A Check Point Research descobriu uma campanha de phishing que explora as próprias ferramentas do Facebook Business para enviar mensagens fraudulentas altamente convincentes em larga escala. Os atacantes criaram páginas comerciais falsas no Facebook e abusaram do recurso de convite comercial para enviar e-mails do domínio legítimo facebookmail[.]com, tornando-os praticamente impossíveis de serem identificados como maliciosos pelos usuários.
Em um dos casos, os atacantes enviaram mais de 40.000 e-mails de phishing para mais de 5.000 clientes no mundo (principalmente nos Estados Unidos, Europa, Canadá e Austrália, atingindo setores que dependem fortemente do Facebook para publicidade, como automotivo, educação, imobiliário, hospitalidade e financeiro). Cada e-mail continha um link malicioso disfarçado de notificação legítima do Facebook.
Pesquisadores de segurança de e-mail da Check Point Software descobriram essa campanha de phishing, cujo método torna as campanhas extremamente convincentes, contorna diversos filtros de segurança tradicionais e demonstra como os atacantes estão explorando a confiança em plataformas conhecidas.
Segundo a pesquisa, o ataque começa quando cibercriminosos criam páginas falsas de empresas no Facebook Business. Essas páginas são modificadas com logotipos e nomes que imitam de perto a identidade visual oficial do Facebook. Depois de criadas, os atacantes utilizam o recurso de convite do Business para enviar e-mails de phishing que parecem ser alertas oficiais do Facebook.
O ponto crucial, na visão dos pesquisadores, é que essas mensagens são enviadas a partir do domínio legítimo facebookmail[.]com. A maioria dos usuários é treinada para desconfiar de endereços de remetentes suspeitos, mas, neste caso, os e-mails vêm de um domínio que eles conhecem e confiam. Como resultado, as mensagens de phishing tornam-se muito mais convincentes.
Os e-mails foram elaborados para parecer idênticos às notificações genuínas do Facebook, segundo o relatório. Cada e-mail continha um link malicioso disfarçado de notificação oficial do Facebook. Ao clicar, as vítimas eram redirecionadas para sites de phishing hospedados em domínios como vercel[.]app, criados para roubar credenciais e outras informações confidenciais.
Para validar o método de ataque, a equipe de pesquisa realizou um experimento interno demonstrando como o recurso de convite do Facebook Business pode ser usado de forma abusiva. Os pesquisadores criaram uma página de empresa falsa, inseriram uma mensagem e um link com um nome criado pela equipe, aplicaram um logotipo no estilo do Facebook e usaram o mecanismo de convites da plataforma para distribuir mensagens de teste.
PMEs como alvo da campanha
Dados da telemetria da Check Point Software mostram que cerca de 40 mil e-mails de phishing foram enviados à base de clientes. Embora a maioria das organizações tenha recebido menos de 300 mensagens, uma única empresa foi bombardeada com mais de 4.200 e-mails. A repetição de assuntos e estruturas quase idênticas sugere uma campanha em massa baseada em modelos, projetada para ampla exposição e altas taxas de cliques, em vez de um ataque direcionado (spear phishing).
A campanha teve como foco principal pequenas e médias empresas (PMEs) e organizações de médio porte, embora algumas companhias grandes e conhecidas também tenham sido afetadas. Esses setores, especialmente os que dependem das plataformas da Meta para engajamento com clientes, são alvos ideais porque seus funcionários costumam receber notificações legítimas do “Meta Business” e, portanto, tendem a confiar mais nessas mensagens.
Isso permitiu que os e-mails de phishing se originassem do domínio autêntico facebookmail[.]com, tornando-os extremamente convincentes e difíceis de serem sinalizados como suspeitos por sistemas automatizados. Os pesquisadores replicaram a técnica em um experimento controlado, confirmando como o recurso de Convite de Negócios pode ser facilmente manipulado para enviar e-mails enganosos com links maliciosos incorporados.
Uso abusivo de serviços legítimos
Segundo a organização, essa campanha reforça uma tendência crescente em que cibercriminosos utilizam serviços legítimos para ganhar confiança e contornar controles de segurança. Embora o volume de e-mails possa sugerir uma abordagem em massa, a credibilidade do domínio do remetente torna essas tentativas muito mais perigosas do que o spam comum.
