PSA: Betrüger verwenden gefälschte Stellenanzeigen, um die Identität von Personen zu stehlen

Es ist zu einer allgegenwärtigen Internetanzeige geworden, deren Versionen überall von Facebook und LinkedIn bis hin zu kleineren Websites wie Jobvertise auftauchen: Flughafen-Shuttle-Fahrer gesucht, heißt es, der einen Job anbietet, bei dem er 35 Stunden pro Woche Passagiere zu einem attraktiven Wochenlohn abholt das macht mehr als 100.000 $ pro Jahr.

Aber Flughäfen lassen angesichts eines plötzlichen Wiederauflebens des Flugverkehrs keine sechsstelligen Gehälter für Shuttle-Fahrer baumeln. Stattdessen sind die Anzeigen der jüngste Versuch von Cyberkriminellen, die Identitäten von Personen zu stehlen und sie für Betrug zu verwenden, so die jüngsten Warnungen des FBI, der Federal Trade Commission und von Cybersicherheitsfirmen, die solche Bedrohungen überwachen. Der US-Geheimdienst, der Finanzkriminalität untersucht, bestätigte ebenfalls, dass er eine „deutliche Zunahme“ von gefälschten Stellenanzeigen verzeichnet hat, die darauf abzielen, persönliche Daten von Personen zu stehlen, oft mit dem Ziel, fingierte Arbeitslosenversicherungsanträge einzureichen.

„Diese Betrüger sind wie ein Virus. Sie mutieren weiter“, sagte Haywood Talcove, Chief Executive der Regierungsabteilung von LexisNexis Risk Solutions, einem von mehreren Auftragnehmern, die staatliche und bundesstaatliche Behörden bei der Bekämpfung von Identitätsdiebstahl unterstützen. (ProPublica abonniert die von LexisNexis bereitgestellten Datenbanken für öffentliche Aufzeichnungen.)

Diese spezielle Mutation ist eine neue Bedrohung, sagten Talcove und andere. Die Zahlen sind bisher klein, aber sie nehmen schnell zu. Im März entdeckte LexisNexis rund 2.900 Anzeigen, die für ungewöhnlich großzügige Bezahlung warben, verdächtige E-Mail-Domains verwendeten und verlangten, dass man seine Identität im Voraus verifiziert. Die Gesamtzahl war bis Juli auf 18.400 und seit diesem Monat auf 36.350 angewachsen. Talcove sagte, dass diese Zahlen auf einer kleinen Stichprobe von Stellenanzeigen basieren und dass die tatsächliche Zahl wahrscheinlich viel höher ist.

Diese Form des Betrugs nimmt zu einem Zeitpunkt zu, in dem es viele Ziele für Bewerbungsbetrug gibt. Millionen von Amerikanern kündigen Jobs und suchen nach neuen. Laut dem US-Arbeitsministerium kündigte ein historisch hoher Prozentsatz von Arbeitnehmern – 2,9 % – im August ihre Arbeit. Unterdessen sucht eine große Zahl entlassener Arbeitnehmer immer noch nach Arbeit, was zu einer historischen Umwälzung auf dem Arbeitsmarkt führt.

Die Anzeigen spiegeln eine taktische Anpassung von Cyberkriminellen wider. Eine massive Betrugswelle bei der Arbeitslosenversicherung während der Pandemie veranlasste die Behörden, die Anforderungen an die Identitätsprüfung zu verschärfen. In den meisten US-Bundesstaaten können Cyberkriminelle gestohlene Identitätsinformationen nicht mehr einfach auf Regierungswebsites eingeben und häufig Arbeitslosengeld kassieren. Jetzt müssen Antragsteller, deren Namen für die Beantragung von Arbeitslosengeld verwendet werden, häufig auf ihren Telefonen bestätigen, dass sie diejenigen sind, die Hilfe suchen, ein Prozess, der der Zwei-Faktor-Authentifizierung ähnelt.

Das bedeutet, dass Betrüger möglicherweise Hilfe von ihren Opfern benötigen – und manchmal unternehmen sie große Anstrengungen, um sie in die Irre zu führen. Einige Betrüger erstellen die Stellenwebsites von Unternehmen nach. Eine gefälschte Bewerbungsseite verwendet Fotos, Text, Schriftart und Farbcode von Spirit Airlines. Die gefälschte Website fordert Bewerber auf, zu Beginn des Prozesses eine Kopie beider Seiten ihres Führerscheins hochzuladen, und sendet ihnen eine E-Mail mit der Bitte um weitere Informationen von einer Webadresse, die der von Spirit ähnelt, mit einem zusätzlichen „i“ (spiiritairline.com). Spirit Airlines antwortete nicht auf Anfragen mit der Bitte um Stellungnahme.

Andere Jobbetrügereien sind weniger aufwendig und weisen deutlichere Anzeichen von Unechtheit auf. Eine gefälschte Anzeige für Flughafen-Shuttle-Fahrer auf Facebook wurde von einer Frau gepostet, die vorgab, am Denver International Airport zu arbeiten. Fleißige Leser haben vielleicht bemerkt, dass der einzige Ort, der vom Facebook-Profil der Frau verlinkt wurde, eine nigerianische Stadt namens Owerri war. (Ein Sprecher des Flughafens Denver hat das Profil nach einer Anfrage von ProPublica an Facebook gemeldet, und die Anzeige ist nicht mehr aktiv.)

In anderen Fällen landen unaufgeforderte Stellenangebote einfach in den Posteingängen der Bewerber, nachdem sie ihre Lebensläufe auf echte Jobsuchseiten hochgeladen haben, auf die Betrüger zugreifen können, wenn sie sich als potenzielle Arbeitgeber ausgeben. Jeri-Sue Barron hat seit Beginn der Pandemie eine Reihe von E-Mails erhalten, in denen sie darüber informiert wurde, dass sie für eine Vielzahl von Jobs vorab genehmigt wurde, für die sie sich nicht einmal beworben hatte. Barron, eine Rentnerin in einem Vorort von Dallas, hatte ihren Lebenslauf auf mehreren Stellensucheseiten hochgeladen, in der Hoffnung, eine Teilzeitstelle zu finden, um ihr Sozialversicherungseinkommen aufzubessern. Sie erhielt daraufhin mehrere Stellenangebote ohne eine Bitte um ein Vorstellungsgespräch. Eine E-Mail stammte von einer Schule im indischen Bundesstaat Kerala; ein anderer kam von einer kroatischen Website, von der sie noch nie gehört hatte. „Sie kamen von seltsamen Orten herein“, sagte Barron. „Man möchte fast gar nicht wissen, was die nächste Stufe ist.“ Sie ignorierte die Angebote.

Wie bei gefälschten Arbeitslosenanträgen im weiteren Sinne wird der Betrug durch eine unterirdische Infrastruktur erleichtert, einschließlich Online-Foren, in denen Cyberkriminelle Ratschläge zur Perfektionierung ihrer Techniken austauschen. Eine Person, die das Handle „cleverinformation“ in einem britischen Forum namens Carder verwendet, hat ein Anleitungsvideo zusammengestellt, in dem empfohlen wird, gefälschte Stellenanzeigen mit einer allgemeinen Stellenbewerbung zu veröffentlichen, die geändert werden kann, um personenbezogene Daten zu sammeln. Im September gab jemand, der in einem anderen Forum namens Dread unter dem Namen „mrdudemanguy“ bekannt war, einer Person, die nach gestohlenen Identitäten suchte, diesen Rat: „Geben Sie vor, ein lokales Unternehmen zu sein, und veröffentlichen Sie einige Stellenanzeigen. Wenn sie ihren Lebenslauf einsenden, rufen Sie sie an und stellen Sie einige grundlegende Fragen zur Bewerbung. Lassen Sie sie glauben, dass sie den Job haben, solange sie eine Zuverlässigkeitsüberprüfung durchführen können. Für die Anforderung einer Hintergrundüberprüfung senden sie Ihnen Fotos oder Scans von Ausweisdokumenten.“

Als Antwort auf eine Anfrage von ProPublica beantwortete mrdudemanguy keine Fragen zum Teilen gefälschter Anzeigen und konzentrierte sich stattdessen darauf, die Quelle seiner empfohlenen Technik und ihren Erfolg zu erklären. „Ich habe diese Methode selbst noch nicht ausprobiert“, schrieb er. „Es ist nur eine Methode, von der ich weiß, dass andere sie anwenden, und sie funktioniert. Es kann in jedem Teil der Welt durchgeführt werden, das Land spielt keine Rolle. Solange die Stellenanzeige legitim aussieht, wird sich eine Person, die nach einem Job sucht, wahrscheinlich bewerben.“ Fragen, die an cleverinformation geschickt wurden, ergaben eine ähnliche Antwort. „Es ist effektiv“, sagte die Person und stellte fest, dass es sich um eine zu wenig genutzte Technik handelt. Die Person fügte hinzu: „Ich versuche, einen Gruppenchat zu starten, in dem wir unser Wissen teilen.“

In einem ähnlichen Forum wurde die allgegenwärtige Werbung für Flughafen-Shuttle-Fahrer diskutiert. Eine Version davon wurde in einem Telegram-Kanal einer nigerianischen Betrugsgruppe namens Yahoo Boys Community gepostet, zusammen mit Anweisungen, was man Bewerbern mitteilen sollte, damit sie ihre Sozialversicherungsnummer, Fotos ihres Führerscheins und andere persönliche Daten teilen. Der Beitrag forderte die 5.000 Mitglieder der Gruppe auf, den Bewerbern allgemeine Fragen per E-Mail zu stellen und ihnen den Auftritt anzubieten – aber nur, wenn sie zuerst ihre persönlichen Dokumente geteilt haben, um den Pflaumenjob zu bekommen. „Sobald der Kunde Ihnen die Details gegeben hat, kontaktieren Sie mich auf WhatsApp und lassen Sie so schnell wie möglich mit der Arbeit beginnen“, heißt es in der Juli-Nachricht, deren Urheber nicht identifiziert werden konnte.

Bewerbungsbetrug gibt es schon seit Jahren in verschiedenen Formen. Einige verleiten Bewerber dazu, Geräte oder Software von den Betrügern zu kaufen, um sich auf einen nicht existierenden Job vorzubereiten. Andere versuchen, Opfer dazu zu bringen, kostenlos zu arbeiten oder mit gestohlenen Kreditkarten gekaufte Waren zurückzusenden. Aber laut Strafverfolgungsbehörden ist die Verwendung gefälschter Stellenanzeigen, um Identitäten zu stehlen und damit staatliche Leistungen zu kassieren, ein neues Problem.

Alexandra Mateus Vasquez fiel im Dezember 2020 auf einen solchen Betrug herein. Als aufstrebende Malerin dachte Vasquez darüber nach, ihren Job als Verkäuferin in einem Einkaufszentrum in der Nähe von New York City zu kündigen. Sie bewarb sich über das weit verbreitete Jobportal Indeed auf eine Stelle als Grafikdesignerin bei der Restaurantkette Steak 'n Shake. Sie war hocherfreut, als ein Vertreter von Steak 'n Shake sie per Gmail einlud, an einem E-Mail-Screening-Test für den Job teilzunehmen.

Ein Interview per E-Mail zu führen, kam Vasquez zunächst seltsam vor, aber sie fuhr fort, weil die Fragen Standard waren. Dazu gehörten Fragen wie „Wie halten Sie enge Fristen ein?“ laut E-Mails, die sie mit ProPublica geteilt hat, und sie hat ernsthafte Antworten gegeben. Stunden später erhielt sie eine E-Mail, in der ihr die Stelle angeboten und nach ihrer Adresse und Telefonnummer gefragt wurde, damit ein formelles Angebotsschreiben versandt werden konnte. Die angebotene Bezahlung war attraktiv: 30 Dollar pro Stunde. Als der Brief ankam, wurde auch nach ihrer Sozialversicherungsnummer gefragt. Vasquez stellte alle angeforderten Informationen zur Verfügung.

Bald wurde Vasquez per Online-Chat zu einer Zuverlässigkeitsüberprüfung mit einem vermeintlichen Personalchef eingeladen. Sie tauschte Nachrichten mit einem Konto aus, auf dem ein verschwommenes Foto eines alten Mannes und der Name „Iran Coleman“ zu sehen war. (Mehrere andere Bewerber beschrieben ähnliche Erfahrungen in einer Diskussion über den Steak 'n Shake-Job auf der Jobbörse Glassdoor.)

Die Person, die behauptete, der Personalchef von Steak 'n Shake zu sein, forderte Kopien von Vasquez' persönlichen Unterlagen an, um ihre Identität zu bestätigen. Sie teilte Fotos ihres New Yorker Personalausweises und ihrer Green Card mit, wurde aber misstrauisch, als die Person auch nach ihrer Kreditkartennummer fragte. Als Vasquez zögerte, erhielt sie einen Anruf von ID.me, einem Identitätsprüfungsanbieter, der von 27 Bundesstaaten zum Schutz ihrer Arbeitslosenversicherungsprogramme eingesetzt wird. Das Unternehmen fragte, ob sie Arbeitslosenhilfe in Kalifornien beantrage. Da merkte sie, dass sie betrogen wurde. „Ich war so enttäuscht“, sagte Vasquez. „Ich habe wirklich geglaubt, dass diese Position echt ist.“

Steak 'n Shake antwortete nicht auf Nachrichten, in denen um einen Kommentar gebeten wurde. (ProPublica konnte Iran Coleman erreichen, den angeblichen Steak 'n Shake-Manager, der in dem Betrug zitiert wird. Er sagte, das Louisville Steak 'n Shake, das er früher verwaltet habe, sei geschlossen und er habe dort seit mindestens 2014 nicht mehr gearbeitet. Er sagte, er hatte sein oberflächliches LinkedIn-Profil, das ihn als Steak 'n Shake-Restaurantmanager auflistet, seit Jahren nicht aktualisiert. Coleman sagte, dass er jetzt drei Waffle House-Restaurants leitet. „Ich fühle mit dieser Person“, sagte er über Vasquez, als er von ihr erfuhr Erfahrung.)

Vasquez meldete den Vorfall der Polizei und kontaktierte die Sozialversicherungsverwaltung, die ihr mitteilte, dass sie mehrere Anträge auf Einrichtung eines Kontos in ihrem Namen abgelehnt habe. (Ein Sprecher der Agentur sagte, die Datenschutzgesetze verbieten es, Einzelfälle zu diskutieren.) Daraufhin gab sie ihre Jobsuche auf. „Ich fing an zu zweifeln, ob alle Jobs, für die ich mich bewerbe, echt sind“, sagte sie. Vasquez hat kürzlich eine Website gestartet, um mit dem Online-Verkauf von Gemälden zu beginnen, und hofft immer noch, ein Designprofi zu werden.

Blake Hall, Geschäftsführer von ID.me, sagte, das Unternehmen habe in seinen Systemen eine Sprache eingeführt, die die Benutzer informiert, wenn ihre Identität zur Beantragung von Leistungen der Arbeitslosenversicherung verwendet wird, und sie warnt, nicht fortzufahren, wenn ihnen eine Stelle angeboten wird. Hall sagte, es sei letztendlich Sache der Benutzer, solche Warnungen zu beachten. „Wir werden so viel wie möglich tun, um klarzustellen, dass sie betrogen wurden“, sagte er, „aber letztendlich ist es eine wirklich große Aufgabe, jemanden vor sich selbst zu schützen.“ Er verglich sein Unternehmen mit einem Torhüter, der auch Hilfe von anderen Teammitgliedern braucht, in diesem Fall von Jobportalen, auf denen Kriminelle gefälschte Anzeigen schalten.

Das Better Business Bureau sagte letzten Monat in einer Warnung, dass Indeed, LinkedIn und Facebook die Liste der Online-Plattformen anführten, auf denen Benutzer betrügerische Stellenanzeigen entdeckten, die sie täuschten.

Laut einem Unternehmenssprecher entfernt Indeed jeden Monat zig Millionen Stellenangebote, die seinen Qualitätsrichtlinien nicht entsprechen, und lehnt es ab, Stellen von Arbeitgebern aufzulisten, wenn diese diese Richtlinien nicht erfüllen. Im Juli veröffentlichte die Website einen Blogbeitrag, in dem ausführlich beschrieben wurde, wie man betrügerische Stellenanzeigen erkennt. „Indeed stellt Arbeitssuchende in den Mittelpunkt von allem, was wir tun“, sagte der Sprecher.

LinkedIn entfernte 10 gefälschte Stellenausschreibungen für Flughafentransfers, nachdem ProPublica darauf hingewiesen hatte. Ein Sprecher sagte, dass das Posten gefälschter Stellenanzeigen einen „klaren Verstoß“ gegen die Nutzungsbedingungen von LinkedIn darstelle, und sagte, das Unternehmen investiere in neue Wege, sie zu erkennen, wie z. B. die Einstellung von mehr menschlichen Prüfern und die Erweiterung eines Arbeits-E-Mail-Überprüfungssystems für potenzielle Arbeitgeber.

Facebook hat einige der Flughafen-Shuttle-Posts entfernt, nachdem ProPublica den Dienst alarmiert hatte, aber das Unternehmen antwortete nicht auf Fragen zu seinen Prozessen zum Erkennen und Entfernen gefälschter Anzeigen.

In den letzten Monaten wurde die Social-Media-Plattform auch mit betrügerischen Seiten geplagt, die sich als staatliche Arbeitsagenturen ausgeben. Einige Bundesstaaten beschwerten sich beim US-Arbeitsministerium, dass Facebook ihren Aufforderungen zur Entfernung solcher Seiten nur langsam nachkomme. Ein Beamter des Arbeitsministeriums sagte, dass die Agentur im März ein neues Verfahren für Bundesstaaten eingerichtet habe, um gefälschte Arbeitslosenversicherungs-Websites an Facebook zu melden, und dass „Facebook bisher mit der Entfernung betrügerischer Seiten reagiert hat“, die von Bundesstaaten gemeldet wurden.

Es tauchen jedoch immer wieder neue auf: Eine gefälschte Version der Facebook-Seite des kalifornischen Arbeitsentwicklungsministeriums war am 12. Oktober online. Die Agentur bestätigte, dass es sich nicht um ihre eigene Seite handelte, und sie wurde kurz nach der Anfrage von ProPublica von Facebook entfernt.

Selbst wenn Online-Plattformen ihre Stellenausschreibungen bereinigen, breiten sich andere Betrugsmaschen mit Identitätsdiebstahl aus. Am 15. Oktober gab das FBI eine Warnung vor gefälschten Websites heraus, die von Cyberkriminellen erstellt wurden, um den staatlichen Arbeitslosenwebsites von Illinois, Maryland, Nevada, New Mexico und Wisconsin zu ähneln. Laut FBI nutzen Kriminelle die Websites, um sensible persönliche Daten der Opfer zu stehlen.

Anmerkung des Herausgebers: Diese Geschichte wurde ursprünglich auf ProPublica von Cezary Podkul unter einer Creative Commons -Lizenz veröffentlicht.

Haben Sie irgendwelche Gedanken dazu? Lassen Sie es uns unten in den Kommentaren wissen oder übertragen Sie die Diskussion auf unseren Twitter oder Facebook.

Empfehlungen der Redaktion:

• So melden Sie eine betrügerische App im App Store
• Apple macht es endlich einfacher, betrügerische Apps im App Store zu melden
• Die Zahl der Telefonbetrüger steigt rasant – so können Sie sie aufhalten
• Facebook Marketplace hat jetzt eine Milliarde Nutzer. Jetzt wird es von Betrügern ausgenutzt