A kiberbűnözők ismét egy régi módszert poroltak le, ezúttal azonban annyira ügyesen kivitelezve, hogy még a tapasztaltabb felhasználók is könnyen bedőlhetnek neki. A browser-in-the-browser, röviden BITB támadás lényege, hogy nemcsak egy hamis weboldalt, hanem egy teljesen élethű, álböngésző-ablakot is megjelenítenek, amelyben minden a megszokott módon néz ki, még a címsor is. Az ilyen támadások száma látványosan nő, és jelenleg kiemelten a Facebook-felhasználókat célozzák. Ez nem véletlen: a közösségi oldal több milliárd aktív felhasználóval rendelkezik, köztük rengeteg olyan emberrel, akik kevésbé jártasak a digitális biztonság világában, és hajlamosak ugyanazt a jelszót több szolgáltatásnál is használni.
A támadás általában egy ártatlannak tűnő e-maillel vagy SMS-sel indul, amely valamilyen sürgős problémára hivatkozik, például felfüggesztett fiókra vagy gyanús tevékenységre. A link egy olyan oldalra vezet, ahol a Facebook bejelentkezési felülete jelenik meg, körülötte pedig egy tökéletesen lemásolt böngészőkeret. A felhasználó azt hiszi, a saját böngészőjében jár, miközben valójában egy grafikus trükkről van szó, amely mindent egyetlen weboldalon belül jelenít meg.
A csalás egyik különösen veszélyes eleme, hogy gyakran még egy CAPTCHA ellenőrzést is beiktatnak, ami tovább növeli a hitelesség érzetét. Mire a felhasználó észbe kapna, a megadott felhasználónév és jelszó már a támadók szerverein landolt.
A módszer azért is hatásos, mert a megszokott biztonsági reflexek, például a címsor ellenőrzése, ebben az esetben nem segítenek. A hamis böngészőablakban látható URL ugyanis csak egy grafikai elem, nem valódi címsor. Egy árulkodó jel azonban mégis van: az ilyen "belső" böngészőablak nem mozgatható, nem lehet az egérrel megragadni és elhúzni, mert valójában nem is ablak.
A szakértők szerint a legegyszerűbb védekezés továbbra is az, ha soha nem kattintunk bejelentkezési linkre e-mailből vagy üzenetből. Ha valami problémára figyelmeztetnek, érdemes külön megnyitni a böngészőt, és saját kezűleg beírni a Facebook címét. Ez a pár másodperces plusz lépés könnyedén megmenthet attól, hogy egy látványosan egyszerű, mégis meglepően hatékony trükk áldozatává váljunk.
