Um golpe por e-mail que oferece vaga no Google vem sendo usado para induzir vítimas — principalmente de contas corporativas — a revelar credenciais do Microsoft 365. Entender como esse tipo de phishing funciona ajuda a se proteger.
O ataque combina engenharia social com páginas falsas para capturar login, senha e, às vezes, tokens de autenticação.
Por que um e-mail de vaga no Google é usado para roubar credenciais?
Golpistas escolhem iscas que parecem relevantes ao destinatário para aumentar a chance de clique. Uma oferta de emprego legítima reduz suspeitas e leva a vítima a seguir instruções sem pensar duas vezes.
Quando a isca combina o nome de uma empresa conhecida com links ou formulários de login, o risco de vazamento de credenciais cresce significativamente.
“Phishing é o uso de mensagens convincentes para nos enganar a clicar em links ou baixar software malicioso”, afirma o NIST, conforme NIST. “Phishing”. NIST, 22 out. 2021. Acesso em: 16 out. 2025.
Google Careers imita credibilidade e facilita o golpe
Os golpistas criam e-mails que imitam cabeçalhos, linguagem e elementos visuais do Google Careers para ganhar confiança.
- Assinatura visual semelhante à do Google
- Links que parecem legítimos, mas redirecionam para páginas falsas
- Anexos ou formulários que pedem login ou dados pessoais
A mensagem normalmente começa com um convite “vago e amistoso”, como Are you open to talk?, e leva a uma página de agendamento de reunião falsa com CAPTCHA simulado (como o Cloudflare Turnstile), seguida de um redirecionamento para páginas que pedem login do Google ou Microsoft 365.
Antes de clicar, é essencial validar remetente, domínio e qualquer pedido de login. Se houver pressão por urgência ou promessa de entrevista imediata, trate o e-mail com desconfiança.
O Google reforça que não realiza recrutamento por e-mail e nunca solicita credenciais ou autenticação para candidatura.
Microsoft 365 aparece como alvo e age como isca na jornada
Muitas páginas falsas imitam a tela de login do Microsoft 365 para capturar usuário e senha exatamente onde a vítima espera inseri-las.
- Páginas com URLs parecidas, mas não oficiais
- Redirecionamentos que mantêm aparência de segurança
- Solicitação de MFA ou token após o login para interceptação
Mesmo com aparência convincente, pequenos sinais — como domínio estranho, erros de digitação ou formatação fora do padrão — denunciam a fraude.
RaccoonO365 e serviços PhaaS tornam golpes escaláveis e eficazes
Kits de phishing vendidos como serviço (PhaaS) permitem que qualquer pessoa lance campanhas sofisticadas que roubam contas corporativas do Microsoft 365.
- Kits pré-montados que geram páginas falsas em massa
- Mecanismos para contornar MFA e validar sessões
- Integração com canais de pagamento e suporte para criminosos
Operações como a RaccoonO365 já foram responsáveis por milhares de credenciais roubadas, demonstrando por que controles técnicos e detecção automatizada são essenciais.
“RaccoonO365’s kits have been used to steal at least 5,000 Microsoft credentials from 94 countries”, afirmou Steven Masada, Assistant General Counsel, Microsoft’s Digital Crimes Unit, conforme Microsoft Blogs: On the Issues, 16 set. 2025. Acesso em: 16 out. 2025.
Como se proteger de um e-mail que promete emprego e rouba logins?
A proteção eficiente combina verificação humana, políticas e ferramentas técnicas que reduzem o sucesso do phishing.
- Verifique remetente e domínio antes de clicar
- Habilite autenticação resistente a phishing (como chaves físicas FIDO2)
- Use filtragem avançada, sandboxing e bloqueio de URLs suspeitas
- Denuncie e-mails suspeitos diretamente como phishing no Gmail ou Outlook
- Em caso de dúvida, confirme diretamente com o canal oficial de recrutamento da empresa
Perguntas Frequentes
Como identificar um e-mail de emprego falso?
Verifique o domínio do remetente, links com URL estranha, erros de português e pedidos de login imediato. Empresas legítimas não pedem senhas por e-mail.
O que fazer se eu cliquei no link e informei minha senha?
Altere a senha imediatamente, ative MFA resistente, verifique sessões e dispositivos conectados e contate o suporte de segurança da sua organização.
Chaves de segurança resolvem esse problema?
Chaves físicas e autenticadores FIDO2 oferecem resistência forte a phishing e reduzem drasticamente o risco, mesmo quando a senha é comprometida.
Considerações finais
Golpes que usam ofertas de emprego para roubar senhas corporativas são perigosos porque exploram confiança e legitimidade visual. Combine atenção, práticas seguras e controles técnicos modernos — e, sempre que possível, valide as ofertas diretamente nos canais oficiais antes de responder a qualquer mensagem.
