war lustig.
      Ich erinnere mich auch, dass ich früher ein- oder zweimal fast darauf hereingefallen wäre.
      Meist merkt man es erst direkt nach dem Klick mit einem „Oh nein“, und ich habe dann sofort das Konto gesperrt, um Schaden zu verhindern.
      Bild zur Anekdote