Pesquisadores da Check Point, multinacional de softwares de segurança de TI, descobriram que cibercriminosos estão enviando golpes por meio de emails oficiais do Facebook devido a uma brecha na plataforma. Os atacantes se disfarçam de páginas oficiais da rede sociais e utilizam o sistema de convites para enganar as vítimas e dificultar a detecção.
Tudo começa quando os criminosos criam páginas falsas de negócios no Facebook e imitam empresas reais, copiando o logo e o nome. Um dos casos mais comuns é imitar alguns próprios serviços da Meta, como o Meta Agency Partner, que oferece selos de reconhecimento para companhias que atendem certas métricas de desempenho.
Táticas de golpes normais iriam atrás dos emails oficiais das vítimas e enviariam mensagens golpistas de phishing. Esse golpe, no entanto, usa a ferramenta de convite de negócios do Meta Business Suite para disparar emails com títulos chamativos de “Verificação de conta necessária”, ou “Convite de parceria da Agência Metas”.
Como tecnicamente as mensagens chegam por um canal oficial do Facebook pelo email “@facebookmail.com”, as vítimas não desconfiam de que se trata de um golpe. Ao clicar nos links exibidos, as pessoas param em um site falsificado, feito especialmente para roubar suas credenciais de acesso, como o login e a senha.
Mais de 40 mil emails golpistas foram disparados
Como aponta a análise da Check Point, essa campanha criminosa é massiva e atinge usuários de diversos países. Dados de telemetria estimam que mais de 40 mil emails de phishing foram enviados para algo em torno de cinco mil pessoas em todo o mundo, incluindo os Estados Unidos, Canadá, Austrália e o continente europeu.
- As vítimas são aquelas que dependem do Meta para realizar seu marketing;
- Setores como o automotivo, de educação, imobiliário, hoteleiro e financeiro são os mais visados pelos cibercriminosos;
- O motivo é que essas categorias regularmente recebem notificações verdadeiras do Meta;
- Uma das empresas afetadas recebeu mais de 4.200 mensagens falsas;
O objetivo dos criminosos é atingir o maior número de pessoas, pois assim a tendência é que mais vítimas cliquem nos links e tenham seus dados roubados; - Esse tipo de golpe, além de apelar para engenharia social, usa uma ferramenta legítima e teoricamente protegida pela Meta;
- Uma pesquisa da Microsoft demonstrou que os ataques de phishing correspondem a 35% dos métodos de invasão utilizados por golpistas.
A Check Point recomenda que donos de páginas e até usuários comuns sempre ativem a autenticação multifatorial (MFA) em suas contas e dispositivos. Também é importante desconfiar de emails inesperados ou com notícias incrivelmente boas, e é bom checar manualmente as plataformas antes de clicar em links.
Quer acompanhar novidades sobre segurança, golpes e tecnologia? Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.
