Arbeitssuche mit erhöhtem Cyberrisiko
Angriffe, die als Köder die Suche nach Jobs beziehungsweise nach neuen Mitarbeitern nutzen, häufen sich gerade und werden vermutlich im Januar noch einmal mehr werden. Das ist nicht neu, aber auch hier verändert der Einsatz von KI das Risiko.
Save to Folio
Schon seit Jahren ist bekannt, dass die Arbeitssuche für beide Seiten gefährlich werden kann … aus Sicht der Cybersecurity. Aber im Zeitalter von KI sollte man das Thema im Auge behalten. Das zeigt auch die aktuelle Kampagne mit PureRAT. Wie hat sich diese Angriffsart entwickelt?
Bereits 2016 und Anfang 2017 zielte die Ransomware „Goldeneye“ des Entwicklers Janus vorwiegend auf Personalabteilungen in Deutschland. Die mit James Bond-Anspielungen gespickte Kampagne versendete erst ein harmloses Anschreiben und anschließend mit Malware angereicherte Bewerbungsunterlagen. Die angeschriebenen Mitarbeiter hatten keine Chance.
Mit Grandcrab setzte sich das Schema fort. Die Malware dabei war ein so genanntes Ransomware-as-a-Service (RaaS)-Angebot, das es „Affiliates“ überließ, sich zum Vorgehen Gedanken zu machen. Das bewährte Schema von GoldenEye wurde wieder eingesetzt. Die Bewerbungen bezogen sich oft auf tatsächliche Stellenausschreibungen. Die damals noch PC-bezogenen Ransomware-Angriffe verlangten von ihren Opfern nach der Verschlüsselung etwa 1000 Dollar Lösegeld.
Mit dem Erscheinen von NotPetya (2017) veränderte sich das grundsätzliche Vorgehen von Ransomware Gruppen. Die Zahl der Fälle, in denen einzelne Computer infiziert wurden, nahm ab und wurde ersetzt durch unternehmensweite Angriffe mit Lösegeldsummen in Millionenhöhe. Der Infektionsweg sollte dabei möglichst einfach und schnell sein. E-Mail war und ist immer noch eines der beliebtesten Einfallstore.
Die Opfer setzten als Gegenmaßnahme auf Schulungen, verbesserte IT-Sicherheit, und besonders Personalabteilungen – als bekannte Achillesferse – erhielten technische Unterstützung. So wurde der ganze Prozess beispielsweise in speziell dafür ausgerichtete Bewerbungsportale ausgelagert oder sogar komplett an externe Dienstleister abgegeben.
Fake Job-Angebote
Zu den Nachrichten, die Menschen interessieren und hohe Klickzahlen versprechen, zählen solche, die mit dem eigenen Arbeitsplatz zusammenhängen. Das Angebot, eine besser bezahlte Stelle zu bekommen, ist dafür nur ein Beispiel. Die Motivation der Angreifer ist dabei unterschiedlich. Im Privatbereich reicht sie vom Sammeln von „Mitgliedern“ für Botnets bis zur Suche nach so genannten „Money Mules“ -- Menschen die naiv oder verzweifelt genug sind, um an mehr oder weniger gut getarnten Geldwäscheaktivitäten teilzunehmen.
Angriffe auf Privatpersonen sind für Unternehmen nicht unbedingt interessant. Deshalb übersehen vielleicht viele, dass diese Angriffe nicht selten in ihre Unternehmensnetze überschwappen. Denn falsche Jobangebote richten sich nicht nur an Menschen die arbeitslos sind. Wird ein Zugang in die Unternehmens-IT „unbeabsichtigt“ gelegt, werden diese Infos nicht selten im Darkweb verkauft.
Das berüchtigtste Beispiel dafür ist sicherlich Emotet. Die ab 2014 als Banking-Trojaner vorwiegend Privatpersonen infizierende Gruppe wendete sich unter anderem infolge des Aufkommens von Homeoffice mehr und mehr Zielen wie Firmenzugängen zu. Ab 2018 wurde das Vermitteln und später Ausnutzen der Zugänge zum Hauptgeschäft der 2021 durch Europol und der ukrainischen Polizei hochgenommenen Gruppe.
Und KI?
Kriminelle haben bislang die KI wenig kreativ genutzt. Ihr Einsatz bezog sich vor allem auf die Automatisierung arbeitsintensiver Aufgaben, oder sie diente als Optimierungshilfe für sprachliche Hürden. Aber genau das macht sie zu einem wertvollen Verbündeten, wenn es um bösartige Arbeitsangebote oder Jobbörsen geht.
Zum einen kann sie nach interessanten Stellenangeboten suchen – ein Feature, das gewünscht und hier nur missbraucht wird. Auch ist sie in der Lage, ein optimiertes Bewerbungsschreiben zu erstellen. Ebenso setzt sie ein perfektes Jobangebot auf, zur Not sogar angepasst an die individuellen Fähigkeiten eines Menschen. Aber nicht nur das. Sie kann soziale Medien nach Angeboten beziehungsweise passenden Jobsuchenden analysieren. All das sind Wunschfähigkeiten, die von Kriminellen nun missbraucht werden.
Theoretisch ist KI sogar in der Lage, anhand von Mitarbeiter-Posts zu erkennen, ob Menschen in ihrer aktuellen Jobsituation zufrieden sind, und falls ja, sie über Kommunikation so weit zu beeinflussen, dass sie unzufrieden mit ihrer Lage werden. Aber dies sind Methoden, die in staatlichen Angriffen verwendet werden und nicht in der „klassischen“ kriminellen Szene.
Wie sehen moderne Angriffe aus?
Praktiken, wie das automatisierte „LinkedIn Scraping“ bzw. „Career Website Mining“, bei dem mittels automatisierter Tools die Daten von Arbeitsuchenden ausgelesen und analysiert werden, dienen als Grundlage für entsprechende Angriffe. Dass dabei oft gegen Nutzungsbedingungen oder gar Gesetze verstoßen wird, interessiert Kriminelle naturgemäß eher nicht. Auch ideale Zeitpunkte für Kampagnen lassen sich durch die KI ermitteln. So weist beispielsweise der Januar weltweit die höchste Stellensuchaktivität des Jahres auf.
Darüber hinaus analysiert die KI auch Nachrichten, um Antworten auf verschiedene Fragen zu finden. Wie sind die Wachstumsprognosen in einzelnen Ländern oder wird eher über Rezession gesprochen? Geht es Branchen schlecht, und stehen Kündigungswellen bevor, oder wird sogar nach bestimmten Fachkräften gesucht, so dass das eigene Angebot lediglich durch die hohe Bezahlung bei gleichzeitig geringerer Anforderung besser reinpasst?
Gerade weil viele Branchen das Rekrutieren neuer Arbeitskräfte an Job Hunter ausgelagert haben, ist eine unaufgeforderte Kontaktaufnahme oft genug Realität und in vielen Fällen erwünscht. Passt dann das Angebot zum eigenen Profil und sieht professionell aus, dann besteht eine hohe Wahrscheinlichkeit, dass ein Opfer unvorsichtig wird. Die Bewerbungsunterlagen, der Zugang zum Webportal oder aber auch der Austausch von Daten während eines Teams/Zoom-Bewerbungsgespräch -- all das bietet bekannte Möglichkeiten, um bösartigen Code auf das Zielsystem zu bringen.
Angriffe auf Unternehmen
Unser Blog zu PureRAT beschreibt eine Angreifergruppe, die über eine Phishing-Kampagne mit Hilfe von bösartigen Mail-Anhängen einen Remote Access Trojaner (RAT) verteilt. Ziel sind Jobsuchende und Personalabteilungen. Dazu werden Inhalte von Jobbörsen kopiert oder automatisch erstellt und als Tarnung der Angriffswerkzeuge verwendet.
Ein weiteres Vorgehen haben wir schon vor einiger Zeit diskutiert. Dabei wurden Blockchain-Entwickler mit einer gezielten Be-/Abwerbekampagne angesprochen. Ein automatisiertes Einstellungsgespräch überzeugte zum Download der Malware. Da Bewerbungsgespräche zu Bürozeiten stattfinden, ist nicht selten das dazugehörige Equipment der Handlungsort.
Ob der Angriff auf Unternehmen zielte oder diese nur „Beifang“ waren, ist bis heute nicht klar. Dahinter steckte laut FBI eine Tätergruppe aus Nordkorea. Interessanterweise ist aus diesem Täterkreis ein ähnliches Vorgehen als „Operation Dream Job“ bekannt, welches vorwiegend im Bereich der militärischen Spionage verwendet wird und Mitarbeitern in gezielten Angriffskampagnen einen neuen lukrativen Job in Aussicht stellt.
Fazit
Warum jetzt? Der Januar ist in Deutschland die Zeit mit der höchsten Jobwechsel-Aktivität. Sowohl Unternehmen als auch Mitarbeiter suchen nach neuen Optionen. Darüber hinaus scheint die Wirtschaftslage in Deutschland nicht eben rosig, weshalb auch die Angst vor der Arbeitslosigkeit einen gewissen Druck bezüglich eines Jobs aufbaut. Das meint zumindest die KI dazu.
Nur, was die KI weiß, wissen auch Angreifer. Es dürfte deshalb niemand verwundern, wenn es in den nächsten Wochen zu verstärkten Aktivitäten von Cyberkriminellen und staatlich motivierten Angreifern kommt. Beide Seiten, sowohl die Personalabteilungen als auch Mitarbeiter, sollten darüber Bescheid wissen.
Kriminelle sind dabei opportunistisch. Einige Gruppen fokussieren sich auf Privatpersonen und suchen beispielsweise nach Kryptowährungsbörsen. Finden sie stattdessen die Verbindung in ein Unternehmensnetz, können sie daraus selbst zwar keinen Nutzen ziehen - aber eine andere Gruppe vielleicht schon. Die Daten werden dann im digitalen Untergrund gehandelt. Nicht selten entsteht dadurch eine nennenswerte Verzögerung von mehreren Wochen zwischen Initialinfektion und kriminellem Zugriff.
Gleiches geschieht anders herum, wenn sich ein auf Unternehmen spezialisierter Täterkreis auf Privatgeräten wiederfindet. Solche Zugänge werden in der Regel als „Massenware“ gehandelt. Sprich: Kriminelle kaufen sie in hohen Stückzahlen. Tatsächlich ist das Geschäftsmodell, einen Zugriff auf ein System zu legen, so lukrativ, dass sich einige kriminelle Gruppen darauf fokussieren. Auf so genannten „Breachforen“ werden Zugänge und Preise von „Access Brokern“ und ihren Kunden gehandelt.
Gegenmaßnahmen
Auf Verteidigerseite hat das Thema cyberkriminelle Jobsuche eigene Herausforderungen. Eine Warnung im Rahmen einer Mitarbeiterschulung könnte missverständlich sein. Möchte das Unternehmen Kommunikation mit potenziell neuen Arbeitgebern verhindern? Soll durch Misstrauen ein möglicher Wechsel erschwert werden? Oder verstehen Mitarbeitende die Gefahr und sagen sich, dass dann doch das Firmensystem besser geschützt ist als der private Rechner? Man erreicht schnell das Gegenteil dessen, was man beabsichtigt hat.
Technisch sollten Sie als Unternehmen in der Lage sein, auch fortschrittliche Angriffe zu identifizieren und abzuwehren. Trend Micro bietet entsprechende Möglichkeiten. Wichtig dabei ist vor allem der übliche Cybersecurity „Disclaimer“: Es gibt nicht „die eine“ Technologie, die alles kann. Deshalb ist es wichtig verschiedene Sicherheitsansätze wie beispielsweise Cyber Risiko Exposure Management (CREM), Extended Detection & Response sowie Zero Trust zu verwenden. Wir bieten mit Trend Vision One eine Plattform, über die Sie alles zentral abbilden können.