شهدت الأشهر الستة الماضية تصاعدًا في الهجمات الإلكترونية على حسابات "فيسبوك" باستخدام تقنية جديدة تُعرف باسم Browser-in-the-Browser (BitB)، بحسب تقرير لشركة الأمن السيبراني Trellix.
كيف تعمل خدعة BitB؟
تستغل هذه التقنية نافذة وهمية داخل المتصفح تحاكي صفحة تسجيل الدخول الحقيقية لفيسبوك.
يتم تنفيذها باستخدام iframe مصممة لتقليد واجهة المصادقة الأصلية، مع إمكانية تعديل عنوان النافذة وعنوان URL، ما يجعل اكتشافها بصريًا شبه مستحيل، بحسب تقرير نشره موقع "bleepingcomputer" واطلعت عليه "العربية Business".
وفي الهجمات الأخيرة، يقوم المهاجمون بانتحال شركات قانونية مزيفة تتهم المستخدم بحقوق نشر، أو إرسال إشعارات أمان من "ميتا" عن تسجيل دخول غير مصرح به، ما يدفع الضحايا لإدخال بياناتهم في النافذة المزيفة.
كما اكتشف الباحثون أن المهاجمين يستضيفون صفحات التصيد على خدمات سحابية شرعية مثل Netlify وVercel، ويستخدمون روابط مختصرة ونسخًا مزيفة من بوابة Meta Privacy Center لجعل الصفحات تبدو آمنة وموثوقة.
الهدف من الهجمات
يتم استغلال الحسابات المسروقة في:
- نشر عمليات احتيال.
- جمع بيانات شخصية حساسة.
- ارتكاب احتيال وانتحال هوية.
مع وجود أكثر من 3 مليارات مستخدم نشط، يظل "فيسبوك" هدفًا رئيسيًا للقراصنة.
كيفية الحماية
لتجنب الوقوع ضحية لـBitB، ينصح خبراء الأمن بما يلي:
1. تجاهل الروابط المضمنة في الرسائل الإلكترونية، والتأكد دائمًا من فتح الموقع الرسمي في علامة تبويب جديدة.
2. عند ظهور نوافذ تسجيل الدخول، حاول سحبها خارج نافذة المتصفح؛ النوافذ الوهمية (iframes) لا يمكن تحريكها، ما يكشف خدعة BitB.
3. تفعيل المصادقة الثنائية (2FA) لحسابك، لتوفير طبقة حماية إضافية حتى إذا تمت سرقة كلمة المرور.
تمثل تقنية Browser-in-the-Browser تصعيدًا جديدًا في هجمات تصيد حسابات "فيسبوك"، مستغلة الثقة بالبنية التحتية الشرعية للمواقع السحابية، وتضع المستخدمين أمام تحدٍ أكبر في التمييز بين الصفحات الحقيقية والمزيفة. التوعية والحذر، إلى جانب إجراءات الأمان المزدوجة، تظل أفضل خطوط الدفاع.
