Falsas entrevistas de emprego em nome de mais de 30 grandes marcas roubam contas Google

Uma campanha de phishing em larga escala está a fazer-se passar por recrutadores de mais de 30 marcas conhecidas — entre elas a Adobe, a Netflix, a Coca-Cola, a OpenAI e a Booking.com — para roubar credenciais de contas Google a profissionais de marketing. O esquema, analisado por Will Thomas, investigador sénior da empresa de threat intelligence Team Cymru, destaca-se pela sofisticação: usa plataformas legítimas de recursos humanos e de email marketing como trampolim, nomes e fotografias de recrutadores reais, e uma janela falsa de autenticação Google desenhada ao pixel.

Uma proposta de emprego demasiado boa para ser verdade

O isco chega por email: uma mensagem de um alegado recrutador que procura candidatos para funções de marketing numa marca de renome. Para tornar o contacto credível, os atacantes usam os nomes e as fotografias de recrutadores verdadeiros das empresas personificadas — pessoas reais que, em alguns casos, já vieram a público alertar para o abuso da sua identidade.

O investigador identificou pelo menos 34 domínios fraudulentos a imitar empresas de grande visibilidade em vários setores: companhias aéreas e viagens (American Airlines, Delta, United, Booking.com), bebidas e alimentação (Coca-Cola, PepsiCo, Red Bull), moda e luxo (Adidas, Louis Vuitton, Sephora, Levi’s), consultoria e tecnologia (Adobe, McKinsey, ManpowerGroup, OpenAI), hotelaria e marketing (Marriott, Omnicom) e entretenimento e desporto (FIFA, Netflix).

Redirecionamentos encadeados através de serviços legítimos

A engenhosidade da campanha está no percurso que a vítima faz até à página fraudulenta. Os emails parecem provir da PeopleForce, uma plataforma legítima de gestão de recursos humanos na cloud. As ligações, porém, passam primeiro por um domínio operado pela Salesforce — herdado da aquisição da plataforma de automação de marketing ExactTarget, hoje Salesforce Marketing Cloud — e depois por um software de CRM imobiliário igualmente legítimo, antes de aterrarem finalmente no site de phishing.

Esta técnica de redirecionamentos aninhados tem um objetivo claro: como cada elo intermédio da cadeia é um serviço legítimo e com boa reputação, os filtros de segurança de email têm muito mais dificuldade em classificar a mensagem como maliciosa. Importa sublinhar que o abuso destas plataformas não significa que tenham sido comprometidas — os atacantes podem simplesmente ter criado contas genuínas para configurar a cadeia de redirecionamento.

Uma janela do browser que não existe

Chegada à página de destino — por exemplo, um domínio do tipo “adidas-hiring” —, a vítima é convidada a agendar a entrevista com o recrutador. Para isso, tem de “iniciar sessão com o Google”. Ao clicar, surge o que aparenta ser a janela habitual de autenticação da Google.

Só que essa janela não é uma janela: é HTML e CSS desenhados dentro da própria página de phishing, imitando na perfeição uma janela do navegador — a técnica conhecida como browser-in-the-browser (BitB). Tudo o que a vítima escrever ali, incluindo email e palavra-passe da conta Google, vai diretamente para os atacantes. Segundo a BleepingComputer, a operação está ativa há pelo menos cinco meses e começou por usar simples endereços de Outlook com o nome das empresas personificadas, tendo vindo a sofisticar-se desde então.

Porquê profissionais de marketing?

A escolha do alvo não é acidental. Os profissionais de marketing gerem frequentemente ativos digitais de elevado valor: contas de Google Ads com métodos de pagamento associados, propriedades no Google Analytics, canais de YouTube e páginas empresariais em redes sociais. Uma única conta Google comprometida pode dar aos atacantes a possibilidade de lançar campanhas publicitárias fraudulentas pagas com o cartão da vítima ou da sua empresa, de sequestrar canais para esquemas de criptomoedas ou de vender o acesso a terceiros em mercados clandestinos.

Além disso, quem procura ativamente emprego está psicologicamente predisposto a responder depressa a uma oportunidade atrativa — sobretudo quando ela chega em nome de uma marca de sonho. É esse estado de espírito, mais do que qualquer falha técnica, que a campanha explora.

Porque é que isto importa em Portugal

O alvo desta campanha — profissionais de marketing à procura de novas oportunidades — existe em qualquer mercado, e as marcas personificadas são tão reconhecidas em Portugal como em qualquer outro país. Uma conta Google comprometida raramente é só uma caixa de correio: dá acesso ao Drive, ao histórico de recuperação de outras contas e, no caso de profissionais de marketing, a contas de anúncios e páginas empresariais que podem ser sequestradas para lançar novas fraudes. O padrão de recrutamento fraudulento tem vindo, aliás, a crescer também em Portugal, com falsas ofertas de emprego a circular por email, WhatsApp e redes sociais.

Como reconhecer e evitar este esquema

  • Desconfie de abordagens de recrutamento não solicitadas, por muito credível que pareça o recrutador — confirme a oferta no site oficial de carreiras da empresa ou no perfil verificado do recrutador no LinkedIn.
  • Verifique sempre o domínio da página onde lhe pedem para iniciar sessão: a autenticação Google acontece apenas em accounts.google.com.
  • Para testar uma suspeita de janela browser-in-the-browser, tente arrastá-la para fora da janela principal do navegador — uma janela verdadeira move-se de forma independente; uma falsa fica presa dentro da página.
  • Ative a autenticação de dois fatores na conta Google, de preferência com chaves de segurança ou passkeys, que resistem a este tipo de roubo de credenciais.
  • Se já introduziu as suas credenciais numa página suspeita, mude a palavra-passe de imediato, termine todas as sessões ativas e reveja a atividade recente da conta.

Esta informação tem caráter noticioso e baseia-se na análise publicada pelo investigador Will Thomas (Team Cymru) e em dados divulgados pela BleepingComputer.