Golpes, Inteligência de Ameaças

Aquela oferta de emprego dos sonhos da Coca-Cola ou da Ferrari? É uma armadilha para suas senhas

por Stefan Dasic | 3 de abril de 2026
Uma mulher procura emprego no seu laptop, com o currículo visível na tela

À medida que as demissões aumentam e os candidatos a emprego inundam o mercado, as campanhas de phishing que se fazem passar por grandes marcas, incluindo a Coca-Cola e a Ferrari, estão se intensificando — e estão mais sofisticadas do que nunca.

O primeiro golpe que identificamos utiliza uma página de reserva convincente para coletar dados pessoais e, em seguida, induz as vítimas a fornecerem as credenciais de suas contas do Google Work por meio de uma página de login falsa, disfarçada dentro do que parece ser uma janela real Chrome . O que torna essa campanha particularmente perigosa é que ela vai além do truque comum da janela falsa: o kit não se limita a roubar uma senha e parar por aí — o código-fonte mostra que ele retransmite as entradas do usuário para um backend controlado pelo invasor e exibe dinamicamente diferentes solicitações de autenticação de dois fatores com base na resposta do servidor, em consonância com estruturas de phishing em tempo real projetadas para burlar a MFA.

Se você recebeu uma oferta de emprego inesperada pedindo para “marcar uma ligação”, veja a seguir o que você deve observar.

Uma combinação desastrosa para golpes de emprego

Esses golpes não surgem do nada. O mercado de trabalho dos EUA vem enfrentando uma pressão contínua, já que os empregadores demitiram mais de 1,17 milhão de trabalhadores em 2025 — o maior número desde o início da pandemia —, tudo isso impulsionado por uma combinação de cortes na força de trabalho federal, redução de custos nas empresas e uma desaceleração mais ampla nas contratações. A taxa de desemprego subiu para 4,5% em novembro de 2025, o maior nível em quatro anos, e o desemprego de longa duração — que inclui aqueles que estão desempregados há 27 semanas ou mais — aumentou em 322.000 no último ano.

Em entrevista à CNBC, Heather Long, economista-chefe da Navy Federal Credit Union, descreveu a situação sem rodeios: “Provavelmente será uma primavera difícil para quem está procurando emprego.”

Em meio à turbulência, os golpistas continuam ativos. De acordo com a FTC, os prejuízos decorrentes de golpes relacionados a vagas de emprego e contratação aumentaram de US$ 90 milhões em 2020 para mais de US$ 501 milhões em 2024, com o número de denúncias nessa categoria triplicando nesse período. Como afirmou Melanie McGovern, do Better Business Bureau (BBB): “Os golpes relacionados a empregos estão voltando com força total.”

Recentemente, descobrimos duas campanhas que ilustram o quão sofisticadas essas iscas se tornaram: uma se passando pela Coca-Cola e a outra pela Ferrari. Ambas exploram o desespero e a confiança que caracterizam um mercado de trabalho competitivo, e ambas utilizam kits de phishing que vão muito além de uma simples página de login falsa.

Golpe 1: A entrevista da Coca-Cola que rouba sua conta do Google

O ataque começa com um link para o que parece ser uma página de agendamento do Calendly de uma recrutadora da Coca-Cola chamada “Tricia Guyer”. É solicitado que você preencha seu nome, e-mail, o tipo de emprego em que está interessado e suas preferências profissionais — nada que levantasse suspeitas durante uma busca normal por emprego.

O primeiro sinal de alerta, porém, é como você chegou até lá. Recrutadores legítimos normalmente não enviam links para agendamento não solicitados sem contato prévio ou sem primeiro receber uma candidatura. Tudo isso significa que, se você não se candidatou a uma vaga na Coca-Cola e nunca falou com essa pessoa, encare o link com extrema desconfiança, por mais profissional que a página pareça.

A janela falsa do navegador que engana até mesmo usuários cautelosos

Depois de preencher o formulário de reserva, você é solicitado a escolher uma data e clicar em “Continuar com o Google”. Aqui, ocorre algo enganoso. Em vez de abrir uma página de login real do Google, o site exibe uma janela simulada Chrome dentro da própria página da web, em vez de abrir uma janela pop-up real do navegador. Ela tem até uma barra de título com botões para minimizar, maximizar e fechar. Também possui uma barra de URL que diz https://accounts.google.com/signin/v3/.

Em muitos aspectos, parece exatamente uma janela pop-up do Google — mas não é. É apenas uma imagem dela, com campos de formulário sobrepostos.

  • A página falsa do Calendly solicita seu nome, e-mail e outras informações
  • A página falsa do Calendly solicita que você marque uma reunião
  • Perto do final do golpe, são apresentadas opções de login
  • Por fim, é exibida uma página de login falsa e maliciosa

Eles não querem apenas sua senha — querem também seu código de verificação

A maioria dos ataques com janelas falsas do navegador é relativamente simples: eles exibem um formulário de login convincente, roubam seu e-mail e sua senha e param por aí. Se você tiver a autenticação de dois fatores ativada, essas credenciais roubadas por si só não são suficientes para acessar sua conta, pois o invasor esbarra em uma barreira na etapa de verificação.

Este kit não chega a esse ponto.

Assim que você digita seu e-mail e senha, a página começa a consultar o servidor de back-end do invasor a cada três segundos — um padrão visível no código-fonte —, aguardando instruções sobre o que exibir a seguir. Do outro lado, as credenciais enviadas são encaminhadas ao servidor do invasor por meio de um endpoint de login dedicado. O comportamento do kit — consultar imediatamente o tipo de desafio de autenticação após o envio — é consistente com o invasor utilizando essas credenciais no login real do Google paralelamente. O kit contém quatro telas de verificação distintas: para códigos de e-mail, códigos de autenticador, códigos de SMS e solicitações por telefone do Google. Quando o Google solicita ao invasor uma segunda etapa de verificação, o backend informa à página qual tela exibir, e o código-fonte direciona a vítima para a solicitação correspondente com base no valor authType na resposta do servidor. Você vê o que parece ser uma solicitação normal do Google e fornece o código sem pensar duas vezes.

Como essa troca de mensagens ocorre a cada poucos segundos, o invasor pode retransmitir cada solicitação e inserir sua resposta no login real do Google quase instantaneamente. O backend também pode exibir mensagens de erro personalizadas na sua tela. O código verifica se há um campo de erro na resposta do servidor e o exibe diretamente — como “Senha incorreta, tente novamente” — para forçar uma nova tentativa caso algo não funcione do lado deles. Isso transforma o que normalmente seria uma simples captura de credenciais em uma potencial invasão completa da conta, mesmo com a autenticação de dois fatores ativada. Quando você vê a página “Reunião confirmada”, suas credenciais e quaisquer códigos de verificação que você digitou já foram enviados para o servidor do invasor.

Gmail pessoal? Eles não querem isso

Um detalhe revelador: o formulário rejeita endereços @gmail.com com a mensagem “Use seu e-mail profissional ou corporativo” — um filtro que está incorporado no código-fonte. Isso visa especificamente as contas corporativas do Google Workspace. O motivo é simples. Uma conta profissional comprometida é muito mais valiosa, pois pode dar acesso a e-mails da empresa, documentos compartilhados e calendários internos, além de poder ser usada para lançar novos ataques contra colegas de trabalho.

Golpe 2: A página de carreiras da Ferrari que rouba suas Facebook

O kit da Coca-Cola não é um caso isolado. Encontramos uma segunda campanha de phishing — desta vez, fingindo ser da Ferrari — que adota uma abordagem diferente, mas igualmente eficaz.

A página se apresenta como o portal oficial de carreiras da Ferrari. Ela inclui a barra de navegação da empresa, a identidade visual e as seções que se esperaria encontrar na página de recrutamento de uma empresa real — títulos como “Oportunidades de carreira”, “Foco nas pessoas”, “A paixão no centro” e “Excelência”.

Mas a armadilha está no topo da página. Sobreposta à página, há uma janela pop-up informando: “Você foi convidado a se candidatar” a uma vaga na área de marketing. Ela explica que você está acessando a página por meio de um “convite direto por e-mail para agilizar o processo de seleção”. Em seguida, pede que você “Continue com Facebookou insira seu e-mail e uma senha.

Esta janela pop-up falsa apresenta um “convite” para se candidatar a uma vaga na área de marketing na Ferrari.

Esse é o gancho do phishing. Seja clicando no Facebook ou digitando seu e-mail, você é redirecionado para uma página falsa Facebook criada para roubar suas credenciais. A abordagem imita uma técnica comum de phishing via OAuth: muitos portais legítimos de candidaturas a vagas de emprego permitem o login por meio de contas de redes sociais, e é exatamente isso que torna esse golpe tão convincente. Não se pede à vítima que faça nada fora do comum — basta “fazer login com Facebookpara concluir uma candidatura a uma vaga.

Ao contrário da campanha da Coca-Cola — que tinha como alvo contas corporativas do Google Workspace e apresentava um sofisticado kit para contornar a autenticação multifatorial (MFA) —, o golpe da Ferrari tem um alcance mais amplo, visando Facebook . Uma Facebook comprometida pode dar aos invasores acesso a serviços vinculados, mensagens pessoais e informações de identidade que servem de base para novas táticas de engenharia social. Além disso, ela serve de plataforma para a disseminação de golpes aos contatos da vítima.

O ponto em comum entre ambas as campanhas é o isco: o nome de uma empresa de prestígio e a promessa de uma oportunidade de carreira. Num mercado de trabalho onde milhões de pessoas estão procurando emprego ativamente, essa combinação é extremamente eficaz.

Como se proteger

  • Desconfie de ofertas de emprego não solicitadas. Se você não se candidatou à vaga e não conhece o recrutador, não clique no link. Acesse diretamente a página de carreiras da empresa e verifique se a vaga e o recrutador são reais.
  • Saiba como identificar uma janela falsa do navegador:
    • Tente arrastar a “janela pop-up”: uma janela pop-up verdadeira se move livremente para fora da janela principal do navegador, enquanto uma falsa fica presa nas bordas porque faz parte da página.
    • Tente minimizar o navegador: um pop-up verdadeiro permanece na área de trabalho como uma janela separada, enquanto um falso desaparece junto com a página.
    • Observe a barra de URL dentro da janela: ela pode parecer correta, mas é apenas um elemento gráfico. Não é possível clicar nela, selecionar o texto ou digitar um novo endereço, como se faz em um navegador de verdade.
    • Mesmo que a janela pop-up passe nos testes acima, verifique sempre o URL antes de inserir quaisquer credenciais.
  • Nunca digite suas senhas em uma página de agendamento. Serviços legítimos, como o Calendly, não exigem a senha do seu e-mail para marcar uma reunião.
  • Se você já inseriu suas credenciais, altere sua senha do Google imediatamente e revogue todas as sessões em myaccount.google.com > Segurança > Seus dispositivos.

O mercado de trabalho é um terreno fértil para golpistas

Quem está procurando emprego é particularmente vulnerável ao phishing. Você espera receber e-mails de desconhecidos, está acostumado a preencher formulários e está motivado o suficiente pela oportunidade para não questionar uma etapa extra de login. Com a taxa de desemprego nos EUA oscilando entre 4,3% e 4,4% até o início de 2026, centenas de milhares de funcionários federais recentemente demitidos competindo por vagas no setor privado e as contratações em seu ritmo mais baixo em anos, o número de vítimas em potencial nunca foi tão grande. Os golpistas sabem disso e estão investindo esforços significativos para fazer com que suas iscas pareçam legítimas, completas com logotipos reais de empresas, interfaces de reserva profissionais e páginas de login falsas com pixels perfeitos. Esses kits estão ficando melhores mais rápido do que a capacidade de adaptação do instinto da maioria das pessoas.

A melhor proteção não é identificar a fraude — é saber que nenhum processo de contratação legítimo jamais exigirá que você se autentique por meio de uma página desconhecida, seja ela disfarçada de Google, Facebook ou qualquer outra coisa. Em caso de dúvida, feche a aba, acesse você mesmo o site da empresa e candidate-se da maneira tradicional.

Indicadores de Compromisso (IOCs)

Domínio

  • hrguxhellito281[.]onrender[.]com (servidor de back-end)

Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan está envolvido em testes de malware e controle de qualidade de produtos AV desde muito cedo. Como parte da equipe Malwarebytes , Stefan se dedica a proteger os clientes e garantir sua segurança.

ÚLTIMOS ARTIGOS

Notícias
Logotipo do JDownloader

Os invasores substituíram os downloads do instalador do JDownloader por malware

Maio 15, 2026

O site do JDownloader foi invadido e os links para download do instalador distribuíram malware durante vários dias.

IA
Instagram entre o WhatsApp e Instagram

A nova e confusa abordagem da Meta em relação à privacidade no chat

Maio 15, 2026

O WhatsApp agora oferece conversas com IA que desaparecem, e a Meta afirma que não consegue lê-las. Já Instagram remover o recurso que impedia a Meta de ler suas mensagens.

Privacy
Logotipo do Yahoo Mail

Por que Malwarebytes alguns redirecionamentos do Yahoo Mail

Maio 14, 2026

Alguns usuários do Yahoo Mail podem receber Malwarebytes repetidos Malwarebytes devido a conexões em segundo plano com domínios de terceiros suspeitos. Veja o motivo.

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes