Phishing

Geldwäsche-Gesuch von den Monster-Hackern

Hinter einem massenhaften Datendiebstahl bei der Jobbörse monster.com stecken Hacker, die womöglich Helfer für die Geldwäsche rekrutieren wollen. Die Angreifer verschafften sich mehr als eine Million persönliche Einträge - und verschickten sogleich allzu verlockende Angebote.

"Wir bieten Ihnen mehr an als nur einen Job - sondern die Möglichkeit, wirklich viel Geld zu verdienen, ohne viel zu arbeiten." Spam-Mails erinnern häufig an Briefe aus dem Schlaraffenland. Aber die Welle, aus der der obige Satz stammt, ist in vielerlei Hinsicht bemerkenswert. Die Adressdaten stammten aus der Datenbank der US-Jobbörse monster.com, die Mails wurden dem Anschein nach von derselben Jobbörse abgeschickt - und die angepriesenen Arbeitsplätze gelten als Fassade für Geldwäsche-Aktionen.

Jobbörse monster.com: Datensätze entwendet

Nicht nur dass die Anschreiben Geld ohne Arbeit versprechen - das ist längst ein Betrüger-Standard, der sich von dubiosen Kleinanzeigen ins Netz ausgebreitet hat. Die E-Mails mit dem paradiesischen Angebot waren sogar namentlich adressiert. Wer den Job übernehme, der bekomme gleich zu Anfang einen "Startup-Bonus" von 500 Dollar, hieß es darin. Nur eines ist nötig: ein Konto bei der Bank of America.

Das braucht man als "Transfer Manager", wie der Job heißt - laut Fachleuten ein Kosewort für Geldwäscher. Ein "Transfer Manager" stellt sein Konto zur Verfügung, um Gelder umzuleiten. Die wurden womöglich über Phishing oder andere Methoden ergaunert. Wer dumm genug ist, bei einer solchen Aktion mitzumachen, hilft beim Verwischen von Verbrechensspuren und wird so zum Komplizen von Betrügerbanden.

Oder zum Opfer - denn man müsse nicht unbedingt ein Konto bei der Bank of America eröffnen, wenn man schon eines habe, teilen die Verfasser der freundlichen E-Mail mit. Dann reiche es, die vollständigen Kontodaten an den so großzügigen künftigen Arbeitgeber weiterzuleiten. Namen, Anschriften, Telefonnummern und E-Mail-Adressen der Betroffenen hatten die Betrüger ja bereits aus der Datenbank von monster.com. Mit dieser Datenfülle kann ein Bösewicht so manche Gemeinheit anstellen, die den eigentlichen Kontoinhaber in ernste Schwierigkeiten bringen kann.

Login-Daten von Personalmanagern benutzt

An die Daten kamen die Täter über einen Trojaner, ein Spähprogramm namens " Infostealer.Monstres". Dieses war bereits am 16. August entdeckt worden. Die Angreifer hatten damit in großem Stil Informationen von den Servern von monster.com abgezweigt. Laut der Sicherheitsfirma Symantec "scheint der Trojaner die (vermutlich gestohlenen) Login-Daten einer Reihe von Personal-Recruitern zu nutzen, um sich in die Website einzuloggen, und dann Suchanfragen nach den Lebensläufen von Kandidaten in bestimmten Ländern oder bestimmten Berufsfeldern zu starten".

Insgesamt kopierten die Hacker weit über eine Million Datensätze auf einen von ihnen kontrollierten Server - und begannen offenbar sofort damit, die persönlichen Informationen für die zweifelhaften Job-Angebote einzusetzen.

Inwieweit mit den E-Mails tatsächlich Geldwäscher angeworben wurden, oder ob nur die Kontonummern möglichst vieler argloser Opfer eingesammelt werden sollten, ist unklar. Für die Betreiber von monster.com, die schon vergangene Woche den Datenverlust einräumten, ist die Sache jedenfalls mehr als peinlich. Virenschutz-Softwarehersteller Symantec spricht in einem Blog-Eintrag von 1,6 Millionen Nutzerprofilen, die auf einem von den Hackern kontrollierten Server entdeckt worden seien. Monster.com will nur 1,3 Millionen gefunden haben. Der größte Teil der Betroffenen lebt in Nordamerika, 5000 Datensätze stammen aus anderen Teilen der Welt. Ob auch deutsche Kunden der Jobbörse betroffen sind, wisse man noch nicht, teilte der Betreiber auf Anfrage von SPIEGEL ONLINE mit.

Server inzwischen abgeschaltet

Laut monster.com wurde der Server mit den geklauten Datensätzen "identifiziert und abgeschaltet". Auch die oben beschriebenen E-Mail-Aktivitäten werden per Warnhinweis auf der deutschen monster.de-Seite bestätigt - allerdings unter Vorbehalt: "Das Ziel dieses Vergehens war höchstwahrscheinlich der Versand von E-Mails, die den Anschein erwecken sollen, von monster zu stammen. Der Empfänger wird in diesen E-Mails dazu aufgerufen, mit Viren belastete Software herunterzuladen oder sich an Geldtransaktionen zu beteiligen."

Oliver Auerbach vom deutschen Virenschutz-Hersteller Avira bestätigte auf Anfrage von SPIEGEL ONLINE jedoch, dass nicht nur die theoretische Möglichkeit solcher Phishing-Versuche bestehe: Von Kollegen aus der Sicherheitsbranche habe man von konkreten Fällen erfahren, in denen monster.com-Nutzer entsprechende E-Mails mit dem allzu verlockenden Jobangebot erhalten hatten.

Grundsätzlich gilt - nicht nur für Kunden von monster.de und monster.com -, was man als umsichtiger Internetnutzer ohnehin beachten sollte: Lieber nicht auf E-Mails antworten, die viel Geld für wenig Arbeit versprechen - und auf gar keinen Fall einem potentiellen Arbeitgeber, mit dem man noch nie Kontakt hatte, seine Kontodaten übermitteln. Schon gar nicht, wie es im Symantec-Blog süffisant heißt, wenn dieser Arbeitgeber wie im vorliegenden Fall laut eigenen Angaben in Russland sitzt, während die Firmenwebseite auf einem Server in der Ukraine gehostet wird.

Diesen Artikel...

Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks posten: