Plataformas de emprego são usadas por cibercriminosos para roubo de dados

A procura de emprego tornou-se cada vez mais digital, mas esta transição trouxe um aumento expressivo dos riscos de cibersegurança para quem está ativo no mercado de trabalho.

De acordo com dados recentes da Kaspersky, entre julho de 2024 e junho de 2025, foram detetados mais de 6 milhões de ataques disfarçados de comunicações legítimas em plataformas de emprego e ferramentas de trabalho, como LinkedIn, Indeed, Glassdoor e Fiverr.

Estes ataques exploram a urgência e a vulnerabilidade dos candidatos para roubar dados pessoais, credenciais ou instalar malware através de esquemas sofisticados de engenharia social.

Neste artigo, explicamos como os cibercriminosos atuam nestes ambientes, quais os sinais de alerta para que os candidatos se protejam e quais as melhores práticas recomendadas pela Kaspersky para reduzir o risco, incluindo o recurso educativo “Case 404”, um jogo interativo que simula cenários reais de ciberameaças.

Como os cibercriminosos exploram as plataformas de emprego

A Kaspersky identificou que estes invasores combinam técnicas de engenharia social com imitação das plataformas para maximizar o sucesso dos ataques:

• Criação de páginas de phishing que replicam o design e os fluxos de login de sites reconhecidos como LinkedIn, Indeed, Glassdoor e Fiverr, solicitando o login para prosseguir com a candidatura ou validação da conta.
• Envio de convites falsos para entrevistas com prazos curtos, pressionando os candidatos a responderem rapidamente sem validar a origem.
• Distribuição de anexos e links maliciosos nomeados de forma credível, como “teste técnico”, “briefing da vaga” ou “detalhes salariais”, que instalam malware ou recolhem informações pessoais.
• Emails fraudulentos pedindo atualização ou instalação de softwares de videoconferência, que na verdade descarregam malware.
• Exploração de dispositivos pessoais usados sem segmentação entre ambientes profissional e pessoal, permitindo a persistência do ataque de forma oculta.

Estes ataques resultam no roubo de credenciais e dados pessoais sensíveis, possibilitando infiltrações em sistemas críticos, fraudes de identidade e ataques dirigidos subsequentes.

Os sinais de alerta

• URLs que imitam os oficiais, mas apresentam domínios estranhos ou subdomínios suspeitos.
• Pedidos de login fora dos domínios legítimos das plataformas.
• Anexos suspeitos em formatos como ZIP, EXE, IMG ou HTML.
• Requisições antecipadas de dados sensíveis, como documentos pessoais, IBAN ou códigos de autenticação multifator.
• Mensagens que usam pressão de tempo ou tom alarmista para forçar decisões rápidas.

Boas práticas para candidatos e freelancers

• Confirmar a validade das ofertas no site oficial da empresa e verificar o domínio do remetente; navegar manualmente até à vaga, evitando links recebidos.
• Usar palavras-passe distintas para cada serviço, preferencialmente com gestão mediante software e ativação da autenticação multifator.
• Instalar aplicações apenas em dispositivos pessoais seguros, manter sistemas atualizados e utilizar proteções de endpoint; usar VPN quando em redes públicas.
• Criar perfis de utilizador separados para candidaturas, evitando misturar ambientes pessoal e profissional.
• Enviar documentos sensíveis apenas quando necessário e controlar permissões de acesso.
• Recusar instalações de softwares não oficiais em entrevistas e exigir convites oficiais via plataformas reconhecidas.

Ferramenta educativa “Case 404”

A Kaspersky disponibiliza o “Case 404”, um jogo interativo que desafia os utilizadores a identificar ameaças em contextos reais do dia a dia digital, incluindo phishing e outras fraudes relacionadas à procura de emprego. É uma ferramenta útil para candidatos, freelancers e equipas de recrutamento melhorarem a sua capacidade de deteção e resposta.

Conclusão

Segundo a Kaspersky, a digitalização da procura de emprego oferece vantagens, mas exige cuidados redobrados para evitar ataques sofisticados. Com validação rigorosa das ofertas, higiene digital apurada, ambiente seguro e treino prático, é possível aproveitar as oportunidades online sem comprometer a segurança pessoal e profissional.

Outros artigos interessantes:

• Como receber encomendas nas férias sem complicações
• DeepSeek recorre à Nvidia após falha da Huawei
• Parceria Europol ESET reforça combate ao cibercrime