Negli ultimi sei mesi i ricercatori di sicurezza di Trellix hanno osservato un aumento delle campagne di phishing contro gli utenti Facebook. Nello specifico, esse sono basate sulla tecnica del Browser-in-the-Browser. Questo metodo, ideato nel 2022 e poi adottato da gruppi criminali, permette di creare false finestre di login perfettamente integrate nel browser. Ciò rende difficile distinguere tra un’autenticazione legittima e un attacco.
Come funziona il phishing “browser-in-browser” contro gli utenti di Facebook
Con oltre tre miliardi di utenti attivi, Facebook resta un obiettivo primario per i truffatori che puntano a rubare credenziali, diffondere scam, raccogliere dati personali o commettere frodi d’identità .
Con la Browser-in-the-Browser la vittima viene indirizzata verso un sito web controllato dagli attaccanti che mostra una finta finestra pop-up di login realizzata tramite iframe. Questa replica l’interfaccia di accesso di Facebook (o di altri servizi come Steam) e può includere il titolo di una finestra e URL contraffatti per aumentarne la credibilità .
Le campagne scoperte da Trellix si presentano come falsi avvisi o notifiche di sicurezza da parte di Meta che minacciano la sospensione dell’account per presunte violazioni di copyright o accessi non autorizzati. Per mascherare l’attacco i criminali utilizzano anche URL abbreviati e pagine CAPTCHA simulate, cosa che induce l’utente a inserire le proprie credenziali nella finestra proposta.
Infrastrutture legittime sfruttate per attacchi di phishing
Un elemento chiave individuato da Trellix riguarda l’uso di piattaforme cloud affidabili per ospitare le pagine di phishing. Questi siti imitano il Meta Privacy Center o falsi moduli d'”appello”, raccolgono informazioni sensibili e sfruttano delle infrastrutture fidate per eludere i controlli di sicurezza.
Questa combinazione tra infrastrutture legittime, URL shortener e interfacce simulate rappresenta una delle minacce più insidiose oggi in circolazione in quanto sfrutta la fiducia degli utenti nei normali flussi di autenticazione.
Gli esperti raccomandano di non cliccare mai sui link contenuti nelle e-mail sospette, è sempre preferibile accedere manualmente a Facebook tramite l’URL ufficiale. Inoltre, è possibile riconoscere un falso pop-up verificando se la finestra di login può essere spostata fuori dal browser. Nel caso di un iframe Browser-in-the-Browser ciò non è possibile.
Per restare sempre aggiornato seguici su Google News!
