„Spiderman” – nowy phishing-as-a-service na celowniku europejskich banków

Wprowadzenie do problemu / definicja luki

Na podziemnych rynkach pojawił się nowy phishing kit o nazwie „Spiderman”, który umożliwia przestępcom szybkie uruchamianie kampanii podszywających się pod dziesiątki europejskich banków, fintechy (np. Klarna, PayPal) oraz portfele kryptowalut (Ledger, MetaMask, Exodus). Zestaw generuje pikselowe klony stron logowania, gromadzi hasła, kody 2FA/OTP, a nawet dane kart płatniczych – i to w czasie rzeczywistym dzięki panelowi operatorskiemu. Badacze z Varonis wskazują też popularność narzędzia (grupa na Signal ~750 członków), co sugeruje aktywne wykorzystanie na szeroką skalę.

W skrócie

• Zakres: banki w min. pięciu krajach UE (m.in. Deutsche Bank, ING, Comdirect, Volksbank, Commerzbank, CaixaBank), wybrane usługi fintech i krypto.
• Funkcje: real-time podgląd sesji ofiary, przechwytywanie OTP/PhotoTAN, pełne formularze KYC/kartowe, eksport danych 1-kliknięciem, filtrowanie geo/ISP/urządzeń, przekierowania „niepożądanych” wizyt.
• Model: gotowy framework PhaaS, obniżający wymagane umiejętności do „kilku klików”, co zwiększa skalę i tempo ataków.

Kontekst / historia / powiązania

Zestawy Phishing-as-a-Service (PhaaS) od lat demokratyzują oszustwa, jednak „Spiderman” wyróżnia się konsolidacją wielu marek bankowych w jednym interfejsie oraz naciskiem na przechwytywanie OTP. Trend automatyzacji i „klikowego” klonowania portali finansowych jest szeroko opisywany w najnowszych analizach branżowych.

Analiza techniczna / szczegóły luki

Architektura i panel operatorski

• Panel wyświetla na żywo sesje ofiar (login → kolejne kroki weryfikacji), pozwala wyzwalać dodatkowe żądania (np. prośba o PhotoTAN, numer karty, dane osobowe), oznaczać sesje jako „zakończone” i eksportować zebrane rekordy.
• Modułowość: nowe banki, portale i metody uwierzytelniania można dokładać w formie modułów, co przyspiesza adaptację do zmian w e-bankowości.

Klonowanie i zbieranie danych

• Mechanizm „Index This Bank” automatycznie przygotowuje klon strony logowania + widoki 2FA/PhotoTAN i formularze kartowe. Dane (login/hasło, PII, numer telefonu, karta, metadane UA/IP) są przekazywane do panelu w czasie rzeczywistym.

Omijanie zabezpieczeń i ukrywanie się

• Geo-whitelisting, whitelisty ISP/ASN, filtrowanie urządzeń (desktop/mobile/Android/iOS) oraz customowe przekierowania ograniczają widoczność kampanii w crawlerach i narzędziach TI. To utrudnia wykrycie i analizę automatyczną.

2FA w Europie: PhotoTAN

• „Spiderman” obsługuje PhotoTAN – mozaikowy obraz skanowany aplikacją bankową, generujący OTP specyficzny dla transakcji. Przechwytywanie PhotoTAN/OTP w czasie rzeczywistym sprawia, że same loginy nie wystarczą do ochrony kont.

Praktyczne konsekwencje / ryzyko

• Przejęcie kont bankowych (ATO) i fraud transakcyjny – atakujący posiadają komplet: poświadczenia + OTP + dane karty.
• SIM-swapping / kradzież tożsamości – pełne pakiety PII ułatwiają dalsze nadużycia (kredyty, subskrypcje, wyłudzenia).
• Multi-platformowy wektor – jednoczesne uderzenia w bankowość i krypto zwiększają skalę szkód.

Rekomendacje operacyjne / co zrobić teraz

Dla SOC/Blue Team (banki, fintechy)

1. Zasilcie detekcję o wskaźniki kampanii PhaaS: korelacje krótkotrwałych klonów domen, certyfikatów DV, hostingu w ASN-ach „residential proxy” i nietypowych łańcuchach przekierowań (przynęta → filtr → klon).
2. WAF/EDR + threat intel: reguły na zachowania strony logowania (np. nietypowe pola/żądania PhotoTAN poza standardowym flow), rozpoznawanie fingerprinting JS i anti-bot typowych dla kitów.
3. Telemetryka 2FA: alertuj niespójności – OTP/PhotoTAN żądany bez akcji użytkownika; wiele żądań OTP w krótkim czasie; logowanie i autoryzacja z różnych AS/urz. w obrębie jednej sesji. (Wskazany przez Varonis real-time model ataku.)
4. Brand protection/Takedown: szybkie seeding i zgłaszanie nowych klonów, automatyczne crawler-y z residential vantage points (obejście geo/ASN filtrów stosowanych przez kit).
5. Transakcyjne „risk-based auth”: silniejsze reguły dla receiver novelty (nowy odbiorca), amount anomaly, wymuszony out-of-band potwierdzeń (push z opisem transakcji, nie tylko kod).

Dla działów biznesu/bezpieczeństwa klienta

• UX komunikatów: w aplikacji i WWW wyświetlaj ostrzeżenia kontekstowe o trwających kampaniach (np. „Uwaga: nie podawaj kodu PhotoTAN, jeśli to nie Twoja akcja”).
• Aktywne edukacje: krótkie, cykliczne in-app bannery i SMS-y o phishingu na markę – zwłaszcza przy wzmożonej aktywności PhaaS. BleepingComputer podkreśla, że kliknięcie linku do fałszywej domeny jest wciąż warunkiem powodzenia ataku.

Dla użytkowników (polskich i UE)

• Sprawdzaj domenę przed logowaniem i unikaj linków z SMS/e-mail prowadzących „na skróty”.
• Nie podawaj PhotoTAN/OTP, jeśli nie inicjowałeś logowania/operacji — to silny sygnał przejęcia.
• Używaj aplikacji bankowej do wchodzenia na konto (głębokie linki oficjalne), a nie linków z wiadomości.
• Zgłaszaj podejrzane strony bankowi; w razie wątpliwości zablokuj kartę i zmień hasło.

Różnice / porównania z innymi przypadkami

• W porównaniu z typowymi kitami „single-brand”, „Spiderman” konsoliduje dziesiątki marek i krajów w jednym panelu, co znacząco podnosi efektywność i rotację kampanii.
• Na tle wcześniejszych fal oszustw bankowych w Europie, gdzie 2FA omijano głównie przez malware w przeglądarce/na telefonie, tutaj kluczowe jest interaktywne przechwytywanie OTP/PhotoTAN w czystym phishingu (bez infekowania urządzeń). Dziennikarskie relacje branżowe potwierdzają „klikowe” klonowanie i real-time kradzież OTP.

Podsumowanie / kluczowe wnioski

„Spiderman” to zaawansowany PhaaS przystosowany do realiów europejskiej bankowości: obsługa PhotoTAN/OTP, szerokie targetowanie wielomarkowe, anty-analiza (geo/ISP/device), a do tego niski próg wejścia dla napastników. W praktyce oznacza to wzrost wolumenu i skuteczności kampanii podszywania się pod banki oraz większe ryzyko ATO i fraudu. Organizacje finansowe powinny priorytetowo wzmocnić detekcję na poziomie zachowań sesji i 2FA, a klienci – unikać linków i nie autoryzować niczego, czego sami nie zainicjowali.

Źródła / bibliografia

1. B. Toulas, BleepingComputer: New Spiderman phishing service targets dozens of European banks (10 grudnia 2025). (BleepingComputer)
2. Varonis Threat Labs: Spiderman Phishing Kit Mimics Top European Banks With A Few Clicks (9 grudnia 2025, aktualizacja). (Varonis)
3. eSecurityPlanet: Spiderman phishing kit lets attackers clone European banks in seconds (10 grudnia 2025). (eSecurity Planet)
4. (Dodatkowe tło) Zestawienie wpisów Varonis – sekcja Threat Research. (Varonis)