Se geres uma página de Facebook ou Instagram seja de um negócio, de um projeto ou de uma marca pessoal há um email que tens de aprender a reconhecer já. À primeira vista, parece uma notificação normalíssima do Meta for Business: o logótipo certo, o aspeto certo, e até um botão azul a dizer “View request”. Mas é uma armadilha. E é das mais bem feitas que andam por aí. O golpe já chegou a contas em Portugal e o resultado é sempre o mesmo: quem cai perde o acesso à própria página, que passa a ser controlada por outra pessoa. Vamos por partes. Vê como estão a roubar contas de Facebook em segundos.
Este email está a roubar contas de Facebook: o que diz o email
A mensagem chega como um “pedido de parceria” (partner request). Diz-te que recebeste um convite de uma empresa que quer partilhar acessos contigo no Facebook, e mete pressão: tens de “verificar a tua conta através do link em cima nas próximas 24 horas”.
A ironia? O próprio email tem um aviso a dizer para teres cuidado com fraudes “nunca partilhes a tua palavra-passe”, “desconfia de mensagens com linguagem urgente”. É precisamente esse verniz de legitimidade que o torna perigoso.
E há um pormenor que denuncia tudo. Onde devia estar o nome de quem te convida, está escrito um link estranho. Algo como sites.google.com/view/getverifybadge. Esse é o anzol.
Porque é que este golpe é tão traiçoeiro
Aqui está a parte verdadeiramente esperta e que faz este esquema furar os filtros de spam. O atacante não falsificou um email da Meta. Fez algo mais subtil: criou um pedido de parceria real dentro do Business Manager e pôs o link malicioso como nome da empresa dele. Quando a Meta gera automaticamente a notificação por email, esse link aparece no corpo da mensagem com todo o branding verdadeiro da plataforma.
Por outras palavras: o email pode mesmo ter saído dos servidores da Meta. É por isso que chega à tua caixa de entrada sem ser apanhado como spam e parece genuíno até a um olho treinado.
Não é um caso isolado. Trata-se de uma campanha organizada, desenhada para escalar, que abusa de plataformas de confiança para passar despercebida. E o alvo preferido são exatamente as pessoas que já sabem como é um email verdadeiro da Meta.
O que acontece se carregares
Se clicares no link, és levado para uma página com aparência oficial da Meta muitas vezes uma falsa “Central de Privacidade” ou “Programa de Parceiros”, completa com um número de processo inventado e mais avisos de prazos a esgotar. No fim, há um formulário a pedir o teu email, palavra-passe e, por vezes, o código de verificação em dois passos.
A partir do momento em que escreves esses dados, está feito. O atacante entra na tua conta e ganha acesso aos teus ativos: páginas, contas de anúncios, pixels e até métodos de pagamento associados. Em muitos casos, expulsa-te como administrador e fica com o controlo total da página. É a história de muitas páginas portuguesas que, de um dia para o outro, deixaram de pertencer a quem as criou.
Como te proteges (e o que NÃO fazer)
A regra de ouro é simples: nunca trates de pedidos de parceria a partir do email. Nenhum. Mesmo que pareça legítimo.
Se um pedido for verdadeiro, ele vai estar à tua espera dentro do Business Manager. Por isso:
Não carregues no botão nem no link. Apaga o email ou reencaminha-o para phish@fb.com antes de o eliminar.
Vai diretamente a business.facebook.com, escrevendo tu o endereço no navegador. Trata de tudo lá dentro.
Se o pedido não existir lá, era falso.
Ativa a verificação em dois passos (2FA) na conta que administra as tuas páginas. Sem 2FA, basta a tua palavra-passe vazar para perderes tudo.
Verifica quem tem acesso: em Definições → Pessoas e Ativos / Parceiros, remove qualquer parceiro, administrador ou utilizador que não reconheças.
Não deixes a página com um único administrador. Tem sempre uma segunda pessoa de confiança como admin. Se a tua conta cair, é por aí que consegues recuperar a página.
Como distinguir o verdadeiro do falso
Há sinais que te ajudam a desmascarar estes emails:
A Meta não angaria empresas por email frio. Qualquer mensagem a falar de um “programa de parceiros” ou de um “selo de verificação” que não pediste é, quase de certeza, fraude.
Desconfia da urgência. “Tens 24 horas”, “a tua página está em risco”, “a conta vai ser restringida”: a pressa é a arma número um destes esquemas. Serve para te fazer clicar antes de pensar.
Olha para os links. Endereços estranhos disfarçados de nomes de empresa, domínios que nada têm a ver com a Meta é tudo “red flag”.
Entretanto a plataforma é segura. O email é que não é. Assim o Facebook em si não foi pirateado; o perigo está nas mensagens que te tentam apanhar as credenciais fora da plataforma.
Se desconfiares, a própria Meta é clara: assim não carregues em nenhum link nem anexo de mensagens suspeitas que digam ser dela.
Já carregaste? Faz isto já
Se entraste no link e inseriste os teus dados, age rápido:
- Muda a palavra-passe imediatamente e termina sessão em todos os dispositivos.Ativa o 2FA, se ainda não tinhas.
- Revê os acessos ao Business Manager e remove tudo o que não reconheças.
- Se já perdeste o acesso à conta, usa as ferramentas de recuperação da Meta e, se tiveres outro administrador, pede-lhe ajuda para retomar o controlo da página.
