Facebookはアクティブユーザーが30億人を超える巨大なユーザーベースを抱えており、高度なフィッシング攻撃の格好の標的となっています。
セキュリティ研究者は最近、2025年後半にFacebookを狙ったフィッシング詐欺が大幅に増加していることを確認しました。攻撃者は「Browser-in-the-Browser」(BitB)と呼ばれる高度な手法を用い、大規模にユーザーの認証情報を収集しています。
BitB手法は、フィッシングの巧妙さが大きくエスカレートしたことを示しています。攻撃者は被害者の正規のブラウザータブ内に、カスタム構築された偽のログインウィンドウを作成し、Facebookの認証プロンプトを本物そっくりに模倣します。
偽のポップアップウィンドウにはFacebookの絶対URLが表示されるため、疑いを持たないユーザーにとっては正規のログイン画面とほとんど見分けがつきません。
攻撃は通常、法律事務所からの連絡を装ったフィッシングメールから始まり、侵害コンテンツに関する偽の法的通知が含まれています。
これらのメールには短縮URLが含まれており、被害者を偽のMetaのCAPTCHAページへリダイレクトさせ、詐欺的なFacebookのログインプロンプトを提示する前に、さらに一段の欺瞞を加えます。
攻撃者は、正規のクラウドプラットフォームを悪用してフィッシングページをホスティングすることで手口を進化させています。NetlifyやVercelといったサービスが悪用され、最初に基本情報(氏名、メールアドレス、電話番号、生年月日)を要求し、その後にアカウントのパスワード入力を促す認証情報 収集フォームが配信されています。
Lnk[.]inkやrebrand[.]lyといったURL短縮サービスは、フィッシング先を隠蔽し、従来のセキュリティフィルターを回避するために用いられています。信頼されたインフラの悪用により、悪意あるページに偽の正当性が与えられる一方で、検知システムの回避にもつながります。
攻撃者は、偽のアカウント停止通知、不正ログインの警告、セキュリティ更新の要求など、複数のソーシャルエンジニアリング手法を駆使します。いずれのテーマも、アカウントの安全性に対するユーザーの不安を突き、即時の行動を促します。
こうした高度な攻撃に対する最大の防御は懐疑心です。ログイン要求は公式のFacebookチャネルで確認し、ポップアップウィンドウ経由で認証情報を入力しないこと、そしてURLを注意深く確認してください。
組織は、これら進化する脅威についてユーザーを教育するとともに、ゲートウェイでフィッシングメッセージをフィルタリングする高度なメールセキュリティソリューションを実装すべきです。
翻訳元: https://cyberpress.org/browser-in-the-browser-facebook-credential-theft/