Sicherheitsforscher weisen auf eine Kampagne offenbar nordkoreanischen Ursprungs hin, die das Ziel hat, an neuen Jobs interessierten Personen Kryptowährung zu stehlen. Dabei kontaktieren falsche Personalvermittler Beschäftigte der Kryptobranche, etwa auf der Plattform LinkedIn, und bieten diesen neue Stellen an. Doch es geht nur darum, Zugang zu den PCs der Interessenten zu erlangen, um diese um digitale Güter zu erleichtern.

Nordkorea wird schon seit Langem vorgeworfen, mit dem Diebstahl von Kryptowährung sein sanktioniertes Waffenprogramm zu finanzieren. Die Regierung in Pyongyang bestreitet dies jedoch regelmäßig. Überwiegend wird Nordkorea beschuldigt, dass Agenten des Landes als falsche IT-Fachkräfte in zahlreichen US-Firmen per Homeoffice arbeiten, um mit ihren Gehältern Einnahmen für die nordkoreanische Regierung zu generieren. Diese Kampagne wurde offenbar auch auf Europa ausgeweitet. Im Herbst letzten Jahres warnte der Verfassungsschutz deutsche Firmen vor angeblichen Freelancern aus Nordkorea.

Betrug an Jobsuchenden

Jetzt berichtet Reuters von einer anderen Kampagne Nordkoreas zur Finanzierung des Landes. Durch „Social Engineering“ werden potenziell wechselwillige Mitarbeiter von vermeintlichen Personalvermittlern angesprochen, die ihnen neue Jobs anbieten. Ziele sind vorrangig in der Kryptobranche beschäftigte Personen, sodass es sich oft um Stellen mit Bezug zur Blockchain handelt. Oft wird ein Kontakt über Netzwerke wie LinkedIn oder auch Telegram hergestellt.

Betroffene beschreiben den Prozess nach der ersten Kontaktaufnahme als zunächst typischen Austausch über Einzelheiten zur Tätigkeit und der Vergütung. Dann aber versucht der vermeintliche Personalvermittler, den Bewerber auf eine obskure Webseite zu leiten, um dort einen Eignungstest durchzuführen und ein Video aufzuzeichnen. Vielen Interessenten kam dies verdächtig vor. Warum kein Bewerbungsgespräch auf einer bekannten Videoplattform wie Teams oder Zoom?

Während die meisten der Betroffenen den Kontakt an dieser Stelle abgebrochen haben, berichtet ein Produktmanager einer US-Kryptofirma, der anonym bleiben wollte, dass er den Anweisungen des angeblichen Personalvermittlers gefolgt ist und das Video aufgenommen hat. Am Abend desselben Tages stellte er jedoch fest, dass seiner digitalen Wallet, die er auf seinem Computer speichert, Ethereum und Solana im Wert von rund 1000 US-Dollar fehlten. Das LinkedIn-Profil des angeblich bei der Blockchainfirma Ripple Labs beschäftigten Personalvermittlers war ebenfalls verschwunden.

„Contagious Interview“ ist keine neue Kampagne

Ripple Labs hat sich nicht zu dem Fall geäußert, aber das ebenfalls für diese Zwecke genutzte Finanzunternehmen Robinhood erklärte auf Anfrage, dass es sich „einer Kampagne Anfang des Jahres bewusst ist, bei der versucht wurde, sich als mehrere Krypto-Unternehmen auszugeben, darunter Robinhood“. Die Firma hat bereits verschiedene Domains abschalten lassen, die für diese Betrugsversuche genutzt wurden. LinkedIn schreibt in einer Stellungnahme, dass die bislang bekannten Profile der vermeintlichen Personalvermittler zuvor bereits gelöscht worden waren.

Die Idee dieser Kampagne ist allerdings nicht neu. Schon im November 2023 entdeckten die Sicherheitsforscher der Unit 42 der Palo Alto Networks eine als „Contagious Interview“ bezeichnete Kampagne. Dabei hatten sich böswillige Akteure als Arbeitgeber ausgegeben, zumeist anonym oder mit vager Identität, um Softwareentwickler im Rahmen des Bewerbungsprozesses zur Installation von Malware zu verleiten. Dadurch konnten Angreifer verschiedene Daten oder eben auch Kryptowährung stehlen. Schon damals waren sich die Sicherheitsforscher relativ sicher, dass Contagious Interview von einem staatlich unterstützten Akteur Nordkoreas betrieben wurde.

(fds)

Cyberkriminelle und staatliche Angreifer setzen immer häufiger auf KI zur Unterstützung ihrer digitalen Attacken. Wie sehr ihnen Veröffentlichungen von Sicherheitsforschern dabei die Arbeit erleichtern, haben nun Sicherheitsforscher von Trend Micro untersucht. Sie spannten unbeschränkte Large Language Models (LLMs) ein, um anhand eigener Blog-Beiträge Malware zu schreiben.

Dass sich Schadsoftware-Autoren Inspiration bei ihren Gegenspielern in Sicherheitsunternehmen holen, ist bekannt, etwa aus den Conti-Leaks. Die Befürchtung: Mit KI-Unterstützung müssen Cyberkriminelle mittlerweile weder lesen noch programmieren können. Sie verfüttern einfach detaillierte Sicherheitsanalysen an ein LLM und lassen sich Schadsoftware schreiben. Ob das klappt, untersuchten Mitarbeiter der Securityfirma Trend Micro.

Dazu nahmen sie die Softwaresammlung einer in Asien und Lateinamerika aktiven Cyberbedrohung namens „Earth Alux“ als Vorbild für eine Nachahmer-Malware. In ihrem Experiment nutzten die Forscher LLMs, die keine Beschränkungen (Guardrails) gegen die Erstellung maliziöser Programme enthalten. Die mussten sie mitnichten in dunklen Ecken besorgen – sie stehen auf Hugging Face zum Download zur Verfügung. Der resultierende Quellcode benötigte jedoch noch etwas Nacharbeit, die kriminelle Karriere bedarf also nach wie vor etwas Fachwissens. Doch ähnelte der Schadsoftware-Klon seinem Vorbild in jedem veröffentlichten Detail.

Trittbrettfahren leichtgemacht

Attraktiv scheint dieses „Nachahmer-Vibecoding“ also nicht vorrangig für Einsteiger ins digitale Verbrechen, sondern eher für Gruppierungen, die Ermittler auf falsche Fährten locken wollen. So könnten sie Angriffe mittels nachgeahmter Taktiken, Techniken und Prozeduren (TTPs) einer feindlichen Gruppe unterschieben, was die ohnehin oft wacklige und chaotische Attributierung weiter erschwert.

Schon heute bedienen sich Angreifergruppen derlei Taktiken, mutmaßliche Nordkoreaner streuen etwa russische Codeschnipsel in ihre Schadsoftware ein. Doch Vibe Coding anhand von Security-Artikeln erlaubt ihnen eine präzisere und vor allem effizientere Nachahmung, so die Trend-Micro-Analyse.

Kein Grund für Maulkörbe

Doch die Autoren des Blog-Artikels warnen vor voreiligen Reaktionen und betonen, man dürfe nicht aufhören, über Sicherheitsbedrohungen zu sprechen und schreiben. Es sei wichtiger denn je, Informationen über Angriffe und Bedrohungen zu veröffentlichen, man müsse jedoch der Gefahren gewahr sein. Herausgeber von Sicherheitsmeldungen oder -analysen müssten untersuchen, ob die veröffentlichten Details zum Vorgehen der Angreifer eine KI-gestützte Nachahmung ermöglichten. Zudem erschwere Vibe Coding die Zuordnung von Angriffen zu Angreifergruppen weiter.

(cku)

Der Europäische Gerichtshof (EuGH) hat am Donnerstag seine Rechtsprechung zum Ausgleich von Schäden auf Basis der Datenschutz-Grundverordnung (DSGVO) erneut präzisiert. Ein Arbeitssuchender hat demnach bei einem Datenschutzverstoß des potenziellen Arbeitgebers prinzipiell Anspruch auf Schadenersatz und Schmerzensgeld, auch wenn er keinen materiellen Schaden nachweisen kann. Ausgelöste negative Gefühle können ausreichen.

Hintergrund des Falls: Ein Bewerber, der sich bei der Berliner Quirin-Privatbank Online-Karrierenetzwerk beworben hatte, erhielt eine unerwartete Benachrichtigung. Auslöser: Eine Mitarbeiterin des Finanzinstituts hatte über den Messenger-Dienst des Netzwerks eine vertrauliche Nachricht an den Jobsuchenden an eine dritte Person geschickt, die der Bewerber kannte. Die Nachricht enthielt vertrauliche Informationen über die Gehaltsverhandlungen des Bewerbers, insbesondere die Ablehnung seiner Gehaltsvorstellungen und ein neues Gehaltsangebot. Sie war eigentlich nicht für Außenstehende bestimmt.

Der Dritte, ein ehemaliger Kollege des Bewerbers, leitete die Nachricht an ihn weiter, um herauszufinden, ob er auf Jobsuche war. Daraufhin reichte der Arbeitssuchende Klage gegen die Quirin-Bank ein. Er forderte von ihr, die Verarbeitung seiner Bewerbungsdaten einzustellen, um weitere unbefugte Offenlegungen zu verhindern. Zudem verlangte er Schadensersatz für den immateriellen Schaden, den er erlitten hatte.

Dieser Schaden entstand ihm zufolge, weil er sich Sorgen machte, dass die vertraulichen Informationen von der dritten Person aus der Branche an frühere oder potenzielle Arbeitgeber weitergegeben werden könnten. Der Bewerber befürchtete zudem einen Wettbewerbsnachteil und fühlte sich durch die Offenlegung seiner gescheiterten Gehaltsverhandlungen gedemütigt. Der Bundesgerichtshof (BGH) verwies den Fall an den EuGH zur Klärung von Fragen zur DSGVO.

Gefühlter Kontrollverlust gilt

Die Luxemburger Richter haben mit ihrem am Donnerstag verkündeten Urteil in der Rechtssache C-655/23 nun entschieden: Negative Gefühle wie Sorge, Ärger oder der Eindruck des Kontrollverlusts über die eigenen Daten können einen immateriellen Schaden darstellen. Eine finanzielle Entschädigung ist möglich, wenn der Kläger nachweisen kann, dass er diese negativen Gefühle tatsächlich empfunden hat.

Bei der Höhe der Entschädigung darf laut dem EuGH nicht berücksichtigt werden, wie schwerwiegend das Verschulden der Bank war. Auch eine leichtfertige Fahrlässigkeit reicht also aus. Zudem darf dem Beschluss zufolge das Schmerzensgeld nicht gekürzt oder ersetzt werden, nur weil der Kläger eine gerichtliche Anordnung erwirkt hat, dass die Bank den Verstoß künftig unterlassen muss.

DSGVO-Schadenersatzklagen dürften zunehmen

Weiter stellte der Gerichtshof fest: Es gibt im EU-Recht keinen speziellen Rechtsanspruch darauf, eine Wiederholung des Datenlecks gerichtlich zu unterbinden, falls der Kläger nicht die Löschung seiner Daten fordert. Dennoch können Mitgliedstaaten wie Deutschland solche Unterlassungsklagen in ihrem nationalen Recht vorsehen. Die ausdrückliche Verneinung eines europäischen datenschutzrechtlichen Unterlassungsanspruchs überrascht den Wirtschaftsprofessor Alexander Golland, da der EuGH einen solchen in mehreren Google-Urteilen 2014 und 2019 noch bejaht habe.

Bislang war nicht ganz klar, ob ein reiner immaterieller Schaden ohne konkrete finanzielle oder körperliche Nachteile für eine Klage ausreicht. Der EuGH hat nun hervorgehoben, dass genau diese Art von Benachteiligung einen Anspruch auf Entschädigung begründen kann. Das Urteil senkt so weiter die Hürde für Betroffene, Schadensersatzansprüche durchzusetzen. Es reicht der Nachweis, dass der Verstoß größere Sorgen oder Ärger ausgelöst hat.

Zuvor urteilte der EuGH etwa schon 2023: Allein der Umstand, dass nach einem Cyberangriff auf Unternehmen oder Behörden eine betroffene Person infolge eines Verstoßes gegen die DSGVO befürchtet, ihre personenbezogenen Daten könnten durch Dritte missbräuchlich verwendet werden, stellt einen immateriellen Schaden dar. Bereits zuvor bestätigte der Gerichtshof, dass die DSGVO keine Erheblichkeitsschwelle für Schadenersatz vorgibt und breite Ansprüche möglich sind. 2024 arbeitete der EuGH heraus: Ein Datenschutzverstoß ist grundsätzlich nicht weniger schwerwiegend als eine Körperverletzung.

(mki)