Pesquisadores da Check Point identificaram uma falha na plataforma do Facebook que está sendo explorada por cibercriminosos para enviar golpes usando e-mails legítimos do domínio “@facebookmail.com”. A tática torna a detecção mais difícil, já que as mensagens parecem vir diretamente da Meta.
O ataque começa com a criação de páginas falsas de negócios no Facebook. Os golpistas copiam nome e identidade visual de empresas reais, incluindo serviços da própria Meta, como o Meta Agency Partner. Em vez de buscar e-mails das vítimas e disparar mensagens falsas, os criminosos usam o sistema de convites do Meta Business Suite para enviar alertas com títulos que simulam comunicações oficiais, como “Verificação de conta necessária” ou “Convite de parceria da Agência Meta”.
Quando o usuário clica nos links do e-mail, é levado a um site falsificado criado para capturar credenciais, como login e senha. Por ser um e-mail que passa por um canal oficial do Facebook, muitas vítimas não percebem que se trata de phishing.
A análise da Check Point revela que a campanha é global. Mais de 40 mil e-mails maliciosos foram enviados para cerca de cinco mil pessoas em países como Estados Unidos, Canadá, Austrália e diversas regiões da Europa. Os alvos mais frequentes são setores que dependem fortemente das plataformas da Meta para marketing digital, como automotivo, educação, imobiliário, hotelaria e financeiro. Uma das empresas afetadas chegou a receber mais de 4.200 mensagens falsas.
O objetivo dos atacantes é volume: quanto mais pessoas recebem os convites falsos, maior a probabilidade de alguém clicar no link e fornecer seus dados. A campanha combina engenharia social com o uso de ferramentas legítimas da Meta, o que aumenta seu poder de convencimento. Estudos recentes da Microsoft mostram que ataques de phishing representam 35% das táticas usadas em invasões.
A Check Point recomenda que administradores de páginas e usuários comuns ativem a autenticação multifatorial (MFA) em todas as contas e dispositivos. Também é essencial desconfiar de comunicações inesperadas ou promessas exageradas e verificar diretamente nas plataformas antes de abrir links. Essa postura preventiva reduz de forma significativa o risco de cair em golpes semelhantes.
