Em março de 2025, a Meta, empresa responsável pelo Instagram e Facebook, corrigiu duas vulnerabilidades significativas que afetavam a criação de anúncios nessas plataformas. Essas falhas permitiam que cibercriminosos criassem anúncios em nome de qualquer conta profissional existente, tanto no Instagram quanto no Facebook. As vulnerabilidades não se restringiam ao Brasil, mas impactavam contas globalmente. Apesar das falhas já terem sido corrigidas, mergulhe neste artigo e entenda como funcionava.
Como funcionavam as falhas no Instagram e Facebook?
As brechas exploradas envolviam uma falha de lógica, ao invés de um erro de programação ou um CVE (Vulnerabilidades e Exposições Comuns). Isso permitia que cibercriminosos obtivessem permissões de anunciante em contas profissionais, possibilitando a criação de anúncios que não apareciam no feed dos proprietários das contas, mas sim dentro de suas contas.
Por exemplo, um anúncio poderia ser criado no perfil de uma grande empresa, como a Magazine Luiza, com um produto falso. Embora o anúncio parecesse legítimo, o link redirecionava para uma página fraudulenta. Esse tipo de golpe não era detectável pelos proprietários das contas, pois os anúncios não apareciam em seus perfis.
Como o golpe do Instagram era executado?
O golpe se desenrolava da seguinte maneira:
- Usuários do Instagram e Facebook viam anúncios de empresas conhecidas em seus feeds.
- O anúncio parecia legítimo, mas o link levava a uma página falsa.
- O anúncio não aparecia no perfil da empresa, apenas no feed das vítimas.
Para os cibercriminosos, o processo era o seguinte:
- Obtiveram o de anunciante no perfil de uma loja.
- Criaram um anúncio com imagem de produto falso e link para site fraudulento.
- Vítimas viam o anúncio como se fosse oficial da loja.
- A loja não tinha conhecimento do anúncio falso.
- Os cibercriminosos coletavam dados pessoais ou financeiros através do link falso.
Por que as vulnerabilidades eram tão perigosas?
As falhas descobertas eram praticamente impossíveis de serem detectadas pelas vítimas. As contas profissionais, incluindo grandes empresas e influenciadores, estavam todas vulneráveis. Mesmo que as vítimas assem a publicação através do link, não conseguiam excluí-la devido a erros no sistema.
Além disso, os cibercriminosos podiam excluir comentários de vítimas e monitorar o engajamento nas publicações falsas. No entanto, a Meta concentrou seus esforços na correção das falhas, garantindo que tais brechas não fossem mais exploráveis.
Como se proteger de golpes semelhantes no futuro?
Embora as falhas específicas tenham sido corrigidas, é crucial que usuários de redes sociais estejam sempre atentos a possíveis golpes. Algumas medidas de segurança incluem:
Verificar a autenticidade de links antes de clicar.
Utilizar autenticação de dois fatores em todas as contas.
Manter aplicativos e sistemas operacionais atualizados.
Desconfiar de anúncios que oferecem ofertas muito boas para serem verdade.
Manter-se informado sobre as últimas notícias de cibersegurança também é uma maneira eficaz de se proteger contra novas ameaças.
