Personalvermittler sind ständig auf der Suche nach passenden Bewerbern für ihre offenen Stellen. Sei es über klassische Online-Stellenanzeigen oder per Direktnachricht auf Plattformen wie LinkedIn.
Wir haben vor kurzem einen Bericht von mehreren Nutzern auf Reddit entdeckt, die berichten, dass sie von einem Personalvermittler kontaktiert wurden und die Aufgabe erhielten, eine Arbeitsprobe zu erstellen. Diese Praxis ist nicht unüblich, auch wenn in der Vergangenheit behauptet wurde, dass einige Unternehmen diese Taktik anwenden, um Bewerber auszunutzen und kostenlose Produktionsarbeiten zu erhalten. Aber im Großen und Ganzen wollen die Unternehmen sehen, dass Sie in der Lage sind, das zu tun, was in Ihrem Lebenslauf steht. Dieser Fall war jedoch interessant. Da Sie diesen Beitrag auf dem Blog eines Unternehmens lesen, das Malware bekämpft, können Sie sich wahrscheinlich denken, worauf das hinausläuft. Aber eins nach dem anderen.
Zwielichtiges Repository, seltsame Warnungen
Der Reddit-User huggesh_nair berichtete, dass er von einem Recruiter einen Zugang zu einem privaten Repository auf Github geschickt bekam, von dem er Anwendungsdaten für eine Aufgabe herunterladen sollte. Die Installation schlug fehl, und anschließend forderte das System die Berechtigung an, ein Python-Paket zu installieren (Python ist eine Skriptsprache, die von Entwicklern häufig verwendet wird, um bestimmte Aufgaben zu automatisieren und zu erleichtern). Da er sich an keinen Grund für diesen Vorgang erinnern konnte, wurde der Benutzer misstrauisch und wandte sich an Reddit, um Rat zu suchen. Dort wurde ihm gesagt, dass dies äußerst verdächtig erscheine und dass es vermutlich das Beste sei, das System zurückzusetzen. Das war ein guter Rat, denn es stellte sich heraus, dass diese Daten noch ein „Zusatzfeature“ enthielten.
Am auffälligsten sind einige stark verschleierte Skripte unter den heruntergeladenen Daten aus dem Repository. Diese stehlen, wie sich herausstellt, Daten von einer Vielzahl von Browsern. Diese bösartigen Skripte haben es auf Session Tokens, gespeicherte Passwörter und Krypto-Wallets abgesehen.
Eine bekannte Taktik
Diese Taktik kommt uns bekannt vor - diese Art von Datendiebstahl ist ziemlich häufig, und wir haben bereits Fälle gesehen, bei denen es um DMs auf Social-Media-Plattformen ging. Und diese Art von Angriffen kostet die Opfer nicht nur ihre Konten, sondern potenziell auch eine Menge Geld. Bei diesen gefälschten Stellenanzeigen/Arbeitsproben oder „technischen Tests“, wie sie manchmal genannt werden, wird von den „Bewerbern“ (die hier in Anführungszeichen gesetzt sind, weil sie sich technisch gesehen nicht aktiv um eine Stelle beworben haben, sondern von einem angeblichen „Personalverantwortlichen“ kontaktiert wurden) erwartet, dass sie einen Lebenslauf einreichen. Auch dies ist bei jedem Einstellungsverfahren üblich und daher nicht sofort verdächtig.
Aber in diesem Fall wird ein legitimer Lebenslauf, bei dem wir davon ausgehen können, dass die Informationen korrekt, vollständig und aktuell sind, an eine kriminelle Organisation geschickt. Sie können sich selbst ausmalen, was Kriminelle mit solchen Informationen anstellen können. Ein Szenario, das einem in den Sinn kommt, ist die Erstellung gefälschter Bewerbungen für Stellen, die mit Fernarbeit verbunden sind. Auch das ist schon vorgekommen - nordkoreanische Akteure haben sich erfolgreich in Unternehmen eingeschleust und sich als echte Bewerber ausgegeben, die echte Arbeit verrichten. Und während einige gefälschte Bewerbungen leicht zu erkennen sind, werden KI-Technologien aktiv eingesetzt, um sehr überzeugende Fälschungen zu erstellen, die sogar einer Überprüfung während eines Videoanrufs standhalten.
Wer war es?
Eine Theorie besagt, dass die in Nordkorea ansässige Gruppe Lazarus hinter diesen Angriffen steckt. Das würde Sinn ergeben, da diese Gruppe dafür bekannt ist, Daten von Computern abzuschöpfen und Bankkonten und Krypto-Wallets zu leeren. Das erbeutete Geld füllt dann in letzter Konsequenz die Kassen des nordkoreanischen. Nach Schätzungen von Chainalysis hat Nordkorea allein durch den Diebstahl von Kryptowährungen über 1 Milliarde USD eingestrichen.
So schützen Sie sich vor falschen Personalvermittlern und Fake-Recruitern
Wenn Sie also gerade auf der Suche nach einer neuen Stelle sind und von jemandem kontaktiert werden, der behauptet, jemanden mit Ihren Qualifikationen zu suchen, gibt es einige Dinge, auf die Sie achten sollten:
- Vergewissern Sie sich, dass es eine andere Möglichkeit der Kontaktaufnahme gibt, entweder per E-Mail oder per Telefon. Kein seriöser Personalvermittler sollte es ablehnen, wenn Sie ihn über einen anderen Kanal kontaktieren möchten.
- Wenn Sie eine Arbeitsprobe abgeben oder einen „technischen Test“ machen sollen, achten Sie auf die Quelle der Daten, die Ihnen zur Verfügung gestellt werden. Ein Github-Repository mit einem zufälligen Benutzernamen, der nichts mit dem Unternehmen zu tun hat, für das Sie angeblich arbeiten sollen, ist ein deutliches Warnsignal.
- Überprüfen Sie die Website des Unternehmens, für das die Person, die Sie kontaktiert, zu arbeiten behauptet. Wenn Sie dort keine offene Stelle finden, die Ihrem Qualifikationsprofil entspricht (oder sogar überhaupt keine offenen Stellen), ist Vorsicht geboten.
- Achten Sie genau auf E-Mail-Domänen. Vergewissern Sie sich, dass die E-Mail-Adresse, die Sie erhalten, mit der Website des Unternehmens übereinstimmt. Achten Sie besonders auf Dinge wie die Ersetzung von Buchstaben, z. B. l und I (kleines „L“ wie in Lima vs. großes „I“ wie in India)
