Job-Betrug: Cyber-Angriffe über gefälschte Stellenanzeigen
Die neue Dimension des Job-Betrugs
Professionelle Betrüger nutzen gefälschte Stellenausschreibungen für ausgeklügelte Hacker-Angriffe auf Unternehmen. Was als harmlose Jobsuche beginnt, endet mit gestohlenen Firmendaten und gehackten Konten. Cybersicherheitsforscher warnen vor einer neuen Qualität des Betrugs, die weit über herkömmliche Identitätsdiebstähle hinausgeht.
Die jüngsten Erkenntnisse zeigen: Eine vietnamesische Hackergruppe namens UNC6229 lockt gezielt Marketing-Fachkräfte mit falschen Remote-Jobs auf LinkedIn in die Falle. Parallel dazu setzt Nordkoreas berüchtigte Lazarus-Gruppe ihre “Operation Dream Job” fort und visiert europäische Rüstungsunternehmen an. Beide Kampagnen nutzen seriöse Plattformen und vertrauenswürdige Geschäftstools, um ihre Opfer zu täuschen.
Moderne Stellenbetrug hat sich zu komplexen, mehrstufigen Operationen entwickelt. Die vietnamesische Gruppe UNC6229 kontaktiert Bewerber nach deren Bewerbung auf gefälschte Marketing-Positionen. Um Vertrauen aufzubauen und Sicherheitsfilter zu umgehen, missbrauchen die Angreifer häufig CRM-Tools wie Salesforce für ihre betrügerische Kommunikation.
Der Angriff folgt dann zwei möglichen Wegen: Malware-Verbreitung oder Credential-Phishing. Im ersten Szenario erhalten Bewerber ein passwortgeschütztes ZIP-Archiv, getarnt als Fähigkeitstest oder Einstellungsformular. Diese Datei enthält Remote-Access-Trojaner (RATs), die den Angreifern nach der Ausführung vollständige Kontrolle über das System des Opfers verschaffen.
Die Phishing-Variante leitet Opfer zu überzeugenden gefälschten Anmeldeportalen für Dienste wie Microsoft 365 oder Okta weiter. Diese sind darauf ausgelegt, Unternehmens-Anmeldedaten zu stehlen – selbst solche, die durch Zwei-Faktor-Authentifizierung geschützt sind.
Anzeige: Übrigens: Viele Angriffe starten heute über Messenger, E-Mail oder Apps direkt auf dem Smartphone. Ein kostenloser Ratgeber zeigt die 5 wichtigsten Maßnahmen, mit denen Sie Ihr Android-Gerät ohne teure Zusatz-Apps absichern – Schritt für Schritt für WhatsApp, Online-Banking, PayPal und Shopping. So schließen Sie häufig unterschätzte Lücken und schützen Daten und Konten wirksam. Gratis-Sicherheitspaket für Android anfordern
Nordkoreas “Operation Dream Job” im Visier
Während manche Angreifer finanziell motiviert sind, nutzen staatlich geförderte Gruppen ähnliche Taktiken für Unternehmens- und Regierungsspionage. Die berüchtigte Lazarus-Gruppe setzt ihre langjährige “Operation Dream Job”-Kampagne fort und visiert dabei gezielt europäische Verteidigungs-, Luft- und Raumfahrt- sowie Drohnenhersteller an.
Die Angreifer locken ihre Ziele mit lukrativen, aber gefälschten Stellenangeboten großer Rüstungskonzerne. Der Köder: eine mit Malware verseuchte PDF-Datei, die als detaillierte Stellenbeschreibung präsentiert wird. Beim Öffnen des Dokuments wird Schadsoftware installiert, die den Angreifern dauerhaften Fernzugriff auf das infizierte System gewährt. Das Ziel: proprietäre Informationen, Fertigungs-Know-how und sensible technische Daten zu stehlen.
Millionenschäden durch gestohlene Identitäten
Jenseits dieser hochentwickelten Unternehmensangriffe bleibt das Volumen traditioneller Job-Betrügereien hoch. Das FBI warnt wiederholt davor, dass Betrüger gefälschte Jobs auf populären Online-Börsen posten, um persönliche Daten zu sammeln. Die Täter geben sich als Recruiter und Personalmanager legitimer Unternehmen aus, führen Schein-Interviews durch und fordern dann Daten wie Sozialversicherungsnummern oder Bankverbindungen unter dem Vorwand der Einstellungsformalitäten an.
Diese gestohlenen Daten werden für verschiedene kriminelle Zwecke genutzt: Identitätsdiebstahl, Eröffnung neuer Finanzkonten oder die Erstellung synthetischer Identitäten für weitere Betrügereien. Eine weitere gängige Taktik besteht darin, Bewerber dazu zu bringen, im Voraus für Hintergrundprüfungen, Schulungen oder Ausrüstung zu bezahlen.
Warum Job-Betrug boomt
Die Verbreitung von Remote-Arbeit hat fruchtbaren Boden für diese Betrügereien geschaffen. Es wird sowohl für Bewerber als auch für Arbeitgeber schwieriger, Identitäten zu verifizieren. Cyberkriminelle nutzen dies aus, indem sie überzeugende gefälschte Unternehmenswebsites erstellen und Typosquatting-Domains verwenden – leichte Rechtschreibfehler legitimer Unternehmens-URLs.
Die doppelte Natur der Bedrohung ist besonders besorgniserregend. Für Einzelpersonen reichen die Folgen von finanziellen Verlusten bis hin zu langfristigen Schäden durch Identitätsdiebstahl. Für Unternehmen können die Auswirkungen noch schwerwiegender sein: Wenn Mitarbeiter-Anmeldedaten gestohlen werden, öffnet dies einen direkten Zugang zu sensiblen Firmennetzwerken.
Das FBI berichtet zudem von einem Anstieg von Betrügern, die mit Deepfake-Technologie erfolgreich Video-Interviews bestehen, um bei Tech-Unternehmen angestellt zu werden – mit dem einzigen Ziel, Firmendaten zu stehlen.
Schutz vor der neuen Betrugsgeneration
Sicherheitsexperten raten sowohl Jobsuchenden als auch Arbeitgebern zu erhöhter Wachsamkeit. Unternehmen sollten robuste, mehrstufige Verifizierungsprozesse für Remote-Einstellungen implementieren und Personalmanager darin schulen, Warnsignale von Deepfake-Interviews zu erkennen.
Für Jobsuchende gilt: Misstrauen ist angebracht. Warnsignale sind Interviews, die ausschließlich über Messaging-Apps geführt werden, E-Mails von nicht-unternehmenseigenen Domains und vage Stellenbeschreibungen, die außergewöhnlich hohe Gehälter für minimalen Aufwand versprechen. Die Sicherheit des modernen Einstellungsprozesses hängt von der gemeinsamen Verantwortung aller Beteiligten ab.
