Betrug im Vorstellungsgespräch: Schriftliche Tests gehören nicht nur in der IT zum Bewerbungs-Alltag. Die interessierte Firma schickt ein paar Dateien, die der Bewerber bearbeiten soll, um sein Können unter Beweis zu stellen.
Ein Entwickler mit acht Jahren Berufserfahrung berichtet in seinem Blog, wie er in einem technischen Test einer seriös wirkenden Firma in letzter Sekunde gefährliche Schadsoftware entdeckt hat. Kurz darauf meldet sich auch Google zu Wort und bestätigt einen Trend:
Auf echten Jobplattformen suchen Betrüger nach ihren Opfern: Job-Suchende, die nur darauf warten, in Bewerbungstest zu zeigen, was sie können.
8:16
Tech like Vera: Wie die Kombination aus MacBook Pro und Mac Mini mein Leben deutlich bereichert hat
»Ich war 30 Sekunden davon entfernt, die Malware auf meinem Rechner auszuführen«
Der Entwickler David Dodda führt einen Blog, auf dem er über Coding und Freelancer-Themen schreibt. Vor wenigen Tagen erzählt er hier eine besorgniserregende Geschichte: »Wie ich während eines 'Job-Interviews' fast gehackt wurde«:
- Dodda erhielt über LinkedIn eine professionelle Nachricht von einem angeblichen »Chief Blockchain Officer«.
- Das Profil und die Firma wirkten seinen Angaben nach seriös – inklusive Unternehmensseite und diversen Mitarbeitern.
- Dodda, der sich selbst als normalerweise
sicherheitsparanoid
bezeichnet, sagte dem Gespräch zu.
Als Teil des Bewerbungsprozesses erhielt er einen standardisierten Programmiertest für Zuhause – eine React/Node-Codebasis auf einem professionellen Bitbucket-Repository.
Hier begann die Falle:
- Dodda beschreibt selbst, dass er unter Zeitdruck stand, um den Code vor dem Meeting fertigzustellen.
- Er tat, was seiner Aussage nach »faule Entwickler tun«: Er umging seine übliche Sicherheitsroutine, den Code in einer isolierten Umgebung wie Docker auszuführen (englisch: »sandboxing«), und begann stattdessen direkt mit der Bearbeitung.
- Er nutzte die knappe Zeit, um offensichtliche Fehler zu beheben und das Projekt aufzuräumen
Ein einfacher KI-Prompt wird zur Rettung
Nur einen Augenblick, bevor er den entscheidenden Befehl zur Ausführung des Codes eingab, hatte Dodda einen paranoiden Entwickler-Moment
: Anstatt eine aufwendige Sicherheitsprüfung durchzuführen, fragte er seinen KI-Assistenten Cursor mit einem einfachen Prompt:
Bevor ich diese Anwendung ausführe, kannst du sehen, ob sich in dieser Codebasis verdächtiger Code befindet? Wie zum Beispiel das Lesen von Dateien, die nicht gelesen werden sollten, der Zugriff auf Krypto-Wallets und so weiter
Die Antwort war alarmierend:
- Die KI fand im Programmcode einen unscheinbaren Befehl, der in einer verschlüsselten Zahlenfolge getarnt war. Die Zahlenfolge war im Grunde ein geheimer Code für eine Internetadresse.
- Beim Start des Programms sollte von dieser Adresse im Verborgenen die eigentliche, hochgefährliche Malware aus dem Netz geladen und direkt auf Doddas Rechner installiert werden.
Doddas Fazit: Der Code war darauf ausgelegt, mit vollen Serverrechten Krypto-Wallets, Passwörter und andere sensible Dateien zu stehlen. Die Täter waren Profis: Die URL des Schadcodes war nur 24 Stunden aktiv, um Spuren zu beseitigen – ein Zeichen für eine hochentwickelte, gezielte Operation.
Auch Google warnt: Job-Interviews als Einfallstor für Cyberkriminelle – nicht nur Entwickler sind betroffen
Wenige Tage nach Doddas Meldung bestätigt auch Google in einem Blogpost eine ähnliche Bedrohung, die von finanziell motivierten Hackern aus Vietnam ausgeht. Die Masche erinnert in ihrem Prinzip stark an den Fall Dodda:
- Falsche Stellenanzeigen: Die Hacker schalten vermeintliche Anzeigen auf echten Plattformen und finden in den Bewerbern ihre Opfer.
- Professionelle Tools: Für den weiteren Kontakt missbrauchen die Betrüger weiterhin echte Plattformen (wie Salesforce), um Sicherheitsfilter zu umgehen.
- Getarnte »Skill-Tests«: Die Opfer erhalten im Rahmen des falschen Bewerbungsprozesses passwortgeschützte ZIP-Dateien mit angeblichen Eignungstests, die tatsächlich Schadsoftware enthalten.
Im konkreten Fall, vor dem Google warnt, geht es nicht um IT-Jobs, sondern digitales Marketing und Werbung.
Die Angreifer zielen auf diese speziellen Mitarbeiter ab, um Zugang zu deren Unternehmens-Konten (wie Social-Media- oder Werbekonten) zu erlangen, um sie dann für eigene finanzielle Zwecke zu missbrauchen oder weiterzuverkaufen.
![Sie kümmern sich mit über 1.000 Mitarbeitern um IT-Sicherheit - und merken plötzlich, dass ein Neuer im Team ein Cyberkrimineller aus Nordkorea ist [Archiv]](http://images.cgames.de/images/gamestar/251/us-firma-cyberkrimineller-nordkorea-teaser-1-ki-generiert-mit-adobe-firefly_6302335.jpg)
Google warnt im Blogpost weiter, dass davon auszugehen ist, dass sich die Betrugsmasche auf andere Branchen ausweiten wird.
Insofern bleibt hier die generelle Warnung an unsere Leser: Auch auf seriösen Plattformen müsst ihr mit Betrügern rechnen. Seid misstrauisch bei Job-Angeboten, die auffallend gut klingen und handelt nicht unter Zeitdruck.
![Was das N-Symbol auf Eurem Handy bedeutet und warum es interessant sein kann, es aktiviert zu haben [Best of GameStar]](http://images.cgames.de/images/gamestar/256/n-symbol-teaser-stockadobecom-bloomicon_6351960.jpg)
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.