O que aconteceu:

A CpC: Cidadãos pela Cibersegurança recebeu recentemente um relato que ilustra, com detalhe técnico e consequências reais, uma forma sofisticada de ataque a páginas Facebook: um método que combina engenharia social, aproveitamento de falhas organizacionais e infraestrutura maliciosa deliberadamente construída.

Tudo começou quando o administrador de uma página Facebook recebeu uma notificação da plataforma a informar que tinha sido removido do papel de administrador. Ao verificar o Meta Business Suite, confirmou a remoção: o seu acesso tinha sido rebaixado para o nível básico. A página continuava ativa, mas já não estava sob o seu controlo.

A exploração de um domínio de um administrador falecido:

Ao analisar a lista de administradores ainda ativos na página, a vítima deparou-se com algo perturbante: um dos administradores estava associado a um domínio de email que havia expirado. Uma consulta WHOIS revelou que esse domínio tinha sido registado por terceiros cerca de 40 minutos antes do ataque.

O detalhe mais grave: o domínio pertencia ao endereço de email de um antigo administrador da página que havia falecido, mas cuja conta nunca tinha sido removida. O atacante identificou esta janela de vulnerabilidade – um administrador “fantasma” com um domínio caducado – e agiu com precisão cirúrgica. Registou o domínio, criou um endereço de email na Cloudflare, obteve assim acesso ao Facebook associado a esse endereço, e usou-o para expulsar os administradores legítimos. O Cloudflare recebeu o relato mas é improvável (experiência passada) que tome medidas.

A infraestrutura maliciosa por trás do ataque:

O domínio recém-registado apontava, através de dois endereços IP localizados nos Estados Unidos, para um redirect para o site places.thebest100hotels.com. A análise ao código HTML deste site revelou um padrão consistente com infraestrutura de suporte a campanhas de fraude online:

1. Conteúdo gerado ou agregado de forma automatizada, sem coerência editorial, típico de redes de sites criadas para monetização por anúncios;

2. Integração do serviço push-sdk.com, frequentemente associado a publicidade intrusiva, rastreamento de utilizadores e redirecionamentos para conteúdos maliciosos;

3. Múltiplos serviços de tracking, publicidade e recolha de métricas que aumentam a exposição dos visitantes a terceiros não identificados;

4. Ausência de payloads de malware diretamente incorporados, mas arquitetura que serve de intermediário para campanhas mais agressivas.

5. Este não é o site de um hotel real. É infraestrutura de suporte a operações de fraude.

O objetivo do ataque: resgate ou abuso financeiro:

O móbil do atacante era claro e seguia um de dois cenários: exigir um resgate para devolver o controlo da página aos legítimos proprietários, ou – em alternativa ainda mais grave – utilizar o método de pagamento associado à conta de anúncios da página (neste caso um cartão Visa) para financiar campanhas de phishing ou distribuição de malware a partir de uma conta publicitária legítima e estabelecida.

Este segundo cenário é particularmente insidioso: os anúncios seriam veiculados a partir de uma página com histórico real, contornando mais facilmente os filtros automáticos da Meta, os custos seriam suportados pela vítima e, se houvesse acção policial, esta seria envolvida na investigação apesar de ser totalmente inocente.

O que todos os administradores de páginas Facebook devem fazer:

Este caso não é uma exceção técnica reservada a alvos de alto perfil. É um ataque replicável contra qualquer página com uma falha de higiene administrativa. A CpC recomenda as seguintes medidas imediatas:

Audite a lista de administradores. Aceda ao Meta Business Suite e reveja todos os utilizadores com acesso à página. Remova imediatamente contas de pessoas que já não fazem parte da organização e, em particular, de pessoas que tenham falecido ou que tenham saído sem que o acesso tenha sido formalmente revogado.

Verifique a validade dos domínios associados. Se algum administrador está associado a um endereço de email num domínio próprio ou organizacional, confirme que esse domínio está ativo e sob controlo legítimo. Um domínio expirado é uma porta aberta.

Ative autenticação de dois fatores em todas as contas de administrador. O 2FA não teria impedido este ataque específico — o atacante controlava o domínio e portanto o email — mas é a primeira linha de defesa contra a maioria dos ataques de roubo de conta.

Não associe cartões de pagamento a contas de anúncios sem monitorização ativa. Se tiver um método de pagamento associado ao Meta Business Suite, ative alertas de faturação e verifique periodicamente as campanhas ativas. Um atacante com acesso à conta pode lançar campanhas custosas em minutos. Se puder, use cartões virtuais como os gerados pelo MBnet.

Designe sempre pelo menos dois administradores com contas pessoais verificadas e ativas. A dependência de um único administrador – ou de administradores com contas frágeis – cria o ponto de falha que este ataque poderia ter explorado e que apenas não foi bem sucedido porque foi detectado em minutos (se tivesse sido feito de madrugada ou com a rapidez suficiente para remover todos os administradores teria sido demasiado tarde para o travar).

Em caso de perda de acesso, atue de imediato. Utilize o processo de recuperação de página do Meta Business Suite, documente o incidente com capturas de ecrã e reporte à Meta através dos canais oficiais. O tempo é crítico: quanto mais tarde reagir, mais difícil será a recuperação.

Uma nota final

Este caso demonstra que os atacantes fazem o seu trabalho de casa. Identificaram um administrador falecido, aguardaram ou monitorizaram a expiração do domínio, registaram-no em menos de uma hora e executaram o takeover com infraestrutura previamente preparada. A sofisticação não está no exploit técnico: está na paciência e na atenção ao detalhe. Felizmente, falharam num ponto: a rapidez.