Tausende von US-Dollar oder Euro warten auf interessierte Komplizen. Sicherheitsforscher von Check Point Software Technologies beobachten vermehrte Angebote dieser Art in Darknet-Foren. Zwischen 3000 und 15 000 US-Dollar werden derzeit für Daten oder Zugänge geboten. Krypto-Währungsbörsen, Banken und Cloud-Anbieter sind derzeit die Hauptziele. Prävention ist nur mittels Mitarbeiterschulung, strengen Zugriffskontrollen und der Überwachung des Darknets auf Aktivitäten gegen die eigene Firma möglich.
Cyberkriminelle verlassen sich nicht mehr ausschließlich auf Brute-Force-Angriffe, Social-Engineering oder die Ausnutzung von Schwachstellen. Zunehmend rekrutieren sie Insider innerhalb von Organisationen, um Zugang zu Unternehmensnetzwerken, Benutzergeräten und Cloud-Umgebungen zu erhalten.
In Darknet-Foren werden Mitarbeiter angesprochen oder melden sich sogar freiwillig, um Zugang sowie sensible Informationen gegen lukrative Belohnungen zu verkaufen. Dieser Trend stellt eine erhebliche Herausforderung für Sicherheitskräfte dar.
Wenn Mitarbeiter die Abwehrmaßnahmen deaktivieren, Anmeldedaten weitergeben oder privilegierte Informationen bereitstellen, wird die Abwehr eines Cyber-Angriffs exponentiell schwieriger. Die Überwachung des Deep-Web und des Darknets auf Erwähnungen von Unternehmen oder gestohlene Daten ist mittlerweile ebenso wichtig geworden, wie der Einsatz fortschrittlicher Technologien zur Cyber-Prävention.
Manipulative Botschaften und hohe Auszahlungen
Die meisten Stellenanzeigen im Darknet sind kurz und sachlich geschrieben, aber einige bedienen sich emotionaler Manipulation. So forderte beispielsweise eine Anzeige im Juli 2025 interessierte Mitarbeiter auf, „dem endlosen Hamsterrad zu entkommen“, indem sie mit Cyber-Kriminellen zusammenarbeiten, und versprach Auszahlungen im fünf- bis sechsstelligen Bereich.
Andere Anzeigen richten sich an langjährige Mitarbeiter mit etabliertem Netzwerkzugang und stellen die Zusammenarbeit der Insider mit Hackern als schnellen Weg zur finanziellen Unabhängigkeit dar.
Kryptowährungs-unternehmen im Fadenkreuz
Ein erheblicher Teil der Insider-Aktivitäten zielt auf den Finanzsektor und Krypto-Unternehmen ab. In aktuellen Stellenanzeigen wurden Insider bei Coinbase, Binance, Kraken und Gemini sowie bei Beratungsriesen wie Accenture und Genpact gesucht. Selbst Verbraucherplattformen wie Spotify und Netflix tauchten in Stellenanzeigen auf.
Die Belohnungen liegen in der Regel zwischen 3000 und 15 000 US-Dollar für einmaligen Zugriff oder bestimmte Informationen. Einige Anzeigen bieten sogar gestohlene Daten von Krypto-Währungsbörsen – wie beispielsweise einen Datensatz mit 37 Millionen Benutzerdatensätzen – für 25 000 US-Dollar an. Diese Datensätze ermöglichen hochgradig gezielte Angriffe.
.
Banken bleiben Hauptziele
Insider bei Banken sind besonders wertvoll. In einem Beitrag im Darknet wurde eine Vergütung für den Zugang zu Systemen der US-Notenbank oder ihrer Partnerbanken angeboten. In einem anderen Beitrag wurden vollständige Transaktionshistorien einer großen europäischen Bank angefordert. Einige Pläne sehen langfristige Beschäftigungsverhältnisse vor, einschließlich wöchentlicher Zahlungen in Höhe von 1000 US-Dollar an Insider in russischen Finanzämtern.
Technologie-Unternehmen unter Beschuss
Technologie-Unternehmen, die sensible Kundendaten speichern und als wichtige Partner in der Lieferkette fungieren, sind ebenfalls häufig Ziel von Cyber-Angriffen. Zu den jüngsten Aktivitäten gehören:
- Anzeigen suchen Inntentäter bei Apple, Samsung und Xiaomi
- Anfragen für Mitarbeiter von Cox Communications um Customer Email Accounts zurückzusetzen.
- Angebote bis zu 10 000 US-Dollar für Insider bei Cloud-Service-Anbietern.
Telekommunikation, Logistik und SIM-Swapping-Betrug
Mitarbeiter von Telekommunikations-Unternehmen, insbesondere in den USA, werden häufig für SIM-Swapping-Operationen rekrutiert, wodurch Angreifer SMS-Nachrichten abfangen und die Zwei-Faktor-Authentifizierung umgehen können. Die Belohnungen für eine solche Zusammenarbeit erreichen mittlerweile 10 000 bis 15 000 US-Dollar.
Im Logistiksektor suchen Cyber-Kriminelle derweil nach Insidern, die Dienstleistungen, wie Zollkontrollen oder Versandmanipulationen, anbieten können, wobei die Zahlungen zwischen 500 und 5000 US-Dollar liegen.
Ransomware-Gruppen erweitern ihre Rekrutierung
Die Rekrutierung von Insidern beschränkt sich nicht nur auf Darknet-Foren. Einige Ransomware-Gruppen rekrutieren aktiv über verschlüsselte Plattformen, wie Telegram. Im Juli 2025 bewarb eine Gruppe mit 400 Mitgliedern den Zugang zu einem Ransomware-Portal und ermutigte Insider, Pentester und Access Broker, sich zu beteiligen und von jedem verschlüsselten System zu profitieren.
Eine zunehmende interne Bedrohung
Die Zunahme der Rekrutierung von Insidern unterstreicht eine der komplexesten Herausforderungen der modernen Cyber-Sicherheit. In Darknet-Anzeigen suchen Angreifer regelmäßig mit hohen Geldbeträgen nach Insider-Komplizen, während einige Mitarbeiter schlicht aus Gier, Rache oder ideologischen Gründen handeln.
Die weit verbreitete Nutzung anonymer Krypto-Währungszahlungen beschleunigt diesen Trend. Für Unternehmen gehen die Folgen über finanzielle Verluste hinaus und umfassen Reputationsschäden, Betriebsstörungen und behördliche Strafen.
Wie Firmen sich schützen können
Die Bekämpfung von Insider-Bedrohungen erfordert eine Kombination aus leistungsstarker Technologie und mitarbeiterorientierten Strategien:
- Schulen Sie Ihre Mitarbeiter in Bezug auf Sicherheitsrisiken und ethische Verantwortlichkeiten.
- Überwachen Sie ungewöhnliches Verhalten und setzen Sie strenge Zugriffskontrollen durch.
- Das Darknet aktiv auf neue Bedrohungen überprüfen.
- Setzen Sie fortschrittliche Cyber-Sicherheitslösungen zur Prävention ein, um Sicherheitsverletzungen zu verhindern.
Info: Weitere Informationen finden sich hier: https://blog.checkpoint.com/research/cyber-criminals-are-recruiting-insiders-in-banks-telecoms-and-tech/
#CheckPoint
