2026.01.19

"瀏覽器套瀏覽器"攻擊

Facebook用戶正日益成為一類能繞過常規(guī)安全措施的復(fù)雜釣魚技術(shù)的攻擊目標(biāo)。

作為擁有超過30億活躍用戶的平臺(tái)，F(xiàn)acebook對(duì)企圖入侵賬戶、竊取個(gè)人憑證的攻擊者極具吸引力。

這類攻擊的主要目的十分明確：竊取登錄憑證以劫持賬戶、傳播欺詐計(jì)劃、竊取敏感數(shù)據(jù)，并在受害者社交網(wǎng)絡(luò)中實(shí)施身份欺詐。

1、攻擊手法升級(jí)

2025年下半年，針對(duì)Facebook的釣魚攻擊活動(dòng)顯著增加，攻擊者采用了多種欺騙手段。

其中一種技術(shù)因其復(fù)雜性和有效性尤為突出。

Trellix分析師在監(jiān)測(cè)到針對(duì)該平臺(tái)的釣魚活動(dòng)增加后，識(shí)別并記錄了這一新興威脅。

研究人員發(fā)現(xiàn)，攻擊者正在結(jié)合高級(jí)社會(huì)工程學(xué)策略與技術(shù)規(guī)避手段，以最大化攻擊成功率。

這一發(fā)現(xiàn)標(biāo)志著針對(duì)Facebook的攻擊方式發(fā)生了重要演變，表明威脅行為體正在投入更精細(xì)的方法來(lái)規(guī)避傳統(tǒng)安全意識(shí)培訓(xùn)。

2、瀏覽器套瀏覽器(BitB)技術(shù)

"瀏覽器套瀏覽器"(Browser-in-the-Browser，BitB)技術(shù)是這些攻擊活動(dòng)中最顯著的創(chuàng)新。

該方法通過在受害者合法瀏覽器窗口內(nèi)創(chuàng)建一個(gè)完全自定義的虛假窗口，使其幾乎無(wú)法與真實(shí)的認(rèn)證彈窗區(qū)分開來(lái)。

該技術(shù)利用了用戶對(duì)登錄窗口的熟悉度，迎合他們?cè)谠L問平臺(tái)時(shí)看到此類提示的預(yù)期。

 

攻擊流程通常始于偽裝成律師事務(wù)所通信的釣魚郵件，內(nèi)含關(guān)于侵權(quán)視頻的虛假法律通知和Facebook登錄鏈接。

這些超鏈接使用短網(wǎng)址重定向至偽造的Meta驗(yàn)證碼頁(yè)面，增加了欺騙層級(jí)。

當(dāng)用戶與這些頁(yè)面交互時(shí)，會(huì)遇到看似合法的Facebook登錄彈窗。然而，檢查底層代碼即可發(fā)現(xiàn)攻擊的惡意本質(zhì)。

 

3、濫用可信基礎(chǔ)設(shè)施

這種攻擊方式的精妙之處在于攻擊者如何濫用合法基礎(chǔ)設(shè)施。

威脅行為體將釣魚頁(yè)面托管在Netlify和Vercel等可信云平臺(tái)上，利用這些平臺(tái)的聲譽(yù)繞過安全過濾器。短網(wǎng)址服務(wù)掩蓋了真實(shí)目的地，提供了額外的匿名性。

 

 

這種技術(shù)復(fù)雜性與社會(huì)工程學(xué)的結(jié)合，標(biāo)志著Facebook釣魚策略的重大升級(jí)，要求用戶在標(biāo)準(zhǔn)安全實(shí)踐之外保持更高的警惕性。

上一篇：暗網(wǎng)論壇BreachForums遭“黑吃黑”，神秘黑客泄露全部用戶數(shù)

下一篇：黑客劫持伊朗國(guó)家電視臺(tái)，播放反政權(quán)抗議信息