Uma nova campanha de phishing está se passando por mais de 30 marcas conhecidas, como Adobe, Netflix e Coca-Cola, visando profissionais de marketing para roubar credenciais de contas do Google. Os atacantes utilizam a plataforma legítima PeopleForce e um domínio associado ao Salesforce Marketing Cloud para redirecionar as vítimas a uma página de captura maliciosa. Para aumentar a credibilidade, os e-mails de phishing usam nomes e fotos de recrutadores reais das empresas impersonadas. A análise de Will Thomas, da Team Cymru, revelou que a campanha utiliza pelo menos 34 domínios, abrangendo setores como aviação, alimentos, vestuário e tecnologia. Os e-mails, que inicialmente usavam endereços do Outlook, solicitam que as vítimas agendem entrevistas, levando-as a uma página que imita o login do Google. Embora não esteja claro como os atacantes acessaram as plataformas legítimas, a possibilidade de criação de contas genuínas ou uso de logins comprometidos é considerada. A operação já está em andamento há pelo menos cinco meses, destacando a necessidade de vigilância constante contra esse tipo de ameaça.
Fonte: https://www.bleepingcomputer.com/news/security/phishing-poses-as-big-brand-job-interview-to-steal-google-accounts/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
06/07/2026 • Risco: ALTO
PHISHING
Campanha de phishing finge ser marcas famosas para roubar credenciais
RESUMO EXECUTIVO
A campanha de phishing em questão representa uma ameaça significativa para empresas que utilizam serviços de marketing digital e recrutamento, podendo resultar em sérios danos financeiros e de reputação. A utilização de plataformas legítimas para conduzir ataques aumenta a dificuldade de detecção e resposta.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a vazamentos de dados e comprometimento de contas.
Operacional
Roubo de credenciais do Google de profissionais de marketing.
Setores vulneráveis
['Marketing', 'Tecnologia', 'Varejo']
📊 INDICADORES CHAVE
Mais de 30 marcas conhecidas sendo impersonadas.
Indicador
Uso de pelo menos 34 domínios diferentes.
Contexto BR
Campanha em andamento por pelo menos cinco meses.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se há e-mails suspeitos relacionados a agendamentos de entrevistas.
2
Implementar treinamentos de conscientização sobre phishing para os funcionários.
3
Monitorar continuamente as tentativas de phishing e as credenciais de acesso dos funcionários.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das credenciais de seus funcionários, pois ataques de phishing podem levar a vazamentos de dados e comprometer a segurança organizacional.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).