Uma nova tática sofisticada de phishing está em uso para roubar credenciais de acesso corporativo. Descoberto pela Sublime Security, o golpe utiliza uma falsa oferta de emprego do Google como isca para comprometer contas tanto do Google Workspace quanto do Microsoft 365.
A campanha cibercriminosa se aproveita da credibilidade da marca Google, e, por permanecer ativa após a denúncia, exige atenção redobrada dos usuários.
Detalhes do Golpe do Falso Emprego no Google
O esquema é um clássico ataque de phishing direcionado a e-mails corporativos, começando com uma mensagem de um remetente que se identifica como executivo de captação de talentos. O corpo do e-mail utiliza uma identidade visual que remete ao Google Careers.
- A Isca: A mensagem afirma que a Google está contratando para a área de marketing e que a experiência em liderança digital da vítima “chamou a atenção” da empresa.
- O Engajamento: Ao final do e-mail, há um botão convidando a vítima a agendar uma videochamada para discutir os detalhes da vaga.
- O Redirecionamento: O link do botão direciona o usuário para um subdomínio com uma URL que não tem relação com o Google. O processo é disfarçado por um falso sistema de CAPTCHA, frequentemente simulando serviços como o da Cloudfare.
- A Captura de Dados: Em seguida, a vítima é levada a um site que simula uma página de agendamento, solicitando dados pessoais como nome completo, telefone e e-mail corporativo.
- O Roubo de Credenciais: Na tela seguinte, ocorre o phishing propriamente dito: a vítima é redirecionada para uma página que simula a tela de login da conta Google, onde é induzida a inserir nome de usuário e senha em campos falsos. O golpe tem como alvo contas corporativas, aceitando apenas endereços profissionais nesta etapa.
Embora o golpe tenha sido inicialmente detectado em mensagens em inglês, ele é facilmente adaptável a outros idiomas.
Alerta e Sofisticação
A fraude é considerada sofisticada. Os criminosos conseguiram burlar filtros anti-phishing de forma criativa: eles separaram as palavras “Google Careers” no código HTML com uma formatação individual para cada letra, impedindo que os sistemas de segurança lessem o termo completo e identificassem a fraude.
Apesar disso, o golpe apresenta falhas visíveis para um olhar atento, como a URL falsa das páginas e o endereço do remetente. Além disso, a Sublime Security lembra que grandes empresas raramente usam e-mail para contatos iniciais de recrutamento, preferindo plataformas profissionais como o LinkedIn.