Recruiterinnen und Recruiter nutzen klassische Online-Stellenanzeigen oder Direktnachrichten auf Plattformen wie LinkedIn für ihre Suche nach passenden Bewerberinnen und Bewerbern für offene Stellen. Auch Cyberkriminelle missbrauchen die Mechanismen im Recruiting, wie ein aktueller Fall aus einem Reddit-Forum zeigt. Mehrere Nutzerinnen und Nutzer haben berichtet, dass sie von einem Personalvermittler kontaktiert wurden und eine Arbeitsprobe erstellen sollten. Dieses Vorgehen ist gängige Praxis, auch wenn in der Vergangenheit immer wieder beklagt wurde, dass Unternehmen auf diesem Weg Bewerber ausnutzen und kostenlose Produktionsarbeiten erhalten. Dabei wollen die Unternehmen nur die im Lebenslauf angegebenen Fähigkeiten auf die Probe stellen.
Seltsame Anforderungen
In dem aktuellen Fall berichtete ein Betroffener, dass er von einem Recruiter einen Zugang zu einem privaten Repository auf GitHub erhielt, von dem er Anwendungsdaten für eine Aufgabe herunterladen sollte. Die Installation schlug fehl. Danach forderte das System eine Berechtigung an, ein Python-Paket zu installieren (Python ist eine Skriptsprache, die Entwickler zum Automatisieren bestimmter Aufgaben nutzen). Der Anwender misstraute der Anforderung und fragte bei Reddit nach. Die Antwort: Das beschriebene Vorgehen erscheine verdächtig. Gefolgt von dem Rat, das System zurückzusetzen. Dies war ein guter Tipp, denn es stellte sich heraus, dass diese Daten noch ein „Zusatzfeature“ enthielten, unter andere einige stark verschleierte Skripte in den heruntergeladenen Daten aus dem Repository. Diese stehlen, wie sich herausstellt, Daten von einer Vielzahl von Browsern. Dabei haben sie es auf Session Tokens, gespeicherte Passwörter und Krypto-Wallets abgesehen.
Die Arbeitsanweisungen sind übrigens in einem auf Google Docs gespeicherten Dokument enthalten. Dort sind auch weitere Dateien verlinkt, welche die Opfer herunterladen sollen.
Altbekannt und doch erfolgreich
Diese Taktik ist bekannt und die Art des Datendiebstahls ist weit verbreitet. Sie kostet die Opfer nicht nur persönliche Informationen, sondern potenziell auch eine Menge Geld. Bei gefälschten Stellenanzeigen und Arbeitsproben oder „technischen Tests“, wird von den potenziellen Kandidaten erwartet, dass sie einen Lebenslauf einreichen. Auch dies ist bei jedem Einstellungsverfahren üblich und daher nicht sofort verdächtig.
In diesem Fall wird aber ein legitimer Lebenslauf mit korrekten, vollständigen sowie aktuellen Informationen an eine kriminelle Organisation geschickt. Ein mögliches Szenario, wie Cyberkriminelle die Daten missbrauchen, ist die Erstellung gefälschter Bewerbungen für Stellen, die mit Fernarbeit verbunden sind. So haben sich nordkoreanische Akteure erfolgreich in Unternehmen eingeschleust und als echte Job-Kandidaten ausgegeben. Darüber hinaus setzen Tätergruppen verstärkt KI-Technologien ein, um sehr überzeugende Fälschungen zu erstellen, die sogar einer Überprüfung während eines Videoanrufs standhalten.
Die üblichen Verdächtigen?
Es steht der Verdacht im Raum, dass die in Nordkorea ansässige Lazarus-Gruppe hinter diesen Angriffen steckt. Das macht Sinn, da diese Gruppe dafür bekannt ist, Daten von Computern auszuleiten und Bankkonten sowie Krypto-Wallets zu leeren. Das erbeutete Geld füllt dann in letzter Konsequenz die Kassen des nordkoreanischen Staats.
So erkennen sie falsche Personalvermittler und schützen sich:
Wer gerade auf der Suche nach einer neuen Stelle ist und von einem Recruiter oder Headhunter kontaktiert wird, sollte auf folgende Punkte achten:
1. Überprüfen Sie, ob eine alternative Kontaktaufnahme möglich ist, entweder per E-Mail oder per Telefon. Kein seriöser Personalvermittler wird es ablehnen, wenn Sie ihn über einen anderen Kanal kontaktieren möchten.
2. Wenn eine Arbeitsprobe oder ein „technischer Test“ zum Einstellungsverfahren gehört, achten Sie auf die Quelle der Dokumente. Ein GitHub-Repository ohne direkten Bezug zum Unternehmen ist ein deutliches Warnsignal.
3. Überprüfen Sie die Webseite des Unternehmens, für das der Recruiter oder die Recruiterin arbeitet. Wenn Sie dort keine offene Stelle finden, die Ihrem Qualifikationsprofil entspricht oder überhaupt keine Stellenangebote, ist Vorsicht geboten.
4. Vergewissern Sie sich, dass die E-Mail-Adresse des Absenders mit der Website des Unternehmens übereinstimmt. Achten Sie besonders auf Dinge wie die Ersetzung von Buchstaben, z. B. m oder rn – so wird aus amazon arnazon.
