Es gibt eine Phishing-Methode, die selbst erfahrene Tech-Profis hinters Licht führen kann. Die Masche setzt auf gezielte Nachrichten mit persönlichen Informationen der Opfer.
Phishing-Mails gehören inzwischen schon zu unserem Alltag. Meistens handelt es sich dabei um Massennachrichten mit allgemeinen Formulierungen, die leicht zu durchschauen sind. Es gibt aber auch eine Variante von Phishing, die selbst Experten täuschen kann: Spear Phishing.
Spear Phishing läuft, wie der Name vermuten lässt, deutlich gezielter ab. Cyberkriminelle nutzen dafür teils gestohlene Informationen, um personalisierte Phishing-Mails zu erstellen. Statt unpersönlicher Anreden wie "Sehr geehrter Kunde", können die Opfer direkt angesprochen werden. Der Inhalt der Mail kann sich zum Beispiel auf ein kürzlich gekauftes Produkt oder eine gebuchte Reise beziehen. Die Phishing-Mails lassen sich damit kaum von echten Nachrichten eines Unternehmens unterscheiden.
Spear Phishing: So führen dich Betrüger mit Details aus deinem Leben hinters Licht
Spear Phishing funktioniert so gut, weil es Details aus dem echten Leben der Opfer einbindet. Der Anlass für die Nachricht erscheint dadurch plausibel. Die Informationen beschaffen sich die Betrüger nicht nur illegal aus Datenlecks, sondern auch aus öffentlich zugänglichen Quellen wie sozialen Netzwerken. Es entsteht der Eindruck: Das kann nur das echte Unternehmen oder die echte Person über mich wissen, ich kann der Nachricht also vertrauen.
Ein aktuelles Beispiel ist der Hack des Online-Shops "asgoodasnew.de": Kriminelle konnten Namen, Adressen, Passwörter und ganze Bestellverläufe der Kunden abgreifen. Im nächsten Schritt können sie eine personalisierte E-Mail zu einem Gerät erstellen, das der Kunde gekauft hat, oder zu Problemen bei einer bestimmten Bestellung oder Zahlung. Das Design der Nachricht bis hin zur Absendeadresse kann aussehen, wie das des echten Unternehmens. Zudem wäre ein Link enthalten, der beim Klick jedoch Schadsoftware herunterlädt oder zu einer gefälschten Webseite führt, die weitere persönliche Daten abfragt.
Spear Phishing kann aber auch über E-Mails hinausgehen. Der Bayerische Rundfunk berichtet über drei Beispiele, in denen die Masche in anderen Situationen zum Einsatz kam:
Spear Phishing über Chatsysteme Auf LinkedIn schilderte Marketing-Experte Robert Woodford, wie er über das Nachrichtensystem von Booking.com zum Betrugsopfer wurde. Er schrieb über die offizielle Webseite der Plattform mit einem Hotel über seine Buchung, ein "normaler Austausch". Später erhielt er eine Nachricht, die nach "fehlenden Details" und einer Vorauszahlung fragte. "Ich habe meine Kreditkarte seit der Buchung gewechselt - es schien daher einleuchtend", so Woodford. Die Nachricht erschien im selben Chatverlauf wie die legitimen Nachrichten des Hotels und auch der Zahlungslink machte einen offiziellen Eindruck. Woodford bemerkte den Betrug erst, als er schon gezahlt hatte und den falschen Namen des Zahlungsempfängers entdeckte.
Spear Phishing auf WhatsApp Ein weiterer Booking-Nutzer berichtet auf X (ehemals Twitter), dass er nach seiner Hotelbuchung über WhatsApp kontaktiert wurde. Die Person, die sich als Mitarbeiter des Hotels ausgab, hätte seine Buchungsdetails gekannt und ihn gebeten, seine Kreditkarte über einen Link zu "verifizieren".
Spear-Phishing-Attacken auf Unternehmen Der wohl bekannteste Einsatz von Spear Phishing traf den Ingenieurskonzern "Arup". Ein Finanzmitarbeiter überwies Kriminellen nach einem vermeintlichen Videoanruf mit seinem Chef und dem Finanzvorstand der Firma rund 23 Millionen Euro - tatsächlich handelte es sich um KI-generierte Deepfakes seiner Vorgesetzten. Die Angreifer hatten über soziale Netzwerke Bilder und Videos gesammelt, um die Kollegen und ihre Verhaltensweisen genau nachzuahmen.
Wieso fallen so viele auf Spear Phishing herein?
Die Fallbeispiele zeigen, wie wertvoll persönliche Daten für Kriminelle sind. Egal auf welchem Weg deine Informationen im Netz landen, sollte dir klar sein, dass sie nicht einfach wieder verschwinden. Große Datensätze mit Nutzernamen, E-Mail-Adressen und Passwörtern werden immer wieder zum Verkauf angeboten und für verschiedene Betrugsmaschen verwendet. Zum Schutz solltest du dich weiterhin an die altbekannte Regel halten: Keine Links anklicken und keine sensiblen Daten weitergeben, auch wenn eine Nachricht auf den ersten Blick vertrauenswürdig scheint.
Dass Spear Phishing selbst Fachleute hinters Licht führen kann, hat zwei einfache Gründe. Zum einen spielt der Kontext der E-Mail eine wichtige Rolle, ob wir sie als Betrug erkennen oder nicht. Sicherheitsforscher des National Institute of Standards and Technology (NIST) haben das bei einer Studie mit Mitarbeitenden der Behörde herausgefunden. "Personen sind mehr oder weniger anfällig für Phishing-Mails, was mitunter davon abhängt, ob die Prämisse der Nachricht zu ihrem individuellen Arbeitsumfeld, ihren Aufgaben und Verantwortungen passt", schreiben die Autoren der Studie. Kurz gesagt: Passt die Nachricht zu dem, was ich gerade mache, schenke ich ihr eher Glauben und folge ihren Anweisungen. Passt die Nachricht nicht zu den aktuellen Umständen, bin ich eher misstrauisch und suche nach Anzeichen für Betrug.
Zum anderen machen sich Betrüger gerne unsere Routine zum Werkzeug. Wer etwa auf der Arbeit ständig Anfragen per Mail beantworten muss, wird nicht jede Nachricht auf verdächtige Details prüfen. Die britische Behörde National Cyber Security Centre (NCSC) bestätigt diese Annahme. Es sei unrealistisch, dass Mitarbeitende durch Trainings jede Phishing-Attacke identifizieren und abwehren könnten. Sonst bleibe am Ende nicht mehr genug Zeit für die eigentlichen Arbeitsaufgaben. Zumal das Beantworten von E-Mails und das Anklicken von Links für die meisten Leute ein fester Bestandteil der Arbeit seien.
Link in Phishing-Mail angeklickt? Das solltest du jetzt tun
Spear Phishing ist somit nicht nur für Laien ein Problem, sondern auch für technisch erfahrene Menschen. Letztlich kann jeder ein Opfer von Phishing werden. Solltest du einen verdächtigen Link angeklickt oder sensible Daten preisgegeben haben, solltest du Folgendes tun:
Aktualisiere dein Virenschutzprogramm und lasse es deinen kompletten Computer oder dein Handy durchsuchen.
Ändere deine Passwörter und Sicherheitsfragen für die betroffenen Konten.
Kontaktiere das echte Unternehmen bzw. den verknüpften Zahlungsdienstleister.
Sperre, falls nötig, deine Bankkarten und -konten.
