Cyberkriminalität

Erpressungsversuch per Online-Bewerbung Maria Hendrischke, 04.04.2016 15:05 Uhr

Berlin - 

Carsten Moser, Inhaber der Stern-Apotheke in Emmerich am Rhein, ist auf der Suche nach einem Approbierten. Ein „Marcel Richter“ bewarb sich auf die Stellenausschreibung per E-Mail. Doch Moser wurde stutzig. Zum Glück: Es handelte sich um die Phishing-Mail eines Betrügers.

Moser sucht einen Apotheker in Voll- oder Teilzeit, „gerne auch Berufseinsteiger oder Pharmaziepraktikanten“. Die E-Mail des Bewerbers wirkt auf den ersten Blick seriös: Sie enthält den Betreff „Bewerbung als Apotheker“, ist an „Herr Carsten Moser“ adressiert und in fehlerfreiem Deutsch geschrieben.

Aber bei genauerem Hinsehen zeigen sich Ungereimtheiten. Der angebliche Bewerber schreibt, dass er bereits mehrere Jahre als Apotheker gearbeitet habe, ergänzt aber: „Nach meiner Fachhochschulreife und meinen bisherigen Praktika konnte ich bereits Erfahrungen in unterschiedlichen Bereichen sammeln.“ Offenbar hatte er hier nicht gründlich recherchiert: Die Fachhochschulreife ist keine ausreichende Voraussetzung für einen Pharmaziestudium.

Das Anschreiben schließt mit der Anmerkung: „Die vollständige Bewerbungsmappe habe ich in meine Dropbox geladen, weil die Datei für die Email zu groß war – Entschuldigen Sie bitte!“ Moser lud diese „Bewerbungsmappe“ nicht auf seinen Rechner und öffnete sie nicht.

Damit ersparte er sich eine Menge Ärger, denn die Datei ist vermutlich ein Trojaner. Bereits im vergangenen Oktober traten virenverseuchte E-Mails auf, die sich als Bewerbungsschreiben tarnten. Damals warnte die Zentrale Ansprechstelle Cybercrime (ZAC) vor der Gefahr; das Landeskriminalamt Baden-Württemberg (LKA BW) veröffentlichte am 24. März eine Warnung zu einer erneuten bundesweiten Welle entsprechender Betrugsversuche.

Das Prinzip ist stets das gleiche: Angebliche Bewerber schicken Unternehmen personalisierte Anschreiben in einwandfreiem Deutsch, entweder auf Stellenangebote hin oder als Initiativbewerbung. Das Schreiben verweist auf Bewerbungsmappen, die aus dem Speicherdienst „Dropbox“ heruntergeladen werden können. Die Datei heißt beispielsweise Bewerbungsmappe.gepackt.exe. Wenn der Inhaber sie abspeichert und öffnet, wird ein Trojaner installiert, der die Daten auf dem PC verschlüsselt. Der Rechner kann anschließend nicht mehr benutzt werden.

Laut LKA ist das Ziel des vermeintlichen Bewerbers, mit der Wiederentschlüsselung der Daten „Lösegeld“ zu erpressen. Auf dem Computer erscheint eine Benachrichtigung, die etwa auf das Programm eines bestimmten Anbieters verweist, zu dem man im Internet Kontakt aufnehmen soll. Für die Entschlüsselung wird eine hohe Gebühr verlangt. Inhaber, die so erpresst werden, sollten auf keinen Fall zahlen, rät das LKA. Stattdessen sollten sie bei der ZAC Anzeige erstatten.

Um Phishing-Mails zu erkennen, muss der Empfänger sehr aufmerksam lesen, warnt das LKA. Wenn die E-Mail einen Link zum Download von Unterlagen einer unbekannten Quelle enthält, ist besondere Vorsicht geboten. Erhalten die vermeintlichen Bewerbungsunterlagen eine Dateiendung wie .exe oder .js, handelt es sich nicht um Dokumente, sondern um Programme. Diese könnten Änderungen am Computer vornehmen. Auch in Archiv-Dateien wie .zip oder .rar können sich unerwünschte Programme verstecken.

Die E-Mail an Moser wurde von [email protected] versendet. Die Seite net-24.at verweist auf einen angeblichen Nachrichtenservice, der kostenlose E-Mailadressen vergibt. Von Mailadressen des Anbieters gingen laut Informationen des Blogs wohnungsbetrug.blogspot.de bereits weitere Betrugsversuche aus: Ein Nutzer mit der E-Mail [email protected] hatte eine Wohnung in der Grünangergasse in Wien eingestellt, die sich als Fake herausstellte. Gleiches gilt für das „Elegante Studio im 4. Stock“ in der Unteren Weißgerberstraße in Wien, das von [email protected] inseriert worden war.