Golpe usa falsa vaga da L’Oréal para roubar credenciais de e-mail e alerta especialistas sobre riscos do phishing
Pesquisadores da ESET, empresa líder em detecção proativa de ameaças, identificaram uma campanha de phishing que utiliza falsas vagas de emprego atribuídas à L’Oréal. O objetivo é roubar credenciais de acesso a contas de e-mail. O golpe explora o interesse de profissionais em busca de recolocação no mercado de trabalho. Para isso, utiliza páginas fraudulentas que simulam formulários legítimos de recrutamento e induzem vítimas a fornecer dados pessoais e senhas de acesso.
Embora utilize indevidamente o nome e a identidade visual da multinacional de beleza para conferir legitimidade à fraude, a L’Oréal não possui qualquer relação com a campanha identificada. Segundo análise da ESET, os criminosos vêm utilizando nomes de empresas reconhecidas globalmente. A estratégia torna os golpes mais convincentes e atrativos. Em casos anteriores, outras marcas de grande alcance, incluindo a Meta, também foram exploradas pelos golpistas.
A fraude começa por meio do envio de e-mails que aparentam ter sido enviados por recrutadores ou equipes de recursos humanos. As mensagens apresentam supostas oportunidades profissionais atrativas. Em seguida, convidam o usuário a avançar nas etapas do processo seletivo por meio de um link incorporado no corpo do e-mail.
“Os cibercriminosos entendem que momentos de vulnerabilidade emocional, como a busca por emprego, tendem a reduzir o nível de desconfiança das vítimas. Ao utilizar marcas reconhecidas e processos que simulam recrutamentos legítimos, eles conseguem aumentar significativamente a taxa de sucesso das campanhas de phishing”, afirma Thales Santos, especialista em segurança da informação da ESET Brasil.
Antes mesmo do clique no link, já é possível identificar sinais da fraude. Embora o nome exibido no remetente faça referência a uma suposta recrutadora da empresa, o domínio utilizado no endereço eletrônico não possui relação com os canais oficiais da companhia.
Especialista explica como a fraude engana candidatos
Ao acessar o link, a vítima é direcionada para uma página fraudulenta. O site imita plataformas populares utilizadas em processos seletivos. O site apresenta aparência profissional e campos para preenchimento de dados. Além disso, utiliza elementos visuais capazes de transmitir uma falsa sensação de legitimidade.
Inicialmente, os criminosos solicitam informações comuns em candidaturas profissionais, como nome completo, telefone, histórico profissional e endereço de e-mail. Essa etapa contribui para tornar o golpe mais convincente e reduzir suspeitas.
No entanto, após o envio das informações, a fraude revela seu verdadeiro objetivo: a página passa a solicitar a senha de acesso da conta de e-mail previamente informada, alegando que a medida seria necessária para validar a candidatura ou permitir a continuidade do processo seletivo.
Segundo os pesquisadores da ESET, a solicitação prévia do endereço de e-mail não acontece por acaso. O objetivo é personalizar a próxima etapa da fraude e aumentar a credibilidade do pedido de senha.
“Quando a vítima vê seu próprio endereço de e-mail já preenchido ou referenciado na etapa seguinte, ela tende a interpretar a solicitação como parte legítima do processo seletivo. Esse tipo de personalização é um recurso clássico de engenharia social e aumenta o potencial de comprometimento”, explica o especialista.
Conta comprometida pode abrir portas para novos ataques
Caso a vítima forneça suas credenciais, os criminosos podem assumir o controle da conta de e-mail comprometida e utilizá-la em diferentes tipos de ataques. Entre os riscos identificados estão redefinição de senhas de outros serviços vinculados ao endereço eletrônico, acesso a informações pessoais e profissionais armazenadas na caixa de entrada, envio de mensagens fraudulentas para contatos da vítima e disseminação de novas campanhas de phishing.
Dependendo dos serviços associados ao e-mail comprometido, o impacto do golpe pode se ampliar significativamente. Isso pode permitir acesso indevido a redes sociais, plataformas corporativas, aplicativos financeiros e até contas bancárias.
A ESET alerta que golpes envolvendo falsas oportunidades de emprego continuam em crescimento e tendem a se tornar cada vez mais sofisticados. A popularização de ferramentas de automação facilita a atuação dos criminosos. Além disso, a facilidade de replicar interfaces legítimas permite criar páginas fraudulentas visualmente convincentes em poucos minutos.
A evolução dos golpes digitais
“Hoje, o phishing não depende mais de mensagens mal escritas ou erros evidentes. Muitos golpes apresentam aparência extremamente profissional e reproduzem com precisão comunicações corporativas legítimas. Por isso, a verificação cuidadosa dos domínios, links e solicitações recebidas se tornou indispensável”, comenta Thales.
Especialistas da ESET também destacam que empresas legítimas jamais solicitam senhas de e-mail como requisito para participação em processos seletivos. “Uma organização pode solicitar currículo, informações profissionais e dados de contato durante um recrutamento, mas nunca pedirá a senha da conta de e-mail do candidato. Esse é um sinal claro de tentativa de fraude e deve servir como alerta imediato”, reforça o especialista.
Casos semelhantes vêm sendo compartilhados por pesquisadores de segurança e usuários em redes sociais desde pelo menos 2025. Em muitas campanhas, os criminosos utilizam páginas que imitam ferramentas amplamente conhecidas, como serviços de formulários online, para aumentar a credibilidade do golpe. Além da L’Oréal, marcas globais como Coca-Cola, Red Bull e Ogilvy também já tiveram seus nomes explorados indevidamente em campanhas semelhantes. O objetivo é atrair vítimas e conferir aparência legítima às fraudes.
Como se proteger
Para reduzir o risco de cair nesse tipo de fraude, a ESET recomenda:
• Desconfie de qualquer processo seletivo que solicite senhas ou credenciais de acesso;
• Verifique cuidadosamente o domínio do remetente e os links recebidos;
• Confirme a existência da vaga diretamente nos canais oficiais da empresa;
• Ative a autenticação multifator (MFA) em suas contas;
• Nunca compartilhe credenciais por meio de formulários online enviados por e-mail;
• Utilize soluções de segurança capazes de identificar páginas maliciosas e tentativas de phishing.
A ESET reforça que, diante de qualquer solicitação suspeita envolvendo credenciais de acesso, o usuário deve interromper imediatamente a interação e buscar confirmação diretamente nos canais oficiais da empresa mencionada.
