Es ist erneut passiert: Cyberkriminelle haben hunderttausende Kundendaten gehackt. Beim Refurbished-Portal asgoodasnew.de sollen 1,8 Millionen Konten betroffen sein – inklusive vollständiger Bestellhistorien. Das macht dieses Datenleck gefährlicher als viele andere: Denn die Kriminellen kennen damit nicht nur Adressen und Namen. Sie wissen jetzt auch, wer was wann gekauft hat. Mit diesen Infos lassen sich personalisierte Phishing-Mails erstellen, die kaum von echten Nachrichten des Unternehmens zu unterscheiden sind.
Diese Art des Phishings heißt Spear Phishing. Selbst Fachleute können die personalisierten Mails, SMS, WhatsApps und Anrufe oft nicht als Fake identifizieren. Ziel der Cyberkriminellen sind nicht nur Privatleute, sondern auch Mitarbeitende von Firmen. Wie die Angriffe konkret aussehen, zeigen wir Ihnen im Abschnitt „So erkennen Sie Spear Phishing: Drei Beispiele“.
Was ist Spear Phishing – und warum ist es gefährlicher als normales Phishing?
Vielleicht kennen Sie das: Sie erhalten eine Mail mit der generischen Anrede „Sehr geehrter Kunde“ und werden aufgefordert, ihre Kundendaten mit Klick auf einen Link zu aktualisieren, weil sonst angeblich irgendetwas Dramatisches passiere. Diese Masche ist klassisches Phishing. Die Verbraucherzentrale publiziert regelmäßig konkrete Beispiele (externer Link).
Tipp: Niemals klicken. Auch dann nicht, wenn Sie in der Mail mit Ihrem Namen angesprochen werden und es um einen Vorgang geht, der sich tatsächlich so in Ihrem Leben abgespielt hat. Dann nämlich haben Sie nicht nur eine Phishing-Mail erhalten, sondern sind Opfer eines Spear-Phishing-Versuchs.
So sieht Spear Phishing konkret aus
Spear Phishing ist auch für Fachleute kaum zu erkennen – eben weil die Masche mit personalisierten Inhalten arbeitet, von denen man meinen könnte, nur Vertrauenspersonen würden sie eigentlich kennen.
Beispiel 1: So sieht eine typische Spear-Phishing-E-Mail aus
Ein klassisches Beispiel für Spear Phishing sind SMS und E-Mails, die Details aus echten Vorgängen enthalten. So könnten die vom asgoodasnew.de-Hack betroffenen Kunden demnächst eine E-Mail erhalten, die sich auf ein Gerät bezieht, das das Phishing-Opfer tatsächlich dort bestellt hat. Auch die Absenderadresse würde aussehen wie die des echten Shops. Die E-Mail könnte einen Link zur angeblichen Lösung des Problems enthalten – aber beim Klick Schadsoftware installieren oder zur Eingabe sensibler Daten auffordern.
Beispiel 2: Was Kriminelle mit gestohlenen Daten von Booking.com machen
Eine andere Masche für Spear Phishing nutzt die Chatsysteme auf Websites: Der Marketing-Spezialist Robert Woodford schildert auf LinkedIn, was ihm auf Booking.com passierte (externer Link). Er habe mit einem Hotel über das offizielle Booking-Nachrichtensystem kommuniziert. Später hieß es, es würden „Details fehlen“, er solle eine Vorauszahlung leisten. Die Anfrage sei plausibel gewesen, weil er in der Zwischenzeit seine Kreditkarte gewechselt habe. Woodford loggte sich direkt bei Booking.com ein. Die Nachricht stand im selben Thread wie der bisherige Austausch mit dem Hotel. Auch die URL des Zahlungslinks passte. Woodford bemerkte den Betrug zu spät.
Auch auf X warnt ein vom Booking.com-Fall Betroffener vor einem Spear-Phishing-Versuch – diesmal via Whatsapp. Die Kriminellen hätten seine Buchungsdetails gekannt.
