Spear Phishing ist dort erfolgreich, wo gewöhnliches Phishing scheitert, weil es Masse gegen Recherche eintauscht. Bevor der Angreifer auch nur eine einzige Nachricht verschickt, analysiert er das Ziel: welche Exchange genutzt wird, in welches Projekt investiert wurde, wer die Kollegen oder Support-Kontakte sind, und manchmal sogar die öffentliche Wallet-Aktivität, die sich über einen Blockchain Explorer abrufen lässt. Die daraus entstehende E-Mail, Direktnachricht oder gefälschte Support-Anfrage verweist auf echte Details, einen kürzlichen Trade, den Namen eines tatsächlichen Mitarbeiters, einen konkreten Wallet-Saldo, wodurch sie glaubwürdig wirkt statt wie ein offensichtlicher Massenbetrug.
In der Kryptobranche ist der Einsatz ungewöhnlich hoch, da die meisten Spear-Phishing-Angriffe darauf abzielen, Zugangsdaten oder Autorisierungen zu stehlen statt direkt Geld. Eine überzeugende Nachricht kann ein Opfer auf eine geklonte Login-Seite einer Exchange leiten, dazu auffordern, eine Seed Phrase zu "verifizieren", oder einem Entwickler eine schädliche Datei zusenden, die als Jobangebot oder Vertrag getarnt ist. Der Bybit-Vorfall von 2025, bei dem die nordkoreanische Lazarus Group rund 1,5 Milliarden Dollar erbeutete, begann mit Spear Phishing gegen einen Entwickler beim Multisig-Wallet-Anbieter Safe; der kompromittierte Rechner ermöglichte es den Angreifern, das anzuzeigen zu manipulieren, was die Signer der Exchange auf dem Bildschirm sahen, während eine Transaktion freigegeben wurde. Laut Chainalysis stiegen Impersonationsbetrügereien, von denen viele auf dieser Art gezielter Recherche beruhen, im Jahr 2025 um mehr als 1.400 Prozent, da sich Angreifer zunehmend als Support-Mitarbeiter von Exchanges oder als Behördenvertreter ausgeben.
Gängige Varianten sind:
- Gefälschte E-Mails zu "Kontoverifizierung" oder einem "Sicherheitsupdate", die auf eine geklonte Login-Seite führen.
- Direktnachrichten von Accounts, die sich als bekannte Teammitglieder oder Support-Mitarbeiter ausgeben.
- Schädliche Anhänge oder Links, die an Entwickler oder Führungskräfte eines Zielunternehmens gesendet werden.
Da Blockchain-Transaktionen nach der Signierung nicht rückgängig gemacht werden können, bleibt die Überprüfung jeder ungewöhnlichen Anfrage über einen separaten, vertrauenswürdigen Kanal, bevor Zugangsdaten eingegeben oder eine Überweisung freigegeben wird, der zuverlässigste Schutz.