Campanha de phishing impacta mais de 5 mil empresas via Facebook
Por Jaqueline Sousa • Editado por Jones Oliveira |
Uma investigação da Check Point Research identificou uma nova campanha de phishing, que afeta empresas que usam o Facebook para publicidade.
- Novo golpe faz você pagar em dobro pela sua reserva no Booking e Airbnb
- Vida dupla: especialistas em cibersegurança são presos por aplicar golpes
Até o momento, mais de 5 mil companhias foram prejudicadas pelo envio de cerca de 40 mil e-mails que continham links maliciosos. A campanha foi detectada em diferentes localidades do mundo, entre elas Estados Unidos, Canadá, Austrália e países da Europa, o que surpreendeu os especialistas por usar o domínio oficial da rede da Meta.
A tática tem como principal objetivo o roubo de credenciais e dados sigilosos de empresas, sendo que uma delas chegou a receber mais de 4 mil e-mails fraudulentos. Instituições nos setores automotivo, educacional, imobiliário, hoteleiro e financeiro foram os mais impactados pela campanha.
E-mails que parecem legítimos
A pesquisa identificou que, para colocar a campanha na ativa, os cibercriminosos criaram páginas falsas de empresas no Facebook que não existiam de verdade. Dessa maneira, os hackers tinham acesso a recursos do Meta Business Suite para enviar e-mails que, por trás da falsa aparência de legitimidade, traziam links maliciosos.
Como os golpistas camuflavam o ataque usando o domínio legítimo da Meta, as notificações falsas chegavam às empresas de maneira aparentemente verídica, o que abria portas para a concretização do esquema de phishing. Segundo os especialistas, é justamente essa confiabilidade que traz problemas.
“Esses setores, particularmente aqueles que dependem de plataformas Meta para o engajamento do cliente, são alvos ideais porque seus funcionários frequentemente recebem notificações reais do Meta Business, portanto são mais propensos a confiar nessas mensagens”, explica a Check Point Research.
Para piorar a situação para as empresas, os e-mails apostaram na engenharia social para levar um senso de urgência às vítimas, sob o falso pretexto de verificação da conta, o que incentva ações impulsivas sem que o usuário percebesse que estava sendo influenciado negativamente.
De acordo com o instituto de pesquisa, a campanha mostra como os cibercriminosos conseguem burlar sistemas de segurança de empresas para aplicar golpes, um problema grave quando isso é feito usando a imagem da própria companhia.
"Embora o volume de e-mails possa sugerir uma abordagem indiscriminada, a credibilidade do domínio do remetente torna essas tentativas de phishing muito mais perigosas do que o spam comum”, eles alertam.
Leia também:
- Agendas do Google e Microsoft são alvos de phishing com convites falsos
- "Precisa de ajuda?" Novo malware tem até vídeo tutorial para te guiar no golpe
- Smishing e Vishing: o phishing que chega por SMS e ligação de voz
Fonte: The Register