Falsche Bewerbung 2.0: Digitale Erpresser verstecken wieder Schadsoftware in Bewerbungsschreiben

Young adult working on a digital tablet

Der Sicherheitskooperation Cybercrime liegen Erkenntnisse vor, wonach Kriminelle sich als Opfer Arbeitgeber aussuchen, die in öffentlichen Foren Stellen ausgeschrieben haben. Die Masche selbst ist nicht neu. Über die Erpressungsmasche berichtete die Zentrale Ansprechstelle Cybercrime (ZAC) des LKA Baden Württemberg bereits am 20.10.2015:

In einer bundesweiten Welle erhalten Unternehmen aktuell unscheinbare E-Mails von angeblichen Bewerbern, die in einem guten Deutsch verfasst sind. Kriminelle geben sich hier als Bewerber aus und schreiben die Geschäftsführung oder die Personalabteilung des Unternehmens direkt an. Ziel dieser Kriminellen ist es, den Computer der Firma mit einer Schadsoftware zu infizieren, die für eine Verschlüsselung der Firmendaten sorgt. Anschließend fordern sie zur Entschlüsselung dieser Daten ein „Lösegeld“ (englisch: ransom).

Die angeblichen Bewerber erklären der Geschäftsführung, wie sie auf ihr Unternehmen aufmerksam geworden sind und bieten weitere Informationen zu ihrer Person über eine in der E-Mail enthaltene „Dropbox-Verknüpfung“ an. Beim Betätigen dieses Links erfolgt jedoch keineswegs der Download der in Aussicht gestellten Bewerberunterlagen. Vielmehr installiert sich eine Schadsoftware (Ransomware), die unmittelbar mit der Verschlüsselung der Firmendaten auf dem Computer beginnt.

Totenkopf statt Windows-Symbol

Die derzeit bekannten Fälle weisen große Parallelen zu der Vorgehensweise im Oktober 2015 auf. Die Kriminellen senden ihre gefälschten Bewerbungen wieder direkt an Unternehmen, die tatsächlich vakante Stellen öffentlich ausgeschrieben haben. Sie versuchen die angeschriebenen Personalverantwortlichen dazu zu bringen, eine Datei mit dem Namen „Bewerbungsmappe-gepackt.exe“ vom Cloud-Speicherdienst Dropbox herunterzuladen. Häufig wird durch Veränderung des Icons suggeriert, dass es sich bei der Datei um ein selbstextrahierendes Archiv handelt. Die Datei liegt den bisherigen Erkenntnissen nach in einem Ordner, der den Namen „Bewerbungsmappe“ trägt. Hierbei gilt es allerdings zu beachten, dass die Täter den Namen der Datei und des Ordners jederzeit verändern können.

Wenn es den Kriminellen gelungen ist, ein System zu infizieren wird der betroffenen Computer gesperrt und anstelle des Windowssymbols ein Totenkopf angezeigt. Der Rechner kann in der Folge nicht mehr ordnungsgemäß genutzt werden. Die Opfer werden über ein digital hinterlegtes Schreiben aufgefordert über den so genannten „TOR Browser“ Kontakt mit den Tätern aufzunehmen.

Und so schützen Sie sich

Wirtschaftsunternehmen, die aktuell auf der Suche nach neuen Mitarbeiten sind sollten die nachfolgenden Sicherheitshinweise der Sicherheitskooperation Cybercrime dringend beachten:

  • Prüfen Sie eingehende E-Mails sorgfältig, insbesondere dann, wenn Sie über einen Link zum Download von Unterlagen unbekannter Quellen aufgefordert werden.
  • Achten Sie auf die tatsächliche Dateiendung der Bewerbungsunterlagen.
  • Die Endungen .exe oder .js weisen darauf hin, dass es sich um ausführbare Dateien handelt, die gegebenenfalls nicht erwünschte Änderungen am PC vornehmen.
  • Gehen Sie nicht auf die Forderung der Kriminellen ein und erstatten Sie Anzeige bei derPolizei.
  • Erstellen Sie regelmäßig Backups und bewahren Sie diese auf externen Systemen auf, damit diese nicht auch durch die Schafsoftware verschlüsselt werden.
  • Sensibilisieren Sie Ihre Mitarbeiter bezüglich der dargestellten Gefahren.
  • Darüber hinaus kann langfristig ein eigener digitaler Bewerbungsprozess helfen, bei dem die Bewerbung über ein eigenes Bewerbungsportal durchgeführt wird. Die dahinter liegende IT-Infrastruktur kann von Unternehmensnetzen getrennt werden und die hochgeladenen Dateien auf Schadsoftware überprüft.