Den Einstieg suchen die Täter mit E-Mails an leitende Bewerber, in denen sie sich als Vertreter von Palo Alto Networks ausgeben und einen seriösen Eindruck erwecken. Ziel dieser ersten Phase ist es, Vertrauen aufzubauen. Dabei setzen die Angreifer gezielt auf Schmeichelei: Sie erklären den Kandidaten, ihr beruflicher Werdegang und ihre Erfahrung hätten sie “wirklich beeindruckt”.

Um den Eindruck zu verstärken, sie verfolgten die Laufbahn der Zielperson schon länger aufmerksam, verweisen sie auf konkrete Karrieremeilensteine, die sie zuvor von LinkedIn abgegriffen haben. So wirken die Nachrichten, als sei der Kontakt für eine bestimmte Position individuell vorbereitet worden.

Ist der Kontakt hergestellt, inszenieren die Täter eine Krise im Bewerbungsprozess: Sie behaupten fälschlich, der Lebenslauf des Kandidaten habe die Anforderungen eines Applicant-Tracking-Systems (ATS) nicht erfüllt. Ein solches System prüft laut Moore Lebensläufe online auf Formatierung, Struktur und Schlüsselwörter, bevor sie an menschliche Recruiter weitergeleitet werden. “Diese psychologische Taktik erhöht die Dringlichkeit und die Bereitschaft des Opfers, auf das Angebot des Angreifers zu einer ‘ATS-Ausrichtung für Führungskräfte’ einzugehen”, so Moore.

An diesem Punkt übergibt der angebliche Recruiter den Kandidaten an einen “Experten”, der gegen Bezahlung verschiedene Pakete anbietet, um den Lebenslauf in Form zu bringen und das Verfahren wieder in Gang zu setzen. Die gefälschten Angebote folgen drei Preisstufen: 400 Dollar für die ATS-Ausrichtung für Führungskräfte, 600 Dollar für ein Positionierungspaket für Führungspositionen und 800 Dollar für eine vollständige Neufassung des Lebenslaufs.

Verstärkt wird der Druck durch ein erfundenes Zeitfenster. Laut Moore deutet der vermeintliche Recruiter an, dass ein “Prüfungsgremium” seine Arbeit bereits aufgenommen habe und der Lebenslauf binnen einer bestimmten Frist aktualisiert werden müsse. Der “Experte” sichert daraufhin zu, den überarbeiteten Lebenslauf innerhalb weniger Stunden und damit noch innerhalb des angeblichen Prüfungsfensters liefern zu können. Ob jemand, der den Betrug meldete, tatsächlich gezahlt hat, teilte Unit 42 nicht mit.

Moore weist darauf hin, dass solche Bewerbungsbetrügereien nicht nur finanziellen Schaden bei den Opfern anrichten, sondern auch dem Ruf der nachgeahmten Organisationen schaden. Vorgetäuschte Stellenangebote seien ein verbreitetes Mittel in Phishing-Kampagnen; berüchtigt seien hier nordkoreanische Akteure wie Lazarus mit Kampagnen wie “Dream Jobs”, die der Informationsbeschaffung und weiteren schädlichen Aktivitäten dienten.

Palo Alto Networks werde Bewerber niemals zur Zahlung für Dienste zur Lebenslauf-Optimierung auffordern, versichert Moore; das Unternehmen bleibe einem “transparenten und ethischen Einstellungsprozess” verpflichtet. Jede berufliche Kontaktaufnahme, die finanziellen Druck erzeuge oder auf einen externen, kostenpflichtigen “Experten” verweise, sei als “betrügerischer Versuch, die beruflichen Ambitionen auszunutzen” zu werten.

Wer ins Visier dieses Betrugs gerate, solle den Kontakt sofort abbrechen und den Vorfall per E-Mail an infosec(at)paloaltonetworks(dot)com an Palo Alto Networks melden. Zusätzlich rät Moore, den Vorfall auf LinkedIn zu kennzeichnen sowie alle beruflichen, Social-Media- und E-Mail-Konten mit neuen Passwörtern und Mehr-Faktor-Authentifizierung (MFA) abzusichern.