Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!

Nowa ksiażka sekuraka o bezpieczeństwie Linux!

Książka o zabezpieczaniu Linux

Browser-in-the-Browser (BitB): Najczęstsza metoda ataku na użytkowników Facebooka w drugim półroczu 2025

19 stycznia 2026, 02:44 | W biegu | 0 komentarzy
Tagi: , , , ,

Portale społecznościowe są często wybierane przez atakujących jako źródło dystrybucji malware. Cyberprzestępcy korzystając z reklam rozsyłają treści, które pod pozorem darmowych narzędzi, sensacyjnych materiałów wideo czy też zaskakujących promocji nakłaniają użytkowników do kliknięcia w link. 

Dalszy scenariusz ataku możemy sobie łatwo wyobrazić. Przejęcie konta, masowe wyłudzanie “na Blika”, utrata dostępu do serwisu. Z takimi przypadkami spotykamy się najczęściej, jednak nie możemy zakładać, że atak zawsze będzie przebiegał według tego schematu.

TLDR:

  • Badacze bezpieczeństwa z Trelix przeanalizowali najczęstsze metody ataku na użytkowników Facebooka w drugiej połowie 2025 r.
  • Na pierwszym miejscu znalazła się technika Browser-in-the-Browser (BitB).
  • Atak rozpoczyna się od maila z linkiem prowadzącym do phishingowej strony.
  • Użytkownik po kliknięciu w link trafia na stronę hostowaną w darmowej infrastrukturze chmurowej (Netlify, Vercel), gdzie znajduje się panel logowania.
  • Aby uśpić czujność, po przejściu w link wyskakuje okienko z weryfikacją captcha sugerując, że jest to legalna strona Facebooka.

Poziom świadomości użytkowników związany z pułapkami czającymi się w mediach społecznościowych wzrasta. Większość z nas zapewne wie, że zaskakujący materiał wideo to często tak naprawdę treść wygenerowana przez AI, której celem jest przyciągnięcie naszej uwagi. 

W obecnej sytuacji, cyberprzestępcy dostosowują się do otaczającej ich rzeczywistości rozwijając coraz to bardziej przekonujące metody ataku. Jak pokazuje najnowszy raport badaczy z Trelix, cyberprzestępcy przestali korzystać z prostych technik socjotechnicznych, a skupili się na bardziej wyrafinowanych metodach. 

Dominującą techniką zaobserwowaną w drugiej połowie 2025 r. jest Browser-in-the-Browser (BitB).  Polega ona na wyświetleniu w oknie przeglądarki fałszywego panelu logowania do Facebooka, który jest praktycznie nie do odróżnienia od oryginalnego formularza. W momencie wprowadzania poświadczeń logowania, dane trafiają bezpośrednio na serwer kontrolowany przez cyberprzestępców.

Atakujący często monitorują aktywność użytkownika w czasie rzeczywistym, przechwytując w locie każdy wprowadzany znak. Oznacza to, że dane zostają przejęte, nawet jeżeli użytkownik w ostatniej chwili zorientuje się, że padł ofiarą ataku i nie kliknie przycisku “zaloguj”. Jednak zanim dojdzie do przejścia na adres fałszywego formularza, warto przeanalizować w jaki sposób zostaje on dostarczony do użytkownika.

Jak wygląda scenariusz ataku?

Wektorów ataku jest wiele. W ostatnim czasie na popularności zyskuje szczególnie jeden, a mianowicie wiadomość email pochodząca rzekomo z kancelarii prawnej, dotycząca naruszenia praw autorskich publikowanych treści.

Wiadomość email zawierająca link do fałszywej strony logowania. Źródło: trellix.com 

Wewnątrz wiadomości znajduje się odnośnik zawierający szczegóły danej sprawy. Jak można zauważyć, URL na pierwszy rzut oka przypomina link do Facebooka (literówka występuje w rozszerzeniu: c=m). 

Inne przykłady wiadomości phishingowych to informacja o zawieszeniu konta, naruszenie regulaminu Facebooka, próba logowania z nowego urządzenia czy też aktualizacja bezpieczeństwa.

Źródło: trellix.com
Źródło: trellix.com
Źródło: trellix.com

Poprzez roztargnienie czy też pod wpływem emocji, nieświadomy użytkownik przejdzie pod wskazany adres. Odnośnik prowadzi do strony (hostowanej na darmowych serwisach np. Netlify, Vercel), która od razu po uruchomieniu wyświetla nam Meta captcha. Działanie to ma na celu uśpienie czujności użytkownika oraz utwierdzenie go w przekonaniu, że znajduje się na oficjalnej stronie Facebooka. 

Captcha. Źródło: trellix.com

Po przejściu mechanizmu captcha zostaje wyświetlone okienko logowania. Co ciekawe, w polu URL okienka widzimy prawidłowy adres panelu logowania.

Panel logowania do portalu Facebook. Źródło: trellix.com

Nasi czytelnicy zapewne od razu zauważą, że nie jest to prawdziwe okienko systemowe, tylko element HTML (kontener <div> lub ramka <iframe>) osadzony wewnątrz złośliwej strony. Pasek adresu z charakterystyczną kłódką to tak naprawdę ikona oraz pole tekstowe wyrenderowane w taki sposób, aby do złudzenia przypominało rzeczywisty panel logowania. Zaglądając w kod źródłowy strony możemy zauważyć, że adres panelu logowania został wpisany na stałe.

Panel logowania do Facebooka – źródło strony. Źródło: trellix.com

Po wprowadzeniu danych uwierzytelniających, atakujący uzyskuje dostęp do konta użytkownika. Jeżeli konto zostało zabezpieczone za pomocą uwierzytelnienia dwuskładnikowego w postaci kodu SMS czy też kodu wygenerowanego z aplikacji (Google Authenticator) to też nie jest to przeszkoda. Wyświetlony zostanie odpowiedni monit z prośbą o wpisanie kodu.

Warto dodać, że użycie klucza sprzętowego zabezpiecza przed tego typu atakiem, jednak nie na każdym portalu można go użyć (Facebook akurat wspiera klucze U2F).

Sposoby obrony

W przypadku ataków typu BitB, najlepszym sposobem obrony jest krytyczne podejście do zaistniałej sytuacji oraz zachowanie spokoju. Atakujący, często manipuluje użytkownikiem stosując presję czasu i grożąc surowymi konsekwencjami. Warto na chwilę się zatrzymać i przeanalizować fakty. 

W kontekście tej konkretnej kampanii zalecamy wykonać następujące kroki:

  • przesunąć okienko logowania poza obszar przeglądarki. Fałszywe okienko nie będzie mogło wyjść za krawędź strony,
  • zweryfikować adres linku umieszczony wewnątrz wiadomości email. W tym celu oprócz manualnej analizy można wykorzystać, np. serwis virustotal, wklejając adres linku w polu URL. Tutaj mała uwaga, jeżeli kampania dopiero się rozpoczęła a my zostaliśmy wytypowani na pierwszą ofiarę, przedstawiony raport może nie wykryć nic podejrzanego. W innym przypadku na czerwono wyświetli nam się informacja o złośliwym charakterze strony.
Źródło: virustotal.com

Warto dodać, że w przypadku posiadania menedżera haseł zintegrowanego z przeglądarką, hasło nie zostanie automatycznie uzupełnione na stronie phishingowej. Jest to doskonały marker obrazujący, że coś jest nie tak.

Należy zwrócić uwagę na jeszcze jeden istotny element, a mianowicie wykorzystanie przez atakujących legalnych i zaufanych platform chmurowych do hostowania stron phishingowych. W ten sposób cyberprzestępcy mogą efektywnie omijać filtry bezpieczeństwa serwisów pocztowych, a wiadomości email zawierające w treści takie adresy URL zostaną dostarczona do adresata.

Zalecamy zachować czujność.

Źródło: trellix.com 

~_secmike

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz