A busca por uma nova oportunidade profissional pode ser um momento de expectativa e entusiasmo. No entanto, cibercriminosos têm explorado justamente esse contexto para aplicar golpes cada vez mais sofisticados. Uma reportagem do The Guardian aponta que a Inteligência Artificial (IA) pode estar sendo utilizada para potencializar golpes de falsas vagas de emprego, permitindo a criação de mensagens mais realistas, personalizadas e difíceis de identificar.

Recentemente, identificamos uma campanha fraudulenta que se passa pela L'Oréal, uma das maiores empresas de cosméticos e beleza do mundo, para divulgar falsas oportunidades de emprego e roubar credenciais de acesso de candidatos. No entanto, não há indícios de comprometimento dos sistemas da L'Oréal. Os criminosos apenas utilizam indevidamente a marca e a identidade visual da empresa para conferir legitimidade à campanha.

A estratégia é relativamente simples, mas eficaz. Os criminosos enviam e-mails que aparentam ter sido enviados por empresas conhecidas ou por supostos recrutadores, convidando a vítima a participar de um processo seletivo. A mensagem costuma apresentar uma vaga atraente e inclui um link para que o interessado avance nas próximas etapas da candidatura. Trata-se de uma campanha de phishing voltada ao roubo de credenciais, técnica utilizada por criminosos para obter nomes de usuário e senhas por meio de páginas falsas.

phishinh_1
Figura 1. E-mail de phishing enviado pelos cibercriminosos.

Antes mesmo de clicar no link, a análise da mensagem revela um dos principais indícios da fraude: embora o nome exibido seja de uma suposta recrutadora da L'Oréal, o endereço eletrônico utilizado não possui qualquer relação com os domínios oficiais da empresa.

phishing_2
Figura 2. Remetente falso.

Ao clicar no link, o usuário é direcionado para uma página que imita um formulário legítimo, semelhante aos serviços amplamente utilizados por empresas para recrutamento. A aparência profissional do site contribui para transmitir uma falsa sensação de confiança e legitimidade.

phishing_3
Figura 3. Após clicar no link da mensagem, a vítima é redirecionada para um formulário.

Esse tipo de inconsistência é um dos principais indícios de phishing e deve servir como alerta para os candidatos. Na sequência, o candidato é incentivado a preencher informações pessoais e profissionais, como nome, telefone, experiência profissional e endereço de e-mail. Até esse momento, o processo parece compatível com uma candidatura comum.

O golpe, porém, revela seu verdadeiro objetivo após o envio das informações preenchidas no formulário. A página passa a solicitar as credenciais de acesso da conta de e-mail informada anteriormente, alegando ser uma etapa necessária para validação da candidatura ou continuidade do processo seletivo. Caso a vítima forneça seus dados, os criminosos podem obter acesso à conta, comprometendo informações pessoais, contatos e até outros serviços vinculados ao mesmo endereço eletrônico.

A solicitação prévia do endereço de e-mail não ocorre por acaso. Ao coletar essa informação antecipadamente, os criminosos conseguem personalizar a etapa seguinte do golpe, aumentando a credibilidade da página quando passam a solicitar a senha da conta informada.

phishing_4
Figura 4. Solicitação da senha de acesso a conta do e-mail da vítima.

O que podem fazer com a conta comprometida?

Com acesso à conta de e-mail da vítima, os criminosos podem realizar diversas ações. Entre elas, redefinir senhas de outros serviços vinculados ao e-mail comprometido, acessar informações pessoais e profissionais armazenadas na caixa de entrada, enviar mensagens falsas em nome da vítima para seus contatos e até utilizar a conta para disseminar novas campanhas de phishing. Dependendo dos serviços associados ao e-mail, o comprometimento também pode resultar no acesso indevido a contas bancárias, redes sociais, plataformas corporativas e outros sistemas sensíveis, ampliando significativamente o impacto do ataque.

Como se proteger

Para reduzir o risco de cair nesse tipo de fraude, é importante adotar algumas medidas de segurança:

  • Desconfie de qualquer processo seletivo que solicite sua senha de e-mail.
  • Verifique cuidadosamente o endereço do remetente e o domínio dos links recebidos.
  • Confirme a existência da vaga diretamente nos canais oficiais da empresa.
  • Ative a autenticação em dois fatores (MFA) em suas contas.
  • Nunca compartilhe credenciais de acesso por meio de formulários online ou mensagens recebidas por e-mail.

Atenção aos sinais de fraude

Casos semelhantes foram compartilhados em redes sociais por profissionais de cibersegurança e analisados por pesquisadores, que identificaram o uso de páginas que imitam serviços populares, como o Google Forms, para aumentar a credibilidade da fraude. A campanha analisada segue esse mesmo padrão: atrair vítimas por meio de uma suposta vaga de emprego e, posteriormente, solicitar as credenciais de e-mail sob o pretexto de validar a candidatura.

Embora campanhas de phishing envolvendo falsas oportunidades de emprego não sejam novidade, os criminosos continuam aperfeiçoando suas técnicas para torná-las mais convincentes. Os criminosos podem recorrer a técnicas de scraping, que permitem a coleta automatizada de informações públicas disponíveis em plataformas profissionais, sites corporativos, portfólios, currículos online e redes sociais. Com esses dados, conseguem elaborar mensagens altamente personalizadas, aumentando a credibilidade das abordagens fraudulentas.

Por isso, diante de qualquer processo seletivo que solicite credenciais de acesso ou apresente inconsistências nos endereços de e-mail e links utilizados, a recomendação é interromper imediatamente a interação e verificar a autenticidade da vaga por meio dos canais oficiais da empresa.

No LinkedIn, diversos usuários relatam ter recebido mensagens falsas altamente personalizadas, construídas a partir de informações profissionais das vítimas e de recrutadores reais das empresas utilizadas indevidamente pelos criminosos. Essa estratégia permite conferir aparência de legitimidade às abordagens, tornando o golpe mais convincente e aumentando sua eficácia.

Figura 5. Relatatos de usuários no Linkedin.

Empresas legítimas podem solicitar currículos, informações de contato e dados profissionais durante um recrutamento. No entanto, jamais pedirão a senha da sua conta de e-mail como requisito para participar de um processo seletivo. Não há indícios de comprometimento dos sistemas da L'Oréal nesta campanha; os criminosos apenas utilizam indevidamente o nome da empresa para conferir credibilidade à fraude. Diante de qualquer solicitação desse tipo, interrompa imediatamente a interação e confirme a autenticidade da vaga por meio dos canais oficiais da organização.