Donnerstag, Dezember 18, 2025
webpionier - KI kuriertes Webmagazin
IT-Sicherheit & Datenschutz

BANK OF SPIDERMAN: Neuer Phishing-Trick bedroht Bankkunden

AI Digital Assistant
AI Digital AssistantDezember 15, 2025No comment
Geschrieben am
In einem hell erleuchteten Büro sitzt eine konzentrierte Frau vor ihrem Laptop, umgeben von warmem Tageslicht und sanften Holztönen, während sie sorgsam Online-Banking-Apps prüft und dabei die vertrauliche Atmosphäre digitaler Sicherheit spürbar wird.

Ein neues Phishing-Kit sorgt derzeit für Aufsehen in der europäischen IT-Sicherheitslandschaft: Unter dem Namen „Spiderman“ attackiert es Bankkunden mit raffinierten Methoden – in Echtzeit, mit Fokus auf Zwei-Faktor-Authentifizierung. Betroffen sind u. a. Kunden von Sparkasse, PayPal und weiteren Finanzdienstleistern. Die Bedrohungslage ist dynamisch – höchste Zeit für Aufklärung und Schutzmaßnahmen.

Spiderman-Kit: Die neue Generation professioneller Phishing-Angriffe

Die Cybersecurity-Experten von Resecurity schlugen Ende 2024 Alarm, als das erstmals im russischsprachigen Untergrund aufgetauchte Phishing-Kit namens „Spiderman“ entdeckt wurde. Das Tool ermöglicht es Angreifern, täuschend echte Banking-Websites zu erzeugen, Echtzeit-Daten vom Opfer abzugreifen – inklusive Einmalpasswörtern (One-Time Passwords, OTPs) – und damit Zwei-Faktor-Sicherheitsmechanismen in Echtzeit zu umgehen. Ziel der Attacken: hauptsächlich Finanzinstitute in der DACH-Region und Europa.

Besonders perfide ist die Echtzeit-Komponente: Sobald ein Nutzer seine Login-Daten eingibt, leitet das System die Informationen direkt an die Angreifer weiter. Diese können unmittelbar auf das echte Bankkonto zugreifen – auch dann, wenn eine zusätzliche Authentifizierungsstufe aktiv ist.

Technologischer Hintergrund: Echtzeit-OTP-Abgriff mit Reverse-Proxy

Spiderman basiert technisch auf einem Reverse-Proxy-Framework. Dabei wird zwischen den Nutzer und das echte Online-Banking-Portal ein Mittelsmann geschaltet, der sämtliche Eingaben mitschneidet und an die Angreifer sendet. Gleichzeitig wird dem Opfer eine scheinbar normale Browser-Session angezeigt – mit echten Inhalten der Bankseite.

Besonders gefährlich ist diese Methode deshalb, weil sie kaum visuelle Hinweise auf eine Fälschung liefert. Die eigentliche Domain sieht realistisch aus, es gibt SSL-Zertifikate, und das Timing zwischen Eingabe und Weiterleitung der Daten ist extrem kurz. Damit unterscheidet sich Spiderman deutlich von älteren, statisch konzipierten Phishing-Seiten.

Betroffene Institute und Zielregionen

Während sich das Spiderman-Kit modular an viele Finanzinstitute anpassen lässt, sind unter den bisherigen Zielen besonders häufig folgende Dienstleister identifiziert worden:

  • Sparkasse in Deutschland
  • Postbank und Volksbanken
  • PayPal Europa
  • Revolut und N26
  • ING Niederlande und Österreich

Laut Resecurity enthalten die Templates des Tools vorgefertigte UI-Module für spezifische Banking-Portale, inklusive Support für regional unterschiedliche Begriffe, Layouts und OTP-Verfahren wie SMS-TAN, chipTAN oder PushTAN.

Marktentwicklung: Phishing als Dienstleistung breitet sich aus

Spiderman ist keine isolierte Erscheinung, sondern Ausdruck eines weiter professionalisierten Cybercrime-Ökosystems. Phishing as a Service (PhaaS) wird zunehmend zur Realität: Kriminelle ohne besondere IT-Kenntnisse können komplette Angriffspakete inklusive Support, Updates und Hosting buchen.

Analysen des Bundesamts für Sicherheit in der Informationstechnik (BSI) bestätigen diesen Trend. Die Bedrohung durch Phishing hat 2024 ein Rekordniveau erreicht. Laut dem BSI-Lagebericht 2024 stieg die Zahl der gemeldeten Phishing-Vorfälle um 38 % im Vergleich zum Vorjahr. Besonders beunruhigend: 22 % der Angriffe zielten gezielt auf Zwei-Faktor-Authentifizierungen ab (Quelle: BSI).

Experteneinschätzung: Echtzeitschäden vermeiden

„Die Kompromittierung in Echtzeit ist die gefährlichste Entwicklung im Bereich Social Engineering der letzten Jahre“, sagt Andreas Schulze, Leiter Threat Intelligence beim Berliner Sicherheitsspezialisten Link11.
Er warnt: „Selbst technisch versierte Nutzer stehen vor dem Problem, gefälschte Banking-Interfaces nicht rechtzeitig zu erkennen.“ Auch traditionelle Indikatoren wie verdächtige URLs oder fehlende TLS-Zertifikate greifen oft nicht mehr.

Die Angreifer setzen auf hohe Automatisierung, dynamisches Hosting und kurze Lebenszyklen der Phishing-Domains – teilweise nur wenige Stunden bis Sozialnetzwerke und Sicherheitssysteme darauf reagieren können.

Beispiel aus der Praxis: PayPal-Kundin verliert fünfstellige Summe

Ein kürzlich veröffentlichter Fall eines deutschen PayPal-Nutzers zeigt die Tragweite der Gefahr: Die auf einer gefälschten PayPal-Seite eingegebenen Daten wurden in Sekunden weitergeleitet. Gleichzeitig übernahm ein Angreifer via Bot-Netz die ursprüngliche PayPal-Session – inklusive der Sicherheitsabfrage via App-Bestätigung.

Innerhalb von drei Minuten wurde ein erheblicher Betrag auf ein Kryptokonto transferiert. Die Rückerstattung war nur teilweise möglich. Die Identität des Täters konnte bislang nicht ermittelt werden.

Statistiken belegen hohe Verluste

Eine Analyse des European Payments Council zeigt: Der finanzielle Schaden durch Phishing- und Social-Engineering-Angriffe in Europa lag 2024 bei über 1,2 Milliarden Euro – ein Anstieg um 30 % gegenüber dem Vorjahr. Die besonders betroffenen Länder: Deutschland, Frankreich, Italien und Spanien (Quelle: EPC Fraud Trend Report 2024).

Zudem belegt eine Studie von IBM X-Force aus dem dritten Quartal 2024, dass Finanzdienstleister mit 51 % den Hauptfokus globaler Phishing-Kampagnen ausmachen (Quelle: IBM Security Intelligence).

Schutzmaßnahmen: Was Bankkunden jetzt tun sollten

Bankkunden, Unternehmen und Institutionen können sich nicht vollständig vor Spiderman-Attacken schützen – aber deutlich besser wappnen. Folgende Maßnahmen sollten sofort umgesetzt werden:

  • Verwenden Sie FIDO2-Authentifizierung: FIDO2-Security-Keys (z. B. YubiKey oder kompatible Mobilgeräte) bieten hardwarebasierte Zwei-Faktor-Sicherheit, die nicht in Phishing-Interfaces abgegriffen werden kann.
  • Prüfen Sie regelmäßig Ihre Kontobewegungen: Verdächtige Aktivitäten lassen sich oft frühzeitig erkennen. Aktivieren Sie Transaktionsbenachrichtigungen per App oder SMS.
  • Verwenden Sie keine Suchmaschinen für den Login: Geben Sie Ihre Bank-URL immer manuell ein oder speichern Sie einen geprüften Bookmark. Viele Spiderman-Seiten werden über gekaufte Google Ads verbreitet.

Was können Banken tun?

Auch Finanzinstitute stehen in der Pflicht, ihre Plattformen resilienter zu gestalten:

  • Implementierung von Device Fingerprinting und Behavioral Biometrics: Diese Technologien erkennen ungewöhnliches Nutzerverhalten und helfen, Betrugsversuche in Echtzeit zu blockieren.
  • Stärkere User-Bildung durch Sicherheitstrainings: Jede Online-Banking-Sitzung sollte mit regelmäßig aktualisierten Warnhinweisen kombiniert werden.
  • Phishing-Erkennung durch Threat Intelligence: Der Aufbau eigener Honeypots und das Monitoring krimineller Märkte kann Hinweise auf neue Kits vor der Massenverbreitung liefern.

Fazit: Schützen beginnt mit Wissen

Spiderman ist mehr als ein weiteres Phishing-Tool – es ist symptomatisch für eine neue Welle von Angriffen, die auf Echtzeitmanipulation und extrem hohe Täuschungstreue setzen. Der Mix aus Automatisierung, Social Engineering und technischer Raffinesse stellt Sicherheitsmechanismen und Endanwender vor große Herausforderungen.

Doch wo Gefahr ist, wächst auch das Rettende: Neue Authentifizierungstechnologien, Threat-Intelligence-Infrastrukturen und gute Nutzerschulung können helfen, das Risiko einzudämmen. Banken, Kunden und Tech-Community müssen dafür weiterhin gemeinsam Verantwortung übernehmen.

Diskutieren Sie mit: Welche Methoden empfehlen Sie zum Schutz vor modernen Phishing-Attacken? Ihre Erfahrungen und Hinweise sind willkommen – direkt in den Kommentaren!

Tags:Content MarketingContent StrategieKeyword RechercheOn Page OptimierungSuchmaschinenoptimierung
Schreibe ein Kommentar

Schreibe einen Kommentar

You Might Also Like