Assessoria de Imprensa_Trust Control

O alerta vale tanto para empresas quanto para usuários: cibercriminosos estão usando nomes de grandes empresas conhecidas – como multinacionais de alimentos, cosméticos e agências de propaganda – para enganar pessoas que procuram emprego e roubar as senhas dos seus e-mails. Especialistas em segurança digital alertam sobre esse golpe, que está acontecendo com mais frequência. “Os criminosos criam processos de seleção falsos para fazer as vítimas darem seus dados pessoais e senhas. Eles usam nomes de empresas famosas para parecerem verdadeiros e conseguir atingir mais pessoas”, resume Alberto Jorge, especialista em cibersegurança e CEO da Trust Control.

O golpe começa com um e-mail que parece ser de um recrutador de uma empresa. As mensagens dizem que há oportunidades de trabalho e convidam a pessoa a continuar o processo de seleção clicando em um link. Quando o usuário obedece o comando, é direcionado para uma página que parece ser um formulário de candidatura real.

“O formulário pede informações normais de qualquer vaga de emprego, como nome, experiência e formação. Isso faz o golpe parecer mais credível. Mas depois de preencher esses dados, o formulário começa a pedir a senha do e-mail da pessoa, dizendo que é necessário para ‘confirmar a inscrição’. Se a pessoa dá a senha, os criminosos controlam totalmente o e-mail dela e podem usar para fazer outros golpes, instalar programas perigosos ou acessar informações sensíveis”, explica Alberto Jorge.

O que fazer

No caso dos responsáveis pelo RH das empresas, as providências a serem tomadas são mapear e reforçar os pontos de contato oficiais usados no recrutamento — canais de e-mail corporativos, páginas de carreiras no site institucional e perfis verificados em plataformas de emprego — e comunicar claramente ao público quais são esses canais. “É importante criar e divulgar um modelo padrão de mensagens de recrutamento, com assinatura com endereço corporativo, telefone institucional e link direto para a vaga no site, e instruir recrutadores a nunca solicitar senhas, números de documentos ou dados sensíveis por formulário ou e‑mail inicial”, recomenda Alberto Jorge.

O CEO da Trust Control ainda indica que as empresas registrem e monitorem domínios semelhantes ao da empresa (o chamado typosquatting) e usem serviços de proteção e notificação de marca para detectar e derrubar páginas fraudulentas rapidamente.

Outro aspecto preventivo é implementar processos internos de verificação para candidaturas suspeitas. “A equipe de RH deve ser treinada para identificar sinais comuns de fraude, como e‑mails genéricos, erros de linguagem, solicitações de login, URLs encurtadas, além de confirmar contatos externos por meio de chamadas telefônicas a números oficiais”, alerta Alberto Jorge. “Por fim, a autenticação multifator deve ser adotada para contas corporativas, rotinas de auditoria de acesso e playbooks de resposta a incidentes que integrem TI, jurídico e RH para agir rápido caso contas corporativas ou de candidatos sejam comprometidas”, reforça.

Para os usuários em geral, há providências simples que podem ajudar a dificultar a vida dos golpistas. “Tenha cuidado com qualquer processo que pedir senha de e-mail, porque uma empresa verdadeira nunca pede isso”, esclarece Alberto Jorge. “Verifique quem enviou o e-mail e o link antes de clicar e, mais importante: confirme se a vaga existe no site oficial da empresa. É uma checagem simples, que pode evitar muitos problemas”, observa o especialista. “Por fim, nunca dê sua senha por e-mail ou formulário: a senha só deve ser dada em sites oficiais da empresa”, conclui Alberto Jorge.

(function(w,q){w[q]=w[q]||[];w[q].push(["_mgc.load"])})(window,"_mgq");
Encontrou algum erro? Entre em contato