Eine raffinierte Phishing-Kampagne nutzt Metas eigene Systeme, um Sicherheitsfilter zu umgehen. Über 5.000 Unternehmen weltweit sind bereits im Visier der Angreifer – und die Mails wirken absolut echt.

Cybersecurity-Experten schlagen Alarm: Eine großangelegte Betrugsoffensive zielt auf Nutzer der Meta Business Suite ab. Das Perfide daran? Die Angreifer verschicken ihre Phishing-Mails über die legitime Domain facebookmail.com – also direkt aus Metas eigener IT-Infrastruktur. Mehr als 40.000 betrügerische Nachrichten erreichten bereits über 5.000 Unternehmen in den USA, Europa, Kanada und Australien, wie das Sicherheitsunternehmen Check Point berichtet.

Besonders brisant: Weil die Mails von einer vertrauenswürdigen Meta-Adresse stammen, durchlaufen sie problemlos gängige E-Mail-Sicherheitssysteme. Diese prüfen in erster Linie die Reputation der Absender-Domain – und stufen facebookmail.com natürlich als vertrauenswürdig ein. Betroffen sind vor allem Branchen, die stark auf Facebook-Werbung setzen: Automobilhändler, Immobilienmakler, Bildungseinrichtungen, Hotels und Finanzdienstleister.

Wie die Betrüger Metas Vertrauen ausnutzen

Der Trick ist so einfach wie wirkungsvoll: Die Angreifer erstellen gefälschte Facebook-Unternehmensseiten, die täuschend echt aussehen – komplett mit offiziellen Meta-Logos und glaubwürdigen Namen. Anschließend nutzen sie die normale „Geschäftseinladung"-Funktion der Meta Business Suite, um ihre Phishing-Mails zu versenden.

Da diese Einladungen systemseitig generiert werden, stammen sie automatisch von der facebookmail.com-Domain. Für Empfänger ist es praktisch unmöglich, diese Nachrichten von echten Meta-Benachrichtigungen zu unterscheiden. Die Betreffzeilen klingen dringlich und verlockend: „Sofortiges Handeln erforderlich: Kostenlose Werbebudgets für Ihr Unternehmen" oder „Kontoverifizierung notwendig".

Wer auf den eingebetteten Link klickt, landet auf einer täuschend echten Kopie der Meta-Login-Seite – oft gehostet auf Domains wie vercel.app. Dort geben ahnungslose Nutzer Benutzername, Passwort und sogar Zwei-Faktor-Authentifizierungscodes ein. Die Kriminellen haben dann vollen Zugriff auf die Business-Konten.

Massenangriff mit industriellem Ausmaß

Die Dimensionen der Kampagne sind beeindruckend – im negativen Sinne. Security-Forscher dokumentierten über 40.000 betrügerische E-Mails an 5.000 Organisationen. Während viele Unternehmen einige Hundert Nachrichten erhielten, wurde eine Firma mit über 4.200 identischen Phishing-Mails in einer einzigen Welle bombardiert. Das zeigt die vollautomatisierte Vorgehensweise der Angreifer.

Die Folgen eines gekaperten Meta-Kontos können verheerend sein. Angreifer übernehmen die Kontrolle über verknüpfte Facebook- und Instagram-Seiten, posten betrügerische Inhalte, täuschen Kunden und schalten kostenpflichtige Werbekampagnen auf Kosten des Opfers. Neben finanziellen Verlusten drohen massive Reputationsschäden und der Verlust jahrelanger Community-Arbeit. In manchen Fällen erpressen die Cyberkriminellen ihre Opfer sogar: Geld gegen Rückgabe des Kontos.

Die Kampagne zielt gezielt auf Mitarbeiter ab, die regelmäßig mit Meta-Business-Tools arbeiten – etwa Marketing- und Social-Media-Manager. Gerade diese Zielgruppe ist an ständige Benachrichtigungen von der Plattform gewöhnt und lässt bei vermeintlich offiziellen E-Mails eher die Vorsicht außer Acht.

Paradigmenwechsel im Phishing: Vertrauen wird zur Waffe

Diese Angriffswelle markiert einen Wendepunkt in der Cybersecurity. Statt Domains zu fälschen, missbrauchen Kriminelle zunehmend die eingebauten Funktionen vertrauenswürdiger Plattformen. Durch die Nutzung der legitimen facebookmail.com-Domain hebeln sie eine der wichtigsten Sicherheitsregeln aus: die Prüfung der Absenderadresse.

Wie konnte das überhaupt passieren? Check Point-Forscher demonstrierten die Schwachstelle, indem sie selbst eine gefälschte Business-Seite erstellten und erfolgreich Test-Einladungen verschickten. Das zeigt: Metas Verifizierungsprozesse für neue Unternehmenskonten weisen offenbar erhebliche Lücken auf. Angreifer können scheinbar problemlos glaubwürdige Fake-Profile anlegen und diese für Massenversand nutzen.

Traditionelle E-Mail-Sicherheitslösungen stoßen hier an ihre Grenzen. Sie verlassen sich stark auf Domain-Reputation – eine Methode, die bei missbrauchter legitimer Infrastruktur versagt.

Verteidigung in der neuen Bedrohungslandschaft

Unternehmen müssen ihre Sicherheitsstrategie dringend anpassen. Die wichtigsten Schutzmaßnahmen im Überblick:

Schulungen neu denken: Mitarbeiter sollten lernen, jede dringende Anfrage kritisch zu hinterfragen – selbst wenn sie von einer vertrauenswürdigen Quelle zu kommen scheint. Die neue Grundregel lautet: „Keinem Link trauen, direkt einloggen." Statt auf Links in E-Mails zu klicken, sollten Nutzer immer die offizielle Meta-Website direkt im Browser aufrufen.

Zwei-Faktor-Authentifizierung durchsetzen: 2FA verhindert unbefugten Zugriff auch dann, wenn Login-Daten gestohlen wurden. Authentifizierungs-Apps von Drittanbietern gelten als sicherer als SMS-Codes.

Fortgeschrittene E-Mail-Security einsetzen: Moderne Lösungen nutzen Verhaltensanalyse und KI-gestützte Erkennung, um Anomalien und bösartige Absichten zu identifizieren – unabhängig von der Absender-Domain.

Backup-Administrator benennen: Ein vertrauenswürdiger Zweitadmin kann im Notfall den Zugang zum Business-Suite-Konto wiederherstellen, wenn der Hauptnutzer ausgesperrt wurde.

Check Point hat seine Sicherheitslösungen bereits aktualisiert, um diese Meta-Phishing-Versuche besser zu erkennen und zu blockieren. Doch die wirksamste Verteidigung bleibt eine Kombination aus leistungsfähiger Technologie und einem gut geschulten, wachsamen Team. In Zeiten, in denen selbst vertrauenswürdige Plattformen als Angriffsvektor dienen, gilt mehr denn je: Gesundes Misstrauen ist keine Paranoia, sondern Pflicht.