Mehr und mehr Betrüger tummeln sich auf sozialen Plattformen wie Linkedin und machen sich die Not der Jobsuchenden zu Nutze. Was aktuell immer öfters in der Security-Community diskutiert wird, ist eigentlich kein neues Phänomen, sondern eine sich seit mindestens der Pandemie verstärkende Entwicklung.
Bereits im Jahr 2021 versprach das Unternehmen „Bastion Secure“ ein Top-Gehalt, Remote-Arbeit und spannende Projekte. Der vermeintliche „Arbeitgeber“ war in Wahrheit das berüchtigte Cybercrime-Kollektiv FIN7. Diese Geschichte ist mehr als nur ein ausgeklügelter Jobbetrug. Sie zeigt, wie professionell Kriminelle das Vertrauen in digitalen Räumen missbrauchen und selbst versierte Sicherheitsexperten täuschen können.
FIN7 begnügte sich nicht mit gefälschten Stellenanzeigen. Die Gruppe baute eine komplette Firmenfassade mit professioneller Website, aktiven Linkedin-Profilen und Social-Media-Beiträgen zu Cybersicherheitstrends. Selbst der Einstellungsprozess war durchdacht mit Videointerviews, Handbüchern, Schulungen und NDAs. „Bastion Secure“ gab sich als Anbieter von Penetrationstests aus, sprach im Fachjargon, nutzte bekannte Tools und schien echte Sicherheitsprobleme zu lösen. Damit imitierte das Unternehmen die Großen der Branche.
Das Ziel bestand nicht nur darin, Experten zu rekrutieren, sondern auch, ihre Fähigkeiten gezielt für Angriffe einzusetzen. Die Mitarbeitenden kartierten Netzwerke, identifizierten Schwachstellen und installierten Schadsoftware – im Glauben, reguläre Tests durchzuführen. Dabei arbeiteten sie unwissentlich für eine der weltweit erfolgreichsten Cybercrime-Gruppen.
Laut dem US-Justizministerium führte die Aktion zu:
- Kompromittierung von 6.500 Kassensystemen.
- Über 100 Millionen gestohlene Kreditkartendaten.
- Schätzungsweise eine Milliarde Dollar Schaden.
- Opfer in 47 US-Bundesstaaten und weltweit.
Was die Geschichte so alarmierend macht: Selbst gründliche Due-Diligence brachte keine Zweifel. Die Tools, Prozesse und Kommunikation wirkten authentisch – und machten es schwer den Betrug zu erkennen.
Lektionen aus dem Fall Fake-Cybersecurity-Firma
Ein professionelles Äußeres ist kein Beweis für Professionalität. Eine Hochglanz-Website, die fließende Verwendung von Branchenjargon und die Einhaltung von Standardverfahren sind keine zuverlässigen Indikatoren für Legitimität mehr. In Fällen wie diesem sind sie lediglich raffinierte Bühnenrequisiten.
Fachwissen selbst kann zur Waffe werden. Gerade die Werkzeuge, Methoden und Dokumentationen, die legitime Sicherheitsarbeit ausmachen, wurden gegen die Branche eingesetzt.
Das menschliche Element ist immer noch entscheidend (und verwundbar). Selbst hochqualifizierte Sicherheitsexperten können getäuscht werden, wenn die Verlockung groß ist: legitim erscheinende Jobangebote, Arbeit, die sich authentisch anfühlt, echte Gehälter und vertraute Werkzeuge.
Fazit
FIN7 hat nicht nur technische Schwachstellen ausgenutzt. Sie haben etwas viel Tiefgreifenderes missbraucht: die Kultur des Vertrauens und die damit verbundenen Annahmen in unserer Branche und da draußen gibt es viele Fake-Angebote dieser Art. Viele Tarnfirmen, die ihre dunklen Geschäfte dem Anschein der Legitimität geben. Die Security-Community sollte solche Fälle weiterhin monitoren, sich gegenseitig warnen und die Übeltäter auch melden, um zu verhindern, dass die eigenen Leute auf der Suche nach einer neuen Herausforderung in diese Falle tappen.
Von Javvad Malik Lead Security Awareness Advocate bei KnowBe4
powered by Borlabs Cookie 