Campanha de phishing direcionada a candidatos a emprego
Uma nova campanha de phishing está targeting job seekers por se passar por recrutadores de marcas reconhecíveis. O esquema usa páginas de carreira falsas e e-mails bem elaborados para enganar pessoas e fazer com que entreguem suas credenciais de login do Gmail. O que torna esta campanha notável não é apenas sua escala, mas o planejamento por trás de cada mensagem.
Técnica Browser in the Browser
O que diferencia esta página de phishing é o uso da técnica "Browser in the Browser". Em vez de redirecionar a vítima para uma página de login do Gmail real, o site exibe uma janela pop-up falsa projetada para parecer exatamente com uma do navegador. Qualquer pessoa que insira seu e-mail e senha nesta janela está digitando credenciais diretamente nas mãos dos atacantes.
Redirecionamentos em cadeia
A campanha depende de uma cadeia de serviços legítimos para disfarçar sua verdadeira intenção. O e-mail é enviado através do PeopleForce, uma plataforma de RH real. De lá, o link passa pelo Salesforce Marketing Cloud antes de ir para o Wise Agent, uma ferramenta usada em imóveis. Cada parada adiciona legitimidade que ajuda o link de phishing a passar pelos filtros.
Marcas e domínios falsos
Os pesquisadores identificaram domínios fraudulentos que imitam companhias aéreas como American Airlines, Delta e United, além de plataformas de viagem como Booking.com. Grandes marcas de alimentos e bebidas como Coca-Cola e PepsiCo também aparecem entre as marcas impostadas. A campanha se estende à moda e varejo, com páginas falsas construídas em torno de Adidas, Louis Vuitton e Sephora.
Indicadores de Comprometimento (IoCs)
Os domínios identificados incluem:
- peopleforce[.]io (plataforma de RH abusada)
- exct[.]net (Salesforce Marketing Cloud)
- wiseagent[.]com (CRM de imóveis)
- mckinsey-careers[.]com (página de phishing final)
- aa-careers[.]com (American Airlines falso)
- booking-careers[.]com (Booking.com falso)
O que os CISOs devem fazer
- Conscientizar os funcionários sobre e-mails de recrutadores não solicitados.
- Verificar aberturas de vagas através do site oficial da empresa antes de clicar em links.
- Monitorar tentativas de login do Gmail que não correspondam a padrões normais de acesso.