Um novo golpe tem chamado a atenção de especialistas em segurança digital ao explorar ferramentas do Meta Business (antigo Facebook Business) para aplicar phishing de forma altamente convincente.
Os criminosos criam páginas comerciais falsas e utilizam o recurso de convite comercial para enviar mensagens do domínio legítimo “facebookmail.com” — o mesmo usado pelo próprio Facebook — o que torna a fraude difícil de detectar.
De acordo com uma análise da Check Point Software, os ataques já resultaram no envio de mais de 40 mil e-mails fraudulentos para cerca de cinco mil usuários em diversos países, como Estados Unidos, Canadá, Europa e Austrália. Os setores mais atingidos são os que dependem fortemente do Facebook para anúncios, como automotivo, educação, imobiliário, hospitalidade e financeiro.
Como o golpe funciona:
Os cibercriminosos começam criando páginas falsas no Facebook Business, com logotipos, nomes e elementos visuais que imitam a identidade oficial da Meta. Em seguida, usam o próprio sistema de convites comerciais da plataforma para enviar e-mails de phishing que parecem alertas genuínos do Facebook.
O ponto mais perigoso é que as mensagens são enviadas a partir do domínio real “facebookmail.com”, o que engana até usuários atentos, já que o remetente aparenta ser legítimo.
Esses e-mails usam linguagem de urgência e incluem títulos como:
-
“Ação necessária: você foi convidado a participar do Programa de Créditos de Publicidade Gratuitos”
-
“Convite de Parceiro de Agência Meta”
-
“Verificação de conta necessária”
Ao clicar no link presente na mensagem, a vítima é redirecionada para sites falsos hospedados em domínios como “vercel.app”, criados para roubar credenciais de acesso e informações sigilosas.
Quem são as principais vítimas:
Segundo os dados da Check Point, cerca de 40 mil e-mails de phishing foram disparados no total. Embora a maioria das empresas tenha recebido menos de 300 mensagens, uma única organização foi alvo de mais de 4,2 mil e-mails.
A estrutura repetitiva dos assuntos e layouts indica uma campanha em massa, e não ataques personalizados (conhecidos como spear phishing).
O foco principal são pequenas e médias empresas (PMEs) que utilizam o Meta Business como ferramenta de marketing e atendimento — justamente por estarem mais acostumadas a receber notificações legítimas da plataforma.
Como se proteger:
Enquanto a Meta trabalha para corrigir as brechas exploradas pelos criminosos, usuários e organizações podem adotar medidas simples para reduzir os riscos:
-
Treinar e conscientizar funcionários: o alerta deve ir além de reconhecer domínios suspeitos; é preciso desconfiar de solicitações incomuns, mesmo vindas de fontes conhecidas.
-
Implementar soluções com IA e análise comportamental: ferramentas modernas de cibersegurança podem detectar comportamentos anômalos mesmo em e-mails aparentemente legítimos.
-
Ativar autenticação de múltiplos fatores (MFA): reduz drasticamente os riscos caso as credenciais sejam comprometidas.
-
Verificar domínios e URLs: confirme se os links realmente pertencem à Meta antes de clicar.
-
Evitar clicar em links recebidos por e-mail: sempre acesse sua conta diretamente pelo site oficial da Meta Business ou Facebook.
Com mais de 5,4 bilhões de usuários globais, o Facebook continua sendo uma das plataformas mais poderosas do mundo — e, consequentemente, um dos alvos preferidos por cibercriminosos.
A nova onda de ataques reforça a importância de educação digital contínua e do uso de tecnologias de defesa avançadas para evitar que a confiança em marcas legítimas seja explorada de forma tão perigosa.
