19.12.2023 - Betrügerische Stellenanzeigen sind gang und gäbe - meistens geht es darum, den Opfern unter einem Vorwand Geld abzuknöpfen. Eine Meldung fiel besonders auf, weil die Betrüger nicht nach dem üblichen Schema vorgingen, sondern versuchten, dem Opfer bei einem Bewerbungsgespräch eine Schadsoftware unterzujubeln, um anschliessend sein Krypto-Wallet zu übernehmen.
Das Inserat
Ein Stellensuchender stösst bei der Suche auf einer bekannten Stellenanzeigeplattform auf ein spannendes Job-Angebot. Es geht um eine Stelle im Bereich «Crypto Investments». Hinter dem Inserat steht vermeintlich eine in diesem Bereich tätige und in der Schweiz ansässige Firma. Der Interessent beschliesst, seine Bewerbung und den Lebenslauf einzureichen.
Der Bewerbungsprozess
Der Bewerber wird per E-Mail kontaktiert und darüber informiert, dass seine Bewerbung mit Wohlwollen aufgenommen wurde. Er wird aufgefordert, weitere Angaben zu seiner Person in ein Online-Formular einzutragen und informiert, dass als weiterer Schritt ein erstes Gespräch mittels Videokonferenz stattfinden werde.
Wie gefordert, füllt der Bewerber das Online-Formular mit einigen persönlichen Angaben aus - leicht befremdet darüber, dass er auch nach einem Wallet für eine Kryptowährung gefragt wird, angeblich, um allfällige Gewinnbeteiligungen auszahlen zu können.
Nach dem Ausfüllen des Formulars kümmert sich der Bewerber um die Videokonferenz. Dazu geht er auf die ihm übermittelte Webseite und versucht das Videotool herunterzuladen. Bereits der Browser warnt ihn dann aber vor einer Malware. Die angebliche Firma bekräftigt auf Nachfrage per Mail, dass das Tool in Ordnung sei und dass ein Gespräch aus Gründen der Vertraulichkeit einzig über dieses Tool stattfinden dürfe. Der Bewerber schlägt deshalb die Browser-Warnung in den Wind. Als nächstes springt dann aber der Virenscanner auf seinem Computer an, ebenfalls mit einer Warnung vor Malware. Nun wird der Bewerber doch skeptisch und vermutet einen Betrugsversuch - er meldet sich beim NCSC.
Der Betrugsversuch
Die Analyse des NCSC ergibt, dass es sich um einen recht aufwändig gestalteten Betrugsversuch handelt. Es beginnt bereits beim Stelleninserat, welches einzig zum Zweck der Täuschung allfälliger Bewerber geschaltet wurde.
Für die Kontaktaufnahme mit dem Bewerber per Mail wurde vorgängig eine eigene Domain eingerichtet, welche der Domain der imitierten Firma sehr ähnlichsieht, damit das Opfer keinen Verdacht schöpft.
Am selben Tag wurde noch eine weitere Domain registriert, nämlich jene, über welche das Tool für die Videokonferenz heruntergeladen werden sollte.
Das Tool ermöglicht es zwar tatsächlich, an einer Videokonferenz teilzunehmen - aber leider nicht nur das: es beinhaltet auch einen sogenannten «Keylogger», eine Schadsoftware mit einer Funktion zur Aufzeichnung der Tastatureingaben auf dem Gerät des Bewerbers.
Wäre der Bewerber nicht misstrauisch geworden, hätte sich der Betrug folgendermassen abspielen können:
- Der Bewerber öffnet das Tool für die Videokonferenz, um am Vorstellungsgespräch teilzunehmen;
- Die Betrüger haben die Wallet-ID des Bewerbers bereits über das Online-Formular erhalten, brauchen nun aber noch das Passwort, um an dessen Inhalt zu gelangen;
- Sie fragen im Lauf der Videokonferenz den Bewerber unter einem Vorwand, ob er sich rasch in das Wallet einloggen könne, z. B. um den aktuellen Kontostand zu checken;
- Der Bewerber tut das und gibt zu diesem Zweck das Passwort ein. Der Keylogger schneidet die Eingabe mit und verschickt sie unmittelbar an die Angreifer;
- Die Betrüger können damit das Wallet übernehmen und die Kryptowährung auf eigene Konten transferieren.
Empfehlungen des NCSC
Um sich vor solchen Betrugsmaschen zu schützen, empfiehlt das NCSC Folgendes:
- Prüfen Sie bei Kontaktaufnahmen, ob die Nachrichten sprachlich und stilistisch passend sind;
- Klären Sie bei Ungereimtheiten oder einem Verdacht Ihrerseits, ob die Firma, von der die Ausschreibung angeblich stammt, tatsächlich Stellen zu besetzen hat. Fragen Sie gegebenenfalls nach, z. B. telefonisch, über die auf der Homepage angegebene Nummer;
- Brechen Sie sofort ab, sobald Ihr Virenscanner anschlägt oder eine Browser-Warnung eingeblendet wird. Fehlerhafte Erkennungen gibt es in diesem Bereich nur sehr selten;
- Geben Sie Daten von sich nicht zu früh preis. Kontodaten für Lohnzahlungen sind z. B. erst nach einer Zusage relevant.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 19.12.2023
