2026-06-08 00:00
← VoltarA Five Eyes – a aliança de partilha de informações que une os Estados Unidos, a Austrália, o Canadá, a Nova Zelândia e o Reino Unido – alerta que a China tem como alvo indivíduos associados à aliança para aceder a informações sensíveis ou classificadas. De acordo com o aviso, os atores chineses estão a aproveitar o LinkedIn, o Even e o Upwork para se passarem por consultores de recursos humanos, publicarem empregos ilegítimos e pressionarem os candidatos a fornecerem informações sensíveis. Os alvos potenciais deste comportamento incluem: Titulares de credenciação de segurança Pessoal militar Indivíduos indirectamente ligados a informações governamentais (tais como jornalistas ou trabalhadores de grupos de reflexão) A Embaixada da China em Londres condenou este alerta como falso. Líderes de segurança avaliam Mika Aalto, cofundador e CEO da Hoxhunt: Os melhores ataques de engenharia social não pedem às vítimas que acreditem em algo impossível. Eles pedem que acreditem em algo que já desejam que seja verdade. Os golpes de recrutamento são particularmente eficazes porque incluem espionagem, fraude e roubo de credenciais como oportunidades de carreira que um profissional já está considerando. Vimos algumas dessas campanhas se estenderem por vários pontos de contato, incluindo várias rodadas de entrevistas com maus atores que empregam tecnologia deepfake para parecerem recrutadores e gerentes de contratação legítimos. Quando uma vítima é solicitada a compartilhar informações...
A Five Eyes – a aliança de partilha de informações que une os Estados Unidos, a Austrália, o Canadá, a Nova Zelândia e o Reino Unido – alerta que a China tem como alvo indivíduos associados à aliança para aceder a informações sensíveis ou classificadas. De acordo com o aviso, os atores chineses estão a aproveitar o LinkedIn, o Even e o Upwork para se passarem por consultores de recursos humanos, publicarem empregos ilegítimos e pressionarem os candidatos a fornecerem informações sensíveis. Os alvos potenciais deste comportamento incluem: Titulares de credenciação de segurança Pessoal militar Indivíduos indirectamente ligados a informações governamentais (tais como jornalistas ou trabalhadores de grupos de reflexão) A Embaixada da China em Londres condenou este alerta como falso. Líderes de segurança avaliam Mika Aalto, cofundador e CEO da Hoxhunt: Os melhores ataques de engenharia social não pedem às vítimas que acreditem em algo impossível. Eles pedem que acreditem em algo que já desejam que seja verdade. Os golpes de recrutamento são particularmente eficazes porque incluem espionagem, fraude e roubo de credenciais como oportunidades de carreira que um profissional já está considerando. Vimos algumas dessas campanhas se estenderem por vários pontos de contato, incluindo várias rodadas de entrevistas com maus atores que empregam tecnologia deepfake para parecerem recrutadores e gerentes de contratação legítimos. Quando uma vítima é solicitada a compartilhar informações confidenciais, concluir uma tarefa de pesquisa ou transferir a conversa para outra plataforma, ela geralmente investiu tempo e confiança significativos no processo.
Em muitos aspectos, esses ataques se assemelham aos clássicos golpes de confiança. O invasor não está criando confiança em uma única interação. Eles estão construindo um relacionamento ao longo do tempo e explorando as ambições, conhecimentos e aspirações profissionais de uma pessoa. Quando uma oportunidade parece um próximo passo natural em sua carreira, é muito mais fácil ignorar os pequenos sinais de alerta que, de outra forma, poderiam levantar suspeitas. Hoje, as pessoas devem abordar oportunidades de recrutamento não solicitadas com o mesmo cuidado que aplicam a e-mails suspeitos. Se uma função parecer extraordinariamente atraente ou envolver solicitações de informações confidenciais, verifique a oportunidade por meio dos canais oficiais da empresa. Entre em contato diretamente com a organização, confirme se o recrutador é real e valide de forma independente com quem você está falando. Numa era de conteúdo gerado por IA, deepfakes e personificação profissional, não podemos mais nos dar ao luxo de considerar a identidade pelo valor nominal.
Matthew Hartman, Diretor de Estratégia do Merlin Group: Estes avisos sublinham uma tática que temos visto repetidamente por parte de intervenientes estatais: utilizar plataformas profissionais de confiança para identificar e cultivar alvos com acesso a informações valiosas. Quer você esteja no governo, na academia ou no setor privado, o recrutamento não solicitado deve ser abordado com ceticismo saudável. As organizações devem garantir que os funcionários compreendem como as campanhas de engenharia social evoluem de conversas aparentemente benignas para esforços de recolha de informações. Maxime Cartier, Vice-Presidente de Risco Humano da Hoxhunt: Golpes de recrutamento altamente direcionados como esses estão se tornando mais fáceis de executar e mais difíceis de detectar. Ferramentas de IA facilmente disponíveis ajudam os invasores a pesquisar alvos, personalizar as comunicações e se passar por organizações legítimas de forma convincente em grande escala. Os ataques mais sofisticados contêm chamadas de voz e videoconferência falsas altamente confiáveis, que podem realmente diminuir suas defesas. Globalmente, estamos a assistir a um aumento de fraudes de recrutamento personalizado que atingem funcionários através do LinkedIn e de e-mails corporativos. É importante notar que eles podem ser eficazes para contornar filtros de spam porque o link do e-mail inicial pode não ser malicioso.
O que torna os golpes de recrutamento particularmente eficazes é que eles exploram emoções positivas, em vez de medo, e se agarram a um cenário real de progressão na carreira. Por exemplo, muitos analistas do sector público e militares podem de facto planear candidatar-se a um emprego no sector privado com salários mais elevados. meu trabalho. Enquanto os ataques de phishing tradicionais criam urgência ou ansiedade, os golpes de recrutamento oferecem oportunidades, prestígio, progressão na carreira e recompensa financeira. Quando alguém é abordado sobre uma oportunidade de consultoria, um projeto de pesquisa ou uma função sênior que se alinha com sua experiência, sua reação natural é se envolver e não suspeitar. Temos visto campanhas cada vez mais sofisticadas em que os invasores passam semanas ou até meses construindo credibilidade. Em alguns casos, as vítimas passaram por diversas rodadas de entrevistas, interagiram com sites convincentes de empresas e falaram com indivíduos que usaram tecnologia deepfake para se passar por funcionários reais. No momento em que é solicitada informação sensível, a vítima muitas vezes sente que já estabeleceu uma relação profissional legítima.