Alerta de Segurança: Nova Fraude Visa Candidatos de Emprego

Pesquisadores de segurança digital identificaram uma nova e perigosa campanha de phishing que se aproveita da esperança de candidatos a emprego. O golpe utiliza o nome da renomada marca L’Oréal para criar uma falsa sensação de legitimidade, visando o roubo de credenciais de acesso a contas de e-mail.

A estratégia dos criminosos é dividida em duas fases. Inicialmente, eles coletam dados pessoais dos interessados. Em um segundo momento, solicitam a senha do e-mail, alegando ser um procedimento necessário para validar a candidatura. É importante ressaltar que a L’Oréal não possui qualquer vínculo com essas mensagens ou páginas fraudulentas.

Esta tática não é exclusiva da L’Oréal. Segundo a ESET, empresa de segurança digital que detectou a fraude, outras grandes empresas globais como Coca-Cola, Red Bull e Ogilvy já foram alvos de golpes com estruturas semelhantes, demonstrando a amplitude e a persistência dessas ações maliciosas. Conforme informação divulgada pela ESET, a sofisticação desses ataques tem aumentado consideravelmente.

O Mecanismo Enganoso do Golpe

O primeiro contato com as vítimas geralmente ocorre por e-mail. As mensagens são cuidadosamente elaboradas para parecerem ter sido enviadas por recrutadores ou equipes de RH, apresentando ofertas de vagas supostamente atrativas e incluindo um link para dar continuidade ao processo seletivo.

Um dos primeiros sinais de alerta, mesmo antes de clicar em qualquer link, é a análise do endereço de e-mail do remetente. Embora o nome possa indicar um recrutador da empresa, o domínio do e-mail não corresponde aos canais oficiais da L’Oréal, uma prática comum em golpes de phishing.

Ao acessar o link fraudulento, o candidato é direcionado a uma página que simula plataformas de recrutamento comuns. Com uma aparência profissional, a página solicita o preenchimento de dados pessoais, como nome completo, telefone, histórico profissional e, crucialmente, o endereço de e-mail.

A Armadilha da Senha de E-mail

A solicitação do endereço de e-mail na primeira etapa não é aleatória. O objetivo dos golpistas é personalizar a fase seguinte do ataque. Após o envio das informações iniciais, a página exibe o próprio e-mail informado pelo usuário e, de forma suspeita, pede a senha da conta.

A justificativa apresentada é a necessidade de validar a candidatura, uma tática que explora a confiança do candidato. “Quando a vítima vê seu próprio endereço de e-mail já referenciado na etapa seguinte, ela tende a interpretar a solicitação como parte legítima do processo seletivo”, explica Thales Santos, especialista em segurança da informação da ESET Brasil.

Santos complementa que “esse tipo de personalização é um recurso clássico de engenharia social e aumenta o potencial de comprometimento”, tornando a fraude mais eficaz e difícil de ser detectada por usuários menos atentos.

As Consequências de Cair no Golpe

Caso a vítima forneça sua senha, os criminosos ganham controle total da conta de e-mail. A partir daí, o impacto pode ser devastador. Eles podem redefinir senhas de outros serviços vinculados ao e-mail, como redes sociais, plataformas corporativas e até mesmo contas bancárias e financeiras.

Além disso, informações pessoais e profissionais armazenadas na caixa de entrada podem ser acessadas e utilizadas para outros fins ilícitos. Os golpistas também podem enviar mensagens fraudulentas para os contatos da vítima, ampliando o alcance do golpe e disseminando novas campanhas de phishing.

Thales Santos, da ESET Brasil, destaca a evolução dessas táticas: “Hoje, o phishing não depende mais de mensagens mal escritas ou erros evidentes. Muitos golpes apresentam aparência extremamente profissional e reproduzem com precisão comunicações corporativas legítimas”. Casos semelhantes vêm sendo registrados desde pelo menos 2025.

Como se Proteger Contra Tais Golpes

Empresas sérias e legítimas, como a L’Oréal, jamais solicitam senhas de e-mail como requisito para a participação em processos seletivos. Esse pedido é um sinal claro e imediato de tentativa de fraude.

Para evitar cair nesse tipo de golpe, é fundamental adotar medidas de segurança. Desconfie de qualquer processo seletivo que peça senhas ou credenciais de acesso. Sempre verifique cuidadosamente o domínio do remetente antes de clicar em qualquer link e confirme a existência da vaga diretamente nos canais oficiais da empresa.

A ativação da autenticação multifator nas suas contas pessoais é outra medida essencial de proteção. Nunca preencha credenciais em formulários enviados por e-mail, mesmo que a aparência seja profissional. A vigilância e a desconfiança são suas melhores aliadas na navegação online.