2026.01.19

"瀏覽器套瀏覽器"攻擊

Facebook用戶正日益成為一類能繞過常規安全措施的復雜釣魚技術的攻擊目標。

作為擁有超過30億活躍用戶的平臺，Facebook對企圖入侵賬戶、竊取個人憑證的攻擊者極具吸引力。

這類攻擊的主要目的十分明確：竊取登錄憑證以劫持賬戶、傳播欺詐計劃、竊取敏感數據，并在受害者社交網絡中實施身份欺詐。

1、攻擊手法升級

2025年下半年，針對Facebook的釣魚攻擊活動顯著增加，攻擊者采用了多種欺騙手段。

其中一種技術因其復雜性和有效性尤為突出。

Trellix分析師在監測到針對該平臺的釣魚活動增加后，識別并記錄了這一新興威脅。

研究人員發現，攻擊者正在結合高級社會工程學策略與技術規避手段，以最大化攻擊成功率。

這一發現標志著針對Facebook的攻擊方式發生了重要演變，表明威脅行為體正在投入更精細的方法來規避傳統安全意識培訓。

2、瀏覽器套瀏覽器(BitB)技術

"瀏覽器套瀏覽器"(Browser-in-the-Browser，BitB)技術是這些攻擊活動中最顯著的創新。

該方法通過在受害者合法瀏覽器窗口內創建一個完全自定義的虛假窗口，使其幾乎無法與真實的認證彈窗區分開來。

該技術利用了用戶對登錄窗口的熟悉度，迎合他們在訪問平臺時看到此類提示的預期。

 

攻擊流程通常始于偽裝成律師事務所通信的釣魚郵件，內含關于侵權視頻的虛假法律通知和Facebook登錄鏈接。

這些超鏈接使用短網址重定向至偽造的Meta驗證碼頁面，增加了欺騙層級。

當用戶與這些頁面交互時，會遇到看似合法的Facebook登錄彈窗。然而，檢查底層代碼即可發現攻擊的惡意本質。

 

3、濫用可信基礎設施

這種攻擊方式的精妙之處在于攻擊者如何濫用合法基礎設施。

威脅行為體將釣魚頁面托管在Netlify和Vercel等可信云平臺上，利用這些平臺的聲譽繞過安全過濾器。短網址服務掩蓋了真實目的地，提供了額外的匿名性。

 

 

這種技術復雜性與社會工程學的結合，標志著Facebook釣魚策略的重大升級，要求用戶在標準安全實踐之外保持更高的警惕性。

上一篇：暗網論壇BreachForums遭“黑吃黑”，神秘黑客泄露全部用戶數

下一篇：黑客劫持伊朗國家電視臺，播放反政權抗議信息