Fake-Bewerbungsverfahren: Arbeitssuchende im Visier neuer ClickFix-Angriffe

Hacker machen mit einer neuen „Contagious Interview“-Variante von sich reden – Bewerber der „Kryptowährungs“-Branche werden mit Fake-Stellenannoncen geködert

[datensicherheit.de, 28.09.2025] „Bereits seit mehreren Monaten – so eine aktuelle Recherche von SentinelOne und Validin – machen Hacker mit einer neuen Variante der ,Contagious Interview’-Angriffskampagne von sich reden“, berichtet Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, in seiner aktuellen Stellungnahme. Arbeitssuchende der „Kryptowährungs“-Branche werden demnach „mit Fake-Stellenannoncen in Fake-Bewerbungsgespräche gelockt“, um dann – im Laufe des angeblichen Bewerbungsverfahrens – dazu verleitet zu werden, sich Malware auf ihre Systeme herunterzuladen. Effektiv helfen könne hierbei nur ein modernes „Human Risk Management“.

Foto: KnowBe4

Dr. Martin J. Krämer gibt zu bedenken: Statt auf „Kryptowährungen“ könnten sich Angreifer auch auf Informationen, etwa auf Unternehmensgeheimnisse, konzentrieren…

Fake-Stellenausschreibungen: Vor allem Marketing- und Finanzdienstmitarbeiter vor zwei Jahre betroffen

Die applizierte Malware ermögliche es den Angreifern dann, auf die Systeme ihrer Opfer zuzugreifen, Daten einzusehen und – „hier liegt derzeit ihr Angriffsschwerpunkt“ – „Kryptowährungen“ zu stehlen. Allein für den Zeitraum zwischen Januar und März 2025 hätten SentinelOne und Validin über 230 solcher Vorfälle registrieren können. „Die tatsächliche Zahl der Opfer dürfte noch einmal deutlich höher liegen. Auch Reuters hat bereits über die neue Kampagne berichtet“, so Krämer.

• Krämer blickt zurück: „Erstmals wurde die Cybersicherheitsszene vor knapp zwei Jahren auf ,Contagious Interview’-Kampagnen aufmerksam. Die Angriffe zielten auf High-End-Mitarbeiter, die mit dem Gedanken spielten, ihren Arbeitgeber zu wechseln.“ Vor allem Marketing- und Finanzdienstmitarbeiter seien dabei betroffen gewesen.

Der damalige Köder der Cyberkriminellen: „Fake-Stellenausschreibungen für interessante und lukrative Posten, wie Portfolio-Manager, Investmentmanager und Senior-Produktmanager, bei bekannten digitalen Finanz-Unternehmen, wie Archblock, Robinhood und eToro.“

„ClickFake“-Interviews basieren auf Social-Engineering-Technik namens „ClickFix“

Die aktuelle „Contagious Interview“-Kampagne, auch als „ClickFake“-Interview bezeichnet, setze eben auf eine Social-Engineering-Technik namens „ClickFix“: „Das anvisierte Opfer erhält eine Einladung zur Teilnahme an einem Bewerbungsverfahren und wird auf eine Lock-Website weitergeleitet, auf der es aufgefordert wird, an einer Kompetenzbewertung teilzunehmen.“

• Im Laufe der Prüfung erscheine dann auf dem Bildschirm des Bewerbers eine Fake-Fehlermeldung. „Das Opfer wird gebeten, mehrere Befehlszeilen zu kopieren und einzufügen – oftmals unter Verwendung von Dienstprogrammen wie ,curl’ – um ein angebliches Update von einem separaten Server herunterzuladen und auszuführen.“ Tatsächlich handele es sich hierbei aber um Malware, welche das Opfer dann unwissentlich installiere und aktiviere.

Eine Möglichkeit, die Aktivitäten der Angreifer einzudämmen, bestehe darin, deren Angriffs-Infrastruktur, die Fake-Bewerbungsseiten, abzustellen. Jedoch hätten die Experten von SentinelOne und Validin in ihrer Untersuchung festgestellt, dass die Angreifer über ausreichende Mittel verfügten, blockierte Infrastruktur rasch – „zu rasch“ – durch neue ersetzen können.

Zur Eindämmung der Bedrohung durch Fake-Stellenangebote den „Faktor Mensch“ adressieren

Krämer führt aus: „Aus diesem Grund raten die Experten, bei den Maßnahmen zur Eindämmung der Bedrohung, den ,Faktor Mensch’ nicht zu vernachlässigen. Dem kann nur zugestimmt werden!“ Das Sicherheitsbewusstsein der eigenen Mitarbeiter sei eine zentrale Größe im Kampf gegen Phishing- und „Spear Phishing“-Kampagnen wie diese.

• Der neue „ClickFix“-Phishing-Ansatz stelle ein ernsthaftes Sicherheitsrisiko dar – und das nicht allein für Beschäftigte der Krypto-Branche. Leicht könne die Angriffstechnik auch auf andere Branchen ausgedehnt werden, könnten Hochqualifizierte der unterschiedlichsten Industrien in den Angriffsfokus genommen werden.

Abschließend warnt Krämer: „Statt auf ,Kryptowährungen’ können sich die Angreifer auch auf Informationen, etwa auf Unternehmensgeheimnisse, konzentrieren, oder versuchen, über einen Mitarbeiter, der noch in einem Unternehmen arbeitet – sich aber bereits aktiv nach einem neuen Job umsieht – die IT-Systeme seines derzeitigen Arbeitgebers unter Kontrolle zu bekommen.“

Weitere Informationen zum Thema:

knowbe4
What is KnowBe4?

knowbe4, KnowBe4 Team, 18.09.2025
North Korean Hackers Target Job Seekers With ClickFix Attacks

knowbe4
KnowBe4 News und Wissenswertes: Dr. Martin J. Krämer / Recent Posts

IO sekoia blog, Amaury G. & Coline Chavane & Felix Aimé & Sekoia TDR, 31.03.2025
From Contagious to ClickFake Interview: Lazarus leveraging the ClickFix tactic

datensicherheit.de, 30.08.2025
Task Scams: Trend Micro warnt vor digitalem Job-Betrug / Aktuelle Forschungsergebnisse von Trend Micro künden von einer globalen Schattenindustrie mit „gamifizierten“ Betrugsplattformen, Fake-Websites und Missbrauch von „Krypto-Währungen“

datensicherheit.de, 28.07.2025
Cyberkriminelle missbrauchen Remote Management Tools für Attacken auf Jobsucher / „Remote Management Tools“ können Daten- oder Finanzdiebstahl ermöglichen bzw. zur Installation von Malware, beispielsweise Ransomware, führen

datensicherheit.de, 26.07.2024
Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick / Anna Collard erläutert Betrugsversuche bei der Jobsuche in Sozialen Medien und entsprechende Warnsignale

datensicherheit.de, 28.04.2021
LinkedIn: Malware-Verbreitung über falsche Jobangebote / Cyber-Krimielle nutzen LinkedIn derzeit vermehrt für Phishing-Kampagnen

datensicherheit.de, 15.05.2019
Spam-Attacken: Jobsuchende im Visier / Laut neuem KASPERSKY-Report erhalten deutsche Nutzer die meisten Spam-Mails mit gefährlichen Anhängen oder Links