Pesquisadores da ESET identificaram uma campanha de phishing que utiliza falsas vagas de emprego atribuídas à L’Oréal com o objetivo de roubar credenciais de acesso a contas de e-mail. O golpe é estruturado em etapas, começando pela coleta de dados pessoais do candidato, seguida pela solicitação da senha do e-mail, sob o pretexto de que isso seria necessário para validar a candidatura.
A L’Oréal afirmou não ter qualquer relação com as mensagens ou páginas fraudulentas identificadas. Além disso, marcas conhecidas como Coca-Cola e RedBull também tiveram seus nomes usados em campanhas similares, conforme relatado pela ESET.
Como o golpe funciona
O primeiro contato com a vítima ocorre por e-mail, onde as mensagens aparentam ser enviadas por recrutadores ou equipes de recursos humanos, apresentando vagas atrativas e um link para avançar no processo seletivo. É possível identificar a fraude mesmo antes do clique, já que o domínio do remetente não está relacionado aos canais oficiais da L’Oréal.
Ao acessar o link, a vítima é direcionada a uma página que imita plataformas de recrutamento, onde são solicitadas informações pessoais como nome completo, telefone e endereço de e-mail. Após o envio desses dados, a página exibe o próprio endereço informado e pede a senha da conta, alegando que isso é necessário para prosseguir com a candidatura. Thales Santos, especialista em segurança da informação da ESET, explica que essa personalização aumenta o potencial de comprometimento, pois a vítima tende a acreditar que a solicitação é legítima.
Consequências do golpe
Se a vítima fornecer a senha, os criminosos podem assumir o controle da conta de e-mail, o que pode levar a um impacto ainda maior. Isso permite redefinir senhas de outros serviços vinculados ao e-mail, acessar informações pessoais e profissionais, e até mesmo enviar mensagens fraudulentas para contatos, disseminando novas campanhas de phishing. Santos também ressalta que a sofisticação desses ataques tem crescido, tornando-os mais difíceis de identificar.
Casos semelhantes têm sido registrados desde 2025 e frequentemente utilizam páginas que imitam serviços de formulários online conhecidos para aumentar a credibilidade do golpe.
Como se proteger
É importante ressaltar que empresas legítimas nunca solicitam senhas de e-mail como requisito para participação em processos seletivos. A ESET recomenda desconfiança em relação a qualquer processo que peça senhas, além de verificar o domínio do remetente antes de clicar em links e confirmar a existência da vaga diretamente nos canais oficiais da empresa. Também é aconselhável ativar a autenticação multifator nas contas pessoais e nunca preencher credenciais em formulários enviados por e-mail.
Opinião
É fundamental que os usuários estejam sempre alertas e informados sobre as práticas de segurança digital para evitar cair em armadilhas como essa.
