Spear-Phishing ist ein verfeinertes Phishing mit einem gezielteren persönlichen Ansatz. Daher auch die Bezeichnung Spear Phishing, wobei das englische Wort Spear für Speer steht. Bei diesem Phishing-Ansatz kann der Spear-Phisher das Vertrauen zu seiner Zielperson über Informationen aus sozialen Netzwerken aufbauen. Über die Ausbildungsstätte oder das Unternehmen in dem das potentielle Opfer mal gearbeitet hat oder über Sportaktivitäten, soziale Einstellungen, die gleiche Bank usw. Der E-Mail-Verkehr kommt anscheinend vom Arbeitgeber oder von einem Kollegen.
Mit den Mails sollen starke Motivationen ausgelöst werden. Die Gier nach besseren Renditen, hohen Zinsen oder Erbschaften, die Angst vor finanziellen und gesundheitlichen Einbrüchen, oder das Mitleid mit einem Schwerkrankten und dessen Angehörigen.
Die Vorgehensweise ist immer ähnlich. Zuerst versuchen die Spear-Phisher Vertrauen aufzubauen und nutzen dafür Insider-Informationen der sozialen Netzwerke, aus Blogs, von Webseiten oder gehackte Informationen, so dass das Opfer keinen unmittelbaren Verdacht schöpft. In der folgenden Phase senden sie dem Opfer E-Mails und entwickeln dabei alle erdenklichen Szenarien, mit der Bitte, ihnen kurzfristig persönliche Daten zu übermitteln. Und in der letzten Phase werden die potentiellen Opfer gebeten einen Link in einer E-Mail anzuklicken mit dem sie auf einer realistischen erscheinenden Webseite landen. Dort werden bestimmte persönliche Daten wie die Bankverbindung, Identifikationsnummer, der Zugangscodes und andere sicherheitsrelevante Angaben abgefragt.
Es gibt andere Spear-Phishing-Ansätze wie das Hacken von Adressbüchern und das Anschreiben der darin aufgeführten Personen unter der Authentizität dessen, dem die Mail- Adressen gehörten. Die Betrugs-Kreativität der Spear-Phisher entwickelt ständig verfeinerte Modelle. So spricht man beim Spear-Phishing, das sich auf höhergestellte Personen wie bekannte Manager, Sportler oder Politiker von Whaling.