Ransomware
Vorsicht vor Fake-Jobangeboten
Fake-Jobangebote sind eine Masche, mit der Kriminelle derzeit immer wieder auftreten. Sie ist aufwendig, gegen bestimmte Zielgruppen gerichtet und daher als sehr gefährlich einzustufen. Wir geben Ihnen ein paar Best Practices zum Schutz davor.
Save to Folio
Angriffe über Video-Konferenzlösungen wie MS Team oder Zoom nehmen derzeit zu. Diese Lösungen sind oft weniger gesichert als E-Mail, weshalb sie sich als Übertragungsweg für Malware und bösartige Links besser eignen.
Ein internationales Unternehmen bietet einen Job als Senior Software-Entwickler (m/w/d) im Bereich Blockchain, Web-Entwicklung und anderem. Das Angebot wird über LinkedIn geteilt. Dort findet der Bewerber auch Mitarbeiter desselben Unternehmens, die sich über die guten Arbeitsbedingungen austauschen.
Auf die eingereichte Bewerbung kommt ein positives Feedback und der Bewerber wird zu einem virtuellen Vorstellungsgespräch per Video-Call gebeten -- dies sei schließlich effizienter für alle Beteiligten. Das Gespräch verläuft gut und die Ankündigung eines lukrativen Gehalts lässt hoffen. Man wird gebeten, zum Beweis der eigenen Fähigkeiten ein kleines Programmierproblem zu lösen. Dazu lädt der Aspirant ein von der Firma geliefertes Programm herunter und führt die Aufgabe aus.
Die eigenen Fähigkeiten zu beweisen, ist bei solch hochdotierten Stellen in der Technik ja nicht ungewöhnlich. Sowohl das digitale Bewerbungsgespräch als auch die Programmieraufgabe erwecken deshalb keinen Verdacht.
Von der Polizei dicht gemacht
Die oben beschriebene Firma nannte sich BlockNovas. Ihre in den USA registrierte Domain wurde am 23. April dieses Jahres durch das FBI geschlossen. Denn hinter dem Setup steckte eine perfide Angriffsmethode durch vermutlich nordkoreanische Täter. Das per Deepfake durchgeführte Bewerbungsgespräch hatte letztlich nur zum Ziel, das Opfer davon zu überzeugen, Malware herunterzuladen. Dazu nutzen die Kriminellen verschiedene Tricks. So wurde unter anderem eine angebliche Microsoft-Update-Anforderung für den Treiber der Digitalkamera eingespielt, aber auch die Programmieraufgabe hatte es in sich.
Aber warum der Aufwand?
Man kann diese Methode als verbessertes Phishing beschreiben, bei dem letztlich Menschen Malware herunterladen und ausführen. Das ginge doch auch einfacher, oder? Richtig, deshalb sind auch andere Aspekte hochinteressant. Der Angriff war auf eine bestimmte Zielgruppe ausgelegt: Softwareentwickler mit Interesse an Blockchain. Das ist eine verhältnismäßig kleine Gruppe potenzieller Opfer. Zudem investierten die Täter viel Mühe, um möglichst unerkannt zu bleiben.
Zwei wahrscheinliche Ziele lassen sich damit ausmachen. Zum einen handelt es sich bei den Opfern um Menschen, die mit ziemlicher Sicherheit im Bereich Kryptowährungen aktiv sind. Es dürfte deshalb nicht überraschen, dass in diesem Zusammenhang viele Diebstähle von Krypto-Wallets bei Polizeiorganisationen angezeigt wurden. Nordkorea ist dafür berüchtigt, Kryptowährungen an sich zu reißen und als Devisenersatz einzusetzen.
Zum anderen arbeiten Menschen mit Blockchain-Knowhow sehr oft im Finanzsektor oder anderen innovativen Branchen. Für Bewerbungen, speziell wenn diese ein Gespräch zu den üblichen Geschäftszeiten erfordern, setzt so mancher auch schon mal das Firmenequipment ein. Auf diese Weise Zugang zu einem Entwicklerkonto für eigentlich hoch geschützte Bankensysteme zu erhalten, kann spannende Einblicke ermöglichen. Und wer hat MS Teams, Zoom & Co. schon wirklich als Angriffsvektor für Cyberkriminelle auf dem Schirm?
Tipps als Schutz vor der Fake-Jobmasche:
- Seien Sie bei Videokonferenzen vorsichtig mit Menschen, die Sie nicht kennen, oder von denen Sie ungewöhnliche Aufforderungen erhalten!
- Fake-Bewerbungsgespräche finden auch andersherum statt. Es sind Fälle bekannt, in denen sich nordkoreanische Bewerber mit Hilfe von Deepfakes von westlichen Firmen anheuern ließen. Das im Video gezeigte Gesicht passte dabei zu den Bewerbungsunterlagen und Ausweispapieren.
- Unternehmen müssen sich darüber im Klaren sein, dass auch technisch sehr versierte Mitarbeiter in solchen Fällen ausgetrickst werden können. Es geht darum, die Situation so schnell wie möglich zu erkennen und die Gefahr zu beheben.
- Zu BlockNovas Opfern gehörten auch viele Menschen in Deutschland. Sollten Sie persönlich ein solches Bewerbungsgespräch geführt haben oder jemanden kennen, der dies tat, wäre jetzt ein guter Zeitpunkt, Ihre Systeme prüfen zu lassen.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.