Pesquisadores da Check Point descobriram um golpe que utiliza e-mails legítimos do Facebook para enganar usuários. Os cibercriminosos criam páginas falsas e enviam convites fraudulentos, levando as...
Pesquisadores da Check Point descobriram um golpe que utiliza e-mails legítimos do Facebook para enganar usuários. Os cibercriminosos criam páginas falsas e enviam convites fraudulentos, levando as vítimas a sites de phishing. A autenticação multifatorial e a revisão cuidadosa de convites são essenciais para a proteção.
Pesquisadores da Check Point identificaram um golpe que preocupa pela criatividade e, sobretudo, pelo uso de um recurso legítimo do Facebook para enganar usuários e empresas. Cibercriminosos estão explorando a ferramenta de convites de negócios do Meta Business Suite para enviar e-mails maliciosos diretamente do domínio oficial “@facebookmail.com”, o que torna a fraude difícil de identificar à primeira vista.
O ataque começa com a criação de páginas falsas de negócios que imitam empresas reais ou até serviços da própria Meta. A partir daí, os golpistas usam o sistema de convites empresariais para enviar mensagens com temas urgentes, como “Verificação de conta necessária” ou “Convite de parceria da Agência Meta”. Como o envio ocorre por um canal autêntico da plataforma, a vítima acredita estar diante de uma notificação legítima.
Ao clicar nos links, o usuário é direcionado para sites falsificados projetados exclusivamente para capturar credenciais, como login e senha. A escala da operação chama atenção: mais de 40 mil e-mails fraudulentos já foram disparados, afetando cerca de cinco mil pessoas em países como Estados Unidos, Canadá, Austrália e diversas nações europeias. Os setores mais visados incluem marketing digital, automotivo, educação, imobiliário, hotelaria e financeiro, justamente porque esses públicos recebem frequentemente comunicações reais da Meta.
O método combina engenharia social com o uso de uma ferramenta legítima, criando uma camada adicional de credibilidade. A técnica também reforça um cenário já conhecido: ataques de phishing continuam sendo responsáveis por parte significativa das invasões registradas globalmente.
Dica de prevenção:
Donos de páginas e usuários devem ativar a autenticação multifatorial, revisar cuidadosamente convites inesperados e acessar manualmente o painel da Meta antes de clicar em qualquer link. Além disso, políticas internas de segurança, testes de phishing e auditorias regulares ajudam a reduzir riscos tanto para equipes de marketing quanto para organizações que dependem de plataformas de anúncios.
Verifique o domínio do remetente, procure erros de gramática e desconfie de mensagens que solicitam informações pessoais ou urgência excessiva.
Altere suas senhas imediatamente e ative a autenticação multifatorial. Monitore suas contas em busca de atividades suspeitas.
Sim, existem diversas ferramentas e extensões de navegador que ajudam a identificar e-mails suspeitos e a proteger suas informações.
Golpes cada vez mais sofisticados mostram que a segurança digital é um processo contínuo. Para fortalecer sua empresa com pentests, threat intelligence com IA, auditorias internas e estruturação de políticas de segurança, conheça os serviços da LC SEC em lcsec.io.