Golpe usa falsa vaga da L’Oréal para roubar e-mails de candidatos
Pesquisadores identificaram uma campanha de phishing que usa falsas vagas de emprego atribuídas à L'Oréal para roubar credenciais de acesso a contas de e-mail. O que é phishing e como se proteger? Quais são as iscas de golpes por e-mail que enganam mais gente? O golpe funciona em etapas: primeiro coleta dados pessoais do candidato e, numa segunda fase, solicita a senha do e-mail sob o argumento de que a medida seria necessária para validar a candidatura. A L'Oréal não tem qualquer relação com as mensagens ou páginas fraudulentas identificadas. Segundo a ESET, empresa de segurança digital que identificou o golpe, outras marcas globais como Coca-Cola, RedBull e Ogilvy também já tiveram seus nomes usados em campanhas com estrutura semelhante. - Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis. - Como o golpe funciona O primeiro contato com a vítima ocorre por e-mail. As mensagens aparentam ter sido enviadas por recrutadores ou equipes de recursos humanos e apresentam supostas vagas atrativas, com um link para avançar nas etapas do processo seletivo. Antes mesmo do clique, já é possível identificar a fraude. Embora o nome do remetente mencione uma suposta recrutadora da empresa, o domínio do endereço eletrônico não tem relação com os canais oficiais da L'Oréal. Ao acessar o link, a vítima é direcionada a uma página que imita plataformas comuns em processos seletivos, com aparência profissional e campos para preenchimento de dados. Nessa etapa inicial, os criminosos pedem informações habituais em candidaturas, como nome completo, telefone, histórico profissional e endereço de e-mail. A solicitação do e-mail, segundo a ESET, não acontece por acaso. O objetivo é personalizar a próxima etapa do golpe. Após o envio dos dados, a página passa a exibir o próprio endereço informado pelo usuário e solicita a senha da conta, alegando que isso é necessário para prosseguir com a candidatura. "Quando a vítima vê seu próprio endereço de e-mail já referenciado na etapa seguinte, ela tende a interpretar a solicitação como parte legítima do processo seletivo. Esse tipo de personalização é um recurso clássico de engenharia social e aumenta o potencial de comprometimento", explica Thales Santos, especialista em segurança da informação da ESET Brasil. Exemplo de e-mail usando em golpe da vaga de emprego (Imagem: Divulgação/ESET) O que acontece depois Caso a vítima forneça a senha, os criminosos assumem o controle da conta de e-mail. A partir daí, o impacto pode se ampliar: é possível redefinir senhas de outros serviços vinculados ao endereço, acessar informações pessoais e profissionais armazenadas na caixa de entrada, enviar mensagens fraudulentas para contatos e disseminar novas campanhas de phishing. Dependendo de quais serviços estão conectados ao e-mail comprometido, a extensão do dano pode chegar a redes sociais, plataformas corporativas, aplicativos financeiros e contas bancárias. Santos também ressalta a sofisticação crescente desse tipo de ataque. "Hoje, o phishing não depende mais de mensagens mal escritas ou erros evidentes. Muitos golpes apresentam aparência extremamente profissional e reproduzem com precisão comunicações corporativas legítimas". Casos semelhantes vêm sendo registrados por pesquisadores de segurança e compartilhados em redes sociais desde pelo menos 2025. Em muitas campanhas, os criminosos recorrem a páginas que imitam serviços de formulários online conhecidos para aumentar a credibilidade do golpe. Como se proteger Empresas legítimas jamais solicitam senhas de e-mail como requisito para participação em processos seletivos. Esse pedido, segundo a ESET, é um sinal imediato de tentativa de fraude. Confira abaixo algumas dicas para reduzir o risco de cair nesse tipo de golpe: Desconfie de qualquer processo seletivo que peça senhas ou credenciais de acesso; Verifique o domínio do remetente antes de clicar em qualquer link; Confirme a existência da vaga diretamente nos canais oficiais da empresa; Ative a autenticação multifator nas suas contas pessoais; Nunca preencha credenciais em formulários enviados por e-mail. Leia a matéria no Canaltech.
Pesquisadores identificaram uma campanha de phishing que usa falsas vagas de emprego atribuídas à L'Oréal para roubar credenciais de acesso a contas de e-mail. O que é phishing e como se proteger? Quais são as iscas de golpes por e-mail que enganam mais gente? O golpe funciona em etapas: primeiro coleta dados pessoais do candidato e, numa segunda fase, solicita a senha do e-mail sob o argumento de que a medida seria necessária para validar a candidatura. A L'Oréal não tem qualquer relação com as mensagens ou páginas fraudulentas identificadas. Segundo a ESET, empresa de segurança digital que identificou o golpe, outras marcas globais como Coca-Cola, RedBull e Ogilvy também já tiveram seus nomes usados em campanhas com estrutura semelhante. - Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis. - Como o golpe funciona O primeiro contato com a vítima ocorre por e-mail. As mensagens aparentam ter sido enviadas por recrutadores ou equipes de recursos humanos e apresentam supostas vagas atrativas, com um link para avançar nas etapas do processo seletivo. Antes mesmo do clique, já é possível identificar a fraude. Embora o nome do remetente mencione uma suposta recrutadora da empresa, o domínio do endereço eletrônico não tem relação com os canais oficiais da L'Oréal. Ao acessar o link, a vítima é direcionada a uma página que imita plataformas comuns em processos seletivos, com aparência profissional e campos para preenchimento de dados. Nessa etapa inicial, os criminosos pedem informações habituais em candidaturas, como nome completo, telefone, histórico profissional e endereço de e-mail. A solicitação do e-mail, segundo a ESET, não acontece por acaso. O objetivo é personalizar a próxima etapa do golpe. Após o envio dos dados, a página passa a exibir o próprio endereço informado pelo usuário e solicita a senha da conta, alegando que isso é necessário para prosseguir com a candidatura. "Quando a vítima vê seu próprio endereço de e-mail já referenciado na etapa seguinte, ela tende a interpretar a solicitação como parte legítima do processo seletivo. Esse tipo de personalização é um recurso clássico de engenharia social e aumenta o potencial de comprometimento", explica Thales Santos, especialista em segurança da informação da ESET Brasil. Exemplo de e-mail usando em golpe da vaga de emprego (Imagem: Divulgação/ESET) O que acontece depois Caso a vítima forneça a senha, os criminosos assumem o controle da conta de e-mail. A partir daí, o impacto pode se ampliar: é possível redefinir senhas de outros serviços vinculados ao endereço, acessar informações pessoais e profissionais armazenadas na caixa de entrada, enviar mensagens fraudulentas para contatos e disseminar novas campanhas de phishing. Dependendo de quais serviços estão conectados ao e-mail comprometido, a extensão do dano pode chegar a redes sociais, plataformas corporativas, aplicativos financeiros e contas bancárias. Santos também ressalta a sofisticação crescente desse tipo de ataque. "Hoje, o phishing não depende mais de mensagens mal escritas ou erros evidentes. Muitos golpes apresentam aparência extremamente profissional e reproduzem com precisão comunicações corporativas legítimas". Casos semelhantes vêm sendo registrados por pesquisadores de segurança e compartilhados em redes sociais desde pelo menos 2025. Em muitas campanhas, os criminosos recorrem a páginas que imitam serviços de formulários online conhecidos para aumentar a credibilidade do golpe. Como se proteger Empresas legítimas jamais solicitam senhas de e-mail como requisito para participação em processos seletivos. Esse pedido, segundo a ESET, é um sinal imediato de tentativa de fraude. Confira abaixo algumas dicas para reduzir o risco de cair nesse tipo de golpe: Desconfie de qualquer processo seletivo que peça senhas ou credenciais de acesso; Verifique o domínio do remetente antes de clicar em qualquer link; Confirme a existência da vaga diretamente nos canais oficiais da empresa; Ative a autenticação multifator nas suas contas pessoais; Nunca preencha credenciais em formulários enviados por e-mail. Leia a matéria no Canaltech.
Full article body is being fetched in the background. Refresh in a moment to see the complete paragraphs. For now this page shows a summary and AI analysis.
