Uwaga na nowy phishing podszywający się pod Meta. „Ekskluzywne zaproszenie do weryfikacji” to próba kradzieży kont Facebook
Do skrzynek mailowych właścicieli stron na Facebooku coraz częściej trafiają wiadomości, które na pierwszy rzut oka wyglądają bardzo profesjonalnie. Jedną z nich jest mail zatytułowany „Ekskluzywne zaproszenie do weryfikacji”, w którym odbiorca dowiaduje się, że jego marka została rzekomo wyróżniona przez „Meta AI” jako wpływowy twórca. W treści pojawiają się gratulacje, obietnice niebieskiej odznaki, większych zasięgów i priorytetowego wsparcia. Brzmi prestiżowo, ale w praktyce jest to klasyczny phishing, którego celem jest wyłudzenie danych logowania do Facebooka lub konta reklamowego.
Jak wygląda ten fałszywy mail?
Treść wiadomości została napisana w taki sposób, aby wzbudzić emocje i poczucie wyjątkowości. Oszustwo zaczyna się od komplementów. Nadawca informuje, że strona została wybrana ze względu na „elitarne zaangażowanie”, „lojalność inwestycji reklamowych” oraz „integralność marki”. Następnie pojawiają się obietnice korzyści, takich jak zweryfikowany autorytet, przewaga algorytmiczna, proaktywna ochrona i bezpośrednie wsparcie techniczne. Na końcu odbiorca widzi przycisk w stylu „OTRZYMAJ MOJĄ ZWERYFIKOWANĄ ODZNAKĘ” oraz informację, że oferta wygasa w ciągu 24 godzin.
Dlaczego to od razu powinno wzbudzić podejrzenia?
Ten mail zawiera niemal wszystkie klasyczne cechy phishingu. Po pierwsze, stosuje presję czasu. Informacja o tym, że zaproszenie wygasa w ciągu 24 godzin, ma skłonić użytkownika do szybkiego działania bez zastanowienia. Po drugie, wiadomość opiera się na mocno przesadzonym, marketingowym języku. Sformułowania typu „wpływowy twórca”, „przewaga algorytmiczna” czy „Meta AI zidentyfikowała Twoją stronę” brzmią sztucznie i są typowe dla prób manipulacji. Po trzecie, sama obietnica otrzymania niebieskiej odznaki weryfikacji przez kliknięcie w link z maila jest bardzo podejrzana. Tego typu procesy nie działają w ten sposób.
Na czym polega zagrożenie?
Najczęściej po kliknięciu w przycisk z maila użytkownik trafia na stronę łudząco podobną do panelu Facebooka lub Meta Business. Taka witryna może wyglądać bardzo wiarygodnie. Często ma logo Meta, podobny układ, pola do logowania i komunikaty sugerujące, że trzeba potwierdzić swoją tożsamość albo zakończyć proces weryfikacji. Problem polega na tym, że wpisane tam dane nie trafiają do Meta, tylko bezpośrednio do oszustów. W ten sposób cyberprzestępcy mogą przejąć konto prywatne, fanpage, konto reklamowe, a nawet Business Managera z przypiętą kartą płatniczą.
Po kliknięciu trafiamy na stronę łudząco podobną do facebooka, ale z podejrzanym URL-em
Po kliknięciu dalej zostaniemy poproszeni o podanie loginu i hasła.
Dlaczego takie maile są szczególnie niebezpieczne dla firm?
W przypadku zwykłego użytkownika przejęcie konta jest problemem samym w sobie, ale dla firmy ryzyko jest dużo większe. Jeśli oszust zdobędzie dostęp do firmowego Facebooka lub Menedżera Firmy, może przejąć stronę, usunąć administratorów, zmienić dane dostępu, uruchomić reklamy na cudzy koszt albo wykorzystać konto do dalszego oszukiwania klientów. Dla marek, które prowadzą kampanie reklamowe, taki atak może oznaczać nie tylko utratę dostępu do strony, ale też realne straty finansowe i wizerunkowe.
Czy Meta naprawdę wysyła takie wiadomości?
Prawdziwe komunikaty od Meta dotyczące bezpieczeństwa, ograniczeń, reklam czy ustawień konta najczęściej pojawiają się bezpośrednio w panelu Facebooka, w Menedżerze Firmy albo w Centrum Konta. Oczywiście zdarzają się także wiadomości mailowe, ale nie powinny one wymuszać logowania przez podejrzany link i nie są pisane w stylu „zostałeś wybrany jako elitarny twórca”. Jeżeli cokolwiek wzbudza wątpliwości, najlepiej nie korzystać z linku z maila, tylko samodzielnie wejść na Facebooka lub Meta Business przez przeglądarkę i sprawdzić, czy tam rzeczywiście czeka jakieś powiadomienie.
Co zrobić, gdy dostaniesz taki mail?
Przede wszystkim nie klikaj w żaden link i nie pobieraj żadnych załączników. Najlepiej oznaczyć wiadomość jako phishing lub spam, a następnie ją usunąć. Dobrą praktyką jest też sprawdzenie zabezpieczeń konta, zwłaszcza jeśli prowadzisz stronę firmową lub kampanie reklamowe. Warto włączyć uwierzytelnianie dwuskładnikowe, przejrzeć listę administratorów strony i Business Managera oraz upewnić się, że do konta nie są przypięte podejrzane osoby lub aplikacje. Im szybciej wykryjesz próbę oszustwa, tym mniejsze ryzyko, że stracisz dostęp do swoich zasobów.
Co zrobić, jeśli kliknąłeś i podałeś dane?
Jeżeli zdarzyło się, że kliknąłeś w link i wpisałeś login oraz hasło, trzeba działać natychmiast. Najpierw zmień hasło do Facebooka i do skrzynki mailowej powiązanej z tym kontem. Następnie wyloguj wszystkie aktywne sesje, sprawdź, czy nie doszło do zmiany adresu e-mail, numeru telefonu lub administratorów strony. Włącz dwuskładnikowe logowanie, a jeśli konto reklamowe było połączone z kartą płatniczą, sprawdź historię płatności i w razie potrzeby skontaktuj się z bankiem. Warto też przejrzeć aktywność w Menedżerze Firmy, aby upewnić się, że nikt nie uruchomił kampanii bez Twojej wiedzy.
Wniosek jest prosty
Jeżeli dostajesz wiadomość, która obiecuje Ci natychmiastową weryfikację, większe zasięgi i ekskluzywne korzyści tylko dlatego, że Twoja marka została rzekomo wyróżniona przez „Meta AI”, potraktuj to jako sygnał alarmowy. W świecie cyberoszustw zbyt piękne obietnice bardzo często prowadzą prosto do strony phishingowej.
