A Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, descobriu uma campanha de phishing que explora as próprias ferramentas do Facebook Business para enviar mensagens fraudulentas altamente convincentes em larga escala. Os atacantes criaram páginas comerciais falsas no Facebook e abusaram do recurso de convite comercial para enviar e-mails do domínio legítimo, o facebookmail, tornando-os praticamente impossíveis de serem identificados como maliciosos pelos usuários.
CONTEÚDO RELACIONADO: 68% dos incidentes de cibersegurança começam com erro humano
Em um dos casos, os atacantes enviaram mais de 40 mil e-mails de phishing para mais de 5 mil clientes no mundo, principalmente nos Estados Unidos, Europa, Canadá e Austrália, atingindo setores que dependem fortemente do Facebook para publicidade, como automotivo, educação, imobiliário, hospitalidade e financeiro. Cada e-mail continha um link malicioso disfarçado de notificação legítima do Facebook.
Com mais de 5,4 bilhões de usuários em todo o mundo (segundo a Statista), o Facebook continua sendo a plataforma social mais influente do planeta e um canal de marketing essencial para pequenas e médias empresas. Seu amplo alcance e a força de sua marca o tornam um alvo privilegiado para cibercriminosos, o que significa que, quando uma campanha de phishing explora o nome do Facebook, as consequências podem ser especialmente graves.
Pesquisadores de segurança de e-mail da Check Point Software descobriram essa campanha de phishing, cujo método torna as campanhas extremamente convincentes, contorna diversos filtros de segurança tradicionais e demonstra como os atacantes estão explorando a confiança em plataformas conhecidas.
Como a campanha funciona
O ataque começa quando cibercriminosos criam páginas falsas de empresas no Facebook Business. Essas páginas são modificadas com logotipos e nomes que imitam de perto a identidade visual oficial do Facebook. Depois de criadas, os atacantes utilizam o recurso de convite do Business para enviar e-mails de phishing que parecem ser alertas oficiais do Facebook.
O ponto crucial é que essas mensagens são enviadas a partir do domínio legítimo do facebookmail. A maioria dos usuários é treinada para desconfiar de endereços de remetentes suspeitos, mas, neste caso, os e-mails vêm de um domínio que eles conhecem e confiam. Como resultado, as mensagens de phishing tornam-se muito mais convincentes.
Os e-mails foram elaborados para parecer idênticos às notificações genuínas do Facebook. Eles usavam linguagem urgente, como:
- “Ação necessária: você foi convidado a participar do Programa de Créditos de Publicidade Gratuitos”
- “Convite de Parceiro de Agência Meta”
- “Verificação de conta necessária”
Cada e-mail continha um link malicioso disfarçado de notificação oficial do Facebook. Ao clicar, as vítimas eram redirecionadas para sites de phishing hospedados em domínios como vercel[.]app, criados para roubar credenciais e outras informações confidenciais.
Exemplo de um e-mail real de phishing detectado (imagem: CPR).
PMEs como alvo da campanha
Dados da telemetria da Check Point Software mostram que cerca de 40 mil e-mails de phishing foram enviados à base de clientes. Embora a maioria das organizações tenha recebido menos de 300 mensagens, uma única empresa foi bombardeada com mais de 4,2 mil e-mails. A repetição de assuntos e estruturas quase idênticas sugere uma campanha em massa baseada em modelos, projetada para ampla exposição e altas taxas de cliques, em vez de um ataque direcionado (spear phishing).
A campanha teve como foco principal pequenas e médias empresas (PMEs) e organizações de médio porte, embora algumas companhias grandes e conhecidas também tenham sido afetadas. Esses setores, especialmente os que dependem das plataformas da Meta para engajamento com clientes, são alvos ideais porque seus funcionários costumam receber notificações legítimas do “Meta Business” e, portanto, tendem a confiar mais nessas mensagens.
Uso abusivo de serviços legítimos
Essa campanha reforça uma tendência crescente em que cibercriminosos utilizam serviços legítimos para ganhar confiança e contornar controles de segurança. Embora o volume de e-mails possa sugerir uma abordagem em massa, a credibilidade do domínio do remetente torna essas tentativas muito mais perigosas do que o spam comum.
A campanha destaca várias tendências importantes no cenário de ameaças:
- Exploração da confiança em grandes plataformas: os atacantes estão indo além dos domínios falsificados e agora exploram recursos internos de plataformas amplamente utilizadas. Ao se esconder atrás da infraestrutura legítima do Facebook, ganham credibilidade instantânea.
- Evasão das defesas tradicionais: muitos sistemas de segurança de e-mail dependem fortemente da reputação do domínio e da validação do remetente. Quando mensagens maliciosas se originam de um domínio confiável como facebookmail, essas defesas frequentemente falham.
- Responsabilidade das plataformas: a campanha levanta questões importantes sobre se as grandes empresas de tecnologia estão fazendo o suficiente para evitar o uso indevido de suas ferramentas de negócios. Se os atacantes podem manipular recursos legítimos para lançar ataques de phishing, usuários e organizações permanecem em risco significativo.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X (Twitter).
