A procura por um emprego pode ser bastante difícil, pois muitas empresas estão congelando as contratações ou não estão contratando tanto quanto antes. Além disso, com as muitas demissões recentes, há mais candidatos a emprego no mercado.

Ainda assim, isso não significa que as empresas pararam de anunciar vagas de emprego: as vagas congeladas podem permanecer como "vagas fantasmas", mesmo que a empresa não esteja procurando ninguém em particular.

O problema, no entanto, é que as vagas falsas que dizem ser anunciadas por empresas legítimas também estão saturando os portais de emprego. Além disso, esses anúncios podem parecer muito autênticos, pois os golpistas chegam ao ponto de construir a personalidade e a vida profissional de um recrutador ou de uma pessoa de RH roubando dados reais.

Por quê? Como sempre, o objetivo final desses golpes é usar os dados coletados para algum tipo de benefício monetário ou de outra natureza. E, embora os golpistas possam ser espertos, não é impossível identificá-los.

Criando identidades falsas

Conforme explicado em uma postagem anterior do WeLiveSecurity produzida por Daniel Cunha Barbosa, as pessoas geralmente revelam muitas informações sobre si mesmas na Internet, especialmente em sites como o LinkedIn, que serve tanto como um serviço de rede social profissional quanto como um portal de empregos. Isso pode facilitar a obtenção de dados por criminosos, seja comprando credenciais de contas que vazaram ou fazendo um pouco de web scraping.

Por exemplo, ferramentas de inteligência de código aberto (OSINT) podem facilmente ajudar a coletar dados de perfis de pessoas e atividades on-line. Softwares como o Maltego ajudam a descobrir informações sobre pessoas ou empresas na Internet, permitindo que qualquer pessoa se conecte e rastreie informações que se relacionam entre sites, contas, e-mails, locais e muito mais.

Maltego

Imagem 1. Informações que o Maltego pode mapear. Veja como podem ser amplas as conexões com uma única pessoa (Fonte: Sol Gonzalez/WeLiveSecurity).

Como resultado, a criação de perfis destinados a enganar com empregos falsos para coletar mais dados a fim de cometer mais crimes, como o comprometimento de e-mails comerciais ou vários ataques de engenharia social, ficou mais fácil do que nunca.

Por outro lado, com as ferramentas OSINT, as pessoas podem verificar o quanto estão expostas on-line, portanto, elas também têm uma aplicação positiva, especialmente para os profissionais de segurança, que podem usá-las para descobrir informações sobre possíveis ameaças que podem prejudicar as posturas de segurança daqueles que eles protegem.

Como identificar um anúncio de emprego falso

Qual é a aparência de um anúncio de emprego falso? Depende, pois os recrutadores falsos podem enviar uma mensagem direta aos candidatos a emprego e incluir um link ou anexo malicioso na mensagem ou no e-mail. Além dessas mensagens, há também ofertas de emprego falsas em portais de recrutamento, o que faz com que as vagas pareçam mais reais.

Além disso, no início do processo de inscrição, os recrutadores falsos podem até solicitar informações sobre contas bancárias ou números de previdência social, o que deve disparar um alarme.

Portanto, para confirmar se você está prestes a interagir com uma oferta genuína, é melhor verificar:

  • Se a empresa e a pessoa existem: nome da empresa, endereço, registro, presença on-line e possíveis notícias.
  • Os perfis de rede social da empresa/recrutador e procure por erros gramaticais, datas de corte estranhas em suas publicações e falta de atividade on-line consistente (perfis falsos podem não ter uma presença on-line regular a longo prazo).
  • Se ele tiver feedback de pessoas reais, recomendações de empregadores e colegas anteriores, certificações, reações genuínas próprias às postagens de outros, etc., você pode verificar se ele tem um perfil de sucesso. Quanto mais postagens o recrutador tiver em outros fóruns, maior será a probabilidade de serem reais.

Pequenos erros também podem fazer a diferença. Os golpistas geralmente recriam páginas de empregos de empresas para parecerem mais autênticas, mas essas páginas também podem ter algumas qualidades discerníveis.

  • Segurança do site: as páginas da Web falsas podem não ter o certificado HTTPS, o que pode ser um sinal de um site inseguro e mal-intencionado.
  • Links: eles podem ter muitos sinais reveladores, como erros de ortografia. Além disso, os links não levam você necessariamente ao mesmo local especificado, portanto, antes de clicar, passe o mouse sobre o link e verifique o local pretendido na dica de ferramenta na parte inferior esquerda da janela do navegador, conforme mostrado na imagem abaixo.
Linkhover

Imagem 2. Ao passar o mouse sobre um link, você verá a página de destino no canto inferior esquerdo.

  • Imagem 2. Ao passar o mouse sobre um link, você verá a página de destino no canto inferior esquerdo.
  • Perguntas suspeitas: nenhuma empresa pedirá a você o número da sua conta bancária, o número do seguro social, o número do documento de identidade ou algo semelhante durante uma entrevista de emprego. A menos que já esteja empregado (e tenha se reunido com representantes de RH verificados), você não deve fornecer essas informações.
  • Erros de digitação: os sites falsos podem ter muitos erros de digitação ou gramaticais, problemas de estilo ou alterações deliberadas de caracteres que podem passar despercebidos a princípio (usar "0racle" em vez de "Oracle", por exemplo).
  • Reputação: Sempre que possível, faça uma verificação rápida do domínio em um site como who.is ou ScamAdviser.com, que fornecerá a você informações úteis sobre o registro do site, a idade e muito mais.
ScamAdvisercombined

Imagem 3. O ScamAdviser mostra uma descrição breve e detalhada do motivo pelo qual você deve confiar em um site.

Dicas básicas de segurança

Qualquer discussão sobre proteção contra golpes de emprego deve ser mais do que unilateral.

Em primeiro lugar, para evitar ser vítima de falsificação de identidade, restrinja suas configurações de privacidade nos quadros de empregos (ou sites de redes sociais em geral), se você puder, e nunca envie voluntariamente informações de identificação pessoal on-line, inclusive contas visíveis publicamente. Conforme mencionado acima, ao fazer isso, será muito mais fácil criar um perfil sobre você usando ferramentas OSINT e de web scraping.

No LinkedIn, por exemplo, você pode configurar se deseja que seu perfil seja público ou privado (visível apenas para outros usuários do LinkedIn), bem como quem pode ver seu sobrenome completo e outras informações.

Em segundo lugar, nunca forneça seus dados sem verificar seu possível empregador. É muito fácil você cair em uma falsa oferta de emprego, mas um sinal revelador pode ser tão simples quanto um anúncio de emprego conciso ou uma presença on-line irregular.

Em terceiro lugar, desconfie de e-mails ou mensagens aleatórias com ofertas de emprego de contas não verificadas ou de aparência duvidosa.

Por fim, se uma oferta parecer muito tentadora (por exemplo, se oferecer um salário acima da média, mas não exigir a experiência necessária), é provável que seja um golpe.

Em suma, a probabilidade de alguém se deparar com uma oferta de emprego falsa é alta, portanto, preste atenção e tente manter-se seguro na Internet pelo maior tempo possível.