Arbeitgeber bekommen nach Jobcenter-Anzeige erneut Phishing-Mails

SicherheitSicherheitsmanagement
Arbeitgeber bekommen nach Jobcenter-Anzeige Phishing-Mails (Screenshot: ITespresso)

Darauf hat der IT-Sicherheitsanbieter Avira hingewiesen. Der wurde durch Betroffene darauf aufmerksam. Er vermutet, dass die Kriminellen sich die E-Mail-Adressen durch einen Crawler auf der Website der Agentur für Arbeit beschaffen. Die weiß aktuell noch von nichts.

Avira hat auf eine weitere Variante hingewiesen, wie Kriminelle sich Opfer für gezielte Phishing-Mails aussuchen. In seinem Blog berichtet der Anbieter, dass Arbeitgeber, die das Jobcenter-Portal der Agentur für Arbeit nutzen, nach Veröffentlichung einer offenen Stelle dort eine Mail mit einem Link erhalten. Der verweist vermeintlich auf Dropbox, wo die kompletten Bewerbungsunterlagen zur Einsicht bereit liegen sollen. Begründet wird das mit einem technischen Problem beim Provider.

Avira warnt vor neuer Phishing-Masche mit Jobcenter-Anzeigen (Bild: Avira)

Der Link führt allerdings nicht zu Dropbox, sondern auf eine Website mit Malware. Das als “Bewerbung.PDF.exe” bezeichnete Dokument versucht Nutzer zudem mit einem falschen Archiv-Icon zu täuschen, indem es sich als gepacktes PDF ausgibt. Für Personalverantwortliche ist es nicht unüblich, auf diese Weise Bewerberunterlagen zu erhalten. Im konkreten Fall weist Avira aber darauf hin, dass bereits die Endung .exe sie stutzig werden lassen sollte.

Werden die vermeintlichen Unterlagen geöffnet, entpuppt sich die Datei als Ransomware. Die verschlüsselt die persönlichen Dateien auf dem Computer und fordert für den zur Entsperrung notwendigen Schlüssel ein Lösegeld. Obwohl man diesen inzwischen in den meisten Fällen auch bekommt, raten Experten dringend davon ab, derartige Beträge zu bezahlen, da sie lediglich dazu beitrügen, die Untergrundwirtschaft zu finanzieren.

Der Link in den Mails führt nicht zu Dropbox, sondern zur Installation der Ransomware Chimera (Screenshot: Avira).
Der Link in den Mails führt nicht zu Dropbox, sondern zur Installation der Ransomware Chimera (Screenshot: Avira).

Avira vermutet, dass die Angreifer in dem Fall die Jobcenter-Website mit einem Crawler nach neuen Angeboten durchsuchen um dann den Inserenten gezielt ihre Phishing-Mails zu schicken. Auf Anfrage von ITespresso konnte die Bundesagentur für Arbeit dazu keine Auskunft geben. Ein Sprecher teilte lediglich mit, dass E-Mail-Adressen und Logo des Öfteren missbraucht würden, “um auf eigene Seiten aufmerksam zu machen oder auch um fremde Daten zu ermitteln.” Sofern uns dies gemeldet werde und gehäuft auftrete, reagiere man mit einer Presseinformation. Das letzte Mal schien dies aber im Dezember 2013 der Fall zu sein.

Problematisch ist im aktuellen Fall aber, dass die E-Mail-Adressen der Stellenanbieter ungeschützt auf der Jobcenter-Website stehen. Dass sie dort zu finden sind ist verständlich, schließlich wollen die Firmen ja kontaktiert werden. Allerdings wäre es zum Beispiel möglich, sie nicht als Link zu präsentieren, über den dann direkt eine neue Nachricht im Mail-Programm des Nutzers geöffnet wird. Alternativ könnte die Mail-Adresse als Bilddatei angezeigt oder erst nach Eingabe eines Captchas preisgegeben werden.

Dazu, ob diese Möglichkeiten in Erwägung gezogen werden, gab die Behörde keine Stellungnahme ab. Zeit genug, sich eine Strategie zu überlegen, wäre aber schon gewesen. Schließlich hatte die Polizei Niedersachsen erstmals im Oktober darauf hingewiesen, dass die auch jetzt wieder auf diesem Wege verteilte Ransomware “Chimera” über Links in E-Mails mit passenden Inhalten an Adressen versandt wurde, die im Jobcenter als Kontakt angegeben waren. Damals hatte die Polizei gebeten, Personalverantwortliche auf diese Masche hinzuweisen und sie davor gewarnt, selbst in glaubwürdig erscheinenden Mails auf Links zu Dropbox zu klicken.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen