Golpistas usam e-mail oficial do Facebook para roubar contas

Má notícia para quem administra páginas do Facebook Ads para pequenos e grandes negócios: e-mails de phishing altamente convincentes estão sendo enviados para essas pessoas, aproveitando-se de mecanismos da própria rede social para fazer parecer que a comunicação realmente está vindo da empresa.

• O que é phishing e como se proteger?
• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes

Pesquisadores da Check Point Research descobriram que os golpistas usam a ferramenta de convite do Facebook Business para mandar mensagens de golpe que vêm do domínio @facebookmail.com, legítimo e, portanto, dificilmente percebido por filtros antispam e instintos humanos.

Facebook Business e os golpes

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Segundo a telemetria da Check Point, cerca de 40 mil e-mails de phishing foram enviados para aproximadamente 5 mil usuários pelo mundo, abarcando locais como Austrália, Canadá, Europa e Estados Unidos. O modelo das mensagens era simples, com assuntos como “Verificação de Conta Necessária” ou “Convite para parceria Meta Agency”.

Ao clicar no link providenciado no e-mail, no entanto, a vítima era enviada a páginas que roubavam suas credenciais, hospedadas em domínios como vercel.app. Os golpistas criaram páginas de negócios falsas, com logos e nomes que imitam o branding da marca em questão, usando, então, o convite Business para enviar as mensagens, algo que a Check Point testou e confirmou.

Os alvos são, no geral, empresas que dependem da Meta para seu marketing, como mercado automotivo, educacional, corretoras, hotéis e instituições financeiras. Tais organizações costumam receber notificações da Meta com frequência, confiando no remetente automaticamente. Uma das companhias afetadas chegou a receber mais de 4.200 mensagens, enquanto a maioria não recebeu mais do que 300.

Isso indica um ataque menos focado, sendo uma campanha massiva de mensagens enviadas para o maior número possível de usuários de anúncios. Para se proteger, convém usar autenticação por duas ou mais etapas na conta Business Suite, verificar convites pela Home do Business Support ou ajuda da Meta antes de clicar em links e desconfiar de e-mails da empresa até confirmar sua autenticidade por outros métodos.

Leia mais:

• 10% do lucro da Meta vem de fraudes e produtos ilegais, revelam documentos
• Logitech confirma ataque hacker e admite que dados de clientes vazaram
• Ciberataque na Jaguar Land Rover causou prejuízo de R$ 1,3 bilhão

VÍDEO | Meta IA no WhatsApp: PERIGOSO ou não?

Fonte: Check Point Research