Es ist erneut passiert: Cyberkriminelle haben hunderttausende Kundendaten gehackt. Beim Refurbished-Portal asgoodasnew.de sollen 1,8 Millionen Konten betroffen sein – inklusive vollständiger Bestellhistorien. Das macht dieses Datenleck gefährlicher als viele andere: Denn die Kriminellen kennen damit nicht nur Adressen und Namen. Sie wissen jetzt auch, wer was wann gekauft hat. Mit diesen Infos lassen sich personalisierte Phishing-Mails erstellen, die kaum von echten Nachrichten des Unternehmens zu unterscheiden sind.
Diese Art des Phishings heißt Spear Phishing. Selbst Fachleute können die personalisierten Mails, SMS, WhatsApps und Anrufe oft nicht als Fake identifizieren. Ziel der Cyberkriminellen sind nicht nur Privatleute, sondern auch Mitarbeiterinnen und Mitarbeiter von Firmen. Wie die Angriffe konkret aussehen, zeigen wir Ihnen im Abschnitt "So erkennen Sie Spear Phishing: Drei Beispiele".
Was ist Spear Phishing – und warum ist es gefährlicher als normales Phishing?
Vielleicht kennen Sie das: Sie erhalten eine Mail mit der generischen Anrede "Sehr geehrter Kunde" und werden aufgefordert, ihre Kundendaten mit Klick auf einen Link zu aktualisieren, weil sonst angeblich irgendetwas Dramatisches passiere. Diese Masche ist klassisches Phishing. Die Verbraucherzentrale publiziert regelmäßig konkrete Beispiele (externer Link).
Tipp: Niemals klicken. Auch dann nicht, wenn Sie in der Mail mit Ihrem Namen angesprochen werden und es um einen Vorgang geht, der sich tatsächlich so in Ihrem Leben abgespielt hat. Dann nämlich haben Sie nicht nur eine Phishing-Mail erhalten, sondern sind Opfer eines Spear-Phishing-Versuchs.
So sieht Spear Phishing konkret aus
Spear Phishing ist auch für Fachleute kaum zu erkennen – eben weil die Masche mit personalisierten Inhalten arbeitet, von denen man meinen könnte, nur Vertrauenspersonen würden sie eigentlich kennen.
Beispiel 1: So sieht eine typische Spear-Phishing-E-Mail aus
Ein klassisches Beispiel für Spear Phishing sind SMS und E-Mails, die Details aus echten Vorgängen enthalten. So könnten die vom asgoodasnew.de-Hack betroffenen Kunden demnächst eine E-Mail erhalten, die sich auf ein Gerät bezieht, das das Phishing-Opfer tatsächlich dort bestellt hat. Auch die Absenderadresse würde aussehen wie die des echten Shops. Die E-Mail könnte einen Link zur angeblichen Lösung des Problems enthalten – aber beim Klick Schadsoftware installieren oder zur Eingabe sensibler Daten auffordern.
Beispiel 2: Was Kriminelle mit gestohlenen Daten von Booking.com machen
Eine andere Masche für Spear Phishing nutzt die Chatsysteme auf Websites: Der Marketing-Spezialist Robert Woodford schildert auf LinkedIn, was ihm auf Booking.com passierte (externer Link). Er habe mit einem Hotel über das offizielle Booking-Nachrichtensystem kommuniziert. Später hieß es, es würden "Details fehlen", er solle eine Vorauszahlung leisten. Die Anfrage sei plausibel gewesen, weil er in der Zwischenzeit seine Kreditkarte gewechselt habe. Woodford loggte sich direkt bei Booking.com ein. Die Nachricht stand im selben Thread wie der bisherige Austausch mit dem Hotel. Auch die URL des Zahlungslinks passte. Woodford bemerkte den Betrug zu spät.
Auch auf X warnt ein vom Booking.com-Fall Betroffener vor einem Spear-Phishing-Versuch – diesmal via Whatsapp. Die Kriminellen hätten seine Buchungsdetails gekannt.
Beispiel 3: Wie ein Unternehmensmitarbeiter 25 Millionen Dollar an Kriminelle überwies
Erheblich tiefer greift der Fall eines Finanzmitarbeiters, der nach einem Videogespräch mit seinem vermeintlichen Chef und dem Finanzvorstand 25 Millionen Dollar an Cyberkriminelle überwies. Die Angreifer hatten zuvor die Namen, Positionen und Verhaltensweisen der Kollegen akribisch über Bilder und Videos in sozialen Netzwerken gesammelt – und daraus mit KI-generierten Deepfakes täuschend echte Stimmen und Gesichter nachgebaut.
Von Booking bis Ticketmaster: So kommen Cyber-Kriminelle an Ihre Daten
Die Methoden der Kriminellen unterscheiden sich, das Ziel ist dasselbe: So viele persönliche Daten wie möglich erbeuten. Bei asgoodasnew.de haben die Angreifer eine Sicherheitslücke des angebundenen Shop-System Oxid ausgenutzt. Oxid nutzen auch andere Portale und Händler, darunter der Instrumenten-Shop Kirstein, der eine "sicherheitsrelevante Auffälligkeit" bemerkte (externer Link). Beim Ticketmaster-Hack griffen die Kriminellen die Plattform direkt an und stahlen die Daten von bis zu 560 Millionen Nutzern. Und bei Booking.com schickten sie gefälschte E-Mails an Hotel-Mitarbeiter (externer Link) und brachten sie so dazu, Schadsoftware auf Hotel-PCs zu installieren.
Fazit: Keine Links anklicken, keine Daten preisgeben
Was alle Fälle verbindet: Die erbeuteten Daten verschwinden nicht. Sie werden weiterverkauft und wieder und wieder von Kriminellen verwendet. Deshalb: Keine Links anklicken. Nicht mal dann, wenn eine E-Mail von Freunden kommt.
🎧 Wie verändert KI unser Leben? Und welche KI-Programme sind in meinem Alltag wirklich wichtig? Antworten auf diese und weitere Fragen diskutieren Gregor Schmalzried, Marie Kilg und Fritz Espenlaub jede Woche in "Der KI-Podcast" – dem Podcast von BR24 und SWR.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!