VS: oplichters gebruiken nepvacatures om identiteitsfraude te plegen

Jippie

Van Facebook tot LinkedIn en Indeed overal duiken advertenties op die goedbetaalde banen in de VS beloven, maar de sollicitanten moeten wel van tevoren hun burgerservicenummers en andere persoonlijke gegevens verstrekken. Oplichters gebruiken de verkregen informatie vervolgens om werkloosheidsuitkeringen aan te vragen.

'Luchthavenshuttlechauffeur gezocht' een vacature waarbij men 35 uur per week passagiers ophaalt tegen een aantrekkelijk weekloon dat uitkomt op meer dan 100.000 dollar per jaar.

Maar luchthavens bieden geen zes-cijferige salarissen voor shuttle-chauffeurs na een periode van weinig omzet door de coronapandemie. De vacatures zijn de nieuwste poging van cybercriminelen om de identiteitsgegevens van mensen te stelen en ze te gebruiken om fraude te plegen, volgens de FBI, de Federal Trade Commission en cyberbeveiligingsbedrijven die dergelijke bedreigingen in de gaten houden. De Amerikaanse geheime dienst, die financiële misdrijven onderzoekt, heeft bevestigd dat er een "duidelijke toename" is van nepvacatures om de persoonlijke gegevens van mensen te stelen, vaak met het doel om valse werkloosheidsverzekeringsclaims in te dienen.

"Deze fraudeurs gedragen zich als een virus. Ze blijven muteren," zei Haywood Talcove, chief executive van de overheidsdivisie van LexisNexis Risk Solutions, een van de verschillende contractanten die staats- en federale agentschappen helpen identiteitsdiefstal te bestrijden. 

Deze specifieke fraudevorm is een snelgroeiende bedreiging, aldus Talcove en anderen. In maart ontdekte LexisNexis ongeveer 2.900 advertenties waarin ongebruikelijk hoge salarissen werden genoemd, waarin verdachte e-maildomeinen werden gebruikt en waarin werd geëist dat men vooraf zijn identiteit verifieerde. In juli was dat aantal opgelopen tot 18.400 en deze maand tot 36.350. Talcove zei dat deze cijfers gebaseerd zijn op een kleine steekproef van vacatures en dat het echte aantal waarschijnlijk veel hoger ligt.

Deze vorm van zwendel is in opmars op een moment dat sollicitatiefraude in overvloed voorkomt. Miljoenen Amerikanen stoppen met werken en gaan op zoek naar een nieuwe baan. Een historisch hoog percentage werknemers - 2,9% - nam in augustus ontslag, volgens het Amerikaanse ministerie van Arbeid. Daarnaast zijn grote aantallen door de coronapandemie ontslagen werknemers nog steeds op zoek naar werk, waardoor de arbeidsmarkt in een ongekende stroomversnelling is gekomen.

De advertenties weerspiegelen een tactische aanpassing door cybercriminelen. Een massale golf van werkloosheidsverzekeringsfraude tijdens de pandemie heeft de autoriteiten ertoe aangezet de eisen inzake identiteitscontrole te verscherpen. In de meeste Amerikaanse staten kunnen cybercriminelen niet langer gewoon gestolen identiteitsgegevens invoeren op overheidswebsites en zo vaak werkloosheidsuitkeringen innen. Nu moeten aanvragers van wie de naam wordt gebruikt om werkloosheidsuitkeringen aan te vragen, vaak op hun telefoon verifiëren dat zij degenen zijn die hulp zoeken, een proces dat vergelijkbaar is met twee-traps authenticatie.

Dat betekent dat oplichters de hulp van hun slachtoffers nodig hebben en ze gaan hier soms heel ver in. Sommige oplichters maken complete websites van bedrijven na. Eén nepsollicitatiewebsite gebruikt de foto's, tekst, lettertype en kleurcode van Spirit Airlines. De nepwebsite vraagt sollicitanten om aan het begin van de procedure een kopie van beide zijden van hun rijbewijs te uploaden en stuurt hen een e-mail voor meer informatie vanaf een webadres dat lijkt op dat van Spirit, met een extra "i" (spiiritairline.com). Spirit Airlines heeft niet gereageerd op verzoeken om commentaar.

Andere zwendelpraktijken zijn minder uitgebreid en vertonen meer zichtbare tekenen van onauthenticiteit. Een nepadvertentie voor pendeldienstchauffeurs op Facebook werd geplaatst door een vrouw die beweerde te werken op Denver International Airport. Oplettende lezers konden opmerken dat de enige locatie die aan het Facebook-profiel van de vrouw was gekoppeld, een Nigeriaanse stad genaamd Owerri was. (Een woordvoerder van de luchthaven van Denver meldde het profiel aan Facebook na een onderzoek door ProPublica, en de advertentie is niet langer actief).

In andere gevallen belanden ongevraagde vacatures gewoon in de inbox van sollicitanten nadat ze hun cv hebben geüpload bij echte vacaturesites, waar oplichters zich kunnen voordoen als potentiële werkgevers. Jeri-Sue Barron heeft sinds het begin van de pandemie een hele reeks e-mails ontvangen waarin haar werd meegedeeld dat ze uitgekozen om te solliciteren voor een hele reeks banen waar ze niet eens naar had gesolliciteerd. Barron, een gepensioneerde in de voorstad van Dallas, had haar cv geüpload naar verschillende vacaturesites in de hoop wat part-time werk te vinden om haar pensioen aan te vullen. Vervolgens kreeg ze meerdere werkaanbiedingen zonder een verzoek om een gesprek. Eén e-mail kwam van een school in de Indiase deelstaat Kerala; een andere kwam van een Kroatische website waar ze nog nooit van had gehoord. Ze negeerde de aanbiedingen.

In het algemeen wordt de fraude in de hand gewerkt door een clandestien netwerk, waaronder onlineforums waar cybercriminelen advies uitwisselen over hoe ze hun fraudetechnieken kunnen perfectioneren. Iemand met de naam "cleverinformation" op een Brits forum met de naam Carder stelde een instructievideo samen waarin wordt geadviseerd om valse vacatures te plaatsen met behulp van een generieke sollicitatieapplicatie die kan worden aangepast om persoonlijke gegevens te verzamelen. In september gaf iemand met de naam "mrdudemanguy" op een ander forum, bekend onder de naam Dread, het volgende advies aan een persoon die op zoek was naar gestolen identiteiten: "Doe je voor als een lokaal bedrijf en plaats een aantal vacatures. Als ze hun cv opsturen, bel ze dan op en stel een paar basis sollicitatievragen. Laat ze denken dat ze de baan hebben, zolang ze maar een antecedentenonderzoek kunnen doen. Voor het antecedentenonderzoek vraag je of ze je foto's of scans van identiteitsbewijzen sturen."

In antwoord op een vraag van ProPublica, negeerde "mrdudemanguy" de vragen over het delen van nepadvertenties en richtte zich in plaats daarvan op het uitleggen van de bron van zijn aanbevolen techniek en het succes ervan. "Ik heb deze methode zelf niet uitgeprobeerd," schreef hij. "Het is gewoon een methode waarvan ik weet dat andere mensen het doen en het werkt wel. Het kan in elk deel van de wereld worden gedaan, het land doet er niet toe. Zolang de personeelsadvertentie er legitiem uitziet, zal iemand die een baan zoekt waarschijnlijk solliciteren." 

De vaak geplaatste nepvacature voor pendeldienstchauffeurs op luchthavens werd op een soortgelijk forum besproken. Een versie ervan werd gepost in een Telegram-kanaal van een Nigeriaanse oplichtersgroep genaamd Yahoo Boys Community, samen met instructies over hoe sollicitanten zover te krijgen dat ze hun sofinummer, foto's van hun rijbewijs en andere persoonlijke gegevens zouden delen. In de post werden de 5.000 leden van de groep aangespoord om sollicitanten via e-mail algemene vragen te stellen en hen de baan aan te bieden - maar alleen als ze eerst hun persoonlijke documenten deelden om de droomboon te bemachtigen.

Vacaturezwendel bestaat al jaren in verschillende vormen. Sommige lokken sollicitanten om apparatuur of software van de oplichters te kopen ter voorbereiding op een niet-bestaande baan. Anderen proberen slachtoffers te verleiden om gratis te werken of goederen die met gestolen creditcards zijn gekocht opnieuw te verzenden. Maar volgens wetshandhavingsinstanties is het gebruik van valse vacatures om identiteiten te stelen en deze te gebruiken om overheidsuitkeringen te innen een nieuw element.

Alexandra Mateus Vásquez trapte in zo'n zwendel in december 2020. Vásquez, een aspirant-kunstenares, overwoog haar verkoopbaan in een winkelcentrum in de buurt van New York City op te zeggen. Ze solliciteerde naar een baan als grafisch ontwerper bij de restaurantketen Steak 'n Shake via de veelgebruikte vacaturewebsite Indeed. Ze was opgetogen toen wat een Steak 'n Shake-vertegenwoordiger leek haar via Gmail uitnodigde om deel te nemen aan een e-mailscreeningtest voor de baan.

Een sollicitatiegesprek via e-mail leek Vásquez aanvankelijk vreemd, maar ze ging door omdat de vragen standaard leken. Ze bevatten vragen zoals "Hoe haal je moeilijke deadlines?". Enkele uren later ontving ze een e-mail waarin haar de baan werd aangeboden en waarin om haar adres en telefoonnummer werd gevraagd zodat een formele aanbiedingsbrief kon worden verzonden. Het aangeboden loon was aantrekkelijk: 30 dollar per uur. Toen de brief aankwam, werd ook haar sofi-nummer gevraagd. Vásquez verstrekte alle gevraagde informatie.

Al snel werd Vásquez uitgenodigd voor een antecedentenonderzoek, via online chat, met een veronderstelde aanwervende manager. Ze wisselde berichten uit met een account waarop een wazige foto van een oude man en de naam "Iran Coleman" stonden. (Verschillende andere sollicitanten beschreven soortgelijke ervaringen in een discussie over de Steak 'n Shake baan op de wervingssite Glassdoor).

De persoon die beweerde de Steak 'n Shake's personeelsfunctionaris te zijn, vroeg kopieën van Vásquez' persoonlijke gegevens om haar identiteit te verifiëren. Ze deelde foto's van haar identiteitskaart van de staat New York en haar groene kaart, maar werd achterdochtig toen de persoon ook om haar creditcardnummer vroeg. Terwijl Vásquez aarzelde, werd ze gebeld door ID.me, een organisatie die identiteitscontroles uitvoert voor 27 staten. Het bedrijf vroeg of ze een aanvraag indiende voor WW in Californië. Toen realiseerde ze zich dat ze was opgelicht. "Ik was zo teleurgesteld," zei Vásquez. "Ik geloofde echt dat de vacature echt was."

Steak 'n Shake heeft niet gereageerd op vragen. (ProPublica was in staat om Iran Coleman te bereiken, de vermeende Steak 'n Shake manager die in de zwendel werd genoemd. Hij zei dat de Louisville Steak 'n Shake die hij vroeger beheerde, gesloten is en dat hij er sinds ten minste 2014 niet meer heeft gewerkt. Hij zei dat hij zijn vluchtige LinkedIn-profiel, dat hem vermeldt als een Steak 'n Shake restaurant manager, in jaren niet had bijgewerkt. Coleman zei dat hij nu drie Waffle House-restaurants beheert).

Vásquez deed aangifte bij de politie en nam contact op met de Social Security Administration, die haar liet weten dat het meerdere verzoeken om een account op haar naam aan te maken had afgewezen. 

Indeed verwijdert maandelijks tientallen miljoenen vacatures die niet aan de kwaliteitsrichtlijnen voldoen, aldus een woordvoerder van het bedrijf, en het bedrijf weigert vacatures van werkgevers op te nemen als deze niet aan deze richtlijnen voldoen. In juli publiceerde de site een blogbericht over hoe je oplichtersvacatures kunt herkennen. "Bij Indeed staan werkzoekenden centraal in alles wat we doen", aldus de woordvoerder.

LinkedIn verwijderde 10 valse luchthaven shuttle vacatures nadat ProPublica erop had gewezen. Een woordvoerder zei dat het plaatsen van nep vacatures een "duidelijke schending" is van LinkedIn's terms of service en zei dat het bedrijf investeert in nieuwe manieren om ze te spotten, zoals het inhuren van meer menselijke beoordelaars en het uitbreiden van een werk-e-mail verificatie systeem voor potentiële werkgevers.

Facebook heeft een aantal van de posts van de luchthavenshuttle verwijderd nadat ProPublica ze er op attent heeft gemaakt, maar het bedrijf heeft niet gereageerd op vragen over zijn processen voor het traceren en verwijderen van nepadvertenties.

In de afgelopen maanden is het social media platform ook geteisterd door frauduleuze pagina's die zich voordeden als werkloosheidsinstanties van de staat. Er blijven steeds nieuwe opduiken: Een nepversie van de Facebook-pagina van het ministerie van Werkgelegenheid van Californië was vanaf 12 oktober live. Het agentschap bevestigde dat de pagina niet van haar was, en kort na het onderzoek van ProPublica werd de pagina verwijderd van Facebook.

Zelfs als het online platforms lukt de nepvacatures tijdig op te schonen zullen andere vormen van identiteitsdiefstal toenemen. Op 15 oktober waarschuwde de FBI voor nepwebsites die door cybercriminelen zijn gemaakt om te lijken op de werkloosheidswebsites van de staat Illinois, Maryland, Nevada, New Mexico en Wisconsin. Criminelen gebruiken de sites om gevoelige persoonlijke informatie van slachtoffers te stelen, aldus de FBI.