Phishing-Welle: Über 75 Top-Marken als Köder missbraucht

Eine raffinierte Angriffswelle macht Jobsuchenden das Leben schwer. Cyberkriminelle geben sich als Recruiter von Disney, Uber oder LVMH aus – und haben es auf hochwertige Unternehmens-Zugänge abgesehen.

Wer derzeit eine Einladung zum Bewerbungsgespräch erhält, sollte genau hinsehen. Sicherheitsforscher von Push Security warnen vor einer besonders perfiden Phishing-Kampagne, die gezielt Fachkräfte ins Visier nimmt. Die Masche: gefälschte Recruiter-Mails im Namen bekannter Konzerne wie Mastercard, Unilever oder Lego. Das Ziel: der Diebstahl von Google-Workspace- und Facebook-Business-Zugängen.

Die Angreifer gehen erschreckend professionell vor. Statt massenhafter Spam-Mails setzen sie auf individuell zugeschnittene Nachrichten. Häufig verwenden die Betrüger sogar echte Namen von Mitarbeitern der vorgetäuschten Unternehmen. Die Stellenbeschreibungen wirken authentisch, die Details stimmig.

Wer auf die Köder-Mail antwortet, erhält prompt einen Link zur Terminvereinbarung – angeblich über Calendly, das weitverbreitete Planungstool für Videokonferenzen. Doch hier beginnt die eigentliche Falle.

Passend zum Thema Recruiter-Phishing: CEO-Fraud und täuschend echte Calendly-Imitationen zielen gezielt auf Unternehmenszugänge und Werbekonten. Ein kostenloses Anti-Phishing-Paket erklärt die psychologischen Tricks hinter solchen Mails, liefert praxiserprobte Checklisten und zeigt, wie Sie Mitarbeiter systematisch schützen – von Erkennung bis Meldeprozess. Besonders relevant für HR-, Marketing- und IT-Teams, die verhindern wollen, dass Angreifer Google-Workspace- oder Facebook-Business-Konten kapern. Jetzt Anti-Phishing-Paket herunterladen

Der Link führt nicht zur echten Calendly-Webseite, sondern auf eine täuschend echt nachgebaute Kopie. Diese “Attacker-in-the-Middle”-Seite (AiTM) ist speziell darauf ausgelegt, Sicherheitsfilter zu umgehen und Zugangsdaten abzugreifen.

Technisch ausgeklügelt: CAPTCHA als Schutzschild

Was diese Kampagne von gewöhnlichen Phishing-Versuchen unterscheidet? Die technische Raffinesse. Auf der gefälschten Seite erscheint zunächst ein CAPTCHA – jene Bildabfrage, die Menschen von Bots unterscheiden soll.

Klingt paradox? Ist aber clevere Taktik. Denn das CAPTCHA blockiert automatisierte Sicherheits-Scanner, die sonst die betrügerische Seite entlarven würden. Nur echte Opfer gelangen zum nächsten Schritt.

Nach dem “Menschlichkeits-Nachweis” erscheint die Login-Aufforderung. “Mit Google fortfahren” oder “Mit Facebook anmelden” – Buttons, die Millionen Nutzer täglich unbedacht anklicken. Wer hier seine Daten eingibt, liefert sie direkt an die Angreifer.

Besonders heimtückisch: Die AiTM-Technik kann selbst einfache Zwei-Faktor-Authentifizierung aushebeln. Das System leitet Sitzungs-Token oder Einmalpasswörter in Echtzeit weiter. Zusätzlich blockieren die Kriminellen gezielt VPN-Verbindungen und Analyse-Tools – nur echte Opfer sollen die Phishing-Seite überhaupt zu Gesicht bekommen.

Werbebudgets als eigentliches Ziel

Die Jobsuchenden sind nur Mittel zum Zweck. Das wahre Interesse der Angreifer gilt den Unternehmens-Werbekonten. Mit gekaperten Google-Workspace- und Facebook-Business-Accounts lassen sich lukrative Geschäfte machen.

Die Möglichkeiten sind vielfältig: Werbebudgets abgreifen, über die Accounts schädliche Werbung (“Malvertising”) schalten oder die Zugänge auf Darknet-Marktplätzen weiterverkaufen. “Der Zugang zu Marketing-Konten verschafft den Tätern eine Plattform für eigene Kampagnen – finanziert mit dem Geld der Opfer”, erklären die Forscher von Push Security.

Mit über 75 nachgeahmten Marken deckt die Kampagne ein breites Spektrum ab. Die Vielfalt erhöht die Erfolgsquote – schließlich bewirbt sich nicht jeder bei Disney, aber fast jeder kennt irgendeine der betroffenen Firmen.

Vertrauen als Waffe

Was macht diese Angriffe so erfolgreich? Die geschickte Ausnutzung von Vertrauensmechanismen. Tools wie Calendly, Zoom oder Microsoft Teams gelten als selbstverständlich im Geschäftsalltag. Wer einen Calendly-Link erhält, hinterfragt ihn kaum noch.

Das “Marken-Prestige” spielt den Betrügern zusätzlich in die Hände. Eine Jobchance bei LVMH oder Uber? Da übersieht man schnell das winzige Detail in der URL. Die emotionale Komponente – Hoffnung auf eine Karrierechance – schaltet das kritische Denken aus.

Die Fokussierung auf Werbekonten zeigt zudem eine strategische Weiterentwicklung. Statt direkter Erpressung oder Ransomware monetarisieren die Täter nun die Infrastruktur legitimer Unternehmen. Ein kompromittierter Ad-Account lässt sich für mehrere tausend Euro verkaufen – er ermöglicht anderen Kriminellen das Umgehen von Werbe-Verifizierungsprozessen.

Was kommt als Nächstes?

Die Branche reagiert bereits. Experten prognostizieren einen beschleunigten Umstieg auf AiTM-resistente Authentifizierung:

FIDO2 und Hardware-Keys dürften 2025 verstärkt Einzug in Unternehmen halten. YubiKeys und Passkeys binden Login-Versuche an spezifische Domains – Phishing-Seiten können diese Bindung nicht vortäuschen.

Plattform-Verifikation steht auf der Agenda. Calendly und ähnliche Dienste könnten “Verified Sender”-Abzeichen einführen, um echte von gefälschten Einladungen zu unterscheiden.

Browser-Schutz wird nachgerüstet. Enterprise-Browser und Sicherheits-Plugins arbeiten an Updates, die diese speziellen Calendly-Imitationen erkennen.

Bis dahin gilt: Misstrauen ist gesund. Jeder Termin-Link sollte auf die echte Domain geprüft werden – im Fall von Calendly muss dort exakt calendly.com stehen. Und kein seriöser Terminplaner verlangt einen Social-Media-Login, nur um freie Zeitfenster anzuzeigen.

Wer eine verdächtige Recruiter-Mail erhält, sollte das vermeintlich interessierte Unternehmen direkt über offizielle Kanäle kontaktieren. Ein kurzer Anruf in der Personalabteilung schafft Klarheit – und kann vor erheblichem Schaden bewahren.

PS: In 4 Schritten zur erfolgreichen Hacker-Abwehr — dieser Gratis-Guide fasst technische Maßnahmen, Mitarbeiterschulungen, Incident-Response und Präventions-Checklisten kompakt zusammen. Ideal für IT-Verantwortliche und Entscheider, die verhindern wollen, dass Angreifer Marketing-Accounts kapern und Budgets missbrauchen. Sichern Sie Ihre Unternehmens-Logins noch heute mit sofort umsetzbaren Schritten. Gratis Anti-Phishing-Guide anfordern