A Check Point Research (CPR), unidade de investigação da Check Point Software Technologies, revelou uma campanha de phishing global que abusou do domínio legítimo facebookmail.com para atacar milhares de empresas. A investigação, divulgada ontem, identifica mais de 40.000 e-mails maliciosos enviados para cerca de 5.000 organizações.
O elemento mais preocupante da campanha é a sua autenticidade. Ao utilizarem o domínio oficial de comunicações da Meta, os atacantes contornaram os filtros de segurança tradicionais e ganharam a confiança imediata das vítimas, visando o roubo de credenciais de negócio.
O “sequestro” do um domínio legítimo do Facebook
Ao contrário do phishing tradicional, que recorre a domínios falsificados, esta operação explorou uma funcionalidade da Meta Business Suite. Os atacantes criaram páginas falsas de Facebook Business que imitavam a identidade visual da Meta.
Posteriormente, usaram a funcionalidade real de “Business Invitation” (Convite de Negócio) da plataforma. Esta ação desencadeou o envio de notificações fraudulentas que partiam diretamente do domínio facebookmail.com, parecendo idênticas às legítimas.
Cada e-mail incluía uma ligação maliciosa, apresentada como um alerta oficial, que conduzia as vítimas para páginas de roubo de credenciais alojadas em serviços como o vercel.app.
Uma campanha de phishing automatizada em larga escala
A campanha de phishing foi altamente automatizada e focada em setores que dependem da publicidade no Facebook, como o automóvel, educação, imobiliário, financeiro e hoteleiro. Em muitas empresas, os atacantes enviaram entre 200 a 300 e-mails; uma organização em particular recebeu mais de 4.200 mensagens.
Os assuntos dos e-mails foram desenhados para criar um sentido de urgência, incluindo temas como “Action Required” (Ação Necessária) ou “Meta Agency Partner Invitation”.
A confiança digital como novo vetor de ataque
Este tipo de ataque representa uma evolução significativa e preocupante. Em vez de tentarem replicar os sinais de confiança, os atacantes optam por sequestrar os próprios mecanismos legítimos de grandes plataformas, tornando a detecção muito mais complexa.
Mesmo organizações com sistemas de segurança avançados podem ser enganadas quando o remetente é, à primeira vista, autêntico. A Check Point recomenda a implementação de formação contínua que reforce a necessidade de confirmar mensagens urgentes diretamente na plataforma, sem recorrer a ligações enviadas por email.
A empresa de cibersegurança informa que o seu motor de deteção SmartPhish foi atualizado para identificar e bloquear campanhas que utilizam domínios legítimos de forma abusiva, através da análise de padrões anómalos e comportamentais.
Conclusão
Esta campanha representa uma tendência clara: os atacantes estão a transformar plataformas legítimas em vetores de ataque, explorando a confiança inerente que os utilizadores depositam nos grandes fornecedores tecnológicos. A investigação conduzida pela unidade de investigação da Check Point demonstra que a reputação do domínio do remetente já não é um indicador de segurança fiável.
Outros artigos interessantes:
