In der digitalen Welt von heute hat die Jobsuche viele Vorteile, aber leider auch neue Risiken mit sich gebracht. Besonders besorgniserregend ist der Anstieg sogenannter Recruitment-Scams, also betrügerische Machenschaften, bei denen Kriminelle gezielt Stellensuchende ansprechen, um sie finanziell auszunutzen oder persönliche Daten zu stehlen. Die Pandemie, wirtschaftliche Unsicherheiten und die wachsende Bedeutung von flexiblen Arbeitsmodellen schaffen einen fruchtbaren Boden für diese Form von Cyberkriminalität. Dabei nutzen die Betrüger immer ausgefeiltere Taktiken, die es für arglose Jobsuchende schwierig machen, echte Angebote von Fakes zu unterscheiden. Die Folgen für die Opfer sind dramatisch: finanzielle Verluste, Identitätsdiebstahl und psychologische Belastung.
Die aktuellen Studien und Beobachtungen von Sicherheitsunternehmen wie Netcraft verdeutlichen eine alarmierende Entwicklung. Im Jahr 2023 beispielsweise erlitt die US-amerikanische Bevölkerung durch jobbezogene Betrugsfälle Verluste in Höhe von über 500 Millionen US-Dollar – mehr als das Doppelte im Vergleich zum Vorjahr. Prognosen deuten darauf hin, dass 2024 diese Zahlen noch übertroffen werden. Nicht nur in den USA, sondern auch im Vereinigten Königreich und Australien steigt die Zahl derer, die Suchende mit Lockangeboten auf verschiedenen Messaging-Kanälen erreichen und so zu Tätern werden. Die ökonomischen und sozialpsychologischen Hintergründe dieser Zunahme sind vielschichtig.
Der zunehmende Wettbewerb auf dem Arbeitsmarkt, Sinken der Löhne in manchen Branchen und die Belastung durch die steigenden Lebenshaltungskosten verstärken die Verzweiflung vieler Jobsuchender. Insbesondere Menschen aus wirtschaftlich benachteiligten Regionen sehen in vermeintlich lukrativen Kurzzeitangeboten eine letzte Chance, ihre wirtschaftliche Situation zu verbessern. Gleichzeitig hat auch der Boom an sogenannten Null-Stunden-Verträgen und Gig-Economy-Jobs das Feld für Betrüger geöffnet, die genau diese Zielgruppe ins Visier nehmen. Recruitment-Scams treten oft in Form von sogenannten Task Scams auf. Dabei versprechen die Täter, gefälscht als seriöse Arbeitgeber oder Personalvermittler, gegen eine Vorauszahlung lukrative Jobs oder freiberufliche Tätigkeiten.
Diese „Aufgaben“ sollen angeblich Teil des Einstellungsprozesses sein oder echte Projekte darstellen und werden oft über Messaging-Plattformen wie WhatsApp, Telegram oder SMS kommuniziert. Die Opfer werden motiviert, kleine Beträge vorab zu zahlen, um Zugang zu Jobs oder weiteren Details zu erhalten. Im Anschluss folgen weitere Aufgaben, die meist mit weiteren Forderungen nach Vorauszahlungen verbunden sind. Von tatsächlichen Gehaltszahlungen oder Jobanstellungen bleibt der Betroffene jedoch ausgeschlossen. Diese Masche heißt Advance Fee Fraud (AFF), bei der kriminelle Akteure erst Vertrauen aufbauen, indem sie anspruchsvolle Konditionen und attraktive Verdienstmöglichkeiten versprechen.
Häufig sind dies Stundenlöhne oder monatliche Honorare, die marktuntypisch hoch liegen und dadurch Zweifel bei starker Bedürftigkeit überdecken. Die Betrüger arbeiten oft mit mehreren Fake-Identitäten, sogenannten Personas, die nacheinander Kontakt aufnehmen und so eine Verzahnung schaffen, die einerseits Glaubwürdigkeit erzeugt, andererseits die Risikostreuung der Tätergruppen ermöglicht. Während die erste Person Kontakt aufnimmt und Interesse weckt, übernimmt die zweite Persona die konkrete Ausführung und Extraktion von Geld und Arbeitskraft. Die Kommunikationskanäle spielen eine entscheidende Rolle. Messaging-Dienste sind besonders für diese Betrugsversuche geeignet, da sie schnellen direkten Kontakt ermöglichen und oft weniger reguliert sind als etwa offizielle Jobportale oder E-Mail-Dienste.
Zudem erschweren sie es Sicherheitsanbietern und Strafverfolgungsbehörden, die Täter unmittelbar zu identifizieren oder Plattformen rechtzeitig zu sperren. Die Verwendung von sogenannten „Burner“-Accounts – also Einweg-Konten oder temporären Telefonnummern – trägt zusätzlich zur Verminderung der Einsatzspuren bei und lässt die Täter länger unentdeckt agieren. Die Betrüger arbeiten teilweise arbeitsteilig, wobei manche Gruppen nur die erste Kontaktaufnahme übernehmen und diese Dienstleistung an andere übergeben, die dann die eigentliche Betrugsmasche durchführen. Diese Arbeitsteilung steigert Effizienz und Skalierbarkeit der Attacken. Ein Beispiel aus der Praxis ist ein Fall, bei dem eine angebliche Personalvermittlerin namens „Quinn“ über WhatsApp einen Kandidaten aus Großbritannien kontaktierte, um ihm auf Basis angeblicher LinkedIn-Bewerbung hochvergütete Teilzeit- oder Vollzeitstellen anzubieten.
Die Kontaktaufnahme erfolgte über Telefonnummern verschiedener Länder, was auf internationale Tätergruppen hinweist. Zur weiteren „Verifikation“ wurden die Suchenden auf eine gefälschte Website geleitet, die professionell gestaltet war und die Zahlung einer Kryptowährung (wie Tether USDT) voraussetzte, um „Aufgaben“ freizuschalten. Trotz der scheinbar anspruchsvollen Oberfläche und vermeintlichen Verdienstmöglichkeiten gab es typische Hinweise darauf, dass es sich um eine Falle handelt: ungewöhnlich hohe Bezahlung, Zahlungen in Kryptowährungen, Rechtschreibfehler und merkwürdige Satzkonstruktionen. Die Opfer mussten wiederholt Geld einzahlen, um vermeintliche Jobs fortzuführen, doch bei Auszahlung blieben sie leer. Die Täter kopieren dabei Webseitendesigns und nutzen dieselben Infrastrukturen unter unterschiedlichen Domains, die oftmals über Hosting-Dienste wie Cloudflare betrieben werden, um Risiken und Erkennungsgrade zu minimieren.
Die Mehrfachnutzung von Design-Assets und identischem Code ermöglicht es ihnen, verschiedene Marken gleichzeitig zu imitieren und so unterschiedliche Zielgruppen zu täuschen. Eine andere perfide Variante betrifft die Manipulation von Identitätsdaten und Social-Media-Konten. So wurden in mehreren Fällen gefälschte Accounts erstellt, die angeblich von offiziellen Regierungsstellen stammen – etwa dem Statistikamt Singapurs – und über Telegram-Chatgruppen Jobangebote kommunizierten. Interessierte wurden aufgefordert, ihre Personalausweisnummern und Telegram-Kontodaten preiszugeben, um sich zu registrieren. Im Anschluss wurde versucht, über eine Zwei-Faktor-Authentifizierung Zugriff auf deren Telegram-Konten zu erhalten.
Die Übernahme dieser Accounts ermöglichte es den Tätern anschließend, neue Opfer mit gefälschten Nachrichten anzusprechen und potentielle Erpressungstaktiken einzusetzen. Der Schutz vor solchen Angriffen erfordert eine Mischung aus Wachsamkeit, Aufklärung und technischer Unterstützung. Job suchende sollten besonders skeptisch werden, wenn der gesamte Bewerbungsprozess ausschließlich über soziale Messenger läuft oder wenn unrealistisch hohe Löhne bei fragwürdigen Tätigkeiten angeboten werden. Offizielle Jobanzeigen sollten vorzugsweise über etablierte Plattformen und mit transparenten Ansprechpartnern erfolgen. Bei Hinweisen auf Vorauszahlungen oder ungewöhnliche Anforderungen wie das Nutzbarmachen von Kryptowährungen zur Aktivierung von Aufgaben ist äußerste Vorsicht geboten.
Unternehmen und Behörden sind ebenfalls gefragt. Mehr Sensibilisierung für diese Betrugsformen und verstärkte Aufklärungskampagnen helfen dabei, potenzielle Opfer zu erreichen und zu schützen. Technisch kann die Zusammenarbeit mit Anti-Fraud- und Brand-Protection-Anbietern wie Netcraft innovative Maßnahmen gegen Phishing-Seiten und Fake-Domains ermöglichen, die Täterseiten frühzeitig blockieren und unterbinden. Die Meldung verdächtiger Telefonnummern, E-Mail-Adressen oder Websites trägt dazu bei, einen Pool an Bedrohungsinformationen aufzubauen, der der gesamten Sicherheitsbranche zugutekommt. Zusätzlich gilt es, den rechtlichen Rahmen zu stärken, um internationalen Cyberkriminellen aktiv das Handwerk zu legen.
