Dentro la fabbrica del phishing su Facebook: come gli attacchi “Browser-in-the-Browser” stanno ingannando utenti in tutto il mondo
Sottotitolo: Una nuova generazione di truffe di phishing sta raggirando persino gli utenti Facebook più vigili, sfruttando finte finestre del browser per raccogliere credenziali su larga scala.
Tutto inizia con un ping nella tua casella di posta: una severa comunicazione legale, un avviso di attività sospetta o un invito a verificare il tuo account Facebook “per la tua sicurezza”. Clicchi, convinto di essere sul percorso ufficiale. Ma dietro le quinte, una nuova generazione di cybercriminali sta usando la tecnica “Browser-in-the-Browser” (BitB)-un attacco così convincente da cogliere di sorpresa sia i neofiti della tecnologia sia i professionisti più esperti.
L’anatomia di un attacco BitB
A differenza del phishing tradizionale, che si basa sul reindirizzare le vittime verso un sito esterno contraffatto, gli attacchi BitB incorporano una finestra di login falsa, realizzata meticolosamente, direttamente all’interno dell’ambiente legittimo del browser. Questa finestra, quasi indistinguibile da quella di Facebook, mostra quello che sembra un URL autentico e include persino il branding familiare. Ma è tutta una messinscena-quando gli utenti inseriscono le proprie credenziali, le informazioni vengono inviate direttamente all’attaccante.
Il copione è astuto. Le vittime ricevono in genere un’email travestita da comunicazione legale-magari una violazione di copyright o un avviso di “accesso non autorizzato”. L’email contiene un link accorciato, spesso mascherato da servizi di URL shortener considerati affidabili. Cliccandolo non si arriva su Facebook, ma su una pagina esca di CAPTCHA di Meta, che aggiunge un ulteriore strato di falsa legittimità. Solo allora compare il pop-up di login fasullo, che invita gli utenti a inserire i propri dati.
Ciò che rende la truffa BitB particolarmente pericolosa è l’abuso di infrastrutture legittime. Gli aggressori ospitano sempre più spesso i loro siti di phishing su piattaforme cloud rinomate come Netlify e Vercel. A un occhio non allenato, la presenza di domini affidabili e certificati di sicurezza aggiunge una credibilità ingiustificata, rendendo meno efficaci i tradizionali avvisi del browser.
I ricercatori di Trellix segnalano un’impennata di queste campagne fino alla fine del 2025, con aggressori che combinano inganni tecnici e manipolazione psicologica. Sfruttando la familiarità degli utenti con le finestre pop-up di autenticazione, gli attaccanti aggirano molte barriere di sicurezza convenzionali.
Perché anche i più prudenti sono a rischio
La sofisticazione degli attacchi BitB significa che i consigli di sicurezza standard-come controllare gli URL o cercare HTTPS-potrebbero non bastare. Le finte finestre di login possono mostrare indirizzi web dall’aspetto autentico che sono codificati nella pagina, non frutto di una navigazione reale. Anche gli utenti esperti possono essere ingannati se si affidano solo agli indizi visivi.
Difendersi da questi attacchi richiede strategie a più livelli. L’autenticazione a più fattori è una potente ultima linea di difesa: anche se una password viene rubata, l’accesso resta bloccato. Le organizzazioni sono invitate a rafforzare il filtraggio delle email, educare gli utenti sulle nuove tattiche e monitorare attentamente l’uso degli URL shortener nei propri ecosistemi digitali.
La strada davanti
Man mano che gli aggressori trasformano in armi sia la tecnologia sia la psicologia umana, il confine tra reale e falso si sfuma. La tecnica BitB segnala una nuova era del phishing: una in cui il nemico non è solo fuori dal tuo browser, ma si annida al suo interno. Vigilanza, scetticismo e una solida igiene della sicurezza sono il nuovo ordine del giorno-per i tre miliardi di utenti di Facebook e per chiunque tenga alla propria identità digitale.
WIKICROOK
- Browser: Un browser è un software per accedere e visualizzare siti web, spesso raccogliendo dati di telemetria per monitorare l’attività degli utenti e migliorare la cybersicurezza.
- Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
- URL Shortener: Un URL shortener è un servizio che converte lunghi indirizzi web in link più brevi, rendendoli più facili da condividere ma talvolta nascondendone la vera destinazione.
- Multi: Multi si riferisce all’uso di una combinazione di tecnologie o sistemi diversi-come satelliti LEO e GEO-per migliorare affidabilità, copertura e sicurezza.
- Cloud Platform: Una piattaforma cloud è un servizio online che fornisce risorse di calcolo e strumenti, consentendo agli utenti di distribuire e gestire software e dati da remoto.




