Nova campanha global de phishing abusa do domínio legítimo do Facebook

19/11/2025 mindsecblog Artigos, Notícias 0

Nova campanha global de phishing abusa do domínio legítimo do Facebook para atacar milhares de empresas

Pesquisadores da Check Point Software identificam mais de 40.000 e-mails maliciosos enviados a partir do domínio oficial facebookmail[.]com, explorando funcionalidades do Meta Business Suite para roubar credenciais de pequenas e médias empresas

A Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, descobriu uma campanha de phishing que explora as próprias ferramentas do Facebook Business para enviar mensagens fraudulentas altamente convincentes em larga escala. Os atacantes criaram páginas comerciais falsas no Facebook e abusaram do recurso de convite comercial para enviar e-mails do domínio legítimo facebookmail[.]com, tornando-os praticamente impossíveis de serem identificados como maliciosos pelos usuários.

Em um dos casos, os atacantes enviaram mais de 40.000 e-mails de phishing para mais de 5.000 clientes no mundo (principalmente nos Estados Unidos, Europa, Canadá e Austrália, atingindo setores que dependem fortemente do Facebook para publicidade, como automotivo, educação, imobiliário, hospitalidade e financeiro). Cada e-mail continha um link malicioso disfarçado de notificação legítima do Facebook.

Com mais de 5,4 bilhões de usuários em todo o mundo (segundo a Statista), o Facebook continua sendo a plataforma social mais influente do planeta e um canal de marketing essencial para pequenas e médias empresas. Seu amplo alcance e a força de sua marca o tornam um alvo privilegiado para cibercriminosos, o que significa que, quando uma campanha de phishing explora o nome do Facebook, as consequências podem ser especialmente graves.

Pesquisadores de segurança de e-mail da Check Point Software descobriram essa campanha de phishing, cujo método torna as campanhas extremamente convincentes, contorna diversos filtros de segurança tradicionais e demonstra como os atacantes estão explorando a confiança em plataformas conhecidas.
 

Como a campanha funciona

O ataque começa quando cibercriminosos criam páginas falsas de empresas no Facebook Business. Essas páginas são modificadas com logotipos e nomes que imitam de perto a identidade visual oficial do Facebook. Depois de criadas, os atacantes utilizam o recurso de convite do Business para enviar e-mails de phishing que parecem ser alertas oficiais do Facebook.

O ponto crucial é que essas mensagens são enviadas a partir do domínio legítimo facebookmail[.]com. A maioria dos usuários é treinada para desconfiar de endereços de remetentes suspeitos, mas, neste caso, os e-mails vêm de um domínio que eles conhecem e confiam. Como resultado, as mensagens de phishing tornam-se muito mais convincentes.

 

Por que esses e-mails são tão perigosos

Os e-mails foram elaborados para parecer idênticos às notificações genuínas do Facebook. Eles usavam linguagem urgente, como:

  • “Ação necessária: você foi convidado a participar do Programa de Créditos de Publicidade Gratuitos”
  • “Convite de Parceiro de Agência Meta”
  • “Verificação de conta necessária”

Cada e-mail continha um link malicioso disfarçado de notificação oficial do Facebook. Ao clicar, as vítimas eram redirecionadas para sites de phishing hospedados em domínios como vercel[.]app, criados para roubar credenciais e outras informações confidenciais.

Imagem 1: Exemplo de um e-mail real de phishing detectado

Para validar o método de ataque, a equipe de pesquisa da Check Point Software realizou um experimento interno demonstrando como o recurso de convite do Facebook Business pode ser usado de forma abusiva. Os pesquisadores criaram uma página de empresa falsa, inseriram uma mensagem e um link com um nome criado pela equipe, aplicaram um logotipo no estilo do Facebook e usaram o mecanismo de convites da plataforma para distribuir mensagens de teste.

Imagem 2: Exemplo do e-mail de phishing recebido por um usuário a partir de página de teste da Check Point Software

 

PMEs como alvo da campanha

Dados da telemetria da Check Point Software mostram que cerca de 40 mil e-mails de phishing foram enviados à base de clientes. Embora a maioria das organizações tenha recebido menos de 300 mensagens, uma única empresa foi bombardeada com mais de 4.200 e-mails.

A repetição de assuntos e estruturas quase idênticas sugere uma campanha em massa baseada em modelos, projetada para ampla exposição e altas taxas de cliques, em vez de um ataque direcionado (spear phishing).

A campanha teve como foco principal pequenas e médias empresas (PMEs) e organizações de médio porte, embora algumas companhias grandes e conhecidas também tenham sido afetadas. Esses setores, especialmente os que dependem das plataformas da Meta para engajamento com clientes, são alvos ideais porque seus funcionários costumam receber notificações legítimas do “Meta Business” e, portanto, tendem a confiar mais nessas mensagens.

Isso permitiu que os e-mails de phishing se originassem do domínio autêntico facebookmail[.]com, tornando-os extremamente convincentes e difíceis de serem sinalizados como suspeitos por sistemas automatizados.Os pesquisadores replicaram a técnica em um experimento controlado, confirmando como o recurso de Convite de Negócios pode ser facilmente manipulado para enviar e-mails enganosos com links maliciosos incorporados.

 

Uso abusivo de serviços legítimos

Essa campanha reforça uma tendência crescente em que cibercriminosos utilizam serviços legítimos para ganhar confiança e contornar controles de segurança. Embora o volume de e-mails possa sugerir uma abordagem em massa, a credibilidade do domínio do remetente torna essas tentativas muito mais perigosas do que o spam comum.

A campanha destaca várias tendências importantes no cenário de ameaças:

  1. Exploração da confiança em grandes plataformas: os atacantes estão indo além dos domínios falsificados e agora exploram recursos internos de plataformas amplamente utilizadas. Ao se esconder atrás da infraestrutura legítima do Facebook, ganham credibilidade instantânea.
  2. Evasão das defesas tradicionais: muitos sistemas de segurança de e-mail dependem fortemente da reputação do domínio e da validação do remetente. Quando mensagens maliciosas se originam de um domínio confiável como facebookmail[.]com, essas defesas frequentemente falham.
  3. Responsabilidade das plataformas: a campanha levanta questões importantes sobre se as grandes empresas de tecnologia estão fazendo o suficiente para evitar o uso indevido de suas ferramentas de negócios. Se os atacantes podem manipular recursos legítimos para lançar ataques de phishing, usuários e organizações permanecem em risco significativo.

O que as organizações devem fazer

Embora seja essencial que plataformas como o Facebook corrijam essas lacunas de segurança, organizações e indivíduos também devem adotar medidas proativas para reduzir riscos:

  • Educar os usuários: o treinamento e a conscientização deve ir além da identificação de domínios suspeitos. Funcionários e usuários precisam aprender a questionar solicitações incomuns, mesmo que venham de fontes confiáveis.
  • Implementar detecção avançada: soluções de segurança devem incorporar análise comportamental e detecção baseada em IA que consigam identificar atividades suspeitas mesmo quando as mensagens parecem legítimas.
  • Habilitar autenticação de múltiplos fatores (MFA): credenciais roubadas continuam sendo o principal objetivo de campanhas de phishing. A MFA garante que, mesmo que as credenciais sejam comprometidas, os atacantes não consigam facilmente acessar os sistemas.
  • Verificar remetente e URL: sempre confirme se há inconsistências de domínio (por exemplo, marca da Meta com links que não pertencem à Meta).
  • Evitar clicar em links em e-mails não solicitados: acesse diretamente sua conta Meta Business ou Facebook pelo site oficial.

 

Veja também:

About mindsecblog 3327 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Notícias

Malware Remcos RAT Evolui com Novas Técnicas

19/12/2024 mindsecblog Notícias 0

Malware Remcos RAT Evolui com Novas Técnicas. Um aumento acentuado nos ataques cibernéticos envolvendo o Trojan de acesso remoto (RAT) Remcos foi identificado no 3º trimestre de 2024. O malware, entregue por meio de e-mails de phishing […]

Artigos

WAF gerenciado: um item essencial para impedir ataques a sites

19/09/2024 mindsecblog Artigos, Notícias 6

WAF gerenciado: um item essencial para impedir ataques a sites.  Os aplicativos da Web são cruciais para o crescimento dos negócios, mas geralmente são alvo de invasores cibernéticos. Somente em 2023, mais de 6,8 bilhões […]

Notícias

Novo malware Linux força servidores SSH a violar redes

29/08/2022 mindsecblog Notícias 0

Novo malware Linux força servidores SSH a violar redes. Um novo botnet chamado ‘RapperBot‘ está sendo usado em ataques desde meados de junho de 2022, concentrando-se em forçar o acesso aos servidores SSH Linux para estabelecer […]

Be the first to comment

Deixe sua opinião!