Nos últimos seis meses, uma onda crescente de ataques de phishing tem mirado usuários do Facebook usando uma técnica sofisticada chamada Browser-in-the-Browser (BitB). Com mais de 3 bilhões de usuários ativos, a plataforma se tornou um dos alvos favoritos dos criminosos digitais, que roubam contas para espalhar golpes, coletar dados pessoais ou cometer fraudes de identidade.
A campanha foi descoberta pela empresa de segurança Trellix, que identificou o uso massivo da técnica BitB em ataques direcionados ao Facebook. O golpe funciona apresentando aos usuários uma janela pop-up falsa de login que é praticamente indistinguível de uma autêntica.
O ataque começa com e-mails que se passam por escritórios de advocacia alegando violação de direitos autorais, notificações de segurança da Meta sobre logins não autorizados ou avisos de suspensão iminente da conta. Ao clicar no link, o usuário é redirecionado para uma página de phishing que usa URLs encurtados e páginas falsas de CAPTCHA da Meta para parecer legítima.
Na fase final, as vítimas são solicitadas a fazer login inserindo suas credenciais do Facebook em uma janela pop-up falsa. E é aí que mora o perigo.
O que é um ataque Browser-in-the-Browser
A técnica Browser-in-the-Browser foi desenvolvida pelo pesquisador de segurança Mr.d0x em 2022 e posteriormente adotada por cibercriminosos. O método funciona criando uma janela pop-up de login completamente falsa dentro do navegador da vítima usando um elemento HTML chamado iframe que imita perfeitamente a interface de autenticação do Facebook.
Para olhos destreinados, é impossível distinguir essa janela da real. Os criminosos conseguem personalizar o título da janela, a URL exibida na barra de endereços falsa e até os botões e elementos visuais, tornando o engano extremamente difícil de detectar.
O grande truque está no fato de que a URL do Facebook exibida na janela falsa não é funcional — ela foi simplesmente codificada diretamente no HTML da página. Checando o código-fonte, os pesquisadores da Trellix descobriram que a URL era apenas texto estático, não uma conexão real com os servidores do Facebook.
"Ao criar uma janela pop-up de login falsa e personalizada no navegador da vítima, esse método aproveita a familiaridade do usuário com os fluxos de autenticação, tornando o roubo de credenciais quase impossível de ser detectado visualmente", explica o relatório da Trellix.
Abuso de infraestrutura confiável
Uma das evoluções mais preocupantes dessa campanha é o uso estratégico de serviços legítimos para dar credibilidade ao golpe. Ao hospedar páginas de phishing em Netlify e Vercel, dois dos serviços de hospedagem mais populares do mundo, os atacantes conseguem contornar filtros de segurança que normalmente bloqueariam domínios suspeitos.
"A principal mudança está no abuso de infraestrutura confiável, utilizando serviços legítimos de hospedagem em nuvem e encurtadores de URL para contornar os filtros de segurança tradicionais", diz o relatório da Trellix.
Além disso, os golpistas utilizam encurtadores de URL como Lnk.ink e Rebrand.ly para mascarar o destino final dos links. As páginas falsas replicam perfeitamente a paleta de cores oficial do Facebook, os logotipos e os estilos de fonte.
A Trellix identificou diferentes variações do golpe rodando simultaneamente, todas hospedadas nessas plataformas confiáveis. Os formulários solicitam inicialmente informações básicas como nome completo, e-mail, nome da página e telefone. Na etapa final, pedem a senha da conta do Facebook.
Uma vez que as credenciais são inseridas, elas são imediatamente enviadas para servidores controlados pelos criminosos, dando aos atacantes acesso total à conta da vítima.
Consequências do roubo de contas
Com acesso a uma conta do Facebook comprometida, os criminosos podem realizar diversas atividades maliciosas:
- Enviar mensagens de phishing para todos os contatos da vítima, explorando a confiança entre amigos e familiares;
- Criar posts fraudulentos promovendo golpes financeiros ou vendas falsas;
- Roubar dados pessoais, fotos e informações sensíveis armazenadas na conta;
- Usar a conta para espalhar malware ou links maliciosos em grupos e páginas;
- Cometer fraudes de identidade usando o nome e a reputação da vítima;
- Vender o acesso à conta comprometida em fóruns clandestinos.
A pesquisadora de segurança da Trellix enfatiza que muitas das contas roubadas são de perfis comerciais ou páginas com grande número de seguidores, o que amplifica o potencial de dano quando caem em mãos erradas.
Indicadores de compromisso
A Trellix divulgou uma lista de mais de 30 domínios maliciosos conhecidos usados nessa campanha de phishing:
- report-copyright-metaplanet[.]net
- supportmeta-horizon[.]net
- supportmeta-horizonusa[.]org
- performance-guidance-hub[.]pages[.]dev
- copyright-videofb[.]org
- secure-community-lcf4[.]vercel[.]app
- casefb126765-be7a[.]vercel[.]app
- eclectic-cupcake-fd4922[.]netlify[.]app
- accountcenter-lawtrackma-qer2209wrw[.]netlify[.]app
A lista completa está disponível no relatório técnico da Trellix para que organizações de segurança possam bloquear esses domínios em suas redes.
Como se proteger contra o BitB
Quando os usuários recebem alertas de segurança relacionados à conta ou notificações de violação, eles devem sempre navegar para o URL oficial em uma guia separada, em vez de seguir os links ou botões incorporados no próprio e-mail.
Nunca clique em links de e-mails inesperados sobre problemas com sua conta do Facebook.
Digite manualmente facebook.com no navegador ou use o aplicativo oficial para verificar notificações.
Quando solicitado a inserir credenciais em pop-ups de login, verifique se a janela pode ser movida para fora da janela do navegador. Os iframes, essenciais para o truque BitB, estão conectados à janela subjacente e não podem ser puxados para fora dela. Se você tentar arrastar o pop-up e ele não se mover independentemente, é um sinal claro de que é falso.
A recomendação geral para proteger o acesso às suas contas online é ativar o recurso de autenticação de dois fatores. Embora não seja infalível, isso adiciona uma camada extra de segurança contra tentativas de invasão de contas, mesmo que as credenciais tenham sido comprometidas.
Outras medidas importantes incluem:
- Verificar cancelamentos ou alertas diretamente no sistema oficial do Facebook;
- Nunca executar comandos ou colar códigos sugeridos em mensagens de erro;
- Em caso de dúvida, entrar em contato com o suporte oficial da plataforma;
- Relatar tentativas de phishing ao departamento de segurança do Facebook;
- Desconfiar de URLs que apontam para serviços como netlify.app ou vercel.app quando solicitam login;
- Sempre verificar o endereço completo na barra de navegação antes de inserir credenciais.
Proteção técnica
Para organizações, a Trellix recomenda implementar monitoramento proativo de conteúdo hospedado em plataformas de nuvem confiáveis que são frequentemente abusadas, como Netlify e Vercel. Sistemas automatizados devem ser capazes de escanear e sinalizar kits de phishing, formulários de login e conteúdo suspeito hospedado nesses serviços.
Também é essencial desenvolver filtros mais inteligentes que analisem o destino final de encurtadores de URL e bloqueiem tráfego para endpoints maliciosos conhecidos antes que o usuário clique.
A Trellix desenvolveu várias assinaturas de detecção para seu produto Email Security (EX) que identificam especificamente esses ataques de phishing do Facebook:
- Faude_Fastpath_YARA_Phishing_Meta_Community
- Faude_Fastpath_YARA_Phishing_Meta_Vercel
- Faude_Fastpath_YARA_Phishing_Meta_Violation
- Phishing_Meta_Delay_Evasion_Page
- Phishing_Meta_Badges_Verify
E mais de 10 outras regras específicas para detectar variações do golpe.
Ameaça em evolução
"Essa técnica é particularmente perigosa porque depende das próprias mãos do usuário para contornar os controles de segurança que normalmente bloqueariam a execução automatizada de scripts", observam os pesquisadores.
A campanha PHALT representa uma evolução significativa em comparação com as campanhas padrão de phishing do Facebook que os pesquisadores de segurança normalmente observam. A combinação de engenharia social sofisticada, abuso de infraestrutura confiável e técnicas avançadas como Browser-in-the-Browser torna esses ataques particularmente eficazes e difíceis de detectar.
Os especialistas alertam que esse tipo de ataque continuará evoluindo. À medida que as defesas tradicionais se tornam mais eficazes, os criminosos adaptam suas táticas, encontrando novas maneiras de contornar os sistemas de segurança e explorar a confiança dos usuários nas plataformas que utilizam diariamente.
A melhor defesa continua sendo a combinação de educação do usuário, vigilância constante e adoção de medidas de segurança em múltiplas camadas, incluindo autenticação de dois fatores e verificação independente de qualquer solicitação de login ou informação sensível.
Para mais dicas de segurança, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia.