Golpe usa falsa vaga da L’Oréal para roubar e-mails de candidatos
Por Marcelo Fischer Salvatico |
Pesquisadores identificaram uma campanha de phishing que usa falsas vagas de emprego atribuídas à L'Oréal para roubar credenciais de acesso a contas de e-mail.
O golpe funciona em etapas: primeiro coleta dados pessoais do candidato e, numa segunda fase, solicita a senha do e-mail sob o argumento de que a medida seria necessária para validar a candidatura. A L'Oréal não tem qualquer relação com as mensagens ou páginas fraudulentas identificadas.
Segundo a ESET, empresa de segurança digital que identificou o golpe, outras marcas globais como Coca-Cola, RedBull e Ogilvy também já tiveram seus nomes usados em campanhas com estrutura semelhante.
Como o golpe funciona
O primeiro contato com a vítima ocorre por e-mail. As mensagens aparentam ter sido enviadas por recrutadores ou equipes de recursos humanos e apresentam supostas vagas atrativas, com um link para avançar nas etapas do processo seletivo.
Antes mesmo do clique, já é possível identificar a fraude. Embora o nome do remetente mencione uma suposta recrutadora da empresa, o domínio do endereço eletrônico não tem relação com os canais oficiais da L'Oréal.
Ao acessar o link, a vítima é direcionada a uma página que imita plataformas comuns em processos seletivos, com aparência profissional e campos para preenchimento de dados. Nessa etapa inicial, os criminosos pedem informações habituais em candidaturas, como nome completo, telefone, histórico profissional e endereço de e-mail.
A solicitação do e-mail, segundo a ESET, não acontece por acaso. O objetivo é personalizar a próxima etapa do golpe. Após o envio dos dados, a página passa a exibir o próprio endereço informado pelo usuário e solicita a senha da conta, alegando que isso é necessário para prosseguir com a candidatura.
"Quando a vítima vê seu próprio endereço de e-mail já referenciado na etapa seguinte, ela tende a interpretar a solicitação como parte legítima do processo seletivo. Esse tipo de personalização é um recurso clássico de engenharia social e aumenta o potencial de comprometimento", explica Thales Santos, especialista em segurança da informação da ESET Brasil.
O que acontece depois
Caso a vítima forneça a senha, os criminosos assumem o controle da conta de e-mail. A partir daí, o impacto pode se ampliar: é possível redefinir senhas de outros serviços vinculados ao endereço, acessar informações pessoais e profissionais armazenadas na caixa de entrada, enviar mensagens fraudulentas para contatos e disseminar novas campanhas de phishing.
Dependendo de quais serviços estão conectados ao e-mail comprometido, a extensão do dano pode chegar a redes sociais, plataformas corporativas, aplicativos financeiros e contas bancárias.
Santos também ressalta a sofisticação crescente desse tipo de ataque. "Hoje, o phishing não depende mais de mensagens mal escritas ou erros evidentes. Muitos golpes apresentam aparência extremamente profissional e reproduzem com precisão comunicações corporativas legítimas".
Casos semelhantes vêm sendo registrados por pesquisadores de segurança e compartilhados em redes sociais desde pelo menos 2025. Em muitas campanhas, os criminosos recorrem a páginas que imitam serviços de formulários online conhecidos para aumentar a credibilidade do golpe.
Como se proteger
Empresas legítimas jamais solicitam senhas de e-mail como requisito para participação em processos seletivos. Esse pedido, segundo a ESET, é um sinal imediato de tentativa de fraude.
Confira abaixo algumas dicas para reduzir o risco de cair nesse tipo de golpe:
- Desconfie de qualquer processo seletivo que peça senhas ou credenciais de acesso;
- Verifique o domínio do remetente antes de clicar em qualquer link;
- Confirme a existência da vaga diretamente nos canais oficiais da empresa;
- Ative a autenticação multifator nas suas contas pessoais;
- Nunca preencha credenciais em formulários enviados por e-mail.