Hack Alerta

Hackers usam e-mails de recrutadores e páginas de carreira falsas para roubar credenciais do Gmail

Hackers usam e-mails de recrutadores e páginas de carreira falsas para roubar credenciais do Gmail, empregando técnica Browser in the Browser.

Campanha de phishing direcionada a candidatos a emprego

Uma nova campanha de phishing está targeting job seekers por se passar por recrutadores de marcas reconhecíveis. O esquema usa páginas de carreira falsas e e-mails bem elaborados para enganar pessoas e fazer com que entreguem suas credenciais de login do Gmail. O que torna esta campanha notável não é apenas sua escala, mas o planejamento por trás de cada mensagem.

Técnica Browser in the Browser

O que diferencia esta página de phishing é o uso da técnica "Browser in the Browser". Em vez de redirecionar a vítima para uma página de login do Gmail real, o site exibe uma janela pop-up falsa projetada para parecer exatamente com uma do navegador. Qualquer pessoa que insira seu e-mail e senha nesta janela está digitando credenciais diretamente nas mãos dos atacantes.

Redirecionamentos em cadeia

A campanha depende de uma cadeia de serviços legítimos para disfarçar sua verdadeira intenção. O e-mail é enviado através do PeopleForce, uma plataforma de RH real. De lá, o link passa pelo Salesforce Marketing Cloud antes de ir para o Wise Agent, uma ferramenta usada em imóveis. Cada parada adiciona legitimidade que ajuda o link de phishing a passar pelos filtros.

Marcas e domínios falsos

Os pesquisadores identificaram domínios fraudulentos que imitam companhias aéreas como American Airlines, Delta e United, além de plataformas de viagem como Booking.com. Grandes marcas de alimentos e bebidas como Coca-Cola e PepsiCo também aparecem entre as marcas impostadas. A campanha se estende à moda e varejo, com páginas falsas construídas em torno de Adidas, Louis Vuitton e Sephora.

Indicadores de Comprometimento (IoCs)

Os domínios identificados incluem:

  • peopleforce[.]io (plataforma de RH abusada)
  • exct[.]net (Salesforce Marketing Cloud)
  • wiseagent[.]com (CRM de imóveis)
  • mckinsey-careers[.]com (página de phishing final)
  • aa-careers[.]com (American Airlines falso)
  • booking-careers[.]com (Booking.com falso)

O que os CISOs devem fazer

  • Conscientizar os funcionários sobre e-mails de recrutadores não solicitados.
  • Verificar aberturas de vagas através do site oficial da empresa antes de clicar em links.
  • Monitorar tentativas de login do Gmail que não correspondam a padrões normais de acesso.

Baseado em publicação original de Cyber Security News
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.