Siga o Olhar Digital no Google Discover
Tudo sobre Facebook
Um novo tipo de golpe tem explorado ferramentas do Meta Business (antigo Facebook Business) para enviar mensagens fraudulentas altamente convincentes. Os criminosos criam páginas comerciais falsas e usam o recurso de convite comercial para enviar e-mails do domínio legítimo “facebookmail.com”, tornando-os praticamente impossíveis de serem identificados como maliciosos pelos usuários.
Em um dos casos, os golpistas enviaram mais de 40 mil e-mails de phishing para mais de cinco mil clientes no mundo (principalmente nos Estados Unidos, Europa, Canadá e Austrália, atingindo setores que dependem fortemente do Facebook para publicidade, como automotivo, educação, imobiliário, hospitalidade e financeiro). Cada e-mail continha um link malicioso disfarçado de notificação legítima do Facebook.
Com mais de 5,4 bilhões de usuários em todo o mundo, o Facebook continua sendo a plataforma social mais influente do planeta e um canal de marketing essencial para pequenas e médias empresas. Seu amplo alcance e a força da marca o tornam um alvo privilegiado para cibercriminosos.
Como a campanha funciona
Segundo uma análise da Check Point Software, o ataque começa quando cibercriminosos criam páginas falsas de empresas no Facebook Business. Essas páginas são modificadas com logotipos e nomes que imitam a identidade visual oficial do Facebook. Depois de criadas, os golpistas utilizam o recurso de convite do Business para enviar e-mails de phishing que parecem ser alertas oficiais do Facebook.
O ponto crucial é que essas mensagens são enviadas a partir do domínio legítimo “facebookmail.com”. A maioria dos usuários é treinada para desconfiar de endereços de remetentes suspeitos, mas, neste caso, os e-mails vêm de um domínio que eles conhecem e confiam. Como resultado, as mensagens de phishing tornam-se muito mais convincentes.
Os e-mails foram elaborados para parecer idênticos às notificações genuínas do Facebook. Eles usavam linguagem urgente, como:
- “Ação necessária: você foi convidado a participar do Programa de Créditos de Publicidade Gratuitos”
- “Convite de Parceiro de Agência Meta”
- “Verificação de conta necessária”
Cada e-mail continha um link malicioso disfarçado de notificação oficial do Facebook. Ao clicar, as vítimas eram redirecionadas para sites de phishing hospedados em domínios como “vercel.app”, criados para roubar credenciais e outras informações confidenciais.
Leia mais:
- Golpe faz você pagar em dobro pela sua reserva
- LinkedIn vira alvo de campanha de phishing que engana com login da Microsoft
- Microsoft é a marca mais usada para ataques de phishing no mundo
Público-alvo
Cerca de 40 mil e-mails de phishing foram enviados à base de clientes, de acordo com dados da telemetria da Check Point Software. Embora a maioria das organizações tenha recebido menos de 300 mensagens, uma única empresa foi bombardeada com mais de 4,2 mil e-mails.
A repetição de assuntos e estruturas quase idênticas sugere uma campanha em massa baseada em modelos, projetada para ampla exposição e altas taxas de cliques, em vez de um ataque direcionado (técnica conhecida como spear phishing).
A campanha teve como foco principal pequenas e médias empresas (PMEs) e organizações de médio porte, embora algumas companhias grandes e conhecidas também tenham sido afetadas. Esses setores, especialmente os que dependem das plataformas da Meta para engajamento com clientes, são alvos ideais porque seus funcionários costumam receber notificações legítimas do Meta Business e, portanto, tendem a confiar mais nessas mensagens.
O que fazer
Embora seja essencial que plataformas como o Facebook corrijam essas lacunas de segurança, organizações e indivíduos também devem adotar medidas proativas para reduzir riscos:
- Educar os usuários: o treinamento e a conscientização deve ir além da identificação de domínios suspeitos. Funcionários e usuários precisam aprender a questionar solicitações incomuns, mesmo que venham de fontes confiáveis;
- Implementar detecção avançada: soluções de segurança devem incorporar análise comportamental e detecção baseada em IA que consigam identificar atividades suspeitas mesmo quando as mensagens parecem legítimas;
- Habilitar autenticação de múltiplos fatores (MFA): credenciais roubadas continuam sendo o principal objetivo de campanhas de phishing. A MFA garante que, mesmo que as credenciais sejam comprometidas, os atacantes não consigam facilmente acessar os sistemas;
- Verificar remetente e URL: sempre confirme se há inconsistências de domínio (por exemplo, marca da Meta com links que não pertencem à Meta);
- Evitar clicar em links em e-mails não solicitados: acesse diretamente sua conta Meta Business ou Facebook pelo site oficial.
O Olhar Digital pediu um posicionamento sobre o assunto para a Meta. E vai incluí-lo nesta matéria, caso chegue.