Eine neu entdeckte Phishing-as-a-Service (PhaaS)-Plattform namens Spiderman professionalisiert den Betrug rund um Online-Banking und Kryptowaehrungen in Europa. Die von Varonis dokumentierte Infrastruktur richtet sich gegen Kunden grosser Banken, Fintech-Dienste und Kryptowaellets und erlaubt es Kriminellen, hochgradig realistische Login-Seiten zu generieren, Zugangsdaten abzugreifen und sogar Zwei-Faktor-Codes (2FA) in Echtzeit zu stehlen.
Was die PhaaS-Plattform Spiderman so gefaehrlich macht
PhaaS-Modelle verwandeln Phishing in ein „Crime-as-a-Service“-Geschaeft: Angreifer muessen keine eigene Infrastruktur mehr aufbauen, sondern mieten einen fertigen Werkzeugkasten. Spiderman automatisiert den gesamten Angriffszyklus – von der Weiterleitung des Opfers auf eine gefaelschte Seite bis zur strukturierten Auswertung der erbeuteten Daten ueber ein Web-Dashboard.
Statt simpler, statischer Phishing-Seiten bietet Spiderman eine webbasierte Kontrolloberflaeche, ueber die Operatoren Sitzungen in Echtzeit verfolgen. So koennen sie Login-Daten, Einmalpasswoerter und Zahlungsinformationen genau in dem Moment abfangen, in dem das Opfer sie eingibt. Das senkt die technische Einstiegshuerde erheblich und erhoeht gleichzeitig die Erfolgsquote der Kampagnen.
Internationale Studien wie der Verizon Data Breach Investigations Report und der ENISA Threat Landscape Report fuehren Phishing seit Jahren als einen der haeufigsten Initialvektoren fuer Kompromittierungen auf. Plattformen wie Spiderman verstaerken diesen Trend, weil sie professionelle Angriffsfaehigkeiten massenhaft skalierbar machen.
Zielsektoren: Online-Banking, Fintech und Kryptowaellets
Varonis berichtet, dass Spiderman gezielt Nutzer grosser europaeischer Banken adressiert, darunter Deutsche Bank, ING, Comdirect, Blau, O2, CaixaBank, Volksbank, Commerzbank und weitere Institute in mehreren EU-Laendern. Fuer jede Marke stehen spezialisierte Templates bereit, die Originalseiten des Online-Bankings optisch nahezu perfekt nachbilden.
Die Plattform beschraenkt sich nicht auf klassische Giro- und Kreditkonten. Sie unterstuetzt ebenso Phishing-Kampagnen gegen Fintech-Dienste wie Klarna sowie gegen PayPal. So werden sowohl alltägliche Bezahlvorgaenge als auch Ratenkaeufe oder P2P-Zahlungen ins Visier genommen – ein attraktives Ziel, weil hier oft hohe Transaktionsvolumina zusammenlaufen.
Besonders kritisch ist die Unterstuetzung fuer Kryptowaellets wie Ledger, MetaMask und Exodus. Hier zielt Spiderman nicht nur auf normale Logins, sondern explizit auf die Seed-Phrases und Recovery-Woerter. Wer diese einmal preisgibt, verliert die Kontrolle ueber seine Kryptowerte dauerhaft, da Angreifer Wallets auf beliebigen Geraeten rekonstruieren koennen.
Funktionen: Echtzeit-2FA-Diebstahl, PhotoTAN-Manipulation und Targeting
Echtzeit-Session-Hijacking und 2FA-Abgriff
Ein Kernelement von Spiderman ist der Diebstahl von Zwei-Faktor-Authentifizierungsdaten in Echtzeit. Ueber die Verwaltungsoberflaeche koennen Angreifer:
- Logins und Passwoerter von Online-Banking- und Fintech-Konten erfassen,
- SMS-OTP und App-basierte Einmalcodes mitlesen,
- Transaktionsfreigaben und Bank-Token-Codes abfangen,
- vollstaendige Kredit- und Debitkartendaten erheben.
Besonders hervorzuheben ist die Unterstuetzung fuer PhotoTAN-Verfahren, die in Europa weit verbreitet sind. Normalerweise scannt der Kunde eine farbige Grafik mit der offiziellen Banking-App und erhaelt ein fuer eine konkrete Transaktion gueltiges Einmalpasswort. Spiderman simuliert diesen legitimen Ablauf und veranlasst das Opfer, einen gueltigen PhotoTAN-Code einzutragen, den die Angreifer in Sekundenbruchteilen fuer eigene Ueberweisungen missbrauchen koennen.
Feingranulares Targeting und Tarnung
Spiderman bietet weitreichende Targeting-Optionen, um Risiko und Sichtbarkeit der Kampagnen zu steuern. Angreifer koennen:
- Angriffe auf bestimmte Laender oder Mobilfunkanbieter begrenzen,
- Whitelists definieren, um etwa Sicherheitsforscher oder Regulierungsbehoerden auszusparen,
- gezielt nur Mobilgeraete oder nur Desktops ansprechen,
- Nicht-Zielgruppen unauffaellig auf echte Webseiten weiterleiten, um keinen Verdacht zu erregen.
Diese granularen Filter erhoehen die Konversionsrate der Kampagnen und erschweren gleichzeitig die Detektion durch Sicherheitsprodukte und Analysten, da ein grosser Teil des Traffics unauffaellig erscheint.
Modulare Architektur und Entwicklung der Bedrohungslage
Spiderman ist laut Analyse modular aufgebaut: neue Banken, Portale und Authentifizierungsverfahren koennen als eigenstaendige Module hinzugefuegt werden. Damit laesst sich die Plattform schnell an geaenderte Benutzeroberflaechen, neue PSD2- und SCA-Anforderungen oder weitere Finanzdienstleister anpassen.
Mit der fortschreitenden Digitalisierung von Bank- und Kryptodiensten verschiebt sich der Angriffsschwerpunkt zunehmend in den Human Layer. Die technische Absicherung der Infrastrukturen steigt, waehrend Nutzer ueber Social Engineering und PhaaS-Loesungen wie Spiderman umgangen werden. Angesichts dieser Entwicklung reicht es nicht mehr, nur auf Firewalls und Virenscanner zu setzen; Awareness, starke Authentifizierung und kontinuierliches Monitoring werden zum zentralen Erfolgsfaktor.
Schutz vor Spiderman und moderner Phishing-Infrastruktur
Obwohl Spiderman technisch ausgereift ist, basiert jeder Angriff auf demselben Grundprinzip: Das Opfer muss eine manipulierte Seite aufrufen und sensible Daten selbst eingeben. Entsprechend bleibt digitale Grundhygiene die wichtigste Verteidigungslinie. Nutzer sollten:
- Domaennamen in der Adresszeile sorgfaeltig pruefen, bevor sie Login-Daten, 2FA-Codes oder Kartendetails eingeben.
- Keine Links aus E-Mails, SMS oder Messengern von vermeintlichen Banken oder Zahlungsdiensten anklicken, sondern Adressen manuell eintippen oder offizielle Apps nutzen.
- Auf Anzeichen fuer Browser-in-the-Browser (BiTB)-Fenster achten: Wird das Login-Fenster wie Teil der Seite und nicht wie ein eigenes Browserfenster dargestellt, ist Vorsicht geboten.
- Passwortmanager einsetzen; diese fuellen Zugangsdaten nur auf den exakt passenden Domaenen aus und „erkennen“ viele Phishing-Seiten nicht.
- Wenn moeglich auf FIDO2-Sicherheitsschluessel oder Hardware-Tokens umsteigen, die kryptographisch an die echte Domaene gebunden sind und gestohlene Einmalcodes obsolet machen.
- In Unternehmen Mail-Gateways mit Anti-Phishing-Funktion, Schulungen mit Phishing-Simulationen und Monitoring auf anomale Kontoaktivitaeten etablieren.
Die Professionalisierung von Phishing durch Plattformen wie Spiderman zeigt, wie dynamisch sich der Untergrundmarkt an neue Finanztechnologien anpasst. Wer Online-Banking, Fintech-Dienste oder Kryptowaellets nutzt, sollte seine Sicherheitspraktiken regelmaessig ueberpruefen, neue Angriffsmuster kennen und Misstrauen gegenueber unerwarteten Login- oder Freigabeaufforderungen kultivieren. Je konsequenter Nutzer und Unternehmen mehrstufige Schutzmassnahmen umsetzen, desto weniger Angriffsraum bleibt PhaaS-Oekosystemen wie Spiderman.
