A busca por uma nova oportunidade de emprego pode virar um pesadelo digital. Pesquisadores identificaram uma campanha de phishing que se aproveita do desejo dos candidatos para roubar dados sensíveis, usando falsas vagas de emprego atribuídas à L'Oréal.
O golpe opera em fases. Começa pela coleta de dados pessoais e, em um segundo momento, solicita a senha do e-mail dos usuários. A justificativa? Uma suposta necessidade para validar a candidatura, embora a L'Oréal não tenha qualquer envolvimento com as mensagens ou as páginas forjadas.
De acordo com a ESET, empresa de segurança digital responsável pela identificação da fraude, o mesmo modus operandi já afetou outras gigantes globais. Nomes como Coca-Cola, RedBull e Ogilvy também foram usados em campanhas com uma estrutura bastante similar, alertam os especialistas.
Como esses golpes orquestram a fraude?
O primeiro contato com a vítima geralmente ocorre por e-mail. Essas mensagens, que buscam parecer legítimas, simulam ter sido enviadas por recrutadores ou equipes de recursos humanos, apresentando vagas atraentes com um link para avançar nas etapas do processo seletivo.
A fraude, contudo, pode ser identificada antes mesmo do clique. Embora o nome do remetente possa sugerir uma recrutadora da L'Oréal, o domínio do endereço eletrônico não corresponde aos canais oficiais da empresa. Esta é uma bandeira vermelha crucial para qualquer candidato.
Ao clicar no link, a vítima é redirecionada para uma página que imita plataformas comuns de recrutamento, com um visual profissional e campos para preencher informações. Nesta etapa inicial, os criminosos solicitam dados habituais de candidaturas, como nome completo, telefone, histórico profissional e, claro, o endereço de e-mail.
A solicitação do e-mail, segundo a ESET, não é aleatória. O objetivo é personalizar a próxima fase do golpe. Após o envio dos dados, a página exibe o próprio endereço de e-mail fornecido pelo usuário e pede a senha da conta, alegando ser um passo necessário para prosseguir com a candidatura.
"Quando a vítima vê seu próprio endereço de e-mail já referenciado na etapa seguinte, ela tende a interpretar a solicitação como parte legítima do processo seletivo. Esse tipo de personalização é um recurso clássico de engenharia social e aumenta o potencial de comprometimento", explica Thales Santos, especialista em segurança da informação da ESET Brasil.
Exemplo de e-mail usado em golpe da vaga de emprego (Imagem: Divulgação/ESET)
O que acontece após o fornecimento da senha?
Se, infelizmente, a vítima fornecer a senha, os criminosos assumem o controle total da conta de e-mail. A partir daí, o impacto pode ser devastador: é possível redefinir senhas de outros serviços vinculados ao e-mail, acessar informações pessoais e profissionais guardadas na caixa de entrada, enviar mensagens fraudulentas para contatos e, até mesmo, disseminar novas campanhas de phishing usando a conta comprometida.
A extensão do dano pode ir muito além do e-mail, atingindo redes sociais, plataformas corporativas, aplicativos financeiros e contas bancárias, dependendo dos serviços conectados ao endereço comprometido.
Santos também destaca a crescente sofisticação desses ataques. "Hoje, o phishing não depende mais de mensagens mal escritas ou erros evidentes. Muitos golpes apresentam aparência extremamente profissional e reproduzem com precisão comunicações corporativas legítimas", afirma.
Casos semelhantes têm sido registrados por pesquisadores de segurança e compartilhados em redes sociais desde pelo menos 2025. Em muitas campanhas, os criminosos usam páginas que imitam serviços de formulários online conhecidos para aumentar a credibilidade do golpe.
Como se proteger desses ataques?
É fundamental entender que empresas legítimas jamais solicitam senhas de e-mail como requisito para participação em processos seletivos. Esse pedido, segundo a ESET, é um sinal imediato de tentativa de fraude.
Para reduzir o risco de cair nesse tipo de golpe, siga estas dicas:
Desconfie de qualquer processo seletivo que peça senhas ou credenciais de acesso.
Verifique o domínio do remetente cuidadosamente antes de clicar em qualquer link.
Confirme a existência da vaga diretamente nos canais oficiais da empresa, como o site corporativo de carreiras.
Ative a autenticação multifator sempre que possível em suas contas.