Uma nova campanha de phishing sofisticada foi identificada explorando a plataforma Google AppSheet para comprometer aproximadamente 30 mil contas do Facebook, com um número significativo de vítimas localizadas no Brasil. A operação, descrita por pesquisadores da Guard.io, utiliza e-mails de engenharia social que se passam pela Central de Ajuda da Meta, criando um senso de urgência para forçar a vítima a clicar em links maliciosos.
Descoberta e escopo da campanha
O pesquisador de cibersegurança Shaked Chen, da Guard.io, detalhou em relatório compartilhado com o The Hacker News que a operação é dinâmica e evolui constantemente. Diferente de campanhas estáticas, este ataque utiliza sistemas avançados que se adaptam em tempo real para contornar filtros de segurança e maximizar a conversão de credenciais. A campanha foi associada a um grupo hacker do Vietnã, que tem como objetivo principal a comercialização de contas comprometidas.
Os e-mails de phishing são distribuídos para usuários que possuem perfis comerciais no Facebook, aumentando a probabilidade de sucesso, pois administradores de páginas tendem a responder mais rapidamente a alertas de segurança. A mensagem alega que a conta será excluída permanentemente em um período de 24 horas caso o usuário não verifique sua identidade. O endereço de remetente utilizado é "noreply@appsheet.com", aproveitando a confiança que os usuários depositam na infraestrutura do Google para burlar filtros de spam.
Como funciona o vetor de ataque
O mecanismo de infecção começa com o envio do e-mail de phishing. Ao clicar no link, o usuário é redirecionado para uma página falsa que replica visualmente o login do Facebook. A página solicita credenciais e, em alguns casos, códigos de verificação em duas etapas. O Google AppSheet é utilizado como fachada para a automação dos fluxos de trabalho, permitindo que os criminosos gerenciem a coleta de dados de forma eficiente.
Uma vez que as credenciais são capturadas, as contas são imediatamente verificadas para garantir que estão ativas e possuem valor no mercado negro. A comercialização ocorre principalmente em canais do Telegram, onde perfis comprometidos são vendidos para outros criminosos que utilizam as contas para disseminar spam, golpes financeiros ou ataques adicionais. A grande maioria dos perfis expostos está localizada no Brasil, México, EUA, Itália, Canadá, Índia e Reino Unido.
Impacto e riscos para organizações
Para empresas e profissionais que utilizam o Facebook para gestão de negócios, o risco vai além da perda de acesso à conta. Contas comprometidas podem ser usadas para difamar a marca, enganar clientes ou realizar golpes financeiros em nome da organização. A exposição de dados de clientes e parceiros também pode violar regulamentações de proteção de dados, como a LGPD no Brasil, caso informações sensíveis sejam acessadas pelos invasores.
A utilização de ferramentas legítimas como o Google AppSheet para fins maliciosos representa um desafio significativo para as equipes de segurança, pois o tráfego de rede e os domínios utilizados podem parecer legítimos em análises básicas. Isso exige uma monitorização mais profunda do comportamento do usuário e da integridade das credenciais.
Medidas de mitigação recomendadas
Para se proteger contra esta campanha, os administradores de contas devem desconfiar de e-mails que criam senso de urgência, mesmo que pareçam vir de fontes confiáveis. É fundamental verificar o endereço de e-mail do remetente e não clicar em links diretos. Em vez disso, acesse o Facebook diretamente pelo navegador ou aplicativo oficial.
Ativar a autenticação em duas etapas (2FA) é essencial, preferencialmente usando um aplicativo autenticador ou chave de segurança física, em vez de SMS. Monitorar os logs de atividade de login e revogar sessões desconhecidas também ajuda a detectar compromissos precocemente. Caso suspeite de comprometimento, altere a senha imediatamente e notifique a equipe de segurança da organização.
Perguntas frequentes
Como saber se minha conta foi comprometida?
Verifique a seção de segurança do Facebook para ver dispositivos e locais de login recentes. Se houver atividades suspeitas, altere a senha imediatamente.
O Google AppSheet foi invadido?
Não. A plataforma foi utilizada como ferramenta de automação pelos criminosos, mas não houve violação direta da infraestrutura do Google.
Devo desativar minha conta comercial?
Não necessariamente. Fortaleça as medidas de segurança e monitore a atividade. A desativação pode impactar negativamente o negócio.