MADRID, 11 Nov. (CIBERPRO) –
Una campaña de ‘phishing’ se vale de funciones legítimas de Facebook Business Suite y del dominio facebookmail.com para enviar notificaciones fraudulentas que aparentan ser de Meta, dirigidas a pequeñas y medianas empresas con el fin de robar credenciales e información sensible.
Facebook continúa siendo una de las redes sociales más importantes, alcanzando más de 5.400 millones de usuarios globalmente, según datos de Statista. También es una plataforma de marketing esencial para pequeñas y medianas empresas, que utilizan su espacio para tener una presencia en línea, promocionarse y interactuar con clientes.
Este amplio alcance y la confianza que genera la red social la convierten en un blanco atractivo para los ciberdelincuentes, quienes han explotado su nombre en una reciente campaña para enviar notificaciones engañosas a miles de empresas alrededor del mundo.
Investigadores de Check Point Software han analizado esta campaña, que ha atacado a más de 5.000 organizaciones de diversos sectores en Estados Unidos, Europa, Canadá y Australia, enviando más de 40.000 correos falsos. Según sus datos, la mayoría de las organizaciones recibió menos de 300 correos, aunque una sola alcanzó a recibir más de 4.200 mensajes.
Para aumentar la efectividad del engaño, los ciberdelincuentes crearon páginas falsas de Facebook Business con logotipos y nombres que imitan a los oficiales de Meta, y usaron la función de invitaciones empresariales de Facebook para enviar correos que parecen ser alertas legítimas.
Estos correos fueron enviados desde el dominio facebookmail.com, que es un dominio completamente legítimo, lo que les otorgó mayor credibilidad y les permitió eludir los sistemas de detección automática, según indica Check Point Software en un comunicado.
Los correos incluían mensajes de urgencia como «Acción requerida: estás invitado a unirte al programa de créditos publicitarios gratuitos», «Invitación de socio de agencia de Meta» o «Verificación de cuenta requerida»; además, contenían un enlace malicioso que redirigía a sitios web fraudulentos, diseñados para obtener credenciales e información confidencial.
«Esta campaña pone de manifiesto cómo los ciberdelincuentes están logrando explotar los servicios y marcas más confiables para llevar a cabo sus ataques», señala Eusebio Nieva, director técnico de Check Point Software para España y Portugal, quien enfatiza que «las organizaciones deben implementar un enfoque integral de seguridad, basado en la prevención, el análisis contextual y el comportamiento, que les permita anticiparse a las amenazas antes de que causen daños».
