Cyberbedrohungen
Fake-Jobangebote versus Fake-Mitarbeiter
Fake-Jobangebote und Fake-Mitarbeiter können Unternehmen großen Schaden zufügen. Hinter den beiden bösartigen Schemata steckt Nordkorea, und die Motivationen sind unterschiedlich. Was macht die beiden Scams so gefährlich auch für Europa?
Von der Masche mit den „unechten“ Mitarbeitern haben Sie in IT-Sicherheitsnachrichten sicher schon einmal gehört: Menschen aus Nordkorea bewerben sich auf IT- bzw. Entwicklerpositionen. Vorstellungsgespräche erfolgen wegen Kosteneinsparung oder aus terminlichen Gründen virtuell. Das mittels Deep Fakes veränderte Aussehen des Bewerbers täuscht Menschen beliebiger Ethnien vor. Die Antworten auf Fragen sind präzise und qualitativ gut. Beim Gehalt wird man sich auch einig. Das Arbeitsmaterial, z.B. Laptop und Smartphone wird an eine unverfängliche Adresse geschickt, meist im Inland.
Das Schema – übrigens mit und ohne Deepfakes - gibt es seit mindestens 2018. Oft unterstützen bezahlte Komplizen einer postalischen Adresse und Bankverbindung, worüber das administrative geregelt wird. Diese Mittäter betreiben dabei ganze „Laptop-Farmen“, um viele Remote „Arbeitnehmer“ auf einmal zu beschäftigen. In einem Aufsehen erregenden Fall bekannte im Februar 2025 eine Amerikanerin, über 300 solcher Fake-Angestelltenverhältnisse gehostet zu haben.
Neben den gezahlten Löhnen, die in Einzelfällen über 300.000 Dollar im Jahr betrugen, ist vor allem der Datenverlust das größte Problem. Nach einem neuen Bericht des FBI fallen darunter unter anderem der Zugang zu Militärtechnologie sowie der Diebstahl von Kryptowährungs-Assets.
Relevanz für Europa
Laut unseren Telemetriedaten und Berichten von Unternehmen gibt es auch in Europa Bewerbungen, die alle Anzeichen dieses Schemas aufweisen. Vergleichbare Fälle wie die oben beschriebenen sind bislang allerdings nicht bekannt. Einer der Gründe dafür mag sein, dass man durch die kürzeren Distanzen in Europa nach wie vor das persönliche Vorstellungsgespräch und sogar eine gewisse Einarbeitungszeit vor Ort erwartet. Das ist nicht nur eine Frage des Vertrauens, sondern hängt auch damit zusammen, dass eine typische europäische Unternehmenskultur enge Zusammenarbeit mit dem persönlichen Vorstellungsgespräch – dem „Näschen-Faktor“ -- verbindet.
Der Erfolg des Nordkorea-Schemas wird schwierig zu gewährleisten, sobald ein persönlicher Kontakt Pflicht ist, und spätestens dann, wenn der Mitarbeiter vor Ort seine Fähigkeiten unter Beweis stellen soll, wird der Betrug praktisch nicht mehr durchführbar. Deshalb schließen entsprechende Bewerbungen derartige Aktivitäten oft schon im Anschreiben kategorisch aus.
Die Tatsache aber, dass Cyberakteure derzeit im Untergrund verstärkt nach Menschen suchen, die sie in Fragen des deutschen Steuerrechts unterstützen, lässt vermuten, dass es doch den einen oder anderen erfolgreichen Bewerber geben könnte. Die Ironie dabei ist irgendwie, dass Täter zwar an vielen komplexen Sicherheitsmechanismen vorbeikommen, aber letztlich an der deutschen Bürokratie zu scheitern drohen.
Das Fake-Jobangebot
Diese Fake-Jobangebote drehen den Spieß nun um, denn sie richten sich nicht primär gegen Unternehmen, sondern gegen ihre aktuellen oder potenziellen Mitarbeiter. Die Täter setzen dafür ein Unternehmensprofil auf. Dazu zählen Webseitenregistrierung, Linkedin-Belegschaft inklusive Posts und Interaktion, sowie Registrierung bei Job-Vermittlungsplattformen.
Ob die Täter hier selbst tätig sind oder das Schema lediglich als Dienstleistung einkaufen, können wir nicht mit abschließender Sicherheit sagen. Im Digitalen Untergrund ist all das „für eine Handvoll Dollar“ zu erwerben. „Für ein paar Dollar mehr“ gibt es sogar Bewerberprofile, die von der eigenartigen aber an sich positiven Erfahrung des Vorstellungsgesprächs schwärmen. Denn das ist vollautomatisiert. Ein KI-Avatar führt durch das Gespräch und stellt dem Bewerber eine technische Aufgabe, die dieser lösen muss. Durch Tricks bzw. im Rahmen der Aufgabe wird Malware übertragen, welche das Opfer auf dem System installiert, von dem aus es das Bewerbungsgespräch führt. Das Programm zur Durchführung derartiger automatisierter Bewerbungen findet sich ebenfalls im Internet. Es handelt sich dabei um offizielle Angebote. Es ist unbekannt, ob die Täter ein solches Werkzeug selbst entwickelt oder nur angemietet haben.
Das FBI hat ein solches Schema nun gestoppt. Die Fake-Firma BlockNovas hatte eine in South Carolina registrierte Webseite betrieben und sich mit ihrem Angebot an Blockchain-Entwickler gewandt. Wir wissen sicher, dass die Krypto Wallets einiger Opfer gestohlen wurden. Allerdings gehen wir auch davon aus, dass viele Bewerber das unverfänglich erscheinende Gespräch über Teams oder Zoom von ihrem Arbeits-PC aus geführt haben. Nordkorea ist dafür bekannt, hinter den größten Angriffen auf Kryptowährungsbetreiber und -Finanzinstituten zu stecken. Blockchain-Entwickler sind dafür ein lohnendes und logisches Ziel.
Relevanz für Europa
Zu den von BlockNovas beworbenen Regionen gehörten neben den USA auch Deutschland und die Ukraine. Entsprechend gibt es hierzulande Opfer. Für einen Arbeitssuchenden ist das Angriffsschema praktisch nicht zu durchschauen. Man findet die Anzeigen auf diversen Jobportalen und kann über LinkedIn Kontakt zum „Unternehmen“ oder dessen „Mitarbeitenden“ aufnehmen. Auch das voll automatische Bewerbungsgespräch schreckt nicht ab.
Zwar findet man kein Unternehmen, dass offen den Einsatz eines solchen Tools zugibt, aber durch die Häufigkeit, mit der in sozialen Medien über Erfahrungen vor allem in technischen Kreisen gesprochen wird, lässt sich nicht ausschließen, dass es auch legale Einsatzzwecke derartiger Lösungen gibt.
Ist man dann im Vorstellungsgespräch, tut die Nervosität ihr Übriges. Der Bewerber muss beispielsweise eine Programmieraufgabe lösen – nichts Ungewöhnliches, wenn man sich auf eine Rolle als Entwickler bewirbt. Hierzu lädt man sich aus vertrauenswürdigen Quellen ein kleines Tool herunter. Darin versteckt ist ein Skript mit Verlinkung auf eine bösartige Seite. Die Tatsache, dass es gelingt, auch technisch erfahrene Menschen so zu überlisten, sollte hellhörig machen.
Motivation der Täter
Über die Motivation lässt sich lediglich spekulieren. Nordkorea ist für seinen Geldhunger bekannt. Das Land hat viel Expertise entwickelt, um in erfolgreichen Angriffen gegen Kryptobörsen Milliarden zu erbeuten. Warum sollte der Staat also Menschen „normal“ arbeiten schicken oder sich sogar mit den Krypto Wallets zufälliger Opfer begnügen?
Die beiden Schemata haben gemeinsam, dass es um Positionen aus dem IT-Umfeld und speziell der Softwareentwicklung geht. Menschen werden durch Arbeit erfahrener und erlernen neben den reinen fachlichen Fähigkeiten auch wie Projekte bearbeitet werden. Für den Fake-Arbeitnehmer mögen die Daten deshalb nicht unbedingt das Hauptziel gewesen sein, sondern die Abläufe innerhalb der Firmen kennenzulernen oder einfach nur Erfahrungen zu sammeln. Nordkorea mag dies für eigene Softwareprojekte nutzen, oder um bei künftigen Angriffen die Abläufe bei ihren Opfern vorherbestimmen zu können. Das FBI spricht allerdings auch von bewusst zugefügten Schäden im Sinne klassischer Cyberkriminalität.
Aber was hat es nun mit den „kleinen“ Börsen der überrumpelten Bewerber zu tun? Es erscheint verhältnismäßig viel Aufwand für ein paar wenige Opfer zu sein. Nun zum einen dürfte der ROI (Return of Investment) deutlich einfacher zu bestimmen sein, weil fast alle Bestandteile der Angriffskette erwerbbare Leistungen sind – nicht unbedingt nur illegal. Zum anderen ist das Schema, einmal aufgesetzt, sehr leicht replizierbar. Dennoch scheint der Gewinn davon abzuhängen, dass ein Opfer auch im Besitz einer Krypto Wallet ist und sein Bewerbungsgespräch von einem PC mit Zugriff auf dieses Wallet geführt hat. Oder haben die Täter darauf spekuliert, dass ihre Opfer von Firmen-PCs antworten? Die wahrscheinlichste Antwort ist, dass beides gemacht wurde.
Bewertung
Die Beweise deuten klar auf eine Täterschaft Nordkoreas. Die finanziellen Verluste gehen in die Millionen, auch wenn sich darüber streiten lässt, ob ein Gehalt für erbrachte Arbeit wirklich als „Schaden“ betrachtet werden kann.
Darüber hinaus erscheint der nordkoreanische Arbeitnehmer zunächst als bedrohlicher. Der Einsatz von Deep Fake sowie die Möglichkeit der Spionage sind offensichtlich bösartig. Allerdings ist der Aufwand für das Schema enorm hoch – ein Fulltime-Job im wahrsten Sinne des Wortes. Vor allem, wenn man ein hohes Vertrauensniveau erreichen möchte.
Das bösartige Jobangebot sieht dagegen aus Unternehmenssicht harmloser aus. Es sind ja „nur“ Arbeitssuchende also Privatmenschen betroffen. Aber fragen Sie doch mal in Ihrer Personalabteilung nach, wie hoch sie den Anteil derjenigen schätzt, die Bewerbungsgespräche auf Firmeneigentum durchführen und ja, auch zu normalen Geschäftszeiten und sogar im Büro. Selbst wenn sie Verdacht schöpfen, wie viele dieser Menschen würden ihrer IT-Abteilung direkt Bescheid geben, dass sie im Rahmen eines Bewerbungsgesprächs möglicherweise Malware heruntergeladen und ausgeführt haben? Rechnen Sie hinzu, dass die Methode vollständig automatisierbar ist und einmal aufgesetzt, den Täter nur noch minimalem Aufwand abverlangt. Vielleicht ist die Methode für Unternehmen nicht ganz so harmlos wie die fehlende mediale Aufmerksamkeit suggeriert.
Verteidigung
Beide Schemata überleben den persönlichen Kontakt in der Regel nicht. Zwar sind beim nordkoreanischen Arbeitnehmer auch bezahlte „Schauspieler“ eine Gefahr, die mit Knopf im Ohr passable Antworten geben können, aber das ist in einem Bewerbungsgespräch relativ einfach identifizierbar und spätestens im Rahmen einer Einarbeitungszeit auszuschließen. Gibt es keine Möglichkeit, mit dem potenziellen Kandidaten in persönlichen Kontakt zu treten, ist dringend zu empfehlen, mit Zero Trust sowie Detection und Response-Lösungen (XDR) zu überwachen, welche Verbindungen und von wo auf das firmeneigene System zugreifen. Besonders Fernwartungssysteme müssen dabei in den Verbindungsmöglichkeiten eingeschränkt werden.
Als Bewerber sollte man immer auch damit rechnen, zum Bewerbungsgespräch mit Scheinfirmen eingeladen zu werden. Speziell wenn das „in unseren Büroräumen gerade nicht stattfinden kann“. Darüber hinaus ist es allerdings gängige Praxis, dass eine erste Vorstellung virtuell erfolgt. Da es auch in legalen Bewerbungsgesprächen für IT-Positionen Usus ist, eine kleine Aufgabe zu lösen, wird dringend empfohlen, das Gespräch so wie die Aufgabe in einem Sandbox-System oder auf einem eigens dafür konfigurierten Rechner durchzuführen. Vor allem, wenn die Gespräche auf Englisch stattfinden und/oder durch einen KI-Avatar.
Für die Unternehmenssicherheit sollte man in Schulungen die Mitarbeiter vor den Gefahren, die durch Online-Meeting Plattformen entstehen, warnen. Da es nicht auszuschließen ist, dass dennoch Mitarbeiter diese Art Gespräche von Firmenequipment aus durchführen, empfiehlt es sich ebenfalls wieder mit Maßnahmen wie XDR mögliche Angriffe zu identifizieren.