Criminosos criaram páginas que imitavam o Google Careers para capturar logins de candidatos, diz a empresa de cibersegurança Sublime Security. Os alvos recebiam convites que pareciam processos seletivos legítimos e eram encaminhados para um esquema de phishing.
Como o golpe funcionava
O contato inicial vinha em mensagens curtas, convidando para uma conversa. Quem clicava era levado a um agendador que copiava serviços reais. Depois de passar por um teste humano do Cloudflare Turnstile, a pessoa era solicitada a informar nome, e-mail e telefone em uma página falsa. Em seguida aparecia uma tela de login forjada, criada para coletar a senha da conta do Google.
Os remetentes se faziam passar por recrutadores ou por departamentos de contratação, usando nomes falsos que imitavam equipes de carreiras e consultores de talentos. O botão de agendamento direcionava para URLs com subdomínios e domínios parecidos com os oficiais — uma tentativa clara de enganar visualmente quem recebia a mensagem.
Domínios observados
- aplicar.gcareersapplyway[.]com
- hire.gteamshiftline[.]com
- hire.gteamjobpath[.]com
- hire.gteamcareers[.]com
- recruit.gcareerspeople[.]com
- recruta.gcareerscrewfind[.]com
- recruta.gcareerscandidatelink[.]com
- schedule.ggcareerslaunch[.]com
Como a campanha foi detectada
A equipe da Sublime Security reuniu sinais recorrentes que permitiram identificar as campanhas. Entre eles:
- infraestrutura que não pertence ao Google Careers;
- domínios que imitam a marca, mas não são oficiais;
- uso de domínios recém-registrados (nos últimos 30 dias);
- desalinhamento entre a identidade alegada do remetente e o domínio real;
- tom de urgência e descrição vaga da vaga;
- linguagem lisonjeira com informações limitadas — marcas típicas de golpes de recrutamento.
A maioria das tentativas foi identificada em inglês, com casos também em espanhol e sueco. Os pesquisadores notaram que os atacantes mudavam padrões ao longo do tempo para tentar escapar de filtros.
A empresa afirma que um motor de detecção com inteligência artificial conseguiu bloquear tentativas desse tipo, e que os padrões recorrentes ajudaram a identificar novas variantes.
Como se proteger
Antes de fornecer qualquer credencial, confirme o domínio real e verifique o convite por canais oficiais da empresa. Desconfie de mensagens vagas, pedidos urgentes ou links que parecem corretos, mas usam domínios estranhos (observe o uso de variações e subdomínios). Se tiver dúvida, contate diretamente a área de recrutamento pela página oficial da empresa.
Em resumo: foi uma campanha bem montada que usou aparência legítima para roubar senhas — a checagem simples de domínios e a confirmação por vias oficiais fazem grande diferença.
