Eine Masche, die besonders in Corona-Zeiten diejenigen betrifft, die aufgrund von Jobkürzungen oder Jobverlust deutlich finanziell eingeschränkt sind und nun einen Job suchen, scheint derzeit wieder massiv von Cyberkriminellen genutzt zu werden. Die Masche ist nicht neu, aber mit gefälschten Jobangeboten gehen die Täter auf Datenfang in diversen Jobbörsen. In der Hoffnung, auf Jobsuchende zu treffen, die sich etwas dazuverdienen möchte, stellen die Täter einfache und gut bezahlte Jobs in Aussicht. Das gute daran sei, dass diese Jobs ohne große Erfahrung bei freier Zeiteinteilung im Homeoffice erledigt werden können. Man benötige lediglich Internet und ein Smartphone.
Die Masche und Varianten im Allgemeinen beschreiben wir hier ausführlicher: https://www.polizei-praevention.de/themen-und-tipps/straftaten-im-netz/betrug#Videoident-Betrug_-_Die_Masche_mit_der_Kontoeroffnung
In unserem aktuellen Beispiel (dies ist nur ein Beispiel, weitere Jobangebote und Webseiten sind im Umlauf) haben die Täter über die Jobbörse Indeed eine Suchanzeige geschaltet:
Der Bewerbungstext lautet:
„Schüler, Studenten, Rentner, bei uns ist jeder wilkommen, der sich etwas dazu verdienen möchte.
Zur Erweiterung unseres Teams suchen wir ab sofort motivierte Financial Controller (m/w/d) in Teilzeitanstellung oder auf Minijob-Basis (450€). Nach einem erfolgreichem Probemonat ist auch die Übernahme auf Vollzeit möglich. Der Stundenlohn beträgt 14€. Sie arbeiten im Homeoffice und in freier Zeiteinteilung – nach Rücksprache mit Ihrem Teamleiter. Für die Arbeit als Financial Controller sind keine Fachkenntnisse erforderlich. Alle zu erfüllenden Aufgaben sind leicht erlernbar und werden mit Unterstützung Ihres Teamleiters durchgeführt.
Anstellung
Bei der Tätigkeit handelt es sich um eine sozialversichungspflichtige Beschäftigung. Nach einer 4-wöchigen Probezeit besteht die Möglichkeit in ein Teil- oder Vollzeitmodell übernommen zu werden. Darüber hinaus bieten wir dank unserer flachen Hierarchien langfristig Aufstiegsmöglichkeiten zum Teamleiter oder Kundenbetreuer.
Arbeitsmittel
Zur Ausübung der Tätigkeit benötigen Sie lediglich ein Smartphone/Tablet sowie eine funktionierende und möglichst stabile Internetverbindung. Alle Aufgaben können vom eigenen Smartphone erledigt werden. Hierbei ist es ganz egal, ob Sie ein Android oder iOS Smartphone besitzen.
Falls Sie Interesse oder Fragen haben dann gerne direkt über unsere Website kontaktieren oder auch gleich bewerben https://es-consult.net/„
Ruft man dann als Interessierter die Webseite des angeblichen Unternehmens auf, so findet man eine nahezu perfekt gestaltete Internetseite einer Firma namens ES-Consult Unternehmensberatung, die u.a. mit 11 Jahren Marktpräsenz und bester Arbeitgeber 2020 wirbt. Auch das Copyright am Boden der Seite zeigt 2009 bis 2021. Schaut man sich den jedoch entsprechenden Whois-Eintrag (Daten beim Provider) zu der Seite an, stellt man fest, dass diese erst am 13.03.2021 erschaffen wurde. Das Impressum verwendet einen Namen mit Anschrift und Handelsregisternummer. Wer hier ggf. auf der offiziellen Webseite handelsregister.de kostenfrei sucht, bekommt auch tatsächlich eine ES-Consult GmbH angezeigt. Der Abruf weiterer Daten beim offiziellen Handelsregister ist jedoch kostenpflichtig. Hätte ein Interessent die Gebühr dafür entrichtet, hätte er bemerkt, dass die Firma, zumindest was das Alter angeht, deutlich jünger ist (2019). Wer nun nach dem Namen im Impressum mittels Suchmaschinen sucht, findet auch die echte Webseite einer Steuerfachwirtin, deren Namen und Daten hier durch die Täter missbräuchlich verwendet werden. Eine Rückfrage ergab, dass die Geschädigte bereits bei Ihrer Polizei im Bereich Baden-Württemberg Anzeige erstattet hat. In Kürze möchte die Geschädigte auch auf der eigenen Webseite vor der Fälschung warnen.
Die gefälschte Webseite ist derzeit noch aktiv erreichbar (Stand 22.03.2021):
Beispielantworten der Täter:
„Sehr geehrte/r ….,
herzlichen Dank für Ihre Bewerbung bei ES-Consult – Ihre persönlichen Daten sowie Unterlagen wurden erfolgreich an unsere Personalabteilung weitergeleitet.
Diese wird Ihre Bewerbung nachfolgend prüfen und nach Abschluss der Überprüfung werden Sie entweder per E-Mail oder Telefon benachrichtigt, ob Sie für die ausgeschriebene Position angenommen worden sind.
Sollten Sie noch Fragen haben, so zögern Sie nicht sich an uns direkt zu wenden!Hochachtungsvoll,…“
„Sehr geehrte Frau….,
bei der Einarbeitung wird Ihnen erklärt wie genau gearbeitet wird. Sie brauchen nur Ihr Smartphone und werden dann mit Ihrer Vorgesetzten Kontakt über Whatsapp halten.
Die Funktion als Treuhandmangerin führen Sie über Ihr bereits vorhandenes Konto aus. Dieses Konto wird von uns bei der Bafin als Treuhandkonto angemeldet.
Ich habe Ihnen einen ganz normalen Minijob Vertrag zu kommen lassen, der hat seine Gültigkeit so wie er ist und muss nicht in physischer Form erfolgen. Es reicht wenn Sie den unterschreiben und dann ein scannen oder ein Foto davon machen.Mit freundlichen Grüßen,
Andre Düll
Teamleiter
ES-Consult“„Sehr geehrte Frau…,
bitte unterzeichnen Sie den im Anhang befindlichen Arbeitsvertrag und retournieren Sie diesen unterzeichnet mit einem Foto von beiden Seiten Ihres Personalausweises.
Nachdem wir Ihren unterzeichneten Arbeitsvertrag erhalten und Ihre Identität überprüft haben, sind Sie als vollwertiger Mitabeiter in unserem Unternehmen aufgenommen.Anschließend würde es auch schon los gehen und meine Kollegin würde Sie über Whatsapp kontaktieren. Senden Sie mir in der Antwort zu dieser E-Mail bitte auch noch Ihre IBAN.
Wir danken Ihnen für Ihr Vertrauen und wir freuen uns auf die Zusammenarbeit mit Ihnen!“
Beispiel-Arbeitsvertrag (von uns anonymisiert):
Was haben die Täter vor?
Wer sich nun bewirbt wird z.B. von einem Täter angeschrieben. In unserem Beispiel gaben sich die Täter über WhatsApp als die Mitarbeiterin „Anne Franke“ aus. Das Profilbild der angeblichen Mitarbeiterin stammt übrigens auch aus dem Netz.
Der Arbeitsauftrag würde darin bestehen, Gelder zu empfangen und nach Meldung an die Firmenzetrale entsprechen weiterzuleiten. Hierfür werde das eigene Konto (also der Jobsuchenden) bei der BaFin angemeldet. Für die Anmeldung werden u.a. gut erkennbare Ausweisdaten benötigt. In unserem Beispiel wird dann direkt das Bankkonto der Jobsuchenden für die Geldwäsche verwendet. Es ist sehr wahrscheinlich, dass in anderen Fällen die Täter auch im Namen Ihrer Bewerber ein echtes Bankkonto bei einer Bank einrichten lassen. Im weiteren Verlauf würde dann der Jobsuchende von den Tätern die Zugangsdaten für ein Videoidentverfahren bekommen. Der Jobsuchende führt dann das Videoidentverfahren, im Glauben ein Treuhandkonto für die Firma einzurichten, durch. Da jedoch die Täter die Kontobestellung gestartet haben und dafür eine selbst eingerichtete Mailadresse hinterlegt haben (speziell für das Opfer angelegt), bekommen diese auch die endgültigen Zugangsdaten zum Bankkonto.
Die Bankkonten können die Täter dann für Geldwäsche (z.B. Fakeshop-Bezahlungen) verwenden. Solche Bankkonten werden auch gern im Darknet zum Kauf angeboten.
Durch Hinhaltetaktiken, z.B. Prüfung der Bewerbungsunterlagen, angebliche Post von der BaFin usw., gewinnen die Täter Zeit, um die Konten missbräuchlich zu verwenden. So können Wochen vergehen, bis ein potentielles Opfer diese Masche überhaupt erkennt und Anzeige erstattet.
Zudem kommt, dass nicht immer mit den Daten der potentiellen Opfer Bankkonten eingerichetet werden. Auch ein weiterer Missbrauch der Daten ist zukünftig denkbar (Bestellungen, Verträge, Betrügereien in Kleinanzeigenportalen, personalisierter Spam uvm.). Nicht selten werden die Namen auch als Geschäftsinhaber auf den gefälschten Seiten verwendet.
Wie ein Videoidentverfahren tatsächlich abläuft und auf was zu achten ist, beschreiben wir hier: https://www.polizei-praevention.de/themen-und-tipps/basisschutz-empfehlungen/bezahlen-im-internet#Videoidentifizierungsverfahren
Die Thematik der Geldwäscher und Finanzagenten beschreiben wir hier: https://www.polizei-praevention.de/themen-und-tipps/basisschutz-empfehlungen/bezahlen-im-internet#Finanz-_und_Warenagenten_-_Der_Weg_zur_Geldwasche
Die Masche selbst beschreiben wir hier: https://www.polizei-praevention.de/themen-und-tipps/straftaten-im-netz/betrug#Videoident-Betrug_-_Die_Masche_mit_der_Kontoeroffnung
Ein Beispiel aus 2019 finden Sie hier: https://www.polizei-praevention.de/aktuelles/betrug-mittels-kontoeroeffnung-mit-videoidentverfahren-bei-wohnungsanmietung.html
Was kann ich tun, wenn ich auf eine solche Masche hereingefallen bin?
Wichtig ist, dass Sie umgehend Anzeige bei Ihrer örtlichen Polizei erstatten. Bringen Sie dazu sämtlichen Schriftverkehr, Screenshots/Links der Jobanzeige, WhatsApp-Verkehr/Kontakte usw. mit zur Polizei.
Informieren Sie auch rechtzeitig Ihre Bank. Da Sie möglicherweise sehr schnell für Geldwäsche missbraucht werden, kann es auch zu Konsequenzen mit Ihrer Bank kommen. Zivilrechtliche Ansprüche weiterer Geschädigter sind ebenfalls denkbar.
Zu einer etwas älteren Version dieser Masche haben wir in der Vergangenheit ein Video erstellt. Dieses finden Sie in unserer Mediathek (Video Podcast Nr.3).
Welche Seiten bei den Tätern gibt es noch und wo kann ich mit den Jobangebote konfrontiert werden?
Das oben genannte Beispiel ist sehr wahrscheinlich eines von vielen. Die Täterseiten sind im besten Fall nur wenige Wochen online. Entweder werden dafür eigene Namen erfunden oder real existierende Firmennamen (sogar weltbekannte Unternehmen) werden dafür missbraucht. Das Gleiche gilt für die Jobangebote, die auf diversen Portalen (auch Kleinanzeigenportalen) zu finden sind. Die kurze Zeit reicht jedoch in der Regel aus, um genug Jobsuchende in die Falle tappen zu lassen. Es gibt auch Varianten, wo die Täter einen Jobsuchenden direkt anschreiben, wenn dieser in solchen Portalen inseriert hat.
Wie kann ich mich davor schützen?
- Wichtig ist, dass Sie keine persönlichen Daten an unbekannte Personen z.B. per Mail übermitteln. Dazu gehören z.B. eingescannte Personalausweise, Gehaltsnachweise oder Selfies mit Personalausweis.
- Wenn es um eine Videoidentifikation geht, sollte man dem Dienstleister klar mitteilen, warum man diese Identifizierung durchführt. Z.B. „Ich möchte ein Bankkonto eröffnen“ oder „Ich bewerbe mich um einen Job und muss mich identifizieren.“ Im ersten Fall möchten man dann auch tatsächlich ein Bankkonto eröffnen. Dafür hat man aber auch selber die Kontoeröffnung beantragt (mit sämtlichen Zugangs- und Anmeldedaten) und man bekommt hinterher selber die Zugangsdaten auf das eigene Mailkonto. Im zweiten Fall würde der Dienstleister abbrechen und vor einem Betrug warnen. Bewerbungen werden so nicht Verifiziert!
- Erstatten Sie Anzeige bei Ihrer örtlichen Polizei, wenn Sie Opfer dieser Masche geworden sind und informieren Sie auch die betroffene Bank. Zusätzlich sollten Sie auch Ihre eigene Bank informieren, da hier schnell Geldwäscheverdachtsanzeigen aufkommen und ggf. auch das eigene Bankkonto betroffen sein könnte.
- Erstellen Sie Screenshots von der z.B. Jobangebotsanzeige und drucken Sie den Mailvekehr aus. Bringen Sie diese Unterlagen mit zur Polizei.
- Vergewissern Sie sich über den Anbieter! Fragen Sie beim echten Anbieter nach, ob das Jobangebot stimmt (z.B. über die echte Homepage, nicht dem Link aus der Anzeige folgen). Gern leiten die Täter auch mit einer Domain, die dem Original ähnelt und die für den Mailverkehr benötigt wird, die prüfenden Besucher auf die echte Jobseite um. Beispiel www.echtefirma.jobmoeglichkeit2021.de aus gefälschter Jobanzeige leitet zu www.echtefirma.de um. Die Mailverkehr läuft jedoch über jobmoeglichkeit2021.de zu Ihnen, der eigentlichen Domain der Täter
- Handelt es sich beim (Produkttest-)Unternehmen um einen seriösen Dienst (z.B. mal Google befragen und bei der zu testenden Bank nachfragen). Klären Sie beim Videoident-Anbieter, an welche Adressen die Zugangsdaten gehen (Sind das vollständig Ihre eigenen Daten oder wurden diese Ihnen vorgegeben?). Lassen Sie sich nicht von den Tätern überreden, gewisse Sätze, die nicht von Ihnen stammen zu sagen. Die Täter bereiten die Opfer gern mit passenenden Geschichten aus, um das Videoident-Verfahren zu durchlaufen.
- Prüfen Sie die Mailadressen, die für den Kontakt zu Ihnen und zum Jobanbieter verwendet werden. Stimmen diese mit den echten Domainnamen genau überein?