Última hora
PMPA - 5736
Emprego

Phishing que imita Google Careers captura logins e senhas

Phishing imitava Google Careers: páginas e agendadores falsos coletavam nome, e‑mail e senha de contas Google, diz a Sublime Security.

Redação ChicoSabeTudo
17 de outubro, 2025 · 06:23 2 min de leitura
Ataque foi enviado em vários idiomas, mas a maioria em inglês (Imagem: SublimeSecurity/Reprodução)
Ataque foi enviado em vários idiomas, mas a maioria em inglês (Imagem: SublimeSecurity/Reprodução)

Criminosos criaram páginas que imitavam o Google Careers para capturar logins de candidatos, diz a empresa de cibersegurança Sublime Security. Os alvos recebiam convites que pareciam processos seletivos legítimos e eram encaminhados para um esquema de phishing.

Como o golpe funcionava

Publicidade

O contato inicial vinha em mensagens curtas, convidando para uma conversa. Quem clicava era levado a um agendador que copiava serviços reais. Depois de passar por um teste humano do Cloudflare Turnstile, a pessoa era solicitada a informar nome, e-mail e telefone em uma página falsa. Em seguida aparecia uma tela de login forjada, criada para coletar a senha da conta do Google.

Os remetentes se faziam passar por recrutadores ou por departamentos de contratação, usando nomes falsos que imitavam equipes de carreiras e consultores de talentos. O botão de agendamento direcionava para URLs com subdomínios e domínios parecidos com os oficiais — uma tentativa clara de enganar visualmente quem recebia a mensagem.

Domínios observados

  • aplicar.gcareersapplyway[.]com
  • hire.gteamshiftline[.]com
  • hire.gteamjobpath[.]com
  • hire.gteamcareers[.]com
  • recruit.gcareerspeople[.]com
  • recruta.gcareerscrewfind[.]com
  • recruta.gcareerscandidatelink[.]com
  • schedule.ggcareerslaunch[.]com

Como a campanha foi detectada

A equipe da Sublime Security reuniu sinais recorrentes que permitiram identificar as campanhas. Entre eles:

  • infraestrutura que não pertence ao Google Careers;
  • domínios que imitam a marca, mas não são oficiais;
  • uso de domínios recém-registrados (nos últimos 30 dias);
  • desalinhamento entre a identidade alegada do remetente e o domínio real;
  • tom de urgência e descrição vaga da vaga;
  • linguagem lisonjeira com informações limitadas — marcas típicas de golpes de recrutamento.
Publicidade

A maioria das tentativas foi identificada em inglês, com casos também em espanhol e sueco. Os pesquisadores notaram que os atacantes mudavam padrões ao longo do tempo para tentar escapar de filtros.

A empresa afirma que um motor de detecção com inteligência artificial conseguiu bloquear tentativas desse tipo, e que os padrões recorrentes ajudaram a identificar novas variantes.

Como se proteger

Antes de fornecer qualquer credencial, confirme o domínio real e verifique o convite por canais oficiais da empresa. Desconfie de mensagens vagas, pedidos urgentes ou links que parecem corretos, mas usam domínios estranhos (observe o uso de variações e subdomínios). Se tiver dúvida, contate diretamente a área de recrutamento pela página oficial da empresa.

Publicidade

Em resumo: foi uma campanha bem montada que usou aparência legítima para roubar senhas — a checagem simples de domínios e a confirmação por vias oficiais fazem grande diferença.

Leia também