Uma nova campanha de phishing está utilizando recursos legítimos do Meta Business Suite para aplicar golpes altamente sofisticados. A estratégia abusa da própria infraestrutura do Facebook para distribuir convites falsos de páginas comerciais, com aparência confiável e remetente real, dificultando a detecção por filtros tradicionais de e-mail. O ataque envolve a criação de páginas falsas que usam nomes e logotipos idênticos aos da Meta, além da função oficial de convite do Business Suite.
Isso permite o envio de e-mails pelo domínio facebookmail.com, reconhecido como legítimo pela maioria dos sistemas de segurança de e-mail corporativo. Com essa abordagem, os cibercriminosos conseguem burlar os filtros baseados em reputação de domínio e entregar mensagens diretamente na caixa de entrada. Os e-mails trazem títulos urgentes como “Você foi convidado para o programa de créditos gratuitos de anúncios” ou “Verificação de conta necessária”, levando o usuário a clicar em links maliciosos. Esses links direcionam para páginas de phishing hospedadas em domínios como vercel.app, com formulários destinados ao roubo de credenciais de login e dados comerciais sensíveis.
A campanha já impactou mais de 5 mil empresas em regiões como EUA, Europa, Canadá e Austrália, com destaque para os setores de publicidade, automotivo, educação, hotelaria e financeiro. Boa parte das vítimas são pequenas e médias empresas, que costumam utilizar a plataforma de anúncios do Facebook e, por isso, não desconfiam de notificações como essas. Em alguns casos, uma única organização recebeu mais de 4 mil e-mails fraudulentos, revelando o uso de automação em larga escala. Essa campanha marca uma mudança significativa nas táticas de phishing, ao deixar de depender da falsificação de endereços e passar a explorar funcionalidades legítimas de plataformas confiáveis. Isso eleva o grau de risco e exige novas abordagens defensivas por parte das organizações.
