Immer wieder wird im Internet davor gewarnt, nicht leichtfertig seine Daten herauszugeben. Was passieren kann, wenn man es doch macht, soll diese reale Geschichte zeigen.
Bitte beachten: Die Namen in dieser Geschichte sind frei erfunden, ändern jedoch nichts daran, dass dies wirklich so passiert ist.
Job Portale
Karina ist auf der Suche nach einem Nebenjob von zu Hause aus. Etwas, womit man auf 520 € Basis noch was dazuverdienen kann.
Sie meldet sich bei bekannten Job-Börsen, wie Indeed, Join usw. an, erstellt ein Profil und sucht nach passenden Jobs.
Einige Wochen später bekommt Sie auf Ihre private E-Mail-Adresse ein vermeintliches Jobangebot.
- 520 Euro Job Festgehalt aus dem Home-Office- Arbeitszeit von Mo.–Fr. täglich 1–1,5 Stunden- Flexible Zeiteinteilung – wir setzen auf lösungs- und ergebnisorientiertes Arbeiten- Täglich und wöchentlich neue Studien, je nach Studienumfang (2–3 Stück pro Woche)- 35 Urlaubstage pro Kalenderjahr, Urlaub muss bis spätestens 2 Wochen vorher angemeldet werden
Anschließend würde ich Ihnen gerne die täglichen Arbeitsabläufe erklären, damit Sie einen ersten Einblick haben, wie unser Geschäft und die Tätigkeit funktioniert. Zuerst kontaktieren uns potenzielle Kunden mit einer Beratungsanfrage, oder einer konkreten Problemstellung. Oft sollen Geschäftsabläufe auf Ihre Praxistauglichkeit getestet werden, um Optimierungspotenziale auszuschöpfen. Anschließend entwickeln wir als Auftragnehmer ein Studienkonzept für die entsprechende Frage- oder Problemstellung. Dann entwickeln wir eine standardisierte Ausführung des Geschäftsprozesses für unsere Prozesstester.
Weil wir aktuell aufgrund von vielen Neukunden neue Mitarbeiter suchen, habe ich Ihnen bereits den von mir gegengezeichneten Arbeitsvertrag im Anhang eingefügt. Der Arbeitsbeginn wäre voraussichtlich in 2–3 Tagen, nachdem wir alle Unterlagen von Ihnen erhalten haben, da wir noch einmal alles überprüfen müssen.
Im Vertrag ist der Arbeitsstart als flexibel festgelegt. Wir würden nach Vertragsschluss alle Vorbereitungen erledigen und dann danach anfangen. Sie erhalten dann den genauen Start des Vertragsbeginns rechtzeitig vorher, um sich zeitlich auf die neue Tätigkeit einrichten zu können.
Bitte schicken Sie mir alle Rückfragen, die Sie zur Tätigkeit und dem Vertrag haben, die ich Ihnen gerne vorab beantworte. Sofern keine Fragen Ihrerseits offen sind, führen Sie bitte unsere Online-Mitarbeiter Registrierung auf nachfolgendem Link aus:
So in etwa stand es in der E-Mail. Im weiteren Verlauf der Kommunikation sollte sie auf einer Webseite des Unternehmens angeben, bei welchen sozialen Netzwerken sie angemeldet ist, bei welcher Bank sie ein Konto hat, eine Kopie Ihres Personalausweises ebenfalls über den in der E-Mail angegebenen Link hochladen.
Die Kripo meldet sich
Nachdem Sie alle geforderten Angaben gemacht hat, gab Sie kurz Rückmeldung, dass sie alles erledigt hat; bekam eine kurze Mail mit der Nachricht, dass man Ihre Daten prüfen würde. Danach war Funkstille.
Sie hörte, auch auf Nachfragen, nichts mehr von der Firma, bis eines Tages Post von der Kripo im Briefkasten lag.
Ihr wurden Internetbetrug in mehreren Fällen; Geldwäsche und andere Delikte vorgeworfen, zu denen sie sich äußern sollte. Unter anderem wurden mit Ihren Daten bei verschiedenen Banken Konten erstellt, auf denen massive Geldbewegungen stattgefunden haben, Personen bei Online-Geschäften um Ihr Geld betrogen usw.
Sie rief bei der Kripo an, sagte dem Beamten, dass sie nichts mit den Vorfällen zu tun hätte und sie sich nicht erklären könne, warum man Ihr das vorwerfen würde.
Es wurde am Telefon ein Termin bei der Kripo gemacht, damit man das Ganze zu Protokoll geben konnte.
Bei dem Termin wurden dann Fragen gestellt, ob es in der letzten Zeit irgendwelche Auffälligkeiten gegeben hätte, ob sie mit fremden Leuten in Kontakt war. Da nichts der Gleichen vorgefallen war, konnte man hier so nicht weiter kommen. Man machte eine Kopie aller Daten Ihres E-Mail-Postfachs, Ihres Smartphones und fand dann die E-Mails dieser Firma. Schnell ließ sich feststellen, dass die Webseite, auf der Sie die geforderten Daten hochladen sollte, nicht mehr existierte; die in der Mail angegebene Firmenadresse war falsch; auch Steuer-ID und Umsatzsteuer-ID gefälscht waren.
Identitätsdiebstahl
Wie die obige Geschichte zeigt, kann man schnell, ohne es zu wollen, auf die schiefe Bahn geraten. Man sucht, wie hier, einen Job, bekommt ein vermeintliches Angebot und ist dann letztlich das Opfer.
Das soll jetzt nicht bedeuten, dass man sich nicht mehr bei Jobportalen anmelden sollte, wenn man einen Job sucht. Im Gegenteil. Wer einen Job sucht, sollte jede Möglichkeit bieten.
Bei Jobportalen wie Indeed bspw. läuft sämtliche Kommunikation über das Portal, bis es schließlich zur Jobzusage kommt. Die Firmen kommen nicht an die private E-Mail-Adresse heran.
Daher sollte man hellhörig werden, wenn sich in einer E-Mail auf eine »Bewerbung« über ein Jobportal bezogen wird.
Man sollte auch im Vorfeld die erhaltene E-Mail prüfen. Damit solche E-Mails seriös wirken, sind die wie eine Firmen-E-Mail aufgebaut. Signatur mit allen erforderlichen Daten, wie Geschäftsführer, Firmenanschrift, Umsatzsteuer-ID, Steuer-ID, ggf. noch Handelsregistereintragung.
Somit hat man schon mal Dinge, die man überprüfen kann. Die Adresse kann man mittels Suchmaschine seiner Wahl überprüfen. Wenn unter der angegebenen Adresse der Firmenname nicht zu finden ist, ist Vorsicht geboten. Auch sollte man da mal anrufen. Allerdings nicht über eine eventuell angegebene Telefonnummer aus der E-Mail von dieser Firma.
Weiterhin ist es hilfreich, für den Browser nach entsprechenden Add-Ons zu suchen, die anzeigen, ob es auf einer Plattform wie Indeed, Join, Facebook etc. schon mal einen entsprechenden Vorfall gegeben hat, dass dort Daten geklaut wurden. Einige kommerzielle VPN Anbieter bieten einen solchen Service an, wer allerdings kein VPN nutzt, sollte sich das Firefox Addon Breached anschauen. Dieses Addon funktioniert im Firefox als auch in seinen Forks. Für andere Browser wie Googles Chrome oder dessen Forks müsst Ihr selbst schauen, ob es da sowas gibt. Ich selbst nutze auf dem Smartphone Fennec und auf meinem PC LibreWolf. Meine Daten sollen halt nicht nach Google, Microsoft oder sonst wo hin.
Im Falle von Karina existiert die Firma wirklich. Jedoch andere Umsatzsteuer-ID, andere Adresse, auch die Firmen-Webseite unterscheidet sich minimal von der, die, ich will den Begriff Hacker nicht verwenden, die Datendiebe verwendet haben. Man hat die Webseite 1:1 kopiert und lediglich das Firmenlogo leicht verändert.
Den Begriff Hacker will ich deshalb nicht verwenden, denn es ist kein Hacking im klassischen Sinne. Es ist eine moderne Form des social Engineerings. Bei dieser Form des »Hackings« ist nicht eine Software die Schwachstelle, sondern der Mensch.
Beim Social Engineering werden menschliche Eigenschaften ausgenutzt. Hilfsbereitschaft, Ängste, Leichtgläubigkeit, Vertrauen etc. alles Wesenszüge, mit denen man die Menschen manipuliert. Oder wie halt in diesem Falle, die Jobsuche.
Man kann Social Engineering erkennen. Auf der Webseite des BSI ist erklärt wie.
Wichtigster Punkt ist jedoch: Auf das Bauchgefühl hören. Wenn es zu gut klingt um wahr zu sein, dann ist das auch so.
Im Fall von Karina konnte sich zum Glück alles aufklären. Sie ist noch mal mit einem Schrecken davon gekommen.
Wer mal wissen will, wie Social Engineering abläuft, der sollte sich mal den Film Takedown aus dem Jahre 2000 anschauen. Der Film ist quasi eine Biografie des in der Szene berühmten Hackers Kevin Mitnick, der vor 2003 im Alter von 59 Jahren verstarb.
Mögest Du in Frieden Ruhen.