Blog Datensicherheit

Spiderman Phishing-Kit imitiert Top-europäische Banken mit wenigen Klicks

Sehen Sie, wie Spiderman, ein neues Phishing-Kit für Kunden europäischer Banken, funktioniert. Das Kit bietet Echtzeit-Anmeldedatendiebstahl, OTP-Erfassung und erweiterte Filterung.
Daniel Kelley
3 Min. Lesezeit
Letzte Aktualisierung am 13. Februar 2026
Spiderman Phishing Kit

Contents

    Ein neues Phishing-Kit namens Spiderman erleichtert es Angreifern, ein umfangreiches Netz von Angriffen zu spinnen, die auf Kunden von Dutzenden europäischer Banken und Online-Finanzdienstleister abzielen.

    Dieses Kit zeichnet sich durch seine professionelle Struktur und seinen breiten Zielbereich aus, der mehrere Länder und sogar Kryptowährungsplattformen umfasst. Die organisierte Oberfläche bietet Cyberkriminellen eine All-in-One-Plattform, um Phishing-Kampagnen zu starten, Anmeldeinformationen zu erfassen und gestohlene Sitzungsdaten in Echtzeit zu verwalten. 

    Dieses Maß an Automatisierung bedeutet, dass Angreifer keine Webentwicklungs- oder Phishing-Expertise mehr benötigen. Das ist Teil eines alarmierenden Trends, den wir weiterhin beobachten, da funktionsreiche Tools (SpamGPT, MatrixPDF, Atroposia) groß angelegte Angriffe einfacher machen als je zuvor. In der Praxis reduziert es das Phishing europäischer Banken auf wenige Klicks: Man wählt eine Bank aus, startet einen pixelgenauen Klon und versendet eine vorgefertigte Köder-E-Mail, die aussieht, als käme sie vom echten Institut.

    Spiderman ist ein Full-Stack-Phishing-Framework, das Dutzende europäischer Bank-Login-Seiten und sogar einige Regierungsportale nachbildet. Während Phishing-Kits für einzelne Banken weit verbreitet sind, fasst Spiderman mehrere europäische Finanzmarken in einem Kit zusammen, um länderübergreifende Angriffe in großem Umfang zu ermöglichen. Es umfasst Module für Banken wie Deutsche Bank, Commerzbank, ING (Deutschland & Belgien), CaixaBank und mehrere Anbieter von Krypto-Wallets.

    Zusammengenommen deutet diese Breite auf ein Framework hin, das bereits in großem Umfang verwendet wird. Eine Signal-Messenger-Gruppe, die mit dem Verkäufer hinter Spiderman in Verbindung steht, umfasst etwa 750 Mitglieder, was auf eine große, aktive Nutzergemeinschaft und eine anhaltende Verbreitung des Bausatzes schließen lässt.

    Understand how threats exploit trust with The Attacker's Playbook.
    Download now
    AttackersPlaybook_MockupNoShadow-1

    Eine länderübergreifende Bedrohung mit mehrjährigen Auswirkungen

    Spiderman ist nicht das erste europäische Banken-Phishing-Kit, aber sein Umfang, seine Raffinesse und seine grenzüberschreitende Reichweite machen es zu einem der gefährlichsten, die wir in diesem Jahr analysiert haben, das auf die Finanzbranche abzielt.

    1. Konsolidierung von Zielen in einer einzigen Schnittstelle

    Die meisten Phishing-Kits konzentrieren sich auf eine einzelne Bank oder Region. Spiderman vereint Dutzende Institutionen in fünf Ländern. Dies erhöht die Effizienz und ermöglicht es Angreifern, schnell zwischen Regionen zu wechseln.

    2. Zielgerichtete Angriffe, die herkömmliche Erkennungsmethoden umgehen

    Durch ISP-Whitelisting, Geoblocking und Gerätefilterung wird die Sichtbarkeit für Cyber-Security-Experten durch Spiderman drastisch reduziert. Viele Phishing-Erkennungsprodukte sind so konzipiert, dass sie die Infrastruktur scannen, die dieses Kit explizit herausfiltert.

    3. Starke Unterstützung für Kryptodiebstahl

    Module zur Erfassung von Krypto-Seedphrasen („Ledger Seedphrase“, „Metamask Seedphrase“, „Exodus Seedphrase“) signalisieren eine Verlagerung hin zu hybriden Bank- und Krypto-Betrugsoperationen.

    4. Das Abfangen von OTPs in Echtzeit wird zur Norm.

    Die Einbeziehung von Phototan und OTP-Capture deutet auf ein hohes Maß an allgemeiner Raffinesse hin. Europäische Banken, die sich auf die TAN-Authentifizierung verlassen, sind besonders gefährdet.

    5. Langfristige Entwicklung ist unvermeidlich

    Da Spiderman modular ist, können neue Banken, Portale und Authentifizierungsmethoden hinzugefügt werden. Mit der Einführung aktualisierter E-Banking-Prozesse in europäischen Ländern wird sich dieses Kit voraussichtlich parallel weiterentwickeln.

    Spiderman Phishing Kit modules

    Angreifer, die Spiderman verwenden, wählen die Bank oder den Dienst aus, den sie imitieren möchten, klicken auf „Diese Bank indexieren“, und das Kit erstellt automatisch eine Phishing-Seitenkopie mit Anmeldeinformationen, Passwortabfragen, PhotoTAN/2FA-Aufforderungen und Kreditkarteneingabeformularen. 

    Im Inneren des Spiderman-Bedienfelds.

    Das Bediener-Dashboard zeigt Opfersitzungen in Echtzeit an und verfolgt den Status jedes Ziels, die gewählte Bank, Benutzereingaben und Maschinendetails. Die Schnittstelle unterstützt mehrere Funktionen zur Optimierung von Angriffen, einschließlich:

    • Live-Sitzungsüberwachung
    • Ein-Klick-Export von Anmeldeinformationen
    • PhotoTAN-Erfassung (OTP-Abfangen in Echtzeit)
    • Vollständige Kreditkarten- und Identitätserfassung
    Spiderman Phishing Kit control panel

    Die Benutzeroberfläche zeigt, dass der Operator, sobald ein Opfer seine ersten Anmeldedaten eingegeben hat, zusätzliche Aufforderungen auslösen kann, z. B. nach einer Kreditkartennummer, einem Ablaufdatum, einer Telefonnummer oder einem PhotoTAN-Code.

    Dieser flexible, mehrstufige Ansatz ist besonders effektiv bei europäischem Bankbetrug, wo allein Zugangsdaten oft nicht ausreichen, um Transaktionen zu autorisieren. Nach der Erfassung der Anmeldedaten protokolliert Spiderman jede Sitzung mit einer eindeutigen Kennung, damit der Angreifer die Kontinuität des gesamten Phishing-Workflows aufrechterhalten kann.

    Erweiterte Targeting- und Filterfunktionen

    Spiderman verfügt über ein ungewöhnlich detailliertes Zugriffskontrollmodul, mit dem Angreifer einschränken können, wer die Phishing-Seite laden darf. Das Modul ist so konzipiert, dass es die exposure minimiert, Sicherheitsforscher blockiert und sicherstellt, dass nur legitime Ziele die schädliche Website erreichen. Wichtige Funktionen sind:

    • Länderfreigabe – Nur Datenverkehr aus bestimmten Ländern zulassen (Deutschland, Österreich, Schweiz, Belgien usw.).
    • ISP/ASN-Whitelisting – Besuche von bekannten Rechenzentren, VPNs oder unerwünschten Netzwerken ausschließen.
    • Gerätetypfilterung – Die Phishing-Seite wird nur bestimmten Gerätetypen (Desktop, Mobilgeräte, Android, iOS) angezeigt.
    • Benutzerdefinierte Weiterleitungssteuerung – Unerwünschte Besucher werden anstelle der Phishing-Seite zu Google oder einer anderen harmlosen Seite umgeleitet.
    Spiderman Phishing Kit features

    Diese Anti-Analyse-Kontrollen ermöglichen es dem Kit, automatisierte Crawler, Sicherheitsscanner und Tools zur Bedrohungsanalyse zu umgehen, was die Erkennung insgesamt erschwert.

    Wie Spiderman Zugangsdaten in Echtzeit stiehlt

    Sobald ein Opfer seinen Bankbenutzernamen und sein Kennwort eingegeben hat, sendet das Kit diese Daten sofort an das Bedienerpanel. Die Operatoren können dann in Echtzeit weitere Anfragen auslösen.

    01

    Das folgende Beispiel zeigt, wie das Kit ein vollständiges Identitätspaket aus einer einzelnen Opfersitzung erfasst, einschließlich:

    • Benutzername und Passwort
    • Vollständiger Name
    • Telefonnummer
    • Geburtstagsdatum
    • Kreditkartendaten
    • Benutzeragent- und IP-Metadaten

    Dies sind mehr als ausreichende Informationen für Kontoübernahmen, SIM-Swap-Angriffe, Kreditkartenbetrug und Identitätsdiebstahl. Betreiber können Sitzungen auch als „Abgeschlossen“ markieren, sobald der Workflow beendet ist, um gestohlene Daten für spätere Ausbeutung organisiert zu halten.

    Wie Varonis Interceptor helfen kann

    Varonis Interceptor ist darauf ausgelegt, Phishing-Kits wie Spiderman zu erkennen und zu stören, bevor sie Ihre Mitarbeiter täuschen. Als KI-basierte E-Mail-Sicherheitslösung eignet sich Interceptor hervorragend zum Aufspüren von Phishing-E-Mails, die von herkömmlichen Filtern möglicherweise übersehen werden.

    Interceptor analysiert Nachrichten auf mehreren Ebenen und untersucht Sprache, Tonfall, Logos und sogar die URLs, die sich hinter „Hier klicken“-Links verstecken, um subtile Anzeichen von Betrug zu erkennen. Phishing-Köder, die sich als Bankportale oder dringende Überweisungsanfragen ausgeben, werden markiert und unter Quarantäne gestellt, damit sie nicht in den Posteingang gelangen.

     

    Hinweis: Dieser Blog wurde mit Hilfe von KI übersetzt und von unserem Team überprüft.

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Daniel Kelley
    Daniel Kelley Daniel Kelley is a Senior Security Researcher that works with Varonis. Daniel's research topics include the latest threats and tactics employed by cybercriminals, particularly those involving BEC, phishing, smishing, social engineering, and other attacks that exploit the human element.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    varonis-saas:-schnelle-und-einfache-cloud-bereitstellung-ohne-agenten
    Varonis SaaS: Schnelle und einfache Cloud-Bereitstellung ohne Agenten
    varonis-saas:-schnelle-und-einfache-cloud-bereitstellung-ohne-agenten
    Pranit Mallela
    13. Februar 2026
    Die Cloud-native Datensicherheitsplattform von Varonis lässt sich in wenigen Minuten bereitstellen und bietet sofortigen Schutz in großem Umfang
    reprompt:-der-microsoft-copilot-angriff-der-ihre-personenbezogenen-daten-mit-einem-klicken-stillschweigend-stiehlt.
    Reprompt: Der Microsoft-Copilot-Angriff der Ihre personenbezogenen Daten mit einem Klicken stillschweigend stiehlt.
    reprompt:-der-microsoft-copilot-angriff-der-ihre-personenbezogenen-daten-mit-einem-klicken-stillschweigend-stiehlt.
    Dolev Taler
    21. Januar 2026
    Varonis Threat Labs hat eine Möglichkeit entdeckt, die Sicherheitsvorkehrungen von Copilot zu umgehen, die dunkelsten Geheimnisse der Anwender zu stehlen und einer Erkennung zu entgehen.
    varonis-gibt-neue-microsoft-purview-data-security-posture-management-integration-bekannt.
    Varonis gibt neue Microsoft Purview Data Security Posture Management-Integration bekannt.
    varonis-gibt-neue-microsoft-purview-data-security-posture-management-integration-bekannt.
    Shawn Hays
    24. November 2025
    Die Integration zwischen Varonis und Purview unterstützt Unternehmen dabei, ihre kritischen Daten zu sehen und zu kennen – unabhängig davon, wo sie sich befinden.