Um novo e sofisticado golpe de phishing está enganando usuários em busca de oportunidades de trabalho. Pesquisadores de segurança da Sublime Security alertam sobre e-mails falsos que prometem vagas no Google, mas cujo objetivo real é roubar credenciais de login de serviços como Microsoft 365 e Google Workspace. A campanha é direcionada e usa táticas inteligentes para burlar sistemas de segurança.
Como funciona o golpe?
O golpe é aplicado em etapas bem planejadas para parecer legítimo:
- O isco: A vítima recebe um e-mail se passando pelo Google Careers, com o assunto perguntando se ela está “disponível para conversar” sobre uma suposta vaga. Os criminosos focam em endereços de e-mail corporativos.
- A armadilha: Ao clicar no botão “Agendar uma conversa”, a vítima é levada a uma sequência de páginas falsas. Primeiro, uma imitação da verificação da Cloudflare para ganhar credibilidade. Depois, uma página de agendamento do Google Careers que coleta dados pessoais.
- O roubo: O estágio final é uma página de login falsa do Google. Qualquer usuário e senha inseridos aqui são capturados pelos golpistas.
- Táticas de evasão: Para enganar filtros de e-mail, os criminosos usam truques como quebrar a palavra “Google Careers” em letras individuais escondidas no código, impedindo a detecção por sistemas automáticos. Eles também usam domínios recém-registrados e serviços legítimos para enviar os e-mails.
Como se proteger?
A melhor defesa contra esse tipo de ataque é a desconfiança e a verificação:
- Desconfie de ofertas inesperadas: Vagas de emprego que chegam sem que você tenha se candidatado, principalmente de grandes empresas, devem ser vistas com ceticismo.
- Verifique o remetente: Examine com atenção o endereço de e-mail do remetente. Nomes como “[email protected]” são claramente falsos.
- Nunca clique em links diretamente: Ao invés de clicar no link do e-mail, acesse o site oficial da empresa (como careers.google.com) diretamente pelo seu navegador para verificar a vaga.
- Ative a autenticação em dois fatores (2FA): Essa camada extra de segurança impede que criminosos acessem sua conta mesmo que roubem sua senha.
- Reporte o golpe: Se identificar um e-mail falso, reporte-o para a equipe de TI da sua empresa ou marque como spam em seu serviço de e-mail.
Em um mundo digital, a cautela ao abrir mensagens e ofertas tornou-se uma habilidade profissional essencial para proteger seus dados e sua empresa.
