Vorsicht bei SMS von Job-Plattform Indeed: Betrüger versenden Phishing-Nachricht

„Hallo, entschuldigen Sie die Störung!“ Mit freundlichen Worten und passender Rechtschreibung meldet sich Annett J Austerlitz, die vorgibt beim Jobvermittler Indeed zu arbeiten, derzeit bei etlichen Menschen. In der SMS verspricht sie einen Online-Job mit bis zu 300 Euro Lohn am Tag für nur 60 bis 90 Minuten Arbeit. Was auf den ersten Blick verlockend erscheinen mag, ist jedoch ein Betrugsversuch – eine sogenannte Phishing-Nachricht.

Phishing-SMS im Namen von Indeed: Wie oft kommen solche Nachrichten vor?

„Der Kontext ist oft unterschiedlich“, erklärt Oliver Buttler von der Verbraucherzentrale Baden-Württemberg. Neben Jobangeboten werden in solchen Nachrichten auch Gewinne oder abrufbares Guthaben beispielsweise bei Amazon oder Paypal versprochen. Das Ziel der Betrüger: „Man möchte die Leute dazu bringen, mit Ja oder Nein zu antworten.“

Wie oft Phishing per SMS oder Mail vorkommt, lässt sich laut dem Verbraucherschützer nur schwer sagen. Buttler ist sich aber sicher: Die Zahl hat zugenommen. Doch auch Mailprogramme seien immer besser geworden und filtern den Spam aus. Außerdem ist die Dunkelziffer hoch: „Viele wissen, dass es fake ist und löschen es einfach. Das taucht dann nirgends auf.“

Wie kann man Phishing wie im Namen von Indeed per SMS erkennen?

Ein Sprecher von Indeed weist auf einige Anzeichen hin. Im Fall der Nachricht von der mutmaßlichen Indeed-Vermittlerin Anette, fällt die ausländische Vorwahl +63 aus den Philippinen ins Auge. So einfach machen es sich die Betrüger jedoch nicht immer. Der Verbraucherschützer Buttler kennt Fälle, in denen richtige Mailadressen oder nahezu gleiche Onlineauftritte genutzt wurden.

Auffällig sind laut dem Indeed-Sprecher vor allem „Arbeitsbedingungen, die zu schön klingen, um wirklich wahr zu sein“. Darunter fallen hohe Gehälter und sehr flexible Arbeitsbedingungen wie dauerhaftes Homeoffice. Auch Aufforderungen zu persönliche Daten oder gar Geld zu schicken, sollten Jobsuchende stutzig machen. 

Der Verbraucherschützer Buttler ergänzt, dass SMS von den meisten Plattformen nur zur Zwei-Faktor-Authentifizierung mit einem Code genutzt werden. Der „Medienbruch“ sollte also bereits aufmerksam machen. „Es ist ungewöhnlich, dass Indeed mir eine SMS schickt, obwohl ich meine Mail hinterlegt und eine App habe“, so der Experte. 

Laut Indeed ist es allerdings auch möglich, eine Telefonnummer zu hinterlegen. Dann müssen Nutzer jedoch aktiv einwilligen, dass Arbeitgeber sie auf diesem Wege kontaktieren oder sie Terminerinnerungen erhalten können. Dennoch scheint das nicht so üblich zu sein: „In der Regel erfolgt der Austausch zwischen Jobsuchenden und Arbeitgebern über die Messaging-Funktion in der Indeed App.“

Welche Gefahr geht von Phishing-Nachrichten aus?

„Wenn nur eine teure Hotline geschaltet ist, geht es ins Geld“, erklärt Buttler. Laut dem Verbraucher-Experten gibt es jedoch einen schlimmeren Fall: Durch den Klick auf Links können Virusprogramme heruntergeladen werden. „Dadurch können Betrüger oftmals auf viele Daten zugreifen.“ So könnten auch noch Wochen nach der Phishing-Nachricht Folgen drohen.

Vorsicht bei SMS von Job-Plattform Indeed: Wie kommen Betrüger an Nummern und Mailadressen?

Datenpannen seien eine Möglichkeit. Außerdem sei es möglich, aus Gruppen auf Social Media Nummern auszulesen. Betrüger fingieren zudem Fake-Gewinnspiele oder -Umfragen, die nur darauf abzielen, Daten zu erhalten, erklärt Buttler. Außerdem seien die Datensätze im Darknet mittlerweile günstig – und manchmal sogar erschreckend vollständig, mit Name, Adresse und Kreditkartennummer.

Doch auch auf ganz einfache Weise kämen die Betrüger voran: Sie probieren einfach irgendwelche Nummern aus. Reagieren Nutzer auf Phishing-SMS, wissen die Betrüger, dass die Nummer existiert und können sie teuer im Darknet verkaufen.

Geantwortet und auf Link geklickt: Was sollten Betroffene von Phishing-SMS tun?

Wer zu spät bemerkt, dass es sich um keine echte Nachricht handelt, sollte schnell handeln. Der Verbraucherschützer rät dazu, das betroffene Gerät offline zu nehmen und ein Virenprogramm durchlaufen zu lassen. Auf Nummer sicher gehe man mit einer Datensicherung und dem Zurücksetzen auf Werkseinstellungen. Außerdem sollten Anbieter wie die Bank informiert werden.

Nur so könne vermieden werden, dass Betroffenen „grobe Fahrlässigkeit“ vorgeworfen wird, falls doch ein Schaden entsteht. Denn: „Dafür gibt es keine Versicherung. Bei Cybercrime weiß man nicht, welcher Schaden noch kommt.“ Nach Buttlers Erfahrung seien Betrüger oft schlau und warten, bis sich genug Geld auf dem Konto befindet.

Was tun betroffene Firmen gegen Betrug in ihrem Namen?

Indeed wusste bereits vor der Stimme-Nachfrage von den Fake-SMS in ihrem Namen. Der Sprecher beteuert: „Wir sind in diesem Fall selbst die Geschädigten.“ Der Markenname werde genutzt, um die Menschen in Sicherheit zu wiegen. Deshalb ermuntere das Unternehmen die Betroffenen, sich bei den Behörden zu melden.

Nach Einschätzung des Verbraucherschützers Buttler sind viele Unternehmen sehr bemüht und haben „IT-Abteilungen, die hinter den Betrügern her programmieren.“ In manchen Fällen frage er sich aber: „Warum macht der Originalanbieter nichts?“ Einerseits müssen die Firmen natürlich überhaupt von den Betrugsversuchen wissen, andererseits geht es außerhalb von den Accounts auf der eigenen Seite weder um die gesetzlich zu gewährleistende Sicherheit noch um den Umsatz des Unternehmens, stellt Buttler in den Raum.