Golpe de entrevista rouba contas do Google

Golpe de entrevista rouba contas do Google

Receber um convite para uma vaga de emprego pode parecer uma excelente oportunidade, mas uma nova campanha de phishing mostra que até esse tipo de contato pode ser usado para comprometer contas do Google. Criminosos estão explorando a confiança das vítimas ao se passarem por recrutadores de empresas conhecidas e utilizando técnicas altamente sofisticadas para roubar credenciais sem levantar suspeitas.

A campanha, que já utilizou a identidade de mais de 30 grandes marcas globais, demonstra como a engenharia social evoluiu nos últimos anos. Além de abusar de plataformas legítimas para mascarar links maliciosos, os criminosos empregam a técnica conhecida como Browser-in-the-Browser (BitB), capaz de simular perfeitamente uma janela oficial de login do Google. O resultado é um golpe difícil de identificar até mesmo para usuários experientes.

Neste artigo, você entenderá como essa fraude funciona, por que ela representa um risco para a segurança das contas do Google e quais cuidados podem impedir que suas credenciais caiam nas mãos de criminosos.

Como funciona o golpe da falsa entrevista de emprego

A campanha começa de forma aparentemente legítima. A vítima recebe um e-mail convidando para participar de um processo seletivo de uma empresa conhecida. Para aumentar a credibilidade, os criminosos utilizam nomes reais de recrutadores, fotografias encontradas em redes profissionais e referências verdadeiras às empresas.

Entre as marcas utilizadas nas campanhas identificadas estão Adidas, Netflix, OpenAI, Microsoft, Amazon, Tesla e diversas outras organizações reconhecidas mundialmente. Em muitos casos, os dados dos supostos recrutadores são obtidos em plataformas como o LinkedIn, tornando a fraude ainda mais convincente.

O convite normalmente informa que o candidato deve acessar um portal para visualizar detalhes da vaga ou agendar uma entrevista. Como o contexto faz sentido para profissionais que estão procurando emprego ou apenas abertos a novas oportunidades, muitas vítimas acabam clicando sem desconfiar.

O diferencial dessa campanha é que ela não utiliza apenas páginas falsas comuns. Os criminosos criaram uma cadeia de redirecionamentos cuidadosamente planejada para transmitir legitimidade e dificultar a identificação do golpe por ferramentas de segurança.

8jghUhaV chainlink phishing como proteger 2

O abuso de plataformas legítimas e redirecionamentos

Uma das estratégias mais sofisticadas observadas é o uso indevido de plataformas confiáveis para esconder o destino final dos links.

Em vez de enviar diretamente um endereço suspeito, os atacantes fazem o usuário passar por serviços amplamente utilizados por empresas, como PeopleForce, Salesforce Marketing Cloud e Wise Agent. Como esses domínios possuem boa reputação, muitas soluções de segurança permitem o acesso sem bloqueios imediatos.

Após uma sequência de redirecionamentos, a vítima chega finalmente ao ambiente controlado pelos criminosos, onde ocorre a tentativa de roubo das contas do Google.

Esse método dificulta tanto a análise automática realizada por filtros de e-mail quanto a percepção do próprio usuário, que vê apenas domínios aparentemente legítimos durante boa parte da navegação.

O perigo do ataque navegador-no-navegador para as contas do Google

O elemento mais perigoso da campanha é a utilização da técnica Browser-in-the-Browser (BitB).

Em vez de abrir uma verdadeira janela de autenticação do Google, o site malicioso cria uma imitação extremamente fiel usando HTML, CSS e JavaScript. Visualmente, a janela parece idêntica à original.

Ela possui barra de endereço simulada, botões de minimizar e fechar, sombras, animações e até mesmo detalhes visuais do navegador utilizado pela vítima. Para quem observa rapidamente, tudo parece absolutamente legítimo.

Na prática, porém, trata-se apenas de um elemento desenhado dentro da página. Nada daquela janela pertence realmente ao navegador ou ao Google.

Quando o usuário informa seu e-mail e senha, os dados são enviados diretamente para os criminosos, comprometendo suas contas do Google antes mesmo que qualquer autenticação seja concluída.

Em algumas variantes da campanha, após capturar as credenciais, os atacantes ainda redirecionam a vítima para uma página verdadeira do Google. Isso faz com que muitos usuários acreditem que apenas houve algum erro temporário durante o login, sem perceber que suas informações já foram roubadas.

Por que esse tipo de phishing é tão eficiente

Grande parte das campanhas tradicionais de phishing depende de páginas visualmente mal produzidas ou de domínios claramente suspeitos.

Neste caso, porém, os criminosos investiram em diversos elementos que aumentam significativamente a taxa de sucesso:

  • Uso de identidade visual de empresas conhecidas.
  • Perfis reais de recrutadores.
  • Links iniciados em plataformas confiáveis.
  • Janelas falsas praticamente idênticas ao login oficial do Google.
  • Fluxo de navegação semelhante ao de processos seletivos reais.

A combinação desses fatores reduz os sinais clássicos de alerta e torna o golpe muito mais convincente.

Isso demonstra que confiar apenas na aparência de um site já não é suficiente para proteger as contas do Google.

Como proteger suas contas do Google e identificar a fraude

Embora a campanha seja sofisticada, alguns hábitos de segurança continuam sendo extremamente eficazes.

Antes de inserir qualquer credencial, observe atentamente se a janela de login realmente pertence ao navegador. Uma janela Browser-in-the-Browser normalmente não pode ser arrastada para fora da página nem se comporta exatamente como uma janela real do sistema operacional.

Outra prática importante é evitar realizar login por meio de links recebidos por e-mail. Sempre que possível, abra manualmente o navegador e acesse diretamente o serviço oficial digitando o endereço.

Também vale a pena verificar cuidadosamente a barra de endereços. Uma janela legítima do Google exibirá o domínio verdadeiro do serviço, enquanto uma janela BitB apenas desenha uma barra falsa dentro da página.

Outras recomendações importantes incluem:

  • Ativar a autenticação em duas etapas.
  • Utilizar chaves de acesso (Passkeys) sempre que disponíveis.
  • Empregar um gerenciador de senhas, que normalmente identifica domínios incorretos e evita o preenchimento automático em páginas falsas.
  • Desconfiar de entrevistas que exigem login imediato em contas pessoais.
  • Confirmar vagas diretamente no site oficial da empresa.

Mesmo que uma credencial seja comprometida, mecanismos adicionais de autenticação reduzem significativamente o impacto do ataque.

O impacto dessas campanhas para empresas e profissionais

Campanhas como essa mostram que os ataques atuais estão muito mais focados no comportamento humano do que na exploração de falhas técnicas.

Os criminosos entendem que profissionais de tecnologia, marketing e desenvolvimento frequentemente recebem contatos de recrutadores. Ao explorar exatamente esse contexto, conseguem aumentar consideravelmente a probabilidade de sucesso.

Além do roubo de contas do Google, esse tipo de ataque pode resultar em acesso a documentos corporativos, serviços em nuvem, plataformas de desenvolvimento, repositórios de código e diversas informações confidenciais armazenadas nas contas comprometidas.

Para empresas, isso reforça a necessidade de investir continuamente em treinamento de conscientização, políticas de autenticação forte e monitoramento de acessos suspeitos.

Conclusão e impacto no mercado de tecnologia

A nova campanha evidencia como o phishing moderno deixou de depender apenas de páginas falsas mal construídas e passou a explorar técnicas altamente refinadas de engenharia social e simulação visual. O uso da técnica Browser-in-the-Browser, combinado com plataformas legítimas e identidades reais de recrutadores, cria um cenário capaz de enganar até usuários experientes.

Proteger as contas do Google exige atenção constante, autenticação em múltiplos fatores e o hábito de desconfiar de qualquer solicitação inesperada de login, principalmente quando ela chega por e-mail ou durante supostos processos seletivos.

Se este alerta foi útil, compartilhe o conteúdo com colegas de trabalho, amigos e familiares. Quanto mais pessoas conhecerem esse tipo de golpe, menores serão as chances de novas vítimas. Aproveite também para comentar se você já recebeu algum convite de entrevista que tenha parecido suspeito.