Criminosos estão usando falsas vagas de emprego atribuídas a grandes empresas, como Coca-Cola, L'Oréal, Red Bull e Ogilvy, para roubar credenciais de acesso a contas de email de candidatos, segundo alerta da empresa de cibersegurança Eset, que identificou campanha de phishing (quando golpistas se passam por instituições confiáveis para roubar dados).

Procuradas pela Folha, Coca-Cola Brasil, L'Oréal e Ogilvy afirmam que as fraudes não têm relação com as empresas e reforçam que oportunidades de trabalho são divulgadas apenas por canais oficiais.

A Red Bull foi procurada por email desde segunda-feira (8), mas não respondeu.

Segundo os pesquisadores, os golpistas enviam mensagens que simulam contatos de recrutadores e direcionam as vítimas para páginas que imitam formulários de seleção. Os criminosos buscam acesso às contas de email das vítimas, o que pode abrir caminho para novos golpes e roubo de dados.

De acordo com a Eset, a fraude começa com um email que aparenta ter sido enviado por profissionais de recursos humanos. A mensagem apresenta uma suposta oportunidade de emprego e convida o candidato a prosseguir no processo seletivo por meio de um link.

Embora o nome exibido no remetente faça referência a uma empresa conhecida, o endereço eletrônico utilizado pelos golpistas costuma ter domínio diferente dos canais oficiais. Após clicar no link, a vítima é encaminhada para uma página que reproduz a aparência de plataformas de recrutamento.

Inicialmente, são solicitadas informações comuns em processos seletivos, como nome, telefone, experiência profissional e endereço de email. Em seguida, o formulário pede a senha da conta informada anteriormente, sob a justificativa de validar a candidatura ou permitir a continuidade da seleção, afirma a Eset Brasil.

Segundo Thales Santos, especialista em segurança da informação da Eset Brasil, a solicitação do endereço eletrônico na primeira etapa faz parte da estratégia dos criminosos.

"O objetivo é personalizar a fraude. Quando a vítima vê seu próprio email já preenchido ou referenciado na etapa seguinte, tende a interpretar o pedido de senha como algo legítimo", afirma.

Caso as credenciais sejam fornecidas, os criminosos podem assumir o controle da conta comprometida. A partir daí, conseguem redefinir senhas de outros serviços vinculados ao endereço eletrônico, acessar informações pessoais e profissionais armazenadas na caixa de entrada e utilizar a conta para aplicar novos golpes.

Dependendo dos serviços associados ao email, os impactos podem incluir acesso indevido a redes sociais, aplicativos financeiros, plataformas corporativas e outras contas digitais.

Especialistas recomendam desconfiar de qualquer processo seletivo que solicite senhas de email ou credenciais de acesso.

Também é importante verificar cuidadosamente o domínio do remetente e os endereços dos links recebidos, além de confirmar a existência da vaga diretamente nos canais oficiais da empresa.

Outra medida recomendada é ativar a autenticação em dois fatores nas contas de email e em outros serviços digitais. Segundo a Eset, empresas legítimas podem solicitar currículo e informações profissionais durante um recrutamento, mas nunca a senha de acesso da conta do candidato.

"Esse é um dos sinais mais claros de tentativa de fraude e deve servir como alerta imediato", afirma Santos.

A Coca-Cola Brasil afirmou que vagas divulgadas por aplicativos de mensagens, redes sociais ou sites não oficiais não têm qualquer relação com a companhia. Segundo a empresa, as oportunidades de trabalho são divulgadas exclusivamente por seus canais oficiais de recrutamento e pelos perfis institucionais no LinkedIn. A companhia também recomenda que candidatos não compartilhem dados pessoais ou bancários nem realizem pagamentos relacionados a processos seletivos.

A L'Oréal informou que tem conhecimento da circulação de comunicações fraudulentas e falsas ofertas de emprego que utilizam indevidamente o nome do grupo. A empresa afirmou que nenhuma dessas iniciativas é autorizada e orientou usuários a não clicar em links suspeitos nem compartilhar informações pessoais ou financeiras. Segundo a companhia, todas as vagas legítimas são publicadas exclusivamente em seu portal global de carreiras.

A Ogilvy publicou um comunicado em seu site após receber denúncias de pessoas que estariam se passando por integrantes do setor de recursos humanos da agência. A empresa informou que suas vagas são divulgadas apenas pelas plataformas Gupy e LinkedIn. A agência afirma que não solicita a realização de tarefas antes da primeira entrevista, não envia links de YouTube ou semelhantes e não oferece recompensas financeiras para participação em processos seletivos.

Fonte: Folha Online - 10/06/2026