Victor Bianchin
RedatorVictor Bianchin é jornalista.
Sempre que um desenvolvedor participa de uma entrevista de emprego, precisa passar por um teste técnico. A rotina parece clara: demonstrar suas habilidades de programação e avançar no processo seletivo. No entanto, por trás dessas dinâmicas comuns, esconde-se um risco que muitos não haviam considerado: ciberataques que se aproveitam do contexto dessas entrevistas para roubar dados sensíveis.
Os cibercriminosos aperfeiçoaram suas técnicas, usando processos de seleção aparentemente legítimos para enganar até os mais experientes e ter acesso a um valioso conjunto de dados.
O golpe na oferta de emprego
Neste ponto, provavelmente não resta ninguém que nunca tenha recebido uma ligação do InfoJobs, Indeed, ou qualquer outra suposta plataforma de emprego, informando que seu currículo foi selecionado para uma vaga. Obviamente, trata-se de um golpe do qual as próprias plataformas se desvincularam.
É o que podemos considerar um "phishing em massa", em que o objetivo é aumentar as chances de roubar dados ampliando a base de potenciais vítimas. No entanto, o desenvolvedor de software David Dodda alerta em seu blog sobre um ataque bem mais elaborado do qual quase foi vítima: um ataque seletivo a especialistas em informática disfarçado na prova técnica de uma entrevista de emprego. Como ele relata em primeira pessoa, "estive a 30 segundos de executar malware na minha máquina".
Dodda é programador freelancer com vários anos de experiência e recebeu uma oferta inesperada pelo LinkedIn que o convidava a trabalhar meio período numa startup dedicada ao desenvolvimento de software. "Parecia legítimo. Então aceitei a chamada", afirmou o desenvolvedor. O perfil da empresa no LinkedIn parecia legítimo, apresentava publicações anteriores, funcionários, atividade recente e tudo o que é verificável na plataforma. O mesmo ocorria com a pessoa que o havia contatado.
Depois de marcar a entrevista, seu contato lhe enviou uma prova técnica "para adiantar" antes da entrevista. Algo rotineiro para qualquer desenvolvedor, especialmente em processos nos quais se espera avaliar a competência prática antes da conversa com o recrutador. Essa aparente normalidade da oferta e a aceitação da prova técnica reforçam o clima de confiança — um dos elementos mais explorados em campanhas de engenharia social destinadas a enganar candidatos.
O material técnico do teste também não despertou suspeitas no desenvolvedor. Antes de executar o código, ele o revisou com atenção, corrigindo alguns defeitos numa prova sem maiores dificuldades para um programador experiente como ele. No entanto, justamente quando estava prestes a executá‑lo, e quase por hábito profissional, “tive um daqueles momentos paranoicos de desenvolvedor”. O especialista decidiu pedir ao seu assistente de IA Cursor que revisasse o código. A surpresa foi enorme.
“Integrado entre funções administrativas legítimas, pronto para ser executado com todos os privilégios do servidor ao acessar as rotas de administração”, assim descreveu o desenvolvedor o trecho de malware pronto para rodar em sua máquina.
Caminho livre para todos os seus dados
A primeira fase do malware foi desenhada para extrair informação crítica: senhas, arquivos pessoais, credenciais de sistemas e acesso às carteiras de criptomoedas.
Mas o alcance do ataque ia muito além dos dados pessoais da vítima. Segundo um relatório da consultoria Unit 42, as máquinas dos desenvolvedores hospedam dados de servidores e projetos de terceiros, o que multiplica o valor do ataque caso a fraude tenha sucesso. Em alguns casos analisados, o código malicioso utilizava trechos aparentemente legítimos e portas traseiras em Python para garantir ao atacante um acesso remoto sem restrições.
De acordo com o site Telefónica Tech, o objetivo principal desses ataques não é captar dados básicos de usuários comuns, mas sim acessar recursos de alto valor gerenciados por programadores em atividade. O golpe é estruturado em várias fases, explorando elementos como urgência, pressão psicológica e a confiança gerada durante o processo seletivo.
Os testes técnicos, especialmente quando exigidos sob pressão de tempo, podem levar os candidatos a ignorar etapas de segurança que normalmente seguiriam em um ambiente mais tranquilo. Dessa forma, os atacantes conseguem um caminho direto para ativos como documentos confidenciais, acessos a servidores de clientes e criptomoedas. Segundo análises da Securonix, esses métodos vêm evoluindo desde 2022, com ataques direcionados e persistentes a alvos relevantes em ambientes profissionais.
Imagem | Unsplash (Joan Gamell)
Este texto foi traduzido/adaptado do site Xataka Espanha.
Ver 0 Comentários