Os investigadores descobriram uma operação de phishing de longa data que se aproveita de serviços de confiança do Google para sequestrar dezenas de milhares de Facebook .
Facebook comprometidas são, na sua maioria, perfis de empresas e anunciantes, que os criminosos podem rentabilizar depois de obterem acesso e controlo.
Os atacantes descobriram uma forma de enviar e-mails de phishing que parecem vir «através do Google», fazendo com que pareçam legítimos à primeira vista. Os e-mails são enviados através da plataforma AppSheet do Google, pelo que passam nas verificações técnicas habituais (SPF, DKIM, DMARC), e muitos filtros de e-mail consideram-nos fiáveis.
O Google AppSheet é uma plataforma de desenvolvimento que permite criar aplicações móveis e web sem escrever código. Permite automatizar fluxos de trabalho e notificações, sendo normalmente utilizado para enviar alertas gerados pela aplicação e atualizações internas.
E foi aí que os phishers se aproveitaram disso. O nome do remetente pode ser personalizado, e o endereço de remessa pode ter um aspeto semelhante a noreply@appsheet.com, disponibilizado através de appsheet.bounces.google.com. Para o utilizador comum, parece uma notificação perfeitamente normal; nestes casos, trata-se frequentemente de violações Facebook , reclamações relativas a direitos de autor ou problemas de verificação.
Os investigadores associaram estes e-mails a uma operação ligada ao Vietname que já comprometeu cerca de 30 000 Facebook e continua ativa.
As contas roubadas são, na sua maioria, páginas e perfis empresariais com valor financeiro: contas de publicidade, páginas de marcas e empresas que dependem do Facebook o seu marketing. Uma vez dentro, os atacantes realizam esquemas fraudulentos, publicam anúncios fraudulentos ou vendem o acesso a terceiros. Em alguns casos, o mesmo grupo oferece serviços de «recuperação de contas» para resolver os problemas que eles próprios criaram.
É uma fraude ou é legítimo? O Scam Guard sabe.
Seja qual for o engodo, o objetivo é o mesmo: Facebook , códigos de autenticação de duas etapas e dados de recuperação. Os sites de phishing são apenas o ponto de entrada. Por trás deles, existe uma infraestrutura bastante sofisticada, construída em torno de bots e canais do Telegram para recolher e processar os dados roubados.
Como se manter seguro
Esta campanha não é «apenas mais um e-mail de phishing». É mais um exemplo de como os atacantes se aproveitam da confiança que depositamos nas principais plataformas.
Facebook envia reclamações, pedidos de verificação, verificações de segurança, ofertas de emprego e outras mensagens urgentes através da infraestrutura do Google.
- Qualquer e-mail que afirme que Instagram sua Instagram Facebook Instagram está prestes a ser desativada, bloqueada ou penalizada deve ser analisado com especial atenção, especialmente se exigir uma resposta no prazo de 24 horas.
- Se receber uma mensagem preocupante sobre a sua conta, aceda diretamente a facebook.com ou à Facebook . Não clique nos links da mensagem.
- Se um formulário solicitar a palavra-passe, vários códigos de autenticação de duas etapas, data de nascimento, número de telefone e fotos de identificação de uma só vez, pare. Esse é o «pacote completo de recuperação» de que esses atacantes precisam para assumir o controlo da sua conta.
- Configure a autenticação de dois fatores (2FA) no Facebook e ative os alertas de início de sessão para novos dispositivos e localizações.
- Tenha cuidado com mensagens invulgares provenientes de Facebook . A própria conta pode ter sido comprometida.
Dica profissional: Malwarebytes Guard pode ajudá-lo a identificar e-mails e mensagens de phishing em qualquer plataforma. Pode até utilizá-lo no Claude e no ChatGPT.
