
Als wäre der Fachkräftemangel nicht schon Last genug: Jetzt kann man nicht einmal den Bewerbungen trauen. Eine Gebäudereinigerfirma hat die neueste Masche der Cyberkriminellen am eigenen Leib erlebt, berichten die Virenschützer von Avira.
Das war passiert: Der Betrieb veröffentlichte eine Stellenausschreibung auf dem Jobportal der Agentur für Arbeit. Wenige Tage später bekommt das Unternehmen eine E-Mail. Betreff: Bewerbung als Gebäudereiniger.
Gute Bewerbung, böser Anhang
Die E-Mail sieht tadellos aus. Der Interessent beschreibt seine Qualitäten ohne Rechtschreibfehler. Zwar schreibt er nichts zu seinen Fähigkeiten speziell als Gebäudereiniger, doch das muss er auch nicht. Schließlich hat er zusätzliche Bewerbungsunterlagen hinterlegt – auf dem bekannten Online-Cloudspeicher Dropbox.
Das Dokument „Bewerbung.PDF.exe“ solle das Unternehmen einfach herunterladen, schreibt der Bewerber. Das kam dem Betrieb allerdings merkwürdig vor. Er meldete den Fall den Virenschützern von Avira. Deren Analyse ergab, dass es sich bei den vermeintlichen Bewerbungsunterlagen um eine sogenannte Ransomware handelt. Ihr Name: Chimera. „Mit solchen Attacken versuchen Angreifer in kürzester Zeit eine enorme Masse an Opfern zu erreichen“, erklären die Virenschützer.
Polizei warnt: kein Einzelfall
Chimera verschlüsselt die Dateien auf dem Computer seiner Opfer und macht sie für sie unbrauchbar. Statt ihrer gewohnten Arbeitsumgebung sehen sie eine Aufforderung zur Lösegeldzahlung. Andernfalls blieben die Daten verschlüsselt. Eine Drohung gibt es obendrauf: „Sollten Sie der Forderung nicht nachgehen, werden wir Ihre persönlichen Daten, Fotos und Videos in Verbindung mit Ihrem Namen im Internet veröffentlichen.“
Ein Einzelfall? Nein. Schon Mitte Oktober warnte die Polizei vor der neuen Masche. Die Angreifer geben sich bei Unternehmen als Bewerber oder Auftraggeber aus. Auch spricht laut Avira alles dafür, dass die Attacken noch anhalten: „Wir verzeichnen in unseren Backend-Systemen einen enormen Anstieg von neuen Ransomware-Dateien wie ‚Berwerbung.pdf.exe‘ oder ‚UnterlagenfuerBewerbung.pdf.exe‘.“
Wie Sie sich dagegen schützen, lesen Sie auf Seite 2.

Wie lassen sich die Attacken verhindern? Im Fall der Bewerbung genügt ein flüchtiger Doppelklick auf die Datei, schon hat man den Virus. Daher ist besondere Vorsicht gefordert. „Allein die Dateiendung *exe sollte schon alle Alarmglocken der Nutzer klingeln lassen und darauf hinweisen, dass es sich nicht um eine echte Bewerbung handeln kann“, warnt Avira. Solche Dateien unbekannter Absender sollten auf keinen Fall geöffnet werden.
Auch andere Jobbörsen sind gefährdet
Ist nur die Jobbörse der Agentur für Arbeit betroffen? Das kann nicht garantiert werden. Im aktuellen Fall geht Avira davon aus, dass die Cyberkriminellen die E-Mail-Kontakte der Unternehmen automatisiert eingesammelt haben. Das ist leicht, weil die Jobbörse der Arbeitsagentur schlecht gesichert ist: E-Mail-Adressen in den Stellenangeboten sind ohne Weiteres im Klartext einsehbar. Es gibt auch keine Captcha-Abfrage, um automatisiere Datensammler zu stoppen. Für Avira sind das typische Beispiele niedriger Sicherheitsstandards.
Aber die gibt es nicht nur bei der Agentur für Arbeit: Auch auf den Jobbörsen von Monster, Stepstone und Kimeta konnten wir die Mailadressen mit nur einem Klick auf ein Stellenangebot einsehen. Somit steckt in jeder Jobofferte, die einen E-Mail-Kontakt enthält, ein Einfallstor für die Cyberkriminellen.
Wie schützt man sich? Betriebssystem, Virenscanner und andere Programme sollten stets auf dem neuesten Stand sein (mehr Infos hier). Mit den Updates schließen die Hersteller Sicherheitslücken und spielen Programmteile ein, die neue Schadsoftware erkennen und den Angriff verhindern können.
Um im Fall einer erfolgreichen Attacke nicht alle Daten zu verlieren, rät die Polizei zu regelmäßigen Backups. Geschädigten rät sie, bei der Polizei Anzeige zu erstatten. Von der Zahlung des Lösegeldes raten die Experten von Avira ab. (deg)
Mehr Infos zu aktuellen Cyberbedrohungen und effektiven Schutzmaßnahmen gibt es hier:
- IT-Sicherhheit – Tipps von den Profis der Spionageabwehr
- Ransomware Shade – Der digitale Supergau
- Sicherheitsgefahr Mitarbeiter – Der Spion, der es nicht wusste
- Kostenlos für Websitebetreiber – Ein Virenjäger für Ihre Homepage
Kommentar