Facebookの膨大な30億人のアクティブユーザーは、高度なフィッシングキャンペーンにとって魅力的な標的となっています。攻撃者がより巧妙になるにつれ、危険な手法が勢いを増しています。それが「Browser-in-the-Browser」(BitB)攻撃です。
この高度なソーシャルエンジニアリング手法は、正規の認証ウィンドウとほとんど見分けがつかないカスタム製の偽ログインポップアップを作成し、前例のない規模で認証情報を盗み取ることを可能にします。
この手法は、基本的なユーザー行動を悪用します。つまり、人々がサードパーティのログインポップアップに慣れ親しんでいることです。
ブラウザータブ内で正規の認証画面をシミュレートすることで、攻撃者は、公式のFacebookログインプロンプトに見えるものの背後に認証情報を収集するページを巧妙に隠します。
BitB手法は、欺瞞的なほど単純に動作します。ユーザーを外部のフィッシングサイトへリダイレクトする代わりに、正規のブラウザーインターフェース内に埋め込まれた完全に偽のウィンドウを作り出します。
Trellixのセキュリティ研究者は、2025年後半にFacebookのフィッシング詐欺が大幅に増加し、その中でもBitB手法が最も注目すべき戦術として台頭したことを観測しました。
この重要な違いにより、攻撃ははるかに説得力を増します。ユーザーは、見慣れたブラウザー環境の中にポップアップが表示され、正規らしく見えるURLやブランド要素まで揃っているのを目にします。
攻撃手法
典型的なBitBキャンペーンは、綿密に作り込まれたフィッシングメールから始まります。多くの場合、法律事務所からの連絡を装っています。
これらのメールは通常、侵害動画に関する偽の法的通知に言及し、Facebookのログインリンクを装った悪意のあるハイパーリンクを含んでいます。
短縮URL(lnk.inkのようなサービスを使用することが多い)は、最初に偽のMeta CAPTCHA検証ページへユーザーを誘導します。これは本物らしく見せるために設けられた、追加の回避レイヤーです。
ユーザーが本人確認を試みると、Facebookのログインプロンプトを表示するBitBポップアップウィンドウに遭遇します。
そのウィンドウには本物のFacebook URLが表示され、即座に信頼性があるように見えます。しかし、基盤となるコードを調べると、そのURLは正規の認証ポータルではなく、悪意のあるページにハードコードされているだけであることが分かります。ユーザーが認証情報を入力すると、知らないうちに攻撃者へ直接送信してしまいます。
BitBはエスカレーションを示すものですが、攻撃者は実績のあるソーシャルエンジニアリングのテーマも引き続き活用しています。
アカウント停止や違反通知は依然として一般的で、著作権やコミュニティ規定に違反したと主張します。認識されないデバイスからの不審な活動を警告する不正ログインアラートも引き続き見られます。
Facebookが脅威を検知し、本人確認の再検証が必要だと主張するセキュリティ更新メッセージも、引き続きユーザーを欺いています。
正規インフラの悪用
現代のFacebookフィッシングの重要な側面は、信頼されたサービスの武器化です。攻撃者はNetlifyやVercelのような正規のクラウドプラットフォーム上にフィッシングページをホストし、悪意のあるサイトに不当な信頼性を与えています。
lnk.inkやrebrand.lyといったURL短縮サービスは、フィッシング先を隠蔽し、従来のセキュリティフィルターを回避します。
このような信頼されたインフラの悪用により、多くの組織のセキュリティ対策を効果的にすり抜ける一方で、フィッシングページが正規に見えるようになります。
Facebookフィッシングの進化は、憂慮すべき傾向を示しています。攻撃者が技術的な高度化と、精密なソーシャルエンジニアリングを組み合わせているのです。
BitB手法は転換点を示します。認証情報の窃取は、もはやユーザーを外部ドメインへ誘導して納得させる必要がないことを証明しています。代わりに、攻撃者は見慣れたブラウザー環境の中で直接データを収集できます。
組織とユーザーは、標準的なセキュリティ意識向上トレーニングだけでは、こうした高度な攻撃に対して不十分であることを認識しなければなりません。
ユーザーの警戒心と、プラットフォームレベルのセキュリティ対策を組み合わせた包括的な防御戦略が、いまや不可欠です。
多要素認証、ブラウザーベースのセキュリティ指標、短縮URLを検知できるメールフィルタリングは、進化するこれらの脅威に対する重要な防御策であり続けます。
翻訳元: https://gbhackers.com/browser-in-the-browser-trick/
