Usuários da internet já estão relativamente acostumados com o phishing, golpe digital que utiliza páginas falsas para enganar vítimas e roubar dados de acesso. No entanto, uma evolução dessa técnica começa a ganhar espaço no cibercrime e pode tornar os ataques ainda mais convincentes.
O método é conhecido como browser-in-the-browser (BitB), ou “navegador dentro do navegador”. A técnica simula a abertura de uma janela de login aparentemente legítima dentro de um site malicioso, levando o usuário a acreditar que está acessando o sistema oficial de um serviço.
Embora o conceito tenha sido apresentado há alguns anos por pesquisadores de segurança, apenas recentemente surgiram casos reais de uso desse tipo de ataque em campanhas de fraude online.
Como funciona o golpe
No ataque browser-in-the-browser, o criminoso cria uma página que imita a abertura de uma janela pop-up de autenticação. O objetivo é convencer a vítima de que está realizando o login em um serviço legítimo.
Normalmente, o golpe segue alguns passos:
- O usuário recebe um e-mail ou mensagem alertando sobre um problema em sua conta, como risco de bloqueio ou necessidade de confirmação de acesso.
- Ao clicar no link, a vítima é direcionada para um site fraudulento.
- Em vez de redirecionar para a página real de login, o site exibe uma janela pop-up falsa que parece pertencer ao navegador.
- A interface imita serviços populares, como Microsoft, Google, Facebook ou Apple.
Como essa janela é apenas uma simulação criada com código da própria página, os criminosos conseguem falsificar inclusive a barra de endereço, fazendo parecer que o login está sendo realizado em um site legítimo. Enquanto isso, o endereço real do site continua sendo o domínio malicioso.
Quando o usuário insere suas credenciais, os dados são enviados diretamente aos criminosos.
Origem da técnica
A possibilidade de ataques com browser-in-the-browser foi demonstrada em 2022 pelo pesquisador de segurança conhecido como mr.d0x. Na época, a técnica servia principalmente como prova de conceito.
Recentemente, porém, especialistas identificaram casos reais em que o golpe foi utilizado para simular páginas de login do Facebook, o que indica que a estratégia está começando a ser adotada por grupos de cibercrime.
A tendência é que esse tipo de ataque se torne mais comum à medida que criminosos aprimoram suas habilidades em desenvolvimento web e engenharia social.
Como se proteger
Especialistas da Kaspersky apontam algumas práticas que ajudam a reduzir o risco de cair nesse tipo de fraude.
Uma das recomendações é utilizar gerenciadores de senhas, que verificam automaticamente se o endereço do site corresponde ao domínio legítimo associado à conta.
Outras medidas importantes incluem:
- ativar autenticação em dois fatores (2FA);
- utilizar chaves de acesso (passkeys) quando disponíveis;
- evitar clicar em links recebidos por e-mail ou mensagens suspeitas;
- verificar manualmente o endereço do site antes de inserir qualquer credencial.
Embora o browser-in-the-browser seja uma técnica sofisticada, a atenção aos detalhes e o uso de ferramentas de segurança continuam sendo as melhores defesas contra golpes digitais.
