São Paulo — InkDesign News — A recente onda de fraudes no mercado de trabalho dos EUA, revelada por um estudo da Sublime Security em 16 de outubro de 2025, expõe uma nova campanha de phishing que se concentra no roubo de credenciais do Facebook através de ofertas de emprego falsas.
Incidente e vulnerabilidade
Pesquisadores identificaram um esquema de phishing baseado em e-mails que usa a promessa de vagas como Gerente de Mídias Sociais para atrair as vítimas. O ataque envolve a imitação de marcas respeitáveis, como KFC, Ferrari e Red Bull, bem como a utilização de modelos de linguagem (LLM) para gerar mensagens personalizadas rapidamente. O falseamento é realizado a partir de um link de segurança falso que, ao ser acionado, leva o usuário a uma página com visual semelhante ao Glassdoor, onde são solicitados credenciais do Facebook. Após uma tentativa de login frustrada, os usuários são confrontados por uma tela falsa de login do Facebook, onde suas credenciais são coletadas.
A metodologia utilizada sugere que os golpistas se utilizaram de um modelo automatizado para otimizar o lançamento dos ataques.
(“The methodology remained the same across all emails, which suggests the scammers used a template or an LLM to quickly launch a varied wave of attacks.”)— Bryan Campbell, Autor do relatório, Sublime Security
Impacto e resposta
A exploração deste vetor de ataque pode resultar na exfiltração de dados sensíveis, afetando não apenas as credenciais do Facebook, mas também proporcionando acesso a contas vinculadas. As medidas de contenção incluem análises detalhadas de e-mails suspeitos e revisões constantes de protocolos de segurança, mas muitos usuários ainda caem na armadilha devido ao desejo por oportunidades profissionais.
Esses esquemas são eficazes porque oferecem oportunidades excessivamente atraentes para as vítimas.
(“Such scams are effective because they offer opportunities too enticing to pass up.”)— Bryan Campbell, Autor do relatório, Sublime Security
Mitigações recomendadas
Recomenda-se que as organizações adotem padrões rigorosos de verificação de e-mails e URLs, assegurando que correspondências provenientes de nomes conhecidos sejam devidamente autenticadas. Além disso, é crucial implementar políticas de conscientização para os colaboradores sobre as melhores práticas ao manusear e-mails e links. Manter sistemas atualizados e proteger contas com autenticação em duas etapas também reduz a probabilidade de sucessos em tentativas de phishing.
Apesar das medidas de segurança em constante evolução, o risco de fraudes digitais persiste, exigindo vigilância contínua e adaptabilidade das organizações diante das ameaças emergentes.
Fonte: (Hack Read – Segurança Cibernética)
