Golpe usa falsa vaga da L’Oréal para roubar e-mails de candidatos
Reprodução/Sigmund/Unsplash

Golpe usa falsa vaga da L’Oréal para roubar e-mails de candidatos

Golpe usa falsa vaga da L’Oréal para roubar e-mails de candidatos – Canaltech

Pesquisadores identificaram uma campanha de phishing que usa falsas vagas de emprego atribuídas à L’Oréal para roubar credenciais de acesso a contas de e-mail.

O golpe funciona em etapas: primeiro coleta dados pessoais do candidato e, numa segunda fase, solicita a senha do e-mail sob o argumento de que a medida seria necessária para validar a candidatura. A L’Oréal não tem qualquer relação com as mensagens ou páginas fraudulentas identificadas.

Segundo a ESET, empresa de segurança digital que identificou o golpe, outras marcas globais como Coca-Cola, RedBull e Ogilvy também já tiveram seus nomes usados em campanhas com estrutura semelhante.


Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.

Como o golpe funciona

O primeiro contato com a vítima ocorre por e-mail. As mensagens aparentam ter sido enviadas por recrutadores ou equipes de recursos humanos e apresentam supostas vagas atrativas, com um link para avançar nas etapas do processo seletivo.

Antes mesmo do clique, já é possível identificar a fraude. Embora o nome do remetente mencione uma suposta recrutadora da empresa, o domínio do endereço eletrônico não tem relação com os canais oficiais da L’Oréal.

Ao acessar o link, a vítima é direcionada a uma página que imita plataformas comuns em processos seletivos, com aparência profissional e campos para preenchimento de dados. Nessa etapa inicial, os criminosos pedem informações habituais em candidaturas, como nome completo, telefone, histórico profissional e endereço de e-mail.

A solicitação do e-mail, segundo a ESET, não acontece por acaso. O objetivo é personalizar a próxima etapa do golpe. Após o envio dos dados, a página passa a exibir o próprio endereço informado pelo usuário e solicita a senha da conta, alegando que isso é necessário para prosseguir com a candidatura.

“Quando a vítima vê seu próprio endereço de e-mail já referenciado na etapa seguinte, ela tende a interpretar a solicitação como parte legítima do processo seletivo. Esse tipo de personalização é um recurso clássico de engenharia social e aumenta o potencial de comprometimento”, explica Thales Santos, especialista em segurança da informação da ESET Brasil.

email fake
Exemplo de e-mail usando em golpe da vaga de emprego (Imagem: Divulgação/ESET)

O que acontece depois

Caso a vítima forneça a senha, os criminosos assumem o controle da conta de e-mail. A partir daí, o impacto pode se ampliar: é possível redefinir senhas de outros serviços vinculados ao endereço, acessar informações pessoais e profissionais armazenadas na caixa de entrada, enviar mensagens fraudulentas para contatos e disseminar novas campanhas de phishing.

Dependendo de quais serviços estão conectados ao e-mail comprometido, a extensão do dano pode chegar a redes sociais, plataformas corporativas, aplicativos financeiros e contas bancárias.

Santos também ressalta a sofisticação crescente desse tipo de ataque. “Hoje, o phishing não depende mais de mensagens mal escritas ou erros evidentes. Muitos golpes apresentam aparência extremamente profissional e reproduzem com precisão comunicações corporativas legítimas”.

Casos semelhantes vêm sendo registrados por pesquisadores de segurança e compartilhados em redes sociais desde pelo menos 2025. Em muitas campanhas, os criminosos recorrem a páginas que imitam serviços de formulários online conhecidos para aumentar a credibilidade do golpe.

Como se proteger

Empresas legítimas jamais solicitam senhas de e-mail como requisito para participação em processos seletivos. Esse pedido, segundo a ESET, é um sinal imediato de tentativa de fraude.

Confira abaixo algumas dicas para reduzir o risco de cair nesse tipo de golpe:

  • Desconfie de qualquer processo seletivo que peça senhas ou credenciais de acesso;
  • Verifique o domínio do remetente antes de clicar em qualquer link;
  • Confirme a existência da vaga diretamente nos canais oficiais da empresa;
  • Ative a autenticação multifator nas suas contas pessoais;
  • Nunca preencha credenciais em formulários enviados por e-mail.

Leia a matéria no Canaltech.

Source link

ÉTopSaber Notícias
ÉTopSaber Notícias

🤖🌟 Sou o seu bot de notícias! Sempre atualizado e pronto para trazer as últimas novidades do mundo direto para você. Fique por dentro dos principais acontecimentos com posts automáticos e relevantes! 📰✨

Artigos: 72001

Posts relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Em alta agora

A transferência de 22 milhões de ARB da Arbitrum desperta preocupação – Por que os traders observam ESTE suporte
Mapeando o caminho do BNB para US$ 780 – O aumento da alavancagem pode sustentar a alta?
Notícias sobre preços de BTC e ETH: Bitcoin, éter e solana caem à medida que o comércio de IA continua a subir
Coinbase lança depósitos e negociações diretas em INR na Índia