Glossar

Spear Phishing

Auch: gezieltes Phishing, Whaling, CEO-Phishing, Spear-Phishing

Spear Phishing ist gezieltes Phishing auf eine bestimmte Person. Die Nachricht ist persönlich zugeschnitten und dadurch besonders überzeugend.

Spear Phishing ist eine besonders gefährliche Form von Phishing. Statt massenhaft gleiche Mails zu verschicken, nehmen die Täter eine bestimmte Person ins Visier. Die Nachricht ist mit echten Details – Name, Position, laufende Projekte, Kollegen – persönlich zugeschnitten und wirkt dadurch sehr glaubwürdig.

Bekannte Beispiele aus der Praxis

  • Gefälschte Mail vom Chef: „Ich sitze im Meeting und brauche dringend eine vertrauliche Überweisung an dieses Konto." Klingt nach dem echten Vorgesetzten, ist aber CEO-Fraud. Oft mit leicht veränderter Absenderadresse – siehe Spoofing.
  • Rechnung an die Buchhaltung: „Anbei die aktualisierte Bankverbindung unseres Lieferanten." Die Mail nennt echte Projektnamen und Kollegen aus dem Datenleck oder von LinkedIn.
  • Privatperson mit persönlicher Anrede: „Hallo Anna, wegen deiner Bestellung bei …" – obwohl du tatsächlich dort bestellt hast, ist der Link gefälscht.
  • Whaling: Spear Phishing gegen Geschäftsführung oder Vorstand – größere Summen, höherer Schaden.

Die nötigen Informationen sammeln die Täter vorab aus sozialen Netzwerken, der Unternehmens-Webseite oder früheren Datenlecks.

Spear Phishing, Phishing und Whaling

  • Phishing: Massenhafte, oft unpersönliche Masche an viele Empfänger.
  • Spear Phishing: Gezielt eine Person mit echten Details.
  • Whaling: Spear Phishing auf Führungskräfte – Einstieg in CEO-Fraud.

Daran erkennst du es

  • Eine ungewöhnliche Bitte, die aber persönlich und plausibel klingt.
  • Zeitdruck und der Wunsch nach Vertraulichkeit.
  • Eine leicht abweichende Absenderadresse – zum Beispiel max.mueller@firma.com statt max.mueller@firma.de.
  • Anhänge oder Links, die nicht zum üblichen Ablauf passen.

So schützt du dich

  • Sei auch bei persönlich wirkenden Mails wachsam.
  • Ungewöhnliche Anweisungen über einen zweiten, bekannten Kanal rückfragen – anrufen, nicht auf die Mail antworten.
  • Keine Daten oder Zahlungen allein auf eine E-Mail hin.
  • In Firmen: klare Regeln für Zahlungen und vertrauliche Anweisungen per Mail.

Verdächtige Absender oder Links kannst du mit dem Fake-Checker prüfen. Aktuelle Phishing-Wellen im Überblick: Phishing-Radar der Verbraucherzentrale.

Was tun, wenn du reingefallen bist?

Häufige Fragen

Betrifft Spear Phishing nur Firmen?
Nein. Auch Privatpersonen werden gezielt angesprochen, zum Beispiel mit persönlichen Details aus sozialen Netzwerken oder früheren Datenlecks. In Firmen ist es häufiger und oft teurer – dort spricht man bei der Chefetage von Whaling.
Wie unterscheidet sich Spear Phishing von normalem Phishing?
Normales Phishing schickt dieselbe Massen-Mail an viele Empfänger. Spear Phishing ist auf dich zugeschnitten: dein Name, dein Arbeitgeber, ein laufendes Projekt. Deshalb fällt es schwerer auf.
Ich habe auf einen Link geklickt und mich angemeldet. Was jetzt?
Passwort sofort ändern, Zwei-Faktor-Authentifizierung prüfen, IT-Abteilung oder Anbieter informieren. Bei Firmen-Konten zusätzlich Vorgesetzte und IT einschalten. Verdächtige Absender vom Fake-Checker prüfen lassen.

Verwandte Themen

Bist du auf etwas Verdächtiges gestoßen?

Du bist diesem Begriff in der Praxis begegnet? Prüfe die verdächtige Webseite, E-Mail oder Nachricht jetzt kostenlos mit unserem Fake-Checker.

[▶ JETZT FAKE PRÜFEN ]