Phisher greifen offenbar E-Mail-Adressen von Arbeitsagentur-Stellenbörse ab

Kriminelle verschicken offenbar gezielt Phishing-Mails an Arbeitgeber, die im Jobcenter-Portal der Bundesagentur für Arbeit eine Stellenanzeige aufgegeben haben. Die Nachrichten enthalten laut dem Sicherheitsanbieter Avira einen Link, der angeblich zu auf Dropbox gehosteten Bewerbungsunterlagen führt. Tatsächlich handelt es sich dabei jedoch um eine mit Malware verseuchte Datei. Als Grund für den Umweg über Dropbox nennt die E-Mail technische Probleme beim Provider.

Die als „Bewerbung.PDF.exe“ bezeichnete Datei versucht, Nutzer zusätzlich mit einem falschen Archiv-Icon zu täuschen, indem es sich als gepacktes PDF ausgibt. Für Personalverantwortliche ist es nicht unüblich, auf diese Weise Bewerberunterlagen zu erhalten. Im konkreten Fall weist Avira aber darauf hin, dass sie bereits die Endung .exe stutzig machen sollte.

Phisher greifen offenbar E-Mail-Adressen von der Jobcenter-Website ab (Screenshot: ZDNet.de).

Werden die vermeintlichen Unterlagen geöffnet, entpuppt sich die Datei als Ransomware. Sie verschlüsselt die persönlichen Daten auf dem Computer und fordert für den zur Entsperrung notwendigen Schlüssel ein Lösegeld. Obwohl man diesen inzwischen in den meisten Fällen auch erhält, raten Experten dringend davon ab, derartigen Forderungen nachzukommen, da dies dazu beitrage, die Untergrundwirtschaft zu finanzieren.

Avira vermutet, dass die Angreifer im aktuellen Fall die Jobcenter-Website mit einem Crawler nach neuen Angeboten durchsuchen, um dann den Inserenten gezielt ihre Phishing-Mails zu schicken. Auf Nachfrage von ITespresso konnte die Bundesagentur für Arbeit dazu keine Auskunft geben. Ein Sprecher teilte lediglich mit, dass E-Mail-Adressen und Logo des Öfteren missbraucht würden, „um auf eigene Seiten aufmerksam zu machen oder auch um fremde Daten zu ermitteln“. Sofern dies gemeldet werde und gehäuft auftrete, reagiere man mit einer Presseinformation. Das letzte Mal schien dies aber im Dezember 2013 der Fall zu sein.

Problematisch ist im aktuellen Fall aber, dass die E-Mail-Adressen der Stellenanbieter ungeschützt auf der Jobcenter-Website stehen. Dass sie dort zu finden sind, ist verständlich, schließlich wollen die Firmen ja kontaktiert werden. Allerdings wäre es beispielsweise möglich, sie nicht als Link zu präsentieren, über den dann direkt eine neue Nachricht im Mail-Programm des Nutzers geöffnet wird. Alternativ könnte die Mail-Adresse als Bilddatei angezeigt oder erst nach Eingabe eines Captchas preisgegeben werden.

Die Behörde äußerte sich nicht dazu, ob diese Möglichkeiten in Erwägung gezogen werden. Sie hätte allerdings genug Zeit gehabt, sich eine Strategie zu überlegen. Schließlich hatte die Polizei Niedersachsen erstmals im Oktober darauf hingewiesen, dass die auch jetzt wieder auf diesem Wege verteilte Ransomware „Chimera“ über Links in E-Mails mit passenden Inhalten an Adressen versandt wurde, die im Jobcenter als Kontakt angegeben waren. Damals hatte die Polizei gebeten, Personalverantwortliche auf diese Masche hinzuweisen und sie davor gewarnt, selbst in glaubwürdig erscheinenden Mails auf Links zu Dropbox zu klicken.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de