Cyberkriminelle täuschen Opfer mit gefälschten Stellenanzeigen
Die Suche nach einer neuen Stelle ist anstrengend und zeitaufwändig - doch Stellensuchende sollten stets ihre Vorsicht walten lassen. Mit gefälschten Stellenanzeigen und einer ausgeklügelten Masche, versuchen Cyberkriminelle den Jobsuchenden Schadsoftware unterzujubeln.
Auf der Pirsch nach einem neuen Job müssen sich Stellensuchende durch hunderte oder tausende Anzeigen wälzen. Gerade bei Angeboten, die vielleicht etwas zu gut klingen, um wahr zu sein, sollte man jedoch genau hinschauen. Betrüger versuchen, mit gefälschten Stelleninseraten Schadsoftware bei ihren Opfern zu installieren. Damit können Cyberkriminelle etwa das Krypto-Wallet von Betroffenen übernehmen, wie das Nationale Zentrum für Cybersicherheit NCSC in seiner Wochenrückschau schreibt.
Der Bewerbungsprozess
Bei einem aktuellen Fall stiess ein Stellensuchender auf ein Job-Inserat im Bereich "Crypto Investments". Nach einem ersten E-Mail-Kontakt sollte der Interessent über ein Google-Docs-Formular seine persönliche Angaben ergänzen. Dabei wurde er ausserdem nach einem Krypto-Wallet gefragt, "um allfällige Gewinnbeteiligungen auszahlen zu können".
So sieht der erste Teil des Formular aus, das Betroffene mit ihren persönlichen Angaben ausfüllen sollen. (Source: NCSC)
Die Betrüger fragten den Interessenten nach seinen Krypto-Wallet-Daten. (Source: NCSC)
Nach dem Ausfüllen des Formulars hätte der Betroffene sich für eine Videokonferenz bereitmachen sollen. Dazu stellten die Betrüger eine Website mit einem Download-Link für ein Videotool bereit. Nach einer ersten Malware-Warnung des Browsers erkundigte sich der Interessent bei der Firma nach der Sicherheit des Tools, wie es weiter heisst. Die Firma habe daraufhin bekräftigt, dass alles in Ordnung sei und das Bewerbungsgespräch angeblich einzig über dieses Tool stattfinden könne. Doch dann habe auch noch der Virenscanner vor der Software gewarnt, weshalb sich der Mann an das NSCS gewandt habe.
Das Tool enthält einen Keylogger, mit dem Auswärtige die Tastatureingaben überwachen und abfangen können. (Source: zVg)
Der Betrugsversuch
Die Analyse des NSCS hat ergeben, dass es sich hierbei um eine aufwändige Betrugsmasche handelt. Das Stelleninserat diene einzig zum Zweck der Täuschung potenzieller Bewerberinnen und Bewerber. Für die Kontaktaufnahme mit den Stellensuchenden hätten die Betrüger vorgängig eine eigene Domain eingerichtet. Diese soll der Domain der jeweils zu imitierenden Firma sehr ähnlich aussehen. So schöpft das Opfer keinen Verdacht, wie es weiter heisst.
Am selben Tag hätten die Kriminellen eine weitere Domain registriert, über diese die Jobsuchenden das "Tool" für die Videokonferenz herunterladen sollten. Mit diesem Tool könne man auch tatsächlich an einer Videokonferenz teilnehmen, jedoch befände sich auch ein Keylogger darin. Damit wären Kriminelle in der Lage, Tastatureingaben auf dem Gerät des Bewerbers aufzeichnen.
Öffnet die Bewerberin oder der Bewerber das Tool, würde der Betrug wie ablaufen: Da die Kriminellen bereits im Besitz der die Wallet-ID des Bewerbers seien, bräuchten sie einzig und alleine das Passwort. Um dies zu erlangen, würden sie ihr Opfer in der Videokonferenz fragen, ob er oder sie sich in das Wallet einloggen könne. Der Keylogger registriere diese Eingabe und sende das Passwort an die Angreifer. Damit könnten die Kriminellen das Wallet übernehmen und die Kryptowährung auf eigene Konten transferieren.
Empfehlungen des NCSC
Das NCSC schlägt folgende Massnahmen vor, um sich vor Betrugsmaschen zu schützen.
- Prüfen Sie bei Kontaktaufnahmen, ob die Nachrichten sprachlich und stilistisch passen.
- Gehen Sie Ihrem Verdacht nach, wenn Sie den Eindruck haben, dass die Ausschreibung falsch sei. Fragen Sie gegebenenfalls auch telefonisch bei der Firma nach.
- Brechen Sie einen Download oder ein Programm ab, sobald Ihr Virenscanner Alarm schlägt oder sich eine Browser-Warnung einschaltet.
- Geben Sie Ihre Daten nicht zu früh preis. So sind Kontodaten erst nach und nicht vor einer Zusage relevant.
Microsoft bietet Unternehmen ein Angriffssimulationstraining, um Mitarbeitende bezüglich Phishing-Gefahren zu sensibilisieren. Die simulierten Phishing-Mails von Microsoft enthielten jedoch nichtregistrierte Domains, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.