"Spear Phishing": Betrugsmasche täuscht selbst Profis - so erkennst du sie

4 Min
Artikel von:
Lea Mitulla

Es gibt eine Phishing-Methode, die selbst erfahrene Tech-Profis hinters Licht führen kann. Die Masche setzt auf gezielte Nachrichten mit persönlichen Informationen der Opfer.

Phishing-Mails gehören inzwischen schon zu unserem Alltag. Meistens handelt es sich dabei um Massennachrichten mit allgemeinen Formulierungen, die leicht zu durchschauen sind. Es gibt aber auch eine Variante von Phishing, die selbst Experten täuschen kann: Spear Phishing.

Spear Phishing läuft, wie der Name vermuten lässt, deutlich gezielter ab. Cyberkriminelle nutzen dafür teils gestohlene Informationen, um personalisierte Phishing-Mails zu erstellen. Statt unpersönlicher Anreden wie "Sehr geehrter Kunde", können die Opfer direkt angesprochen werden. Der Inhalt der Mail kann sich zum Beispiel auf ein kürzlich gekauftes Produkt oder eine gebuchte Reise beziehen. Die Phishing-Mails lassen sich damit kaum von echten Nachrichten eines Unternehmens unterscheiden.

Spear Phishing: So führen dich Betrüger mit Details aus deinem Leben hinters Licht

Spear Phishing funktioniert so gut, weil es Details aus dem echten Leben der Opfer einbindet. Der Anlass für die Nachricht erscheint dadurch plausibel. Die Informationen beschaffen sich die Betrüger nicht nur illegal aus Datenlecks, sondern auch aus öffentlich zugänglichen Quellen wie sozialen Netzwerken. Es entsteht der Eindruck: Das kann nur das echte Unternehmen oder die echte Person über mich wissen, ich kann der Nachricht also vertrauen.

Ein aktuelles Beispiel ist der Hack des Online-Shops "asgoodasnew.de": Kriminelle konnten Namen, Adressen, Passwörter und ganze Bestellverläufe der Kunden abgreifen. Im nächsten Schritt können sie eine personalisierte E-Mail zu einem Gerät erstellen, das der Kunde gekauft hat, oder zu Problemen bei einer bestimmten Bestellung oder Zahlung. Das Design der Nachricht bis hin zur Absendeadresse kann aussehen, wie das des echten Unternehmens. Zudem wäre ein Link enthalten, der beim Klick jedoch Schadsoftware herunterlädt oder zu einer gefälschten Webseite führt, die weitere persönliche Daten abfragt. 

Spear Phishing kann aber auch über E-Mails hinausgehen. Der Bayerische Rundfunk berichtet über drei Beispiele, in denen die Masche in anderen Situationen zum Einsatz kam:

  • Spear Phishing über Chatsysteme
    Auf LinkedIn schilderte Marketing-Experte Robert Woodford, wie er über das Nachrichtensystem von Booking.com zum Betrugsopfer wurde. Er schrieb über die offizielle Webseite der Plattform mit einem Hotel über seine Buchung, ein "normaler Austausch". Später erhielt er eine Nachricht, die nach "fehlenden Details" und einer Vorauszahlung fragte. "Ich habe meine Kreditkarte seit der Buchung gewechselt - es schien daher einleuchtend", so Woodford. Die Nachricht erschien im selben Chatverlauf wie die legitimen Nachrichten des Hotels und auch der Zahlungslink machte einen offiziellen Eindruck. Woodford bemerkte den Betrug erst, als er schon gezahlt hatte und den falschen Namen des Zahlungsempfängers entdeckte. 
  • Spear Phishing auf WhatsApp
    Ein weiterer Booking-Nutzer berichtet auf X (ehemals Twitter), dass er nach seiner Hotelbuchung über WhatsApp kontaktiert wurde. Die Person, die sich als Mitarbeiter des Hotels ausgab, hätte seine Buchungsdetails gekannt und ihn gebeten, seine Kreditkarte über einen Link zu "verifizieren".
  • Spear-Phishing-Attacken auf Unternehmen
    Der wohl bekannteste Einsatz von Spear Phishing traf den Ingenieurskonzern "Arup". Ein Finanzmitarbeiter überwies Kriminellen nach einem vermeintlichen Videoanruf mit seinem Chef und dem Finanzvorstand der Firma rund 23 Millionen Euro - tatsächlich handelte es sich um KI-generierte Deepfakes seiner Vorgesetzten. Die Angreifer hatten über soziale Netzwerke Bilder und Videos gesammelt, um die Kollegen und ihre Verhaltensweisen genau nachzuahmen.

Betrüger wissen Details zur Hotelbuchung? So kommen sie an deine Daten

Bei den Beispielen von Booking.com hatten Kriminelle einzelne Unterkunftspartner des Portals angegriffen. "Es gibt kein Datenleck der Booking.com-Systeme und Booking.com wurde nicht gehackt", stellte das Unternehmen gegenüber inFranken.de klar. Stattdessen nutzten die Angreifer "ausgeklügelte Phishing-Taktiken", um einzelne Booking.com-Partner dazuzubringen, Schadsoftware auf ihren Computern zu installieren.

In einigen Fällen führte das zu unbefugtem Zugriff auf das Booking.com-Konto der Unterkunft. Die Buchungsplattform betont, dass nur ein Bruchteil der Unterkünfte betroffen sei und man die Unterkunftspartner dabei unterstütze, ihre Systeme so schnell wie möglich zu sichern und betroffenen Kunden zu helfen.

Nichtsdestotrotz sollten Kunden wachsam sein. "Wenn eine Unterkunft oder ein Gastgeber scheinbar eine Zahlung außerhalb dessen verlangt, was auf ihrer Bestätigung aufgeführt ist, sollten sie sich an unser Kundenservice-Team wenden", so Booking.com gegenüber inFranken.de. Jede Nachricht mit Anweisung, auf einen Link zu klicken oder eine Datei herunterzuladen, sollte mit Vorsicht behandelt werden.

Wieso fallen so viele auf Spear Phishing herein?

Die Fallbeispiele zeigen, wie wertvoll persönliche Daten für Kriminelle sind. Egal auf welchem Weg deine Informationen im Netz landen, sollte dir klar sein, dass sie nicht einfach wieder verschwinden. Große Datensätze mit Nutzernamen, E-Mail-Adressen und Passwörtern werden immer wieder zum Verkauf angeboten und für verschiedene Betrugsmaschen verwendet. Zum Schutz solltest du dich weiterhin an die altbekannte Regel halten: keine Links anklicken und keine sensiblen Daten weitergeben, auch wenn eine Nachricht auf den ersten Blick vertrauenswürdig scheint. 

Dass Spear Phishing selbst Fachleute hinters Licht führen kann, hat zwei einfache Gründe. Zum einen spielt der Kontext der E-Mail eine wichtige Rolle, ob wir sie als Betrug erkennen oder nicht. Sicherheitsforscher des National Institute of Standards and Technology (NIST) haben das bei einer Studie mit Mitarbeitenden der Behörde herausgefunden. "Personen sind mehr oder weniger anfällig für Phishing-Mails, was mitunter davon abhängt, ob die Prämisse der Nachricht zu ihrem individuellen Arbeitsumfeld, ihren Aufgaben und Verantwortungen passt", schreiben die Autoren der Studie. Kurz gesagt: Passt die Nachricht zu dem, was ich gerade mache, schenke ich ihr eher Glauben und folge ihren Anweisungen. Passt die Nachricht nicht zu den aktuellen Umständen, bin ich eher misstrauisch und suche nach Anzeichen für Betrug.

Zum anderen machen sich Betrüger gerne unsere Routine zum Werkzeug. Wer etwa auf der Arbeit ständig Anfragen per Mail beantworten muss, wird nicht jede Nachricht auf verdächtige Details prüfen. Die britische Behörde National Cyber Security Centre (NCSC) bestätigt diese Annahme. Es sei unrealistisch, dass Mitarbeitende durch Trainings jede Phishing-Attacke identifizieren und abwehren könnten. Sonst bleibe am Ende nicht mehr genug Zeit für die eigentlichen Arbeitsaufgaben. Zumal das Beantworten von E-Mails und das Anklicken von Links für die meisten Leute ein fester Bestandteil der Arbeit seien.

Link in Phishing-Mail angeklickt? Das solltest du jetzt tun

Spear Phishing ist somit nicht nur für Laien ein Problem, sondern auch für technisch erfahrene Menschen. Letztlich kann jeder ein Opfer von Phishing werden. Solltest du einen verdächtigen Link angeklickt oder sensible Daten preisgegeben haben, solltest du Folgendes tun:

  • Aktualisiere dein Virenschutzprogramm und lasse es deinen kompletten Computer oder dein Handy durchsuchen.
  • Ändere deine Passwörter und Sicherheitsfragen für die betroffenen Konten.
  • Kontaktiere das echte Unternehmen bzw. den verknüpften Zahlungsdienstleister.
  • Sperre, falls nötig, deine Bankkarten und -konten. 
  • Stelle eine Anzeige wegen Betrugs bei deiner örtlichen Polizeidienststelle oder der Online-Wache der Polizeien der Länder.
  • Beobachte deine Kontoauszüge genau und sei besonders wachsam gegenüber weiteren E-Mails, Briefen oder Anrufen.

Für Spear Phishing gelten dieselben Präventionstipps wie für gewöhnliches Phishing. Geht es um Geld oder vertrauliche Daten, sollten Aufforderungen stets über einen zweiten Weg überprüft werden – etwa über die offizielle App oder Website. Wer Zahlungs- oder Login-Aufforderungen per Mail oder Chat erhält, sollte nicht auf die mitgeschickten Links klicken. Zusätzlich sollte, wo immer möglich, eine Zwei-Faktor-Authentifizierung (2FA) aktiviert und ein Passwortmanager verwendet werden. Wer sich vor Spear Phishing schützen will, sollte achtsam mit persönlichen Informationen umgehen.

Vorschaubild: © Faisal/Adobe Stock (KI-generiertes Symbolbild)