Wie Betrüger einen Traumjob in einen Cybersicherheits-Albtraum verwandeln können

Wenn Sie ein neuer Mitarbeiter sind, kann das Klingeln einer eingehenden Nachricht von einem älteren Kollegen sehr aufregend sein.

Wenn Sie feststellen, dass man Sie um Hilfe bei einer kleinen Aufgabe bittet, werden Sie vielleicht sofort zusagen - und Opfer des neuesten australischen Cyber-Betrugs werden.

Arbeitssuchende und Berufsanfänger sind zunehmend attraktive Ziele für Cyberkriminelle, die Websites wie LinkedIn und ausgefeilte Social-Engineering-Techniken nutzen, um ihre Opfer zur Herausgabe von Geld und persönlichen Daten zu bewegen. Aber wie funktioniert der neue Betrug, und warum ist der Beschäftigungsbetrug ein zunehmender Teil der Bedrohungslandschaft?

Einstellungsbetrug und Arbeitsbetrug nehmen zu

Im Jahr 2021 verloren die Australier über 2 Milliarden Dollar durch Betrug - mehr als doppelt so viel wie im Jahr 2020. Doch während die Angriffe auf breiter Front zunehmen, deuten jüngste Untersuchungen darauf hin, dass Arbeits- und Einstellungsbetrügereien im derzeitigen Klima besonders gut gedeihen.

Laut Deanna Grant-Smith, Associate Professor an der Queensland University of Technology (QUT), haben die Arbeitsmuster nach der Pandemie "ein günstiges Umfeld für Täter geschaffen, um potenzielle Opfer effektiv anzusprechen". Immer mehr Mitarbeiter arbeiten aus der Ferne, einige haben ihren Arbeitsplatz verloren und andere sind in die Freiberuflichkeit gewechselt, so dass ein größerer Teil der Bevölkerung außerhalb des klassischen Cybersecurity-Perimeters" steht.

Infolgedessen kursieren Betrugsversuche per E-Mail, SMS und Whatsapp, bei denen Cyberkriminelle auf der Jagd nach persönlichen Daten und Bankverbindungen sind und Arbeitssuchende dazu bringen, Geld für betrügerische Schulungsmaterialien oder Anmeldegebühren auszugeben. Auch Neueinstellungen sind bedroht, da Betrüger Informationen aus den sozialen Medien nutzen, um Neuankömmlinge anzulocken.

Wie Neueinsteigerbetrug funktioniert

Viele von uns teilen in den sozialen Medien mehr, als sie sollten, und Cyberkriminelle beobachten uns dabei. Ein Unternehmen für Unternehmenssoftware beschrieb vor kurzem, wie ein Neueinsteiger fast in die Falle gelockt wurde. Der Mitarbeiter erhielt eine Nachricht von einem der Gründer der Organisation, in der er namentlich angesprochen und aufgefordert wurde, "so schnell wie möglich etwas zu unternehmen". Er antwortete und erhielt eine Antwort des Gründers, in der er aufgefordert wurde, sofort Geschenkgutscheine zu kaufen, für die er eine Rückerstattung erhalten würde. Glücklicherweise erkundigte sich der Mitarbeiter bei seinem Vorgesetzten, der den Vorfall als wahrscheinlichen Betrug einstufte.

• Dieser zunehmend verbreitete Betrug weist einige der klassischen Merkmale eines Social-Engineering-Angriffs auf:
• die Nachricht ein Gefühl der Dringlichkeit vermittelt ("so schnell wie möglich")
• einen saloppen Ton und persönliche Angaben wie die Namen der Mitarbeiter
• die Aufforderung zur Zahlung von Geld in Form von Geschenkgutscheinen (die häufig von Betrügern verwendet werden) erfolgte nicht sofort, sondern erst, nachdem der Betrüger eine Verbindung zu seinem Opfer hergestellt hatte
• die Aufforderung richtete sich gezielt an einen neuen Mitarbeiter, der sich möglicherweise nicht auskennt
• die Nachricht wurde gefälscht, um den Anschein zu erwecken, dass sie von dem Gründer stammt

Der Betrüger erhielt seine Informationen aus einer einzigen Quelle - LinkedIn. Jobplattformen stellen ein ernsthaftes Cyber-Sicherheitsrisiko dar, da sie die Namen der Mitarbeiter, die letzten Projekte und die Anfangsdaten enthalten: alles frei zugängliche Informationen, die Betrüger nutzen können, um ihre Anfragen glaubwürdiger zu gestalten.

Wie der Einzelne sich schützen kann

Gezielte Angriffe auf Berufsanfänger sind nur eine Art von beschäftigungsbezogenen Social-Engineering-Angriffen. Betrüger können Websites wie LinkedIn nutzen, um Menschen auf gezielte Stellenangebote zu locken, woraufhin sie auf eine gefälschte Website weitergeleitet werden, wo ihre Daten erfasst werden. WhatsApp-Nachrichten, in denen Jobs bei JB Hi-Fi und Target angeboten werden, sind eine weitere gängige Methode. Die Betrüger fordern ihre Opfer möglicherweise auf, einen Laptop zu kaufen und ihn dann per Post zu schicken, damit sie Updates installieren können - und schon lösen sich Laptop und Betrüger in Luft auf. Einige Arbeitssuchende könnten sogar auf Kryptowährungsbetrug hereinfallen.

Wie kann sich der Einzelne also schützen?

• Besuchen Sie Scamwatch, wenn Sie eine besorgniserregende Nachricht sehen, und melden Sie sich für E-Mail-Updates zu den neuesten Betrugsfällen an.
• Lassen Sie sich Zeit: Dringlichkeit ist eine der stärksten Waffen von Betrügern. Machen Sie eine Pause, entfernen Sie sich von Ihrem Bildschirm und fragen Sie einen Kollegen oder Freund, wenn Sie unsicher sind.
• Überprüfen Sie Ihre Privatsphäre-Einstellungen in sozialen Medien, um Betrügern keine Munition zu geben (Sie können verdächtige Profile auch auf LinkedIn melden).
• Seien Sie besonders vorsichtig, wenn Sie aufgefordert werden, Transaktionen mit Geschenkkarten, iTunes-Karten oder Kryptowährungen vorzunehmen
• Klicken Sie nicht auf verdächtige Links oder Anhänge
• Wenn Sie sich nicht sicher sind, ob eine Nachricht von dem stammt, der sie vorgibt zu sein, kontaktieren Sie den Absender über eine Adresse, die Sie von einer offiziellen Website oder App erhalten haben
• Gefälschte E-Mails und Websites sind oft schwer zu erkennen, daher sollten Sie E-Mail- und Webadressen sowie das Firmenlogo sorgfältig prüfen.
   

Ihr Unternehmen vor Betrug schützen

Kein Unternehmen kann zu 100 % vor Betrug sicher sein, aber Sie können sich zu einem schwierigeren Ziel für Cyberkriminelle machen. Zu den wichtigsten Maßnahmen gehören:

• Klare Richtlinien für soziale Medien und Geräte
• Stellen Sie sicher, dass die Schulungen häufig stattfinden und auf Ihre größten Bedrohungen ausgerichtet sind.
• Neue Mitarbeiter und Teilzeit- oder Gigworker können Ihre größte Schwachstelle sein - stellen Sie sicher, dass sie nicht durch Ihr Sicherheitsnetz schlüpfen
• Nachrichten über aktuelle Angriffe oder Trends weitergeben
• Verwenden Sie Firewalls, Datensegmentierung und Zero-Trust-Frameworks, um Ihre Daten zu schützen, falls ein böser Akteur in Ihre Systeme eindringt.
• Verwenden Sie Anti-Spoofing-Maßnahmen wie DMARC
   

Der Arbeitsmarkt ist ein fruchtbarer Boden für Betrüger

Die Veränderungen in der Arbeitswelt seit der Pandemie haben Arbeitsuchende und neue Mitarbeiter für Betrüger attraktiver denn je gemacht. Stellenbörsen und Regierungen haben Mühe, kriminelle Aktivitäten einzudämmen - in einem kürzlich in den USA bekannt gewordenen Fall wurde das Auslesen von Daten von LinkedIn für legal befunden. Das bedeutet, dass die Verantwortung für die Sicherheit bei Einzelpersonen und Unternehmen liegt. Glücklicherweise können einige grundlegende Schritte uns allen helfen, bei der Suche nach einem neuen Arbeitsplatz oder bei der Aufnahme einer neuen Tätigkeit sicher zu bleiben, nicht zuletzt, indem man seinem eigenen Instinkt vertraut. Wenn sich ein Angebot zu gut anfühlt, um wahr zu sein, oder eine Anfrage ungewöhnlich erscheint, löschen Sie die Nachricht aus Ihrem Posteingang - und die Betrüger aus Ihrem Leben.