Os cibercriminosos criaram páginas falsas no Facebook Business e utilizaram a plataforma para enviar notificações por email com assuntos alarmistas como “Action Required” ou “Account Verification Required”.

Os emails, enviados diretamente do domínio de comunicações da Meta, continham links que redirecionavam as vítimas para sites de phishing concebidos para roubar credenciais de acesso. A campanha foi notavelmente bem-sucedida, com os investigadores a identificarem o envio de mais de 40.000 emails fraudulentos num único dia.

A técnica é particularmente perigosa porque abusa da confiança que os utilizadores depositam em domínios oficiais. Ao contrário dos esquemas de phishing tradicionais que recorrem a domínios falsificados, este ataque utiliza a própria infraestrutura da Meta para distribuir o conteúdo malicioso, tornando a deteção muito mais difícil tanto para os sistemas de segurança como para os próprios utilizadores. A Check Point Research notificou a Meta sobre a exploração, e a empresa terá tomado medidas para mitigar a campanha, embora a natureza da vulnerabilidade sublinhe a necessidade de uma vigilância constante, mesmo perante comunicações aparentemente autênticas.