Um novo relatório que deixa ver a sofisticação da fraude digital contemporânea descreve uma operação ligada ao Vietnã que explora serviços legítimos como o Google AppSheet para montar o que os pesquisadores chamaram um "phishing relay" e colocar no mercado contas do Facebook roubadas. A campanha, apodada AccountDumpling pela assinatura que investigou o caso, não é um mero kit de phishing isolado: trata-se de uma estrutura viva com painéis operacionais em tempo real, evoluções constantes e um ciclo comercial criminosa que converte o acesso a contas em uma mercadoria comercializável, segundo as análises publicadas por pesquisadores que deram a voz de alarme.
A mecânica do ataque combina engenharia social e abuso de plataformas confiáveis: e-mails que aparentam proceder do suporte de Meta, enviados de um remetente legítimo da AppSheet ("[email protected]") para sortear filtros antispam, dirigem vítimas (normalmente titulares de contas ou negócios no Facebook) a páginas falsas alojadas em serviços como Netlify, Vercel ou Google Drive. Essas páginas imitam processos de verificação, apresentação de documentação ou revisões políticas e são projetadas para capturar credenciais, códigos 2FA, fotografias de identificação e metadados do navegador. Parte da informação recolhida termina centralizada em canais controlados pelos atacantes no Telegram, e os registros apreendidos apontam para umas 30.000 contas comprometidas com vítimas em vários países.
O quadro desenhado tem implicações importantes para empresas e usuários: além do dano direto por perda de acesso, roubo publicitário e suplantação, existe um mercado secundário que monetiza reputação de negócio, identidade comercial e processos de recuperação de conta, o que incentiva mais ataques. Também é preocupante que atores maliciosos recorrem sistematicamente a fornecedores públicos gratuitos ou de fácil acesso (AppSheet, Netlify, Vercel, Google Drive, Canva) para entregar conteúdos maliciosos, aproveitando a confiança dos filtros e dos próprios usuários nessas plataformas.
Para reduzir o risco individual e corporativo, há medidas concretas que devem ser aplicadas imediatamente: não responder a e-mails urgentes que solicitem credenciais ou seguir ligações de mensagens não verificadas; verificar sempre a autenticidade do canal contactante através da consola oficial Meta ou da conta empresarial no Facebook; ativar métodos de autenticação mais robustos como Chaves físicas (FIDO2/WebAuthn) ou aplicações autenticadoras em vez de SMS; revisar e revogar sessões activas, permissões de aplicativos e acessos de terceiros a partir da configuração da conta; e auditar papéis e permissões nos administradores de páginas e contas publicitárias. No plano técnico, as organizações devem reforçar políticas de e-mail com SPF, DKIM e DMARC, configurar filtros avançados e formar equipamentos e clientes sobre senheiros habituais como falsos processos de verificação ou supostas ofertas de emprego de grandes marcas.
Além de acções reativas, é fundamental a cooperação entre fornecedores de plataformas, empresas de segurança e autoridades para detectar e desmantelar as infra-estruturas que servem como "capas" da fraude. Os responsáveis por fornecedores como AppSheet, Canva, Netlify ou Vercel enfrentam o desafio de equilibrar disponibilidade e abuso: melhorar a detecção de modelos usados em phishing, vetar a automação de PDFs ou páginas maliciosas e acelerar a resposta a relatórios são passos necessários para cortar o circuito comercial da fraude.
Se suspeitar que a sua conta do Facebook foi comprometida, use exclusivamente os canais oficiais de recuperação que fornece Meta e documente qualquer comunicação suspeita antes de agir; conserve capturas e e-mails para possível pesquisa. Para aprofundar no contexto e em achados reportados por pesquisadores de segurança pode consultar fontes jornalísticas e de consciênciação como The Hacker News e recursos de formação em phishing e simulação de ataques como os de KnowBe4, bem como a documentação oficial da Meta de Segurança Empresarial Facebook Business Help. A lição é clara: a segurança já não é apenas técnica, é também uma batalha pela confiança nas plataformas; o reforço exige medidas técnicas, processos e educação contínua.
Alerta de segurança Drupal vulnerabilidade crítica de injeção SQL em PostgreSQL obriga a atualizar imediatamente
Drupal publicou atualizações de segurança para uma vulnerabilidade qualificada como "altamente crítica" que afeta o Drupal Core e permite a um atacante conseguir injeção SQL arb...
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...