„Spiderman-Phishing-Kit zielt auf europäische Banken

Der vorweihnachtliche Online-Shopping-Boom wird zum Einfallstor für Cyberkriminelle: Während Millionen Europäer ihre Geschenke online kaufen, schlagen Experten Alarm. Ein neues Phishing-Werkzeug macht Banking-Betrug zur Massenware – und KI-generierte Fake-Shops überschwemmen das Netz.

Gleich zwei Entwicklungen alarmieren diese Woche die Sicherheitsbranche: Das Cybersecurity-Unternehmen Varonis entdeckte am Dienstag ein hochgefährliches Phishing-Kit namens „Spiderman”, das gezielt Kunden europäischer Großbanken attackiert. Zeitgleich warnte das FBI vor einer Welle KI-gestützter Betrugsmaschen, die sich die Hektik des Weihnachtsgeschäfts zunutze machen.

„Spiderman” markiert einen gefährlichen Wendepunkt: Das am 9. Dezember von Varonis analysierte Tool funktioniert als „Phishing-as-a-Service”-Plattform – Cyberkriminalität aus der Cloud, quasi. Selbst Angreifer ohne Programmierkenntnisse können damit täuschend echte Nachbildungen von Bank-Portalen erstellen.

Besonders brisant: Das Kit enthält vorgefertigte Module für Deutsche Bank, Commerzbank, ING (speziell Deutschland und Belgien) sowie CaixaBank. Dutzende weitere europäische Finanzinstitute und Krypto-Dienste stehen auf der Zielliste.

Passend zum Thema Phishing und Kontoübernahmen: Angreifer wie mit dem beschriebenen „Spiderman”-Kit fangen Eingaben und Einmal-Passwörter in Echtzeit ab – das schafft unmittelbare Gefahr für Kontoinhaber und Unternehmen. Ein kostenloser 4‑Schritte‑Leitfaden erklärt praxisnah, wie Sie Phishing-Versuche erkennen, Mitarbeiter schützen und technische Schutzmaßnahmen einführen. Jetzt kostenloses Anti‑Phishing‑Paket herunterladen

Die eigentliche Gefahr lauert jedoch im Detail. Anders als primitive Phishing-Versuche früherer Jahre erfasst „Spiderman” Zugangsdaten in Echtzeit – Buchstabe für Buchstabe während der Eingabe. Selbst Einmal-Passwörter (OTPs) werden abgefangen, noch bevor das Opfer die Anmeldung abschließt. Kriminelle loggen sich parallel ins echte Konto ein und umgehen so die Zwei-Faktor-Authentifizierung.

„Spiderman steht für eine gefährliche Demokratisierung der Cyberkriminalität”, warnen die Varonis-Forscher. Tatsächlich sinkt die Einstiegshürde dramatisch: Was früher Elite-Hackern vorbehalten war, können heute Kleinkriminelle gegen Abo-Gebühr nutzen.

KI erschafft perfekte Illusionen

Parallel zum Banking-Angriff explodiert die Zahl gefälschter Online-Shops. Das Sicherheitslabor Moonlock registrierte allein während des Black Friday über 2.000 betrügerische „Pop-up”-Verkaufsseiten – Tendenz steigend bis Weihnachten.

Die neue Qualität: KI-generierte Produktfotos und Bewertungen täuschen Echtheit vor. Bot-Netzwerke pushen diese Fake-Shops in Suchmaschinen-Rankings, wo Schnäppchenjäger sie finden. Nach dem Datenklau verschwinden die Seiten spurlos.

Noch raffinierter gehen Betrüger laut Malwarebytes vor: Sie missbrauchen legitime Infrastruktur wie Cloudflare Pages – eigentlich ein Service für Webentwickler – zum Hosting ihrer Phishing-Portalen. Weil diese auf vertrauenswürdigen Domains enden (.pages.dev), umgehen sie oft E-Mail-Sicherheitsfilter.

Vom Campus bis zur Konzertbühne

Die Betrugsmasche greift längst über Finanzen hinaus. Infoblox und KnowBe4 dokumentierten gestern gezielte Attacken auf über 18 US-Universitäten. Mit dem Tool „Evilginx” kapern Angreifer Single-Sign-On-Portale und erbeuten Zugänge zu Forschungsdaten.

Kurios wird es bei der Identitätsdiebstahl-Variante: Rock-Legende Alan Parsons musste am Montag klarstellen, dass Betrüger KI-generierte Musik unter seinem Namen auf Streaming-Plattformen hochladen – um Tantiemen abzugreifen. „Findige Gauner geben sich als ich aus”, kommentierte der Musiker trocken. Deepfake-Technologie klaut mittlerweile nicht nur Geld, sondern auch kulturelle Identitäten.

Der perfekte Sturm

Branchenanalystin Sarah Jenkins bringt es auf den Punkt: „Die Einstiegshürde ist praktisch verschwunden. Kombiniert man Kits wie Spiderman mit den KI-Tools aus dem gestrigen Cyble-Bericht, entsteht der perfekte Sturm. Betrugskampagnen sind billiger, sprachlich fehlerfrei und visuell vom Original nicht zu unterscheiden.”

Die Zahlen sprechen für sich: Laut Cyble verloren Amerikaner 2025 über 10,6 Milliarden Euro durch Betrug – KI-Inhalte „turboluben” die Erfolgsrate massiv. Ein Trend Micro-Report prognostiziert für 2026 „KI-skalierte” Scams: Betrüger werden Tausende personalisierte Echtzeitgespräche parallel führen können.

Was nun?

Für die verbleibenden Dezemberwochen empfehlen Experten höchste Vorsicht. Jede URL sollte genau geprüft werden – Endungen wie .pages.dev bei Banking-Links sind verdächtig. Dringende Anfragen nach Zugangsdaten, selbst von bekannten Marken, gehören hinterfragt.

Die Login-Seite auf dem Bildschirm mag perfekt aussehen – doch dahinter lauert möglicherweise ein System, das weit mehr stiehlt als nur ein Passwort.

PS: Viele Angriffe beginnen mit einer gut gemachten E‑Mail oder gefälschten Login‑Seiten – gerade in der Feiertagszeit steigt das Risiko. Unser Gratis‑Guide zeigt konkrete Abwehrschritte von Awareness‑Checks bis technischen Kontrollen und hilft, CEO‑Fraud sowie SSO‑Angriffe abzuwehren. Gratis Anti‑Phishing‑Guide jetzt anfordern