Cibercriminosos são detectados fazendo ofertas falsas de trabalho no LinkedIn

Através de ferramentas de inteligência de código aberto (OSINT), criminosos recolhem informações pessoais de usuários, candidatos e recrutadores nas redes sociais

Compartilhar:

Uma nova dificuldade se soma à tarefa de procurar trabalho. Cibercriminosos estão usando ferramentas de inteligência de código aberto para a aquisição de informações pessoais de candidatos para o oferecimento de vagas falsas de trabalho. A ESET alerta que tais anúncios, que saturam os portais de empregos, podem parecer muito autênticos, já que os golpistas chegam ao ponto de construir personalidade e vida profissional de um recrutador ou pessoa de RH, a partir do roubo de dados reais.

 

As ferramentas de inteligência de código aberto (OSINT) podem ajudar facilmente a coletar dados dos perfis e atividades online das pessoas. Programas como o Maltego ajudam a descobrir informações online sobre pessoas ou empresas, permitindo que qualquer pessoa se conecte e rastreie relacionamentos entre sites, contas, e-mails, locais e muito mais.

 

“Os usuários costumam revelar muita informação pessoal na Internet, especialmente em sites como o LinkedIn, que funciona tanto como um serviço de rede social profissional quanto como um portal de empregos. Isso pode facilitar a obtenção de dados pelos criminosos, seja comprando credenciais de contas vazadas ou raspagem da web. A construção de perfis destinados a enganar para coletar dados e cometer crimes mais graves, como compromisso de e-mail comercial ou vários ataques de engenharia social, fica mais fácil do que nunca”, comenta Camilo Gutiérrez Amaya, Chefe do Laboratório de Pesquisa da ESET América Latina.

 

A ESET alerta que a forma de detectar uma oferta de emprego falsa depende de vários motivos. Os falsos recrutadores podem enviar uma mensagem direta aos candidatos a emprego e incluir um link malicioso ou um anexo na mensagem, ou e-mail. Somam-se a essas mensagens ofertas de emprego falsas em portais de recrutamento, o que faz com que as vagas pareçam mais reais. Além disso, no início do processo de inscrição, as pessoas falsas podem perguntar informações de conta bancária ou números de segurança social, que devem chamar a atenção de quem se candidata.

 

Para confirmar se uma oferta é autêntica, o primeiro passo é checar a existência de empresa e pessoa recrutadora por meio de endereços, registros, presença na internet e possíveis novidades. Perfis de mídia social falsos de empresas e recrutadores costumam ter erros gramaticais, datas estranhas em suas postagens e falta de atividade online consistente.

 

Quanto mais reações de pessoas reais, recomendações de empregadores e colegas anteriores, certificações, reações genuínas às postagens de outras pessoas e participações em outros fóruns forem verificadas, maior será a probabilidade do perfil ser real.

 

Golpistas geralmente recriam portais de trabalho da empresa reconhecida por gerar confiança, mas essas páginas também podem conter alguns detalhes que indicam falsificação, como a ausência de segurança do site. Páginas falsas podem não ter o certificado HTTPS, o que pode ser um sinal de um endereço inseguro e malicioso. Links, por sua vez, podem ter sinais reveladores de falsificação, como erros ortográficos, além de não levarem ao local especificado. Portanto, antes de clicar, deve-se passar o mouse sobre o endereço para checagem de que se trata do endereço correto.

 

Deve-se atentar a perguntas suspeitas. Empresas não solicitam conta bancária, número do seguro social, identidade ou similar durante uma entrevista de emprego. A menos que já seja um colaborador que tenha se reunido anteriormente com a equipe de RH verificada, essa informação não deve ser fornecida. Além disso, a verificação de domínio em um site como o ScamAdviser.com, que fornece informações úteis sobre o cadastro do site e tempo de atividade, é ferramenta útil na checagem da reputação do endereço.

 

Para evitar ser vítima de roubo de identidade, a ESET recomenda restringir as configurações de privacidade nos painéis de empregos (ou nas redes sociais em geral) e não enviar voluntariamente informações de identificação pessoal online, incluindo quaisquer contas visíveis publicamente. Dessa forma, é muito mais fácil construir um perfil falso usando OSINT e ferramentas de web scraping. No LinkedIn, por exemplo, pode-se configurar o perfil como público ou privado (visível apenas para outros usuários da rede), bem como quem pode ver o sobrenome completo e outras informações.

 

Além disso, não se deve em nenhuma hipótese fornecer informações sem verificar o potencial empregador. É fácil cair em uma oferta de emprego falsa, mas um sinal de golpe pode ser tão simples quanto um anúncio de emprego básico ou uma presença online irregular. Além disso, é necessário cuidado com e-mails aleatórios ou mensagens com ofertas de emprego provenientes de contas com aparência não verificada, ou não confiável.

 

Finalmente, se uma oferta parecer demasiado tentadora (por exemplo, se oferecer um salário acima da média, mas não exigir experiência), é provável ser uma fraude. A ESET alerta que a probabilidade de alguém se deparar com uma oferta de emprego falsa é elevada, por isso o segredo é prestar atenção e tentar manter-se ciber seguro.

 

Conteúdos Relacionados

Security Report | Overview

Investigação desevenda ciberataques usando botnets vendidos a US$ 100 na dark web

Nova análise da Kaspersky mostra ainda que é possível alugar ou comprar parte do código dessas redes de computadores fantasmas...
Security Report | Overview

Brasil é um dos 7 maiores alvos de ransomware, calcula relatório

Posicionamento da companhia ISH Tecnologia também destaca as principais vulnerabilidades cibernéticas localizadas em 2024 e os grupos criminosos mais atuantes...
Security Report | Overview

ChatGPT integrado pode auxiliar na governança e conformidade de dados?

Netskope ampliou o gerenciamento de riscos ao compliance do chatbot da OpenAI com controles de API visando controlar dados confidenciais
Security Report | Overview

Telecomunicações não foram afetadas por Apagão Cibernético, diz Anatel

Para o órgão de fiscalização, o evento ilustra que, à medida que os diversos setores econômicos passaram por transformação digital,...