Pesquisadores descobriram uma operação de phishing de longa data que se aproveita de serviços confiáveis do Google para invadir dezenas de milhares de Facebook .
Facebook comprometidas são, principalmente, perfis de empresas e anunciantes, que os criminosos podem monetizar após obter acesso e controle.
Os invasores descobriram uma maneira de enviar e-mails de phishing que parecem vir “pelo Google”, fazendo com que pareçam legítimos à primeira vista. Os e-mails são enviados pela plataforma AppSheet do Google, por isso passam nas verificações técnicas habituais (SPF, DKIM, DMARC), e muitos filtros de e-mail os tratam como confiáveis.
O Google AppSheet é uma plataforma de desenvolvimento que permite criar aplicativos móveis e web sem precisar escrever código. Ele pode automatizar fluxos de trabalho e notificações, sendo normalmente utilizado para enviar alertas gerados por aplicativos e atualizações internas.
E foi aí que os phishers se aproveitaram disso. O nome do remetente pode ser personalizado, e o endereço de remessa pode ter um formato semelhante a noreply@appsheet.com, disponibilizado por meio de appsheet.bounces.google.com. Para o usuário comum, parece uma notificação perfeitamente normal; nesses casos, geralmente trata-se de violações Facebook , reclamações sobre direitos autorais ou problemas de verificação.
Os pesquisadores associaram esses e-mails a uma operação ligada ao Vietnã que já comprometeu cerca de 30.000 Facebook e continua ativa.
As contas roubadas são, em sua maioria, páginas e perfis comerciais com valor financeiro: contas de publicidade, páginas de marcas e empresas que dependem do Facebook suas ações de marketing. Uma vez dentro, os invasores aplicam golpes, veiculam anúncios fraudulentos ou vendem o acesso a terceiros. Em alguns casos, o mesmo grupo oferece serviços de “recuperação de contas” para resolver os problemas que eles mesmos criaram.
É fraude ou é legítimo? O Scam Guard sabe.
Não importa qual seja o isco, o objetivo é o mesmo: Facebook , códigos de autenticação de duas etapas (2FA) e dados de recuperação. Os sites de phishing são apenas o ponto de entrada. Por trás deles, existe uma infraestrutura bastante sofisticada, construída em torno de bots e canais do Telegram para coletar e processar os dados roubados.
Como se manter seguro
Esta campanha não é “apenas mais um e-mail de phishing”. É mais um exemplo de como os invasores se aproveitam da confiança que depositamos nas principais plataformas.
Facebook envia reclamações, solicitações de verificação, verificações de segurança, ofertas de emprego e outras mensagens urgentes por meio da infraestrutura do Google.
- Qualquer e-mail que afirme que sua Instagram Facebook Instagram está prestes a ser desativada, bloqueada ou penalizada merece uma análise mais cuidadosa, especialmente se exigir uma ação em até 24 horas.
- Se você receber uma mensagem preocupante sobre sua conta, acesse diretamente o site facebook.com ou o Facebook . Não clique nos links da mensagem.
- Se um formulário solicitar senha, vários códigos de autenticação de duas etapas, data de nascimento, número de telefone e fotos de identidade de uma só vez, pare. Esse é o “pacote completo de recuperação” de que esses invasores precisam para assumir o controle da sua conta.
- Configure a autenticação de dois fatores (2FA) no Facebook e ative alertas de login para novos dispositivos e locais.
- Tenha cuidado com mensagens incomuns enviadas por Facebook . A própria conta pode ter sido invadida.
Dica profissional: Malwarebytes Guard pode ajudar você a identificar e-mails e mensagens de phishing em qualquer plataforma. Você pode até mesmo usá-lo no Claude e no ChatGPT.
