Bitdefender warnt vor gezielten Phishing-Angriffen auf Personalabteilungen

Eine neue Woche, eine neue Bedrohung: Cyberkriminelle nutzen den Januar-Einstellungstrend für gezielte Angriffe auf HR-Abteilungen. Laut einem aktuellen Bericht von Bitdefender hat sich die Zahl der betrügerischen E-Mails im Recruiting-Bereich seit Jahresbeginn vervielfacht – mit dramatischer Eskalation in den letzten 72 Stunden. Die Angreifer kombinieren frische Datenlecks mit ausgeklügelter Social Engineering, um Unternehmensnetzwerke zu kompromittieren.

Rekrutierungsprozesse im Visier der Hacker

Die Angriffe zeichnen sich durch ihre täuschend echte Kontextualisierung aus. Es sind keine generischen Phishing-Versuche, sondern präzise zugeschnittene Nachrichten. Die Täter verwenden spezifische Details zu Stellenausschreibungen, Kandidatenprofilen und internen Einstellungsprozessen, um Misstrauen zu zerstreuen. Ihr Ziel sind nicht nur Jobsuchende mit gefälschten Angeboten, sondern zunehmend die HR-Mitarbeiter selbst – die Torwächter der Firmennetzwerke, die routinemäßig Anhänge unbekannter Absender öffnen müssen.

Datenleck bei Techjobs.ca befeuert realistische Betrugsmaschen

Ein entscheidender Treiber der aktuellen Angriffswelle ist ein frisches Datenleck. Die Analysten von Brinztech warnten am 28. Januar 2026 vor einem erheblichen Vorfall bei der Jobbörse Techjobs.ca. Das geleckte Datenpaket enthält sensible personenbezogene Informationen wie vollständige Lebensläufe, physische Adressen und E-Mail-Kontakte.

Dieses Leck liefert den Angreifern das Rohmaterial für hochwirksame Business Email Compromise (BEC)-Attacken. Mit den echten Berufsbiografien von Bewerbern und den aktiven Stellenanzeigen von Unternehmen können sie Spear-Phishing-E-Mails erstellen, die kaum noch von legitimer Kommunikation zu unterscheiden sind.

Recruiter sind aktuell bevorzugtes Ziel für ausgeklügelte Spear-Phishing- und BEC-Angriffe – besonders nach Datenlecks wie dem bei Techjobs.ca. Ein kostenloses E-Book erklärt, wie Angreifer Lebensläufe „weaponisieren“, welche Indikatoren verdächtige Bewerberdateien verraten und welche organisatorischen Maßnahmen HR-Teams sofort umsetzen sollten, um Postfächer zu schützen. Ideal für Personalverantwortliche und Security-Teams. Jetzt kostenloses E-Book ‚Cyber Security Awareness Trends‘ herunterladen

Die Brinztech-Analyse identifiziert zwei Hauptangriffsvektoren:
* Der „Fake-Interview“-Trick: Angreifer geben sich als Recruiter von im Leck betroffenen Unternehmen aus, führen fingierte Vorstellungsgespräche und erbeuten so weitere Daten oder fordern Zahlungen für „Homeoffice-Ausrüstung“.
* HR-Identitätsdiebstahl: Noch gefährlicher für Unternehmen ist die Taktik, sich gegenüber Personalabteilungen als Support-Mitarbeiter von Jobportalen auszugeben. Diese E-Mails behaupten oft, eine Stellenanzeige „müsse verifiziert werden“, und leiten die Opfer auf Phishing-Seiten, die Unternehmens-Login-Daten abgreifen.

Die Gefahr der „weaponisierten“ Bewerbungsunterlagen

Neben dem Diebstahl von Zugangsdaten setzen die Angreifer vermehrt auf Malware, die als Bewerbungsunterlagen getarnt ist. Diese Taktik, die oft mit der berüchtigten Bedrohungsgruppe „Golden Chickens“ und ihrer Malware „More_eggs“ in Verbindung gebracht wird, erlebt eine Renaissance.

HR-Manager erhalten dabei E-Mails von angeblichen Kandidaten mit einem Link zu einem „Portfolio“ oder einer „Lebenslauf“-Datei. Statt eines harmlosen PDFs verbirgt sich dahinter oft eine schädliche Windows-LNK-Datei oder ein präpariertes Dokument. Wird es geöffnet, installiert sich eine Backdoor, die den Angreifern Fernzugriff auf das Firmennetzwerk verschafft.

Aktuelle Erkenntnisse von Sophos deuten auf einen taktischen Wechsel hin: Raffinierte Gruppen missbrauchen nun gültige Konten auf Drittplattformen wie Indeed oder JazzHR, um diese präparierten Lebensläufe einzureichen. Da die schädlichen Dateien über ein vertrauenswürdiges Bewerberportal eingehen, umgehen sie viel leichter die E-Mail-Sicherheitsgateways und landen bei ahnungslosen Recruitern.

Warum das Recruiting zum strategischen Ziel wurde

Die Fokussierung auf Einstellungsprozesse ist eine strategische Neuausrichtung der Cyberkriminellen. Personalabteilungen sind einzigartig verwundbar, weil ihre Kernaufgabe die Interaktion mit externen Parteien und das Öffnen unverlangter Dateien erfordert.

Die Geschwindigkeit, mit der geleakte Daten von Plattformen wie Techjobs.ca „weaponisiert“ werden – innerhalb weniger Tage nach dem Leck – zeigt eine hochautomatisierte kriminelle Ökonomie. Der Zeitpunkt ist kalkuliert: Der „Januar-Rush“ bei Neueinstellungen bedeutet, dass HR-Teams überlastet sind. Die Wahrscheinlichkeit sinkt, dass ein Recruiter eine leicht verdächtige URL oder Dateiendung genauer prüft. Der Einsatz von KI-Tools durch Betrüger, um perfekte Anschreiben zu verfassen, senkt die Einstiegshürde weiter und macht es traditionellen Security-Schulungen schwer, Schritt zu halten.

Ausblick: Strengere Regulierung und technische Gegenmaßnahmen

Die Sicherheitsbranche erwartet, dass dieser Trend Jobportale zu einem Umdenken zwingt. Wahrscheinlich werden Plattformen künftig strengere Datei-Sanitisierung einführen, bei der alle hochgeladenen Lebensläufe automatisch in sichere, nicht ausführbare Formate konvertiert werden, bevor sie den Arbeitgeber erreichen.

Auf regulatorischer Ebene unterstreicht der britische Cyber Security and Resilience Bill, der Anfang 2026 die parlamentarischen Stadien durchläuft, das wachsende staatliche Interesse an der Sicherung kritischer digitaler Lieferketten – zu denen auch Rekrutierungsplattformen gehören.

Bis dahin sollten Unternehmen das Recruiting-Postfach als Hochrisiko-Vektor behandeln. Sicherheitsteams raten HR-Mitarbeitern, jegliche „Verifizierungsanfragen“ direkt über offizielle Kanäle mit dem Plattform-Support zu prüfen. Besondere Vorsicht ist bei Lebenslauf-Dateien geboten, die „Inhalte aktivieren“ müssen oder als ausführbare Verknüpfungen erscheinen.

PS: Wenn Sie Recruiting-Postfächer wirksam schützen möchten, enthält dieses Gratis-E-Book praxisnahe Checklisten für Mail-Filter, Dateianalyse und Schulungs-Templates speziell für HR. Erfahren Sie, wie Sie präparierte Lebensläufe erkennen, welche Sofortmaßnahmen Business Email Compromise verhindern und wie Sie interne Prozesse sicherer gestalten. Kostenlosen Cyber-Security-Guide für HR anfordern