O Facebook é a rede social mais popular em todo o mundo, ultrapassando todos os outros concorrentes em termos de alcance e utilizadores ativos, de acordo com a Statista. Além disso, de acordo com o Sprout Social, o Facebook é o terceiro website mais visitado, a seguir ao Google e ao YouTube. Assim, quando uma campanha de phishing utiliza a marca Facebook, as implicações são particularmente graves.
Investigadores da empresa mundial especializada em soluções de cibersegurança, Check Point Software Technologies, descobriram uma nova e recentemente campanha de phishing centrada no Facebook, com remessa para mais de 12.279 endereços de e-mail e que visa centenas de empresas.
A campanha começou por volta de 20 de dezembro de 2024 e afetou principalmente 45,5 % de empresas da União Europeia, 45,0% dos EUA e 9,5% da Austrália. No entanto, também foram encontradas versões das notificações em chinês e árabe, o que mostra que a campanha visava empresas de todas as localizações geográficas.
Os investigadores da Check Point referem que os cibercriminosos utilizam o serviço de e-mail automatizado que pertence à Salesforce como uma ferramenta de marketing. A estratégia permite não violam quaisquer termos de serviço ou os sistemas de segurança da Salesforce. Em vez disso, utilizam o serviço normalmente e optam por não alterar o ID do remetente. Desta forma, o e-mail é marcado com o endereço de e-mail noreply@salesforce.com.
Os próprios e-mails contêm versões falsas do logótipo do Facebook e notificam falsamente os destinatários de violação de direitos de autor. “Foi comunicado que a sua atividade recente pode estar a violar as leis de direitos de autor”, lê-se numa mensagem de e-mail.
Os destinatários que acreditam, erradamente, num dos e-mails de phishing são conduzidos a uma falsa página de apoio do Facebook. A página pede às pessoas que introduzam os seus dados, onde podem, inadvertidamente, fornecer as suas credenciais aos cibercriminosos. O texto da página sugere que os detalhes das credenciais são essenciais para que a conta seja “revista”, em vez de desativada.
Quais são as implicações?
As organizações que dependem de uma página do Facebook como montra, para fins publicitários, para fins de sensibilização e/ou outras atividades comerciais, podem ser particularmente vulneráveis a esta ameaça de phishing.
Qualquer cibercriminoso que obtenha acesso a uma conta de administrador do Facebook pode potencialmente obter controlo sobre uma página comercial. O indivíduo pode então alterar o conteúdo, manipular as mensagens ou eliminar mensagens. As definições de segurança também podem ser alteradas, impedindo que os administradores autênticos voltem a aceder facilmente à conta.
Uma violação de conta desta natureza pode, posteriormente, resultar na perda de confiança do cliente. Após o sequestro de uma conta do Facebook, os clientes podem considerar a empresa como negligente e podem afastar-se da empresa ou intentar ações judiciais.
Além disso, para as empresas em setores regulamentados, como os cuidados de saúde e as finanças, uma violação de dados pode levar à não conformidade, culminando em multas e desafios legais.
A Check Point aconselha as organizações a tomar algumas medidas proativas para evitar a ameaça
1. Configurar alertas. Adicione uma camada de segurança à sua presença online. Configure notificações em resposta a inícios de sessão suspeitos e atividades invulgares.
2. Educar os funcionários. Informe os administradores do Facebook que, em vez de clicarem num link incorporado em qualquer tipo de email que aparentemente tenha origem no Facebook, devem navegar para a página da conta do Facebook da organização e iniciar sessão. O status da conta pode ser verificado a partir daí.
3. Educar os clientes. Para ajudar os clientes a evitar a vitimização através de ligações de phishing, tal como distribuídas após o sequestro de contas, as empresas podem querer informar os consumidores sobre como devem esperar receber comunicações da empresa e em que circunstâncias.
4. Plano de resposta a incidentes. Manter um plano de ação claro de resposta a phishing. Indicar como recuperar uma conta comprometida e como partilhar informações relevantes com os clientes, se necessário.
