Com o uso de ferramentas de inteligência de código aberto (OSINT), criminosos recolhem informações pessoais de usuários, candidatos e recrutadores nas redes sociais
Uma nova dificuldade se soma à tarefa de procurar trabalho. Cibercriminosos estão usando ferramentas de inteligência de código aberto para a aquisição de informações pessoais de candidatos para o oferecimento de vagas falsas de trabalho. A ESET, empresa líder na detecção proativa de ameaças, alerta que tais anúncios, que saturam os portais de empregos, podem parecer muito autênticos, já que os golpistas chegam ao ponto de construir personalidade e vida profissional de um recrutador ou gestor de RH, a partir do roubo de dados reais.
As ferramentas de inteligência de código aberto (OSINT) podem ajudar facilmente a coletar dados dos perfis e atividades online das pessoas. Programas como o Maltego ajudam a descobrir informações on-line sobre pessoas ou empresas, permitindo que qualquer pessoa se conecte e rastreie relacionamentos entre sites, contas, e-mails, locais e muito mais. “Os usuários costumam revelar muita informação pessoal na Internet, especialmente em sites como o LinkedIn, que funciona tanto como um serviço de rede social profissional quanto como um portal de empregos. Isso pode facilitar a obtenção de dados pelos criminosos, seja comprando credenciais de contas vazadas ou raspagem da web. A construção de perfis destinados a enganar para coletar dados e cometer crimes mais graves, como compromisso de e-mail comercial ou vários ataques de engenharia social, fica mais fácil do que nunca”, comenta Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
A ESET alerta que a forma de detectar uma oferta de emprego falsa depende de vários motivos. Os falsos recrutadores podem enviar uma mensagem direta aos candidatos a emprego e incluir um link malicioso ou um anexo na mensagem ou e-mail. Somam-se a essas mensagens ofertas de emprego falsas em portais de recrutamento, o que faz com que as vagas pareçam mais reais. Além disso, no início do processo de inscrição, as pessoas falsas podem perguntar informações de conta bancária ou números de segurança social, que devem chamar a atenção de quem se candidata. Para confirmar se uma oferta é autêntica, o primeiro passo é checar a existência de empresa e do recrutador pesquisando endereços, registros, presença na internet e possíveis novidades. Perfis de mídia social falsos de empresas e recrutadores costumam ter erros gramaticais, datas estranhas em suas postagens e falta de atividade on-line consistente.
Quanto mais reações de pessoas reais, recomendações de empregadores e colegas anteriores, certificações, reações genuínas às postagens de outras pessoas e participações em outros fóruns forem verificadas, maior será a probabilidade do perfil ser real.
Golpistas geralmente recriam portais de trabalho da empresa reconhecida por gerar confiança, mas essas páginas também podem conter alguns detalhes que indicam falsificação, como a ausência de segurança do site. Páginas falsas podem não ter o certificado HTTPS, o que pode ser um sinal de um endereço inseguro e malicioso. Links, por sua vez, podem ter sinais reveladores de falsificação, como erros ortográficos, além de não levarem ao local especificado. Portanto, antes de clicar, deve-se passar o mouse sobre o endereço para checagem de que se trata do endereço correto.
Deve-se atentar a perguntas suspeitas. Empresas não solicitam conta bancária, número do seguro social, identidade ou similar durante uma entrevista de emprego. A menos que já seja um colaborador que tenha se reunido anteriormente com a equipe de RH verificada, essa informação não deve ser fornecida. Além disso, a verificação de domínio em um site como o ScamAdviser.com, que fornece informações úteis sobre o cadastro do site e tempo de atividade, é ferramenta útil na checagem da reputação do endereço.
Para evitar ser vítima de roubo de identidade, a ESET recomenda restringir as configurações de privacidade nos painéis de empregos (ou nas redes sociais em geral) e não enviar voluntariamente informações de identificação pessoal on-line, incluindo quaisquer contas visíveis publicamente. Dessa forma, é muito mais fácil construir um perfil falso usando OSINT e ferramentas de web scraping. No LinkedIn, por exemplo, pode-se configurar o perfil como público ou privado (visível apenas para outros usuários da rede), bem como quem pode ver o sobrenome completo e outras informações.
Além disso, não se deve em nenhuma hipótese fornecer informações sem verificar o potencial empregador. É fácil cair em uma oferta de emprego falsa, mas um sinal de golpe pode ser tão simples quanto um anúncio de emprego básico ou uma presença on-line irregular. Além disso, é necessário cuidado com e-mails aleatórios ou mensagens com ofertas de emprego provenientes de contas com aparência não verificada ou não confiável.
Finalmente, se uma oferta parecer demasiado tentadora (por exemplo, se oferecer um salário acima da média, mas não exigir experiência), é provável que seja uma fraude. A ESET alerta que a probabilidade de alguém se deparar com uma oferta de emprego falsa é elevada, por isso o segredo é prestar atenção e tentar manter-se ciberseguro.