De afgelopen weken zien we bij meerdere klanten dezelfde melding binnenkomen: dagelijks vijf tot tien e-mails van Facebook met een verzoek om jullie Bedrijfsmanager-account te koppelen aan een onbekende partner. De mails komen vanaf noreply@business.facebook.com, dus van een afzender die er volstrekt legitiem uitziet. En toch klopt er iets niet.
Wat hier speelt is een actieve phishingcampagne die op dit moment wereldwijd wordt uitgerold. Hoog tijd om uit te leggen wat er gebeurt, waarom het er zo overtuigend uitziet, en wat je er als bedrijf mee moet.
Waarom de mails er zo echt uitzien
Het afzendadres noreply@business.facebook.com is niet vervalst. Het is een echt Meta-domein. Dat is precies wat deze campagne zo lastig maakt: de oplichters versturen hun verzoeken via Meta’s eigen Business Manager. Iedereen die een Facebook-bedrijfspagina aanmaakt, kan namelijk uitnodigingen sturen naar andere accounts, en die uitnodigingen worden door Meta zelf verwerkt en bezorgd.
De truc zit hem niet in het afzendadres, maar in de link die in de mail staat. Die wijst naar een nepwebsite die op een Meta-loginpagina lijkt. Klik je daar door, en log je in met je Facebook-gegevens, dan zijn die gegevens direct in handen van de oplichter. Met als gevolg: toegang tot je bedrijfspagina, advertentieaccount en koppelingen.
Waarom je spamfilter ze niet tegenhoudt
Mailfilters baseren zich onder andere op de reputatie van het afzenddomein. En business.facebook.com heeft een uitstekende reputatie, want er komen dagelijks miljoenen legitieme uitnodigingen vanaf. Een filter dat deze mails zou blokkeren, blokkeert ook de echte. Daarom komen ze gewoon door.
Wat je vooral niet moet doen
Niet klikken op de links in de mail. Ook niet uit nieuwsgierigheid, en ook niet om “te kijken wat het is”. Een echte uitnodiging accepteer je nooit via een mail, maar altijd vanuit je eigen Business Manager.
Wat je wel kunt doen
Drie dingen die we al onze klanten aanraden:
1. Check rechtstreeks in Business Manager. Twijfel je of er een echt partnerverzoek openstaat? Ga naar business.facebook.com, log in, en kijk onder Instellingen bij Partners. Daar zie je wat er werkelijk speelt.
2. Markeer de mails als phishing. Niet alleen als spam. In Outlook en Gmail kun je expliciet “Phishing melden” kiezen. Daarmee help je je eigen filter slimmer te worden, en je kunt de mails doorsturen naar phish@meta.com zodat Meta er zelf ook actie op kan ondernemen.
3. Zet tweestapsverificatie aan. Dit is verreweg het belangrijkste. Als alle Facebook-accounts die toegang hebben tot jullie Business Manager met tweestapsverificatie zijn beveiligd, kan een gestolen wachtwoord nooit zelfstandig worden gebruikt. Mocht iemand binnen je organisatie dus per ongeluk wel klikken en zijn gegevens invullen, dan houdt 2FA de toegang alsnog tegen.
Hoe lang gaat dit nog door?
Eerlijk antwoord: voorlopig nog wel even. Zolang Meta de mogelijkheid om uitnodigingen te versturen niet strenger reguleert, blijft deze route open voor misbruik. De campagne zelf zal van vorm veranderen (ander nepdomein, andere bewoording), maar het patroon blijft hetzelfde: echt afzendadres, valse link.
Loop je hier tegenaan en wil je dat we even meekijken bij jouw situatie? Stuur een mail naar je vaste contactpersoon bij James Robinson, of neem contact op via onze website. We pakken het graag voor je op.