Uma nova e preocupante tática de engenharia social está chamando atenção: o golpe do "falso recrutamento". Ao contrário do phishing tradicional, em que a vítima é levada a clicar em links maliciosos, essa nova abordagem envolve conversas reais com criminosos que se passam por recrutadores ou gestores de grandes empresas.
Os golpistas entram em contato via e-mail ou redes como LinkedIn, apresentam oportunidades atrativas de emprego e conduzem um processo seletivo completo — com entrevistas, formulários e até testes técnicos. No final, solicitam o download de um "software corporativo" para acesso a sistemas internos, que na verdade é um malware disfarçado.
Esse tipo de ataque tem sido usado por grupos avançados, como o Lazarus (ligado à Coreia do Norte), e tem como alvo profissionais de tecnologia, finanças e setores estratégicos. A armadilha é tão bem executada que muitos profissionais só percebem que foram enganados quando a segurança de sua empresa já foi comprometida.
O perigo não está apenas na invasão de máquinas individuais. Ao infectar dispositivos de colaboradores, os atacantes ganham acesso a redes corporativas, podendo roubar dados, realizar movimentações laterais e aplicar ransomwares de alto impacto.
Dica de Prevenção
Se você recebe uma proposta de trabalho inesperada, verifique cuidadosamente o domínio do e-mail, pesquise o nome do recrutador no LinkedIn e nunca instale softwares enviados por terceiros sem validação. Para empresas, é fundamental conscientizar colaboradores e aplicar políticas rígidas de segurança de endpoints.
Ataques como esse mostram que o elo mais fraco — ou mais visado — continua sendo o humano. A LC SEC oferece treinamentos, testes de engenharia social e consultoria em segurança para proteger sua equipe. Saiba mais em lcsec.io
Compartilhe nas redes sociais:
