Segurança para empresas de recrutamento e headhunting
Sua base de candidatos é um dos maiores repositórios de dados pessoais que existe — e a sua marca é a isca preferida do golpe de falsa vaga. Veja como a Decripte derruba os domínios falsos, blinda a plataforma e protege os currículos sob a LGPD.
Resposta direta
Para proteger uma empresa de recrutamento e headhunting, combine quatro frentes que atacam os riscos reais do setor: (1) monitoramento contínuo de impersonação de marca para detectar e derrubar domínios, perfis e páginas de falsa vaga que abusam do seu nome; (2) pentest da plataforma de candidatos para fechar falhas de autenticação, IDOR e exposição de currículos antes que sejam exploradas; (3) adequação à LGPD com base legal, minimização, retenção e resposta a incidentes para a base massiva de PII; e (4) SOC 24x7 para detectar account takeover de recrutadores, scraping automatizado e exfiltração de dados em tempo real. O caminho prático é começar pelo diagnóstico gratuito de Gestão de Ameaças em decripte.io/free, que já mapeia sua superfície exposta e procura domínios falsos usando a sua marca, e evoluir para os planos de Detecção de Impersonação, Pentest, Conformidade LGPD e SOC conforme o risco identificado.
24/7
SOC monitorando a plataforma e a marca
<=1h
SLA de contenção em Resposta a Incidentes
LGPD
Tratamento de PII em massa exige base legal e DPO
OWASP
Pentest cobre Top 10 e API Security
Em resumo
- ›A base de currículos é um repositório concentrado de dados pessoais (PII) e dados potencialmente sensíveis, o que coloca a empresa de recrutamento na categoria de controlador de alto risco sob a LGPD.
- ›O golpe de falsa vaga usa a credibilidade da sua marca para aplicar fraudes em candidatos: o dano reputacional é seu, mesmo quando a infraestrutura do golpe está fora do seu controle.
- ›A defesa eficaz combina derrubada (takedown) de domínios falsos, blindagem técnica da plataforma e governança de dados — nenhuma frente isolada resolve.
- ›Scraping e account takeover de recrutadores são vetores silenciosos: drenam a base sem disparar alarme óbvio, e por isso exigem detecção comportamental contínua via SOC.
- ›Na Decripte a entrada é self-service: o diagnóstico gratuito em decripte.io/free já procura impersonação da sua marca e mapeia a superfície exposta antes de qualquer contratação.
Cibersegurança para Recrutamento e Headhunting
Sua base de candidatos é um dos maiores repositórios de dados pessoais que existe — e a sua marca é a isca preferida do golpe de falsa vaga. Veja como a Decripte derruba os domínios falsos, blinda a plataforma e protege os currículos sob a LGPD.
Por que recrutamento e headhunting são alvos preferenciais
Uma empresa de recrutamento opera, na prática, um dos maiores bancos de dados pessoais de toda a economia. Cada candidato entrega voluntariamente nome completo, CPF, endereço, telefone, e-mail, histórico profissional, pretensão salarial, foto e, frequentemente, dados que a LGPD classifica como sensíveis — origem racial, filiação sindical, condição de saúde declarada em processos de inclusão, e até dados de menores em programas de jovem aprendiz. Essa concentração transforma a plataforma de recrutamento em um alvo de altíssimo valor: o atacante não precisa invadir mil empresas para obter o perfil completo de milhares de profissionais; basta comprometer uma única base de currículos.
Some-se a isso a natureza do negócio. O recrutamento é, por definição, uma operação de confiança pública: você publica vagas, recebe candidatos desconhecidos, troca mensagens, pede documentos e marca entrevistas com pessoas que nunca viu. Esse fluxo legítimo é exatamente o que o golpe de falsa vaga imita. O fraudador não precisa quebrar a sua segurança — ele clona a sua identidade visual, registra um domínio parecido e abusa da credibilidade que a sua marca levou anos para construir. O candidato é a vítima direta; a sua reputação é a vítima colateral.
O que está em jogo na base de candidatos
- ›PII em massa: CPF, RG, endereço, telefone, e-mail de dezenas de milhares de pessoas
- ›Dados de carreira: histórico, salário, motivos de saída — material valioso para engenharia social
- ›Dados sensíveis eventuais: saúde, origem, filiação, dados de menores (LGPD art. 5º, II e art. 14)
- ›Documentos anexados: cópias de identidade, comprovantes, diplomas escaneados
- ›Comunicações: mensagens entre recrutador e candidato, frequentemente com dados adicionais
A consequência regulatória é direta. Sob a LGPD, a empresa de recrutamento é controladora desses dados e responde perante a ANPD por incidentes de segurança que possam acarretar risco ou dano relevante aos titulares. Um vazamento de base de currículos não é apenas um problema de TI: é um evento que aciona o dever de comunicação à autoridade e aos titulares, expõe a empresa a sanções administrativas e — talvez o mais corrosivo — destrói a confiança que sustenta o relacionamento com candidatos e com empresas-clientes.
As quatro ameaças que mais atingem o setor
Vazamento massivo de currículos e PII
O vazamento pode vir de fora (exploração de uma falha na plataforma) ou de dentro (recrutador com acesso amplo que exporta a base, ou um terceiro/integração mal configurada). Como o dado de recrutamento é estruturado e completo, ele alimenta diretamente mercados de fraude: abertura de contas, golpes de falso emprego direcionados, spear phishing usando o histórico profissional real da vítima. O agravante regulatório é que muitos currículos contêm dados sensíveis, elevando o patamar de risco exigido pela LGPD.
Golpe de falsa vaga com impersonação de marca
É o vetor mais característico do setor. O fraudador registra um domínio typosquatting (troca de letra, hífen, TLD diferente), clona a página de carreiras, ou cria perfis falsos em redes sociais e apps de mensagem usando o seu nome e logo. A vítima é convidada para uma 'vaga', passa por uma 'entrevista' e, na sequência, é induzida a pagar uma taxa de cadastro, comprar equipamento, fornecer dados bancários ou clicar em links de malware. O dano à marca é imediato e o atacante frequentemente hospeda a fraude em plataformas gratuitas (subdomínios de hospedagem, encurtadores) que typosquatting puro não detecta.
Por que o golpe de falsa vaga é tão difícil de combater sozinho
O atacante raramente toca a sua infraestrutura. Ele opera em domínios e plataformas de terceiros, o que torna o monitoramento de typosquatting clássico insuficiente: muita fraude vive em netlify.app, vercel.app, pages.dev, perfis de WhatsApp Business ou anúncios pagos. Detectar exige varredura de Certificate Transparency por palavra-chave da marca, probe de hospedagem compartilhada com checagem HTTP real e monitoramento de menções — e, depois de detectar, é preciso executar o takedown junto a registradores, provedores e plataformas.
Scraping da base de candidatos e account takeover de recrutadores
Concorrentes, agregadores ou atores maliciosos automatizam o acesso à sua plataforma para extrair currículos em volume. O scraping é silencioso por design: imita tráfego legítimo, distribui requisições por muitos IPs e raramente dispara o alarme óbvio de uma intrusão. Já a conta de um recrutador é uma chave-mestra: dá acesso a buscas amplas, exportação de listas e comunicação com candidatos sob o nome da empresa. Credenciais reutilizadas e vazadas em outros serviços, phishing direcionado e ausência de MFA tornam o account takeover de recrutadores um caminho rápido tanto para vazamento quanto para uso da conta legítima em golpes de falsa vaga 'de dentro'.
Sinais de que a sua operação está exposta
- ✓Candidatos relatam 'vagas' ou 'taxas' que a sua empresa nunca ofereceu
- ✓Login de recrutadores sem MFA obrigatório e sem detecção de credencial vazada
- ✓Endpoints de busca e exportação sem rate limiting nem detecção de comportamento anômalo
- ✓Base de currículos sem política de retenção: dados de anos atrás ainda ativos
- ✓Sem inventário de quem acessa, exporta e compartilha a base de candidatos
- ✓Nenhum monitoramento de domínios ou perfis falsos usando a sua marca
Os dados de recrutamento e headhunting já estão expostos ou à venda? Descubra agora — de graça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Detecção e derrubada de impersonação de marca
O coração da defesa de uma empresa de recrutamento é saber, antes do candidato, que existe um clone da sua marca circulando. A Decripte monitora continuamente a superfície de impersonação combinando várias fontes para não cair na armadilha de detectar só o typosquatting óbvio.
Como a Decripte detecta o golpe de falsa vaga
- ›Certificate Transparency por palavra-chave: varredura de logs de emissão de certificados (crt.sh) buscando o nome da marca em domínios recém-criados, mesmo quando não são variações tipográficas óbvias
- ›Probe de hospedagem compartilhada: checagem HTTP real para distinguir um clone hospedado de um falso positivo de DNS wildcard, pegando fraude em netlify.app, vercel.app, pages.dev e similares
- ›Monitoramento de menções e perfis: redes sociais, apps de mensagem e marketplaces de emprego onde o golpe se apresenta como 'recrutador oficial'
- ›Typosquatting e variações de TLD: a camada clássica, ainda necessária, de domínios parecidos com o seu
Detectar é metade do trabalho. A outra metade é o takedown: a Decripte conduz a derrubada acionando registradores, provedores de hospedagem, plataformas e CERTs com a documentação técnica e jurídica adequada, e acompanha até a remoção efetiva. Em paralelo, orienta a comunicação com candidatos para reduzir o dano enquanto a infraestrutura fraudulenta é desativada.
Capacidade comprovada da plataforma
O motor de detecção de impersonação da Decripte já identificou fraudes hospedadas em plataformas gratuitas que o typosquatting puro não pegaria — exatamente o padrão do golpe de falsa vaga. A varredura de Certificate Transparency por palavra-chave combinada com probe de hospedagem real é o que diferencia detectar um domínio parecido de detectar a fraude que está efetivamente no ar.
Blindagem técnica da plataforma de candidatos
De nada adianta derrubar clones externos se a plataforma que guarda os currículos tem uma porta aberta. O pentest da Decripte trata a aplicação de recrutamento como o alvo de alto valor que ela é, com foco nos vetores que mais expõem PII em massa.
O que o pentest de plataforma de recrutamento cobre
- ✓IDOR e quebra de controle de acesso: trocar o ID de um candidato na URL ou na API e ler o currículo de outra pessoa — a falha número um em plataformas de dados pessoais
- ✓Autenticação e gestão de sessão: força do login de recrutadores, MFA, rotação de token, fixation, recuperação de senha
- ✓API Security (OWASP API Top 10): endpoints de busca e exportação sem autorização adequada, excesso de exposição de dados, ausência de rate limiting
- ✓Injeções e upload: SQLi, XSS armazenado em campos de currículo, e upload de anexos (currículo em PDF/DOC) como vetor de execução
- ✓Exposição de dados em respostas: campos sensíveis retornados além do necessário, vazando em endpoints públicos ou semi-públicos
- ✓Controles anti-scraping: rate limiting, detecção de automação e proteção dos endpoints de busca em massa
O pentest segue metodologia reconhecida (OWASP Top 10 para web e OWASP API Security Top 10 para as interfaces que sustentam apps e integrações), e entrega não só a lista de vulnerabilidades, mas a priorização por risco real ao negócio e o acompanhamento da correção — porque encontrar a falha é só o começo; o valor está em fechá-la sem reabrir outra.
O endpoint mais perigoso do recrutamento
A busca e a exportação de candidatos são, ao mesmo tempo, a função central do produto e o maior risco. Um endpoint de busca sem rate limiting e sem detecção de comportamento é um convite ao scraping; um endpoint de exportação sem autorização granular é um vazamento esperando para acontecer. O pentest da Decripte trata esses dois pontos como prioridade absoluta no setor.
Conformidade LGPD para base massiva de currículos
Recrutamento é, sob a LGPD, uma das atividades que mais exige rigor de governança, porque trata grande volume de dados pessoais de titulares com quem nem sempre há contrato — o candidato que não foi contratado também é titular e tem direitos. A Decripte estrutura a conformidade de forma prática, ligando a exigência legal ao controle técnico que a implementa.
Pilares da adequação LGPD no recrutamento
- ›Base legal e finalidade: definir a base de tratamento (consentimento, legítimo interesse, execução de contrato) e a finalidade específica de cada coleta, evitando uso de currículo além do propósito declarado
- ›Minimização: coletar só o necessário ao processo seletivo, especialmente cuidado com dados sensíveis (saúde, origem, filiação) e dados de menores (art. 14)
- ›Retenção e descarte: política de prazo para currículos de processos encerrados, com descarte ou anonimização — manter base infinita é passivo, não ativo
- ›Direitos dos titulares: fluxo para atender acesso, correção, eliminação e portabilidade dos candidatos
- ›Resposta a incidentes e comunicação à ANPD: procedimento para avaliar risco e cumprir o dever de comunicação ao titular e à autoridade quando o incidente puder gerar risco ou dano relevante
- ›Registro de operações e encarregado (DPO): documentação do tratamento e ponto focal de privacidade exigido pela lei
A conformidade não vive isolada da segurança técnica: a LGPD exige medidas de segurança aptas a proteger os dados, e é justamente o pentest, o SOC e a detecção de impersonação que materializam esse dever. A Decripte trata governança e técnica como faces da mesma adequação, e não como projetos separados que nunca conversam.
Precisão regulatória
O dever de comunicar incidentes à ANPD e aos titulares decorre da LGPD (Lei 13.709/2018) e é regulamentado pela ANPD. O critério não é qualquer incidente, mas aquele que possa acarretar risco ou dano relevante aos titulares — o que, em uma base massiva de currículos com PII e eventuais dados sensíveis, tende a ser exatamente o caso. Por isso ter o procedimento pronto antes do incidente é parte da conformidade, não um luxo.
Quanto custaria um incidente em recrutamento e headhunting? Veja o seu risco real antes que ele aconteça.
Sem cartão, sem compromisso. Descubra em minutos o que já vazou da sua empresa e qual é o seu risco real.
Monitoramento contínuo: SOC 24x7 para recrutamento
Scraping e account takeover não acontecem em horário comercial nem disparam um alarme único e óbvio. São padrões — picos de requisição na busca, login de recrutador de um país inesperado, exportações em volume atípico, acesso a centenas de perfis em minutos. Detectar isso exige correlação contínua, e é para isso que serve o SOC 24x7 da Decripte.
O que o SOC vigia na operação de recrutamento
- ✓Comportamento anômalo de scraping: volume e padrão de acesso aos endpoints de busca e perfil
- ✓Account takeover de recrutadores: login geográfico improvável, credencial vazada em terceiros, sessão suspeita, MFA contornado
- ✓Exfiltração: exportações em massa, downloads atípicos de anexos, acesso fora do padrão do recrutador
- ✓Sinais de impersonação: novos domínios e perfis usando a marca, integrados ao monitoramento de borda
- ✓Eventos de borda: WAF e proteção anti-DDoS alimentando o SOC com tentativas de exploração da plataforma
Quando o SOC detecta algo que escala para incidente, entra a Resposta a Incidentes com SLA de contenção de até uma hora. No recrutamento, essa velocidade é decisiva: a diferença entre conter um account takeover na primeira hora e descobri-lo dias depois é a diferença entre um susto e um vazamento da base inteira de candidatos com dever de comunicação à ANPD.
Como tudo se conecta na prática
As frentes não são produtos avulsos: elas se reforçam. A detecção de impersonação alimenta o SOC com indicadores; o pentest fecha as portas que o SOC, de outro modo, teria que vigiar eternamente; a conformidade LGPD transforma os achados técnicos em governança defensável; e a Resposta a Incidentes garante que, quando algo passar, o estrago seja contido em minutos, não em dias.
O caminho self-service da Decripte
Começar não exige reunião nem proposta. O diagnóstico gratuito de Gestão de Ameaças em decripte.io/free já varre a sua superfície exposta e procura domínios e perfis falsos usando a sua marca — o vetor número um do setor de recrutamento. A partir do que ele encontra, você evolui para os planos pagos em /planos no ritmo do risco real, contratando Detecção de Impersonação, Pentest, Conformidade e SOC diretamente, sem intermediário.
O resultado é uma postura de segurança que protege os três ativos que sustentam uma empresa de recrutamento: a base de candidatos (o dado), a plataforma (a operação) e a marca (a confiança). Perder qualquer um dos três é perder o negócio; protegê-los de forma integrada é o que a Decripte entrega.
Anatomia ilustrativa: o golpe de falsa vaga que sequestrou uma marca de recrutamento
Cenário ilustrativo
Cenário ilustrativo, não baseado em cliente real. Uma empresa de recrutamento e headhunting de médio porte, com base de cerca de 80 mil currículos e dezenas de recrutadores ativos, começa a receber mensagens de candidatos confusos: eles dizem ter sido 'aprovados' em uma vaga e estão sendo cobrados por uma 'taxa de cadastro' e equipamentos. A empresa nunca cobrou nada de candidato. Um domínio quase idêntico ao oficial, com o logo clonado e uma página de carreiras falsa, está aplicando golpes em nome da marca — e parte das vítimas teve dados pessoais coletados no processo. Em paralelo, a equipe de segurança nota um pico anômalo de requisições no endpoint de busca de candidatos.
Detecção
O monitoramento de impersonação da Decripte já havia sinalizado, via Certificate Transparency por palavra-chave, a emissão de um certificado para um domínio typosquatting da marca. O probe de hospedagem confirmou uma página de carreiras clonada no ar em um provedor gratuito. Simultaneamente, o SOC 24x7 correlacionou o pico de acessos ao endpoint de busca como padrão de scraping automatizado, e identificou o login de um recrutador a partir de um IP geograficamente improvável — indício de account takeover.
Contenção
Dentro do SLA de até 1 hora, a Resposta a Incidentes isolou a conta de recrutador comprometida, forçou rotação de credenciais e ativou MFA obrigatório para toda a equipe. Na borda, regras de rate limiting e detecção de automação foram aplicadas aos endpoints de busca e exportação para estancar o scraping, sem bloquear ASN ou IP inteiros (evitando falsos positivos contra candidatos legítimos).
Erradicação
A Decripte iniciou o takedown do domínio falso e da página clonada, acionando registrador, provedor de hospedagem e CERT com a documentação técnica e jurídica. O pentest emergencial da plataforma identificou um endpoint de exportação sem autorização granular e uma falha de IDOR na visualização de perfis — ambos corrigidos para fechar a porta que viabilizava o scraping em massa.
Recuperação
Com o domínio falso derrubado e a plataforma corrigida, a empresa restabeleceu a operação normal de recrutamento. Uma comunicação clara foi enviada aos candidatos esclarecendo que a empresa jamais cobra taxas e indicando os canais oficiais, reduzindo o dano reputacional e o risco de novas vítimas.
Avaliação de incidente LGPD
A Decripte conduziu a avaliação de risco do incidente sob a LGPD. Como houve exposição de dados pessoais de candidatos no golpe e acesso indevido via a conta comprometida, foi estruturada a documentação e o procedimento de comunicação à ANPD e aos titulares conforme o critério de risco ou dano relevante, com registro completo das operações de tratamento afetadas.
Estruturação e lições
O incidente virou programa: monitoramento contínuo de impersonação, MFA e detecção de credencial vazada para recrutadores, rate limiting permanente nos endpoints sensíveis, política de retenção da base de currículos e o SOC 24x7 vigiando scraping, ATO e novas tentativas de impersonação. A empresa saiu com governança LGPD documentada e uma superfície muito menor.
Desfecho com a Decripte
O domínio falso foi derrubado, a conta comprometida recuperada e o scraping estancado — tudo orquestrado pela Decripte, da detecção via SOC e Certificate Transparency à correção da plataforma via pentest e à governança LGPD. Mais importante: a empresa passou de uma postura reativa, descobrindo o golpe pelos candidatos, para uma postura proativa, em que a marca, a plataforma e a base de candidatos são monitoradas continuamente. O ponto de partida desse tipo de proteção é o diagnóstico gratuito em decripte.io/free.
Não espere o incidente acontecer. Comece a blindar recrutamento e headhunting hoje mesmo.
Comece pelo diagnóstico gratuito agora e veja em minutos o que já vazou. SOC 24x7 e contenção em até 1h nos planos pagos.
Como a Decripte responde a um incidente no setor de recrutamento
Quando um golpe de falsa vaga, um vazamento de currículos ou um account takeover de recrutador acontece, a velocidade e a sequência da resposta definem o tamanho do dano. A Decripte segue um fluxo estruturado, com SLA de contenção de até 1 hora.
- Detecção e triagem: o SOC 24x7 e o monitoramento de impersonação identificam o evento — domínio falso no ar, pico de scraping, login anômalo de recrutador — e classificam a severidade e o escopo do que pode ter sido afetado.
- Contenção imediata: isolamento de contas comprometidas, rotação de credenciais, ativação de MFA, e aplicação de rate limiting e regras de borda para estancar scraping ou exfiltração — tudo dentro do SLA de até 1 hora.
- Takedown da impersonação: derrubada coordenada dos domínios, páginas e perfis falsos junto a registradores, provedores, plataformas e CERTs, com acompanhamento até a remoção efetiva.
- Erradicação técnica: pentest direcionado para encontrar e fechar a falha que viabilizou o incidente — IDOR, endpoint de exportação sem autorização, ausência de rate limiting, upload malicioso.
- Avaliação de incidente sob a LGPD: análise de risco ou dano relevante aos titulares e preparação da comunicação à ANPD e aos candidatos afetados, com registro das operações de tratamento envolvidas.
- Recuperação e comunicação: restabelecimento da operação normal e comunicação clara aos candidatos sobre canais oficiais e ausência de cobrança, para reduzir o dano reputacional e novas vítimas.
- Lições aprendidas e hardening: transformação do incidente em controles permanentes — monitoramento contínuo, política de retenção, MFA obrigatório, anti-scraping — para que a mesma porta não se abra de novo.
- Relatório executivo e técnico: documentação completa do incidente, da resposta e das recomendações, defensável perante a ANPD, a diretoria e as empresas-clientes.
Como a Decripte estrutura a segurança de uma empresa de recrutamento
Resposta a incidente apaga o fogo; estruturação evita o próximo. A Decripte monta a defesa do recrutamento em pilares que protegem os três ativos do negócio — a base de candidatos, a plataforma e a marca.
Vigilância da marca e detecção de impersonação
Monitoramento contínuo de domínios, páginas e perfis falsos que abusam do seu nome, combinando Certificate Transparency por palavra-chave, probe de hospedagem compartilhada e monitoramento de menções — com takedown coordenado quando a fraude aparece.
Blindagem da plataforma de candidatos
Pentest recorrente da aplicação e das APIs, com foco em IDOR, controle de acesso, autenticação de recrutadores, segurança de exportação e busca, e proteção dos endpoints contra scraping, seguindo OWASP Top 10 e API Security Top 10.
Governança de dados e conformidade LGPD
Base legal, minimização, política de retenção e descarte da base de currículos, atendimento aos direitos dos titulares, registro de operações e procedimento pronto de comunicação à ANPD — ligando cada exigência legal ao controle técnico que a implementa.
Detecção e resposta contínua (SOC 24x7)
Monitoramento ininterrupto de scraping, account takeover de recrutadores e exfiltração, com correlação de eventos de borda e plataforma, e acionamento da Resposta a Incidentes com SLA de contenção de até 1 hora quando algo escala.
Segurança de identidade e acesso
MFA obrigatório para recrutadores, detecção de credenciais vazadas em terceiros, princípio do menor privilégio no acesso à base e controle granular sobre quem pode buscar, exportar e compartilhar currículos.
Proteção de borda
WAF e mitigação de DDoS protegendo a plataforma e os endpoints de busca, com rate limiting calibrado para barrar automação sem bloquear candidatos legítimos, alimentando o SOC com a telemetria das tentativas de exploração.
Planos recomendados para Recrutamento e Headhunting
Detecção de Impersonação de marca
O golpe de falsa vaga é a ameaça que mais atinge o recrutamento: o monitoramento contínuo detecta domínios e perfis falsos usando a sua marca e a Decripte conduz o takedown antes que mais candidatos sejam vitimados.
Ver plano →Pentest
A plataforma de candidatos guarda PII em massa; o pentest fecha IDOR, falhas de exportação/busca e controles de acesso que viabilizam vazamento e scraping da base, seguindo OWASP.
Ver plano →Conformidade
Tratar grande volume de currículos exige base legal, retenção, direitos dos titulares e procedimento de comunicação à ANPD; a adequação LGPD torna a operação defensável e reduz o risco de sanção.
Ver plano →SOC 24x7
Scraping e account takeover de recrutadores são silenciosos e acontecem fora do horário comercial; o SOC vigia comportamento anômalo 24/7 e aciona a contenção em até 1 hora.
Ver plano →Perguntas frequentes
Recebi relatos de candidatos sobre uma 'vaga' que minha empresa nunca abriu. O que faço?
Isso é o clássico golpe de falsa vaga com impersonação da sua marca. O caminho é detectar a infraestrutura fraudulenta (domínio, página, perfil), derrubá-la via takedown e comunicar os candidatos sobre os canais oficiais. O diagnóstico gratuito em decripte.io/free já procura domínios e perfis falsos usando a sua marca, e o plano de Detecção de Impersonação cuida do monitoramento contínuo e da derrubada.
Uma empresa de recrutamento precisa mesmo se adequar à LGPD?
Sim, e de forma rigorosa. A LGPD (Lei 13.709/2018) trata você como controladora de uma base massiva de dados pessoais, frequentemente com dados sensíveis e até de menores. Isso exige base legal, minimização, política de retenção, atendimento aos direitos dos titulares e procedimento de comunicação à ANPD em caso de incidente com risco relevante. O plano de Conformidade da Decripte estrutura tudo isso ligado aos controles técnicos.
Como sei se minha plataforma de candidatos tem falhas que expõem currículos?
As falhas mais comuns são IDOR (acessar o currículo de outro candidato trocando um ID), endpoints de exportação sem autorização adequada e busca sem rate limiting. A única forma de saber é testar: o Pentest da Decripte avalia a plataforma e as APIs seguindo OWASP Top 10 e API Security Top 10, prioriza por risco e acompanha a correção.
Como detectar scraping da minha base de candidatos?
Scraping imita tráfego legítimo e distribui requisições, então não dispara um alarme óbvio. A detecção exige monitoramento de comportamento nos endpoints de busca e perfil — volume, padrão e velocidade de acesso — feito pelo SOC 24x7, combinado a rate limiting na borda calibrado para não bloquear candidatos reais.
O que é account takeover de recrutador e por que é grave?
É quando um atacante assume a conta de um recrutador, geralmente via credencial vazada ou phishing. A conta dá acesso a buscas amplas, exportação da base e comunicação com candidatos em nome da empresa — podendo ser usada para vazamento ou para aplicar golpes 'de dentro'. A defesa é MFA obrigatório, detecção de credencial vazada e o SOC vigiando login anômalo.
Preciso falar com um vendedor para começar?
Não. A Decripte é 100% self-service. Você começa grátis pelo diagnóstico de Gestão de Ameaças em decripte.io/free, que já mapeia sua superfície exposta e procura impersonação da sua marca, e contrata os planos pagos diretamente em /planos no ritmo do risco identificado.
Se eu sofrer um vazamento de currículos, qual é o prazo de resposta?
A Resposta a Incidentes da Decripte tem SLA de contenção de até 1 hora a partir do acionamento. No recrutamento, essa velocidade é decisiva: conter um account takeover ou um vazamento na primeira hora é a diferença entre um susto e a perda da base inteira de candidatos com dever de comunicação à ANPD.
Combato o golpe de falsa vaga só com registro de domínios parecidos?
Não basta. Boa parte da fraude vive em plataformas gratuitas (subdomínios de hospedagem, perfis de mensageria, anúncios) que o monitoramento de typosquatting puro não enxerga. A Decripte combina Certificate Transparency por palavra-chave, probe de hospedagem real e monitoramento de menções para detectar a fraude que está efetivamente no ar — não só domínios tipograficamente parecidos.
Termos do setor
- Golpe de falsa vaga (job scam)
- Fraude em que o criminoso se passa por uma empresa de recrutamento legítima — clonando marca, domínio e página de carreiras — para enganar candidatos, coletar dados pessoais ou cobrar taxas e equipamentos inexistentes.
- IDOR (Insecure Direct Object Reference)
- Falha de controle de acesso em que um usuário consegue acessar dados de outro apenas alterando um identificador na URL ou na requisição — por exemplo, ler o currículo de outro candidato trocando um ID. É um dos vetores mais críticos em plataformas de dados pessoais.
- Account takeover (ATO)
- Tomada de controle de uma conta legítima por um atacante, geralmente via credenciais vazadas ou phishing. No recrutamento, o ATO de um recrutador dá acesso à base de candidatos e à comunicação sob a marca da empresa.
- Scraping
- Extração automatizada de dados de uma plataforma por meio de requisições em massa que imitam tráfego legítimo. No recrutamento, é usado para drenar a base de currículos de forma silenciosa e contínua.
- Certificate Transparency (CT)
- Logs públicos de certificados TLS emitidos na internet. Varrê-los por palavra-chave da marca permite detectar domínios falsos recém-criados que abusam do nome da empresa, mesmo quando não são variações tipográficas óbvias do domínio oficial.
- Takedown
- Processo de derrubada de uma infraestrutura fraudulenta — domínio, página ou perfil falso — acionando registradores, provedores de hospedagem, plataformas e CERTs com a documentação técnica e jurídica necessária até a remoção efetiva.
A Decripte protege e responde a incidentes no setor de recrutamento e headhunting.
Pentest, SOC 24x7, resposta a incidentes com SLA de contenção de 1 hora e conformidade — sem você montar um time interno. Ou comece de graça vendo o que já vazou da sua empresa.