Facebook, cresce il furto di password con la tecnica browser-in-the-browser: ecco cosa sapere

Negli ultimi mesi i ricercatori di Trellix hanno rilevato una forte crescita delle campagne di phishing che sfruttano la tecnica Browser-in-the-Browser (BitB) per sottrarre credenziali a utenti di Facebook. Questa metodologia, già utilizzata in passato contro servizi come Steam e lo stesso Facebook, crea un falso pop-up di autenticazione che riproduce in modo convincente l'interfaccia ufficiale del login.

Secondo il rapporto pubblicato da Trellix, gli attacchi si presentano con notifiche dall'aspetto legittimo, come presunti avvisi legali per violazioni di copyright, segnalazioni di accessi sospetti o comunicazioni di sicurezza firmate Meta. Gli utenti vengono indirizzati verso pagine controllate dai truffatori, spesso ospitate su piattaforme cloud affidabili come Netlify e Vercel, che riproducono fedelmente il portale "Privacy Center" di Meta. Al termine del percorso, viene chiesto di fornire le credenziali in un pop-up falso, costruito tramite iframe e personalizzabile nel titolo e nell’URL per aumentare la credibilità.

Il pop-up di Facebook sembra autentico, ma non è altro che una finestra all'interno di un'altra finestra del browser

Le campagne identificate da Trellix si distinguono per l'uso di URL abbreviate e falsi CAPTCHA di Meta, elementi che contribuiscono a eludere i controlli automatici e a rendere più difficile per gli utenti accorgersi della frode. Queste tecniche rappresentano un'evoluzione rispetto al phishing tradizionale: anziché reindirizzare verso pagine palesemente contraffatte, sfruttano l'aspetto familiare dei pop-up di login per incrementare considerevolmente la probabilità che il furto di credenziali passi inosservato. La tecnica BitB rappresenta una forma avanzata di ingegneria sociale, poiché i pop-up appaiono perfettamente integrati nel browser e imitano il design originale dei servizi ufficiali. Tuttavia, un segnale utile per riconoscere la truffa è verificare se la finestra del login può essere spostata liberamente: nel caso del BitB, l'iframe è ancorato alla pagina sottostante e non può essere trascinato fuori dal bordo del browser.

Per proteggersi da questi attacchi, gli utenti dovrebbero accedere manualmente ai propri account digitando l’URL ufficiale nella barra del browser e evitare di cliccare su link o pulsanti contenuti in email o messaggi sospetti. È inoltre consigliata l'attivazione dell’autenticazione a due fattori (2FA), che pur non eliminando il rischio, riduce significativamente le possibilità di compromissione dell'account anche in caso di furto di credenziali.