Cyberkriminelle nutzen immer häufiger Social Media für betrügerische Zwecke. Job-Plattformen wie LinkedIn oder Xing sind keine Ausnahme. Durch gezielte Manipulation können hier selbst IT-Fachkräfte zu Malware-Opfern werden, wie aktuelle Beispiele des Bundesamtes für Cybersicherheit zeigen.
Job-Plattformen wie LinkedIn oder Xing geraten zunehmend ins Visier von Cyberkriminellen, die hier mittels gefälschten Stellenanzeigen nach Opfern suchen. In jüngster Zeit wurden zwei Fälle bekannt, in denen die Täter gezielt via LinkedIn versuchten, Stellensuchende dazu zu animieren, Malware auf ihren Geräten zu installieren, wie das Bundesamt für Cybersicherheit (BACS) schreibt. Auffallend ist dabei, dass sich die betrügerischen Stellenanzeigen an IT-Profis richteten.
In den beschriebenen Fällen versuchten die Täter mittels Social Engineering – das heisst, mittels psychologischer Manipulation der Opfer – an ihr Ziel zu gelangen. Ausgenutzt wird dabei, dass die Aussicht auf attraktive Karrieremöglichkeiten die Wachsamkeit der Opfer senkt, während öffentlich einsehbare Profilinformationen zugleich gezielte Angriffe erleichtern. Die Täter ahmen bekannte Unternehmen nach, nutzen verifizierte Profile und spielen bewusst mit der typischen Rollenverteilung im Bewerbungsprozess. Stellensuchende sind zudem eher bereit, ungewöhnlichen Anweisungen zu folgen, weil sie einen guten Eindruck machen wollen, so das BACS. Dies selbst dann, wenn diese riskant scheinen.
Falsche IT-Probleme und betrügerische Eignungs-Tests
Im ersten Fall kontaktierte eine angebliche Personalberatung einen Softwareentwickler direkt via LinkedIn. Nach ersten Gesprächen wurde der Bewerber gebeten, ein kurzes Vorstellungsvideo hochzuladen. Dabei trat scheinbar ein technisches Problem auf. Zur Behebung sollte der Kandidat einen bestimmten Befehl über die Kommandozeile seines Computers ausführen. Der Code war jedoch so verschleiert, dass seine wahre Funktion nicht erkennbar war. Über eine täuschend echt wirkende Domain wurde daraufhin Schadsoftware installiert. Das System des Opfers wurde vollständig kompromittiert, Dateien waren unzugänglich, und sogar Cloud-Backups wurden gelöscht.
Im zweiten Fall wurde ein erfahrener IT-Spezialist zu einem angeblichen Fachinterview eingeladen. Um seine Fähigkeiten zu demonstrieren, sollte er ein Programmierpaket herunterladen. Solche Testaufgaben sind in der Branche üblich. Tatsächlich enthielten die Dateien jedoch schädlichen Code, der sensible Daten ausspähen sollte. Der Betroffene erkannte den Angriff rechtzeitig und brach den Vorgang ab.
Bitdefender schützt auch IT-Spezialisten
Wie die beiden Beispiele zeigen, sind selbst Spezialisten manchmal nicht vor bösartigen Täuschungen gefeit, insbesondere dann, wenn es um attraktive Stellenangebote geht. Nebst erhöhter Wachsamkeit – allgemein und vor allem in ungewöhnlichen Situationen – empfiehlt sich deshalb die Installation einer End-to-End-Software, um die eigenen Systeme vor unbefugten Eindringlingen zu schützen. Eine bewährte Lösung, wie Bitdefender, fängt beispielsweise Ransomware- oder Phishing-Mails ab, bevor sie Schaden anrichten können. Downloads aus unsicheren Quellen werden zudem erschwert.
