O golpe de phishing Facebook Business que usa o e-mail oficial do Facebook para roubar sua empresa

Se você administra anúncios ou páginas de negócios no Facebook e no Instagram, este é aquele alerta para parar tudo por alguns minutos. Uma nova campanha de phishing Facebook Business, descoberta pela Check Point Research (CPR), está usando nada menos que a própria infraestrutura da Meta para disparar e-mails fraudulentos que parecem 100% legítimos.

Em vez de domínios falsos cheios de erros, os golpistas estão abusando de uma função real do Meta Business Suite para fazer com que os e-mails saiam do domínio oficial facebookmail[.]com. Resultado: passam pelos filtros de spam, enganam usuários bem treinados e colocam em risco as credenciais de contas de anúncios de PMEs no mundo inteiro.

Imagine a cena. Um golpista quer lhe enviar uma intimação falsa. Em vez de usar um envelope esquisito, ele convence o funcionário dos Correios a colocar a carta falsa em um envelope oficial e entregar na sua porta. Você confiaria, certo? É exatamente isso que está acontecendo aqui, só que em versão digital.

Como funciona o ataque de phishing Facebook Business

De acordo com a Check Point Research, os criminosos começaram criando páginas de negócios falsas dentro do próprio Facebook Business. Eles copiam logotipos, nomes e elementos visuais que lembram a identidade oficial da Meta, o bastante para parecer “oficial” em uma leitura rápida.

Com essa página falsa pronta, vem o pulo do gato: eles usam o recurso legítimo de “Convite Comercial” do Meta Business Suite. É exatamente o mesmo mecanismo que agências e parceiros usam para convidar empresas para gerenciar anúncios ou acessar ferramentas de negócios.

Nesse convite, o atacante insere um texto com tom urgente e um link malicioso, mas com aparência de link oficial. A partir daí, quem faz o trabalho pesado é a própria plataforma da Meta: o sistema gera e envia o e-mail para a vítima a partir do domínio autêntico facebookmail[.]com, aquele mesmo que você já conhece de notificações reais.

Ou seja, o golpista dá o comando, mas quem aperta o “enviar” é o próprio Facebook.

Como o ataque engana o filtro de spam (e você)

Este método é genial pela razão mais incômoda possível: ele derrota a forma como fomos treinados a reconhecer golpes.

Tradicionalmente, a primeira dica é olhar o remetente. Se o domínio é estranho, acende o alerta. Aqui, o remetente é impecável: facebookmail[.]com, com SPF, DKIM e reputação de domínio em dia. Para muitos gateways de e-mail corporativos, isso é praticamente um passe livre.

Do lado do usuário, a armadilha é ainda mais sutil. Os e-mails foram preparados para parecer cópias quase perfeitas das notificações reais do Meta Business Suite, com assuntos do tipo:

• “Ação necessária: verificação de conta”
• “Convite de Parceiro de Agência Meta”
• “Você foi convidado para o Programa de Créditos de Publicidade Gratuitos”

Dentro do e-mail, um botão ou link com aparência legítima leva para uma página de phishing hospedada em domínios como vercel[.]app, configurada para imitar a tela de login da Meta e realizar o roubo de credenciais.

Na prática, o usuário vê três sinais que costumam transmitir segurança:

1. Domínio do remetente confiável.
2. Layout igual ao das notificações reais.
3. Um contexto que faz sentido para quem usa Facebook Business todos os dias.

É a combinação perfeita para derrubar até quem se considera “vacinado” contra phishing.

PMEs na mira

Os dados da telemetria da Check Point mostram a dimensão do problema: mais de 40 mil e-mails de phishing foram enviados para cerca de 5 mil clientes em diversos países, com uma única empresa recebendo mais de 4.200 mensagens.

O foco principal da campanha são PMEs e empresas de médio porte em setores que dependem diretamente de Facebook e Instagram como canal de vendas e marketing, como:

• Automotivo
• Educação
• Imobiliário
• Hospitalidade
• Serviços financeiros

Faz todo sentido do ponto de vista do atacante. Equipes de marketing e atendimento dessas empresas recebem notificações de Meta Business o tempo todo: alertas de campanhas, limites de cobrança, convites de parceiros, novidades de recursos. Em meio a essa rotina, mais um e-mail de “verificação de conta” parece apenas parte do fluxo diário.

O risco é enorme. Com as credenciais da conta de negócios em mãos, o criminoso pode:

• Assumir o controle da página da empresa.
• Rodar campanhas de anúncios fraudulentos usando o método de pagamento da vítima.
• Mudar permissões e remover administradores legítimos.
• Escalar o ataque para outras contas associadas.

Tendência perigosa: serviços legítimos como arma

Essa campanha se encaixa em uma tendência que vem ganhando força na cibersegurança: o uso abusivo de serviços totalmente legítimos para dar “selo de confiança” aos ataques. Em vez de criar um domínio falso qualquer, os criminosos preferem se esconder atrás de plataformas de grande reputação, como Facebook, Google ou outros serviços em nuvem.

Para as defesas tradicionais, baseadas em reputação de domínio, listas de bloqueio e validação de remetente, isso é um pesadelo. A linha entre o que é confiável e o que é malicioso fica cada vez mais borrada.

Também surge uma questão incômoda para as próprias plataformas: até que ponto recursos de negócios como o Meta Business Suite estão preparados para evitar esse tipo de abuso? Enquanto isso não é resolvido, a superfície de ataque continua aberta.

Como se proteger do phishing Facebook Business

Até que a própria Meta endureça os controles de abuso no Meta Business Suite, empresas e profissionais precisam ajustar o próprio radar. As recomendações inspiradas no alerta da Check Point Research são diretas:

• Desconfie até do que parece perfeito
  Não trate e-mails do domínio facebookmail[.]com como automaticamente confiáveis. Use o conteúdo da mensagem como critério, e não apenas o remetente.
• Nunca clique em links de e-mails para “verificar conta”
  Se receber um aviso de “verificação de conta”, “créditos de anúncio” ou “parceiro Meta”, abra o navegador, digite o endereço oficial do Facebook ou do Meta Business Suite e faça login diretamente. Confira lá se há alguma notificação pendente.
• Verifique o endereço do site antes de inserir senha
  Tela de login com visual da Meta, mas URL terminando em algo como vercel[.]app ou outro domínio estranho é sinal claríssimo de golpe.
• Habilite MFA (Multi-Factor Authentication)
  Ative MFA em todas as contas administrativas e de anúncios. Mesmo que o atacante consiga o usuário e a senha, a autenticação de múltiplos fatores pode ser a barreira que impede o acesso.
• Refine o treinamento de usuários
  Programas de conscientização não podem falar apenas em “domínio suspeito”. Agora é preciso explicar que golpes podem partir de domínios legítimos e que o contexto da mensagem é tão importante quanto o endereço do remetente.
• Reforce as camadas de proteção de e-mail e aplicações
  Soluções modernas de segurança de e-mail que usam análise comportamental, inteligência artificial e ferramentas como SmartPhish e WAF (Web Application Firewall) ajudam a detectar padrões anômalos, mesmo quando o domínio parece confiável.

No cenário atual, a pergunta não é mais “este e-mail parece real?”, mas sim “faz sentido eu receber este pedido, deste jeito, agora?”. A resposta a essa pergunta, combinada com processos internos claros, vale muito mais do que qualquer logo azul no cabeçalho da mensagem.