How can I tell if a login popup is fake if it looks exactly like the real thing?

Try to interact with the popup window as you would a real browser window. Attempt to drag it outside your browser's visible area, right-click on the address bar or window controls, or check if it appears in your operating system's window switcher (Alt+Tab). Fake BitB popups are trapped within the webpage and won't behave like independent windows. Additionally, use your browser's developer tools (F12) to inspect the page structure—fake popups will appear as div or iframe elements in the HTML.

If I've already entered my credentials in a fake popup, what should I do immediately?

Change your password immediately on the legitimate service website by typing the URL directly into your browser. Enable or update two-factor authentication if you haven't already. Check your account's recent activity logs and active sessions, terminating any unfamiliar access. Monitor linked accounts (email, banking, social media) for suspicious activity and consider placing fraud alerts with financial institutions. If business or financial accounts were compromised, report the incident to relevant authorities and your organization's security team.

Are mobile devices vulnerable to Browser-in-Browser attacks?

Yes, mobile browsers are equally vulnerable and potentially more dangerous because mobile interfaces make verification harder. The smaller screen size makes it difficult to distinguish embedded popups from system-level authentication flows, and users cannot easily drag windows or access developer tools. Mobile users should be especially cautious about clicking SSO login buttons on unfamiliar websites and should prefer using dedicated apps with built-in authentication rather than mobile browser-based logins.

Can antivirus software or browser security extensions detect these attacks?

Traditional antivirus software typically cannot detect BitB attacks because they don't involve malware installation—just malicious HTML and JavaScript. However, specialized browser security extensions that monitor for suspicious DOM manipulation, CSP violations, or behavioral anomalies can provide some protection. The most reliable protection remains user awareness and verification techniques like attempting to drag login windows or checking the browser's window manager for legitimate popup instances.

Why do these attacks target SSO and OAuth login flows specifically?

SSO credentials provide attackers access to multiple services through a single compromised account, maximizing their return on effort. Users have been trained to trust SSO popups as secure, making them less suspicious of these authentication flows. Additionally, the legitimate SSO process already involves popup windows and redirects, making fake versions harder to distinguish. Compromising a Google or Microsoft account can give attackers access to email, cloud storage, financial services, and numerous third-party applications simultaneously.

مرتفع متوسط الخسارة: $3,000 المدة المعتادة: 1-3 days

هجوم المتصفح داخل المتصفح: تهديد التصيد الاحتيالي غير المرئي

تمثل هجمات المتصفح داخل المتصفح (BitB) تطوراً في تعقيد التصيد الاحتيالي برز بشكل واضح في عام 2022. تقوم هذه الهجمات بإنشاء نوافذ متصفح مقنعة داخل المواقع الشرعية، مما يخدع المستخدمين لإدخال بيانات اعتماد يبدو أنها موجهة لخدمات موثوقة مثل جوجل أو مايكروسوفت أو فيسبوك. بخلاف صفحات التصيد الاحتيالي التقليدية، لا تتطلب هجمات BitB من الضحايا النقر على روابط مريبة أو زيارة نطاقات واضحة الزيف. بدلاً من ذلك، يتم حقن نوافذ منبثقة واقعية تحاكي تدفقات المصادقة ذات الدخول الفردي (SSO) التي تم تدريب المستخدمين على الثقة بها. تستغل التقنية معرفة المستخدمين بتدفقات OAuth وSSO حيث يؤدي النقر على "تسجيل الدخول باستخدام جوجل" أو "المتابعة باستخدام مايكروسوفت" إلى فتح نافذة متصفح جديدة. يعيد المحتالون إنشاء هذه النوافذ باستخدام HTML وCSS وJavaScript موضوعة فوق المواقع الشرعية، كاملة مع أشرطة عناوين مزيفة تعرض https:// والاسم الصحيح للنطاق. وفقاً لشركات أبحاث الأمن السيبراني، يبلغ معدل نجاح هذه الهجمات 3-4 مرات أعلى من التصيد الاحتيالي التقليدي لأنها تتجاوز العديد من الفحوصات الأمنية البصرية التي يجريها المستخدمون. أبلغت المؤسسات المالية ومنصات العملات الرقمية وتطبيقات SaaS للمؤسسات عن حوادث سرقة بيانات اعتماد كبيرة باستخدام منهجية BitB. لاحظ مركز شكاوى جرائم الإنترنت التابع لمكتب التحقيقات الفيدرالي (FBI) زيادة بنسبة 47% في هجمات التصيد الاحتيالي المتطورة في عام 2023، مع نشر تقنيات BitB في مخططات المساس برسائل البريد الإلكتروني للشركات مما أسفر عن خسائر بمتوسط 3000 دولار أمريكي لكل ضحية. الهجوم خطير بشكل خاص لأنه يمكن نشره على أي موقع ويب مخترق أو خبيث، والنافذة المزيفة تختفي فوراً بعد سرقة بيانات الاعتماد، تاركة الحد الأدنى من الأدلة الجنائية.

الأساليب الشائعة كيف تتعرّف عليه كيف تحمي نفسك أمثلة حقيقية أين تبلّغ

الأساليب الشائعة

• يقوم المحتالون بتضمين رمز JavaScript خبيث على مواقع ويب شرعية مخترقة أو إنشاء صفحات هبوط مزيفة تبدو مرتبطة بالخدمات الشهيرة، في انتظار محاولة المستخدمين تدفقات تسجيل الدخول ذات الدخول الفردي.
• يقومون بحرفة نسخ طبق الأصل من نوافذ المصادقة المنبثقة من جوجل أو مايكروسوفت أو أبل أو فيسبوك باستخدام HTML وCSS، بما في ذلك أشرطة عناوين مزيفة وأيقونات قفل SSL وحتى رسوم متحركة تحميل محاكاة تطابق تجربة تسجيل الدخول الحقيقية.
• يضع المهاجمون هذه النوافذ المزيفة كطبقات فوق صفحة الويب الفعلية باستخدام الموضع المطلق وقيم z-index عالية، مما يجعلها تظهر كنوافذ متصفح حقيقية بدلاً من عناصر الصفحة المدمجة.
• ينفذون نصوص اكتشاف متطورة تراقب تفاعل المستخدم، مما يؤدي تلقائياً إلى تشغيل نافذة تسجيل الدخول المزيفة عندما ينقر المستخدمون على أزرار "تسجيل الدخول" أو محاولة الوصول إلى ميزات متميزة تتطلب مصادقة.
• يقوم المحتالون بالتقاط بيانات الاعتماد المدخلة في الوقت الفعلي من خلال تسجيل ضربات لوحة المفاتيح واعتراض إرسال النموذج، مما يرسل البيانات فوراً إلى خوادم يسيطر عليها المهاجمون مع عرض رسائل تحميل أو أخطاء مزيفة.
• بعد سرقة بيانات الاعتماد، يقوم المهاجمون بإزالة النافذة المزيفة بسرعة وقد يقومون إما بإعادة توجيه المستخدمين إلى صفحة تسجيل الدخول الشرعية لإكمال المصادقة (إخفاء السرقة) أو عرض رسائل خطأ عامة تقترح على المستخدمين المحاولة لاحقاً.

كيف تتعرّف عليه

لا يمكن سحب نافذة تسجيل الدخول المنبثقة خارج حدود عرض المتصفح أو نقلها بشكل مستقل عن محتوى الصفحة الرئيسية، مما يكشف أنها عنصر HTML مدمج وليست نافذة متصفح حقيقية.
النقر بزر الماوس الأيمن على شريط العنوان أو حدود النافذة أو أزرار التصغير/التكبير للنافذة المنبثقة ينتج عنه قائمة السياق الخاصة بصفحة الويب القياسية بدلاً من الخيارات الخاصة بالمتصفح أو عدم ظهور قائمة على الإطلاق.
عنوان URL في شريط العنوان الخاص بالنافذة المنبثقة لا يتغير عند محاولة تمييزه أو نسخه، والنقر على شريط العنوان لا يسمح بتحرير النص أو تعديل URL كما تسمح نوافذ المتصفح الحقيقية.
استخدام أدوات مطوري المتصفح (F12) يكشف أن نافذة المنبثقة موجودة ضمن هيكل DOM الخاص بالصفحة كعنصر div أو iframe، بدلاً من أن تكون عملية نافذة متصفح منفصلة.
تظهر النافذة المنبثقة فوراً بدون الرسوم المتحركة المميزة لنافذة المتصفح، أو تبقى متمركزة تماماً حتى عند تغيير حجم نافذة المتصفح الرئيسية، مما يشير إلى أنها مرتبطة بنظام إحداثيات الصفحة.
التحقق من مدير نافذة المتصفح (Alt+Tab على Windows، Command+Tab على Mac) يظهر عدم وجود نافذة إضافية للنافذة المنبثقة، مما يؤكد أنها ليست نافذة متصفح شرعية منفصلة.

كيف تحمي نفسك

استخدم دائماً مدير كلمات مرور مخصص مزود بميزات مطابقة النطاق والذي سيرفض ملء بيانات الاعتماد تلقائياً على نوافذ مدمجة مزيفة، حيث تتحقق هذه الأدوات من URL الفعلي بدلاً من الرسومات المعروضة.
قم بتفعيل المصادقة الثنائية (2FA) أو المصادقة متعددة العوامل (MFA) على جميع الحسابات التي تدعمها، ويفضل استخدام مفاتيح الأجهزة أو تطبيقات المصادقة بدلاً من رموز SMS، مما يحد من الضرر حتى في حالة سرقة بيانات الاعتماد.
قم بكتابة عناوين URL لتسجيل الدخول يدوياً مباشرة في شريط عنوان المتصفح بدلاً من النقر على أزرار "تسجيل الدخول باستخدام" على المواقع غير المألوفة، مما يضمن أنك تزور صفحة المصادقة الأصلية في نافذة متصفح حقيقية.
قبل إدخال بيانات اعتماد في أي نافذة منبثقة، حاول سحب النافذة خارج حدود المتصفح الخاص بك أو انقر على شريط URL للتحقق من أنها نافذة متصفح حقيقية وليست تراكب HTML.
قم بتثبيت إضافات المتصفح التي تكتشف سلوكيات JavaScript المريبة أو تنفذ التحقق من سياسة الأمان لتنبيهك عندما تحاول الصفحات إنشاء تراكبات نافذة مزيفة.
عندما يكون ذلك ممكناً، تجنب استخدام تدفقات تسجيل الدخول ذات الدخول الفردي على المواقع غير المألوفة وبدلاً من ذلك قم بإنشاء حسابات فريدة بكلمات مرور مختلفة، مما يقلل من قيمة بيانات الاعتماد المخترقة لخدمة واحدة.

أمثلة حقيقية

قامت مصممة رسومات مستقلة بزيارة موقع ويب لمحفظة يدعي أنه يقدم موارد تصميم متميزة. عندما نقرت على "تسجيل الدخول باستخدام جوجل" للوصول إلى التنزيلات، ظهرت نافذة تسجيل دخول جوجل احترافية. قامت بإدخال بيانات اعتمادها، لكن النافذة أظهرت رسالة خطأ واختفت. في غضون ساعتين، تم الوصول إلى حسابها على Gmail من عنوان IP في أوروبا الشرقية، وحاول المهاجم إعادة تعيين كلمات مرور حسابها على PayPal والبنك المرتبطة بعنوان بريدها الإلكتروني.

تلقى استشاري تكنولوجيا المعلومات بريداً إلكترونياً حول تحديث أمان مفترض لحساب Microsoft 365 الخاص به يحتوي على رابط لمراجعة نشاط تسجيل الدخول الأخير. عرضت الصفحة المرتبطة نافذة تسجيل دخول مايكروسوفت مقنعة مع ظهور عنوان URL الصحيح microsoft.com في شريط العنوان المزيف. بعد إدخال بيانات اعتماده، تم إعادة توجيهه إلى صفحة مايكروسوفت الشرعية. بعد ثلاثة أيام، اكتشفت شركته أن 47 سجل اتصال للعملاء قد تم سحبها، وتم إرسال طلبات الفدية لهؤلاء العملاء يدعون أن الاستشاري قد تم اختراقه.

نقر مستثمر في العملات الرقمية على نتيجة بحث برعاية لمنصة تداول شهيرة. بدت صفحة الهبوط متطابقة مع موقع البورصة وطالبت بتسجيل الدخول عبر منبثقة Google SSO.

أين تبلّغ — الدول العربية

القنوات الرسمية في منطقتك للإبلاغ عن هذا الاحتيال.

هيئة تنظيم الاتصالات السعودية

إبلاغ

بلاغات الاتصالات والاحتيال الرقمي في المملكة العربية السعودية.

1933 زيارة →

الإمارات - عقاب

الجرائم الإلكترونية

منصة شرطة دبي للإبلاغ عن الجرائم الإلكترونية.

زيارة →

مصر - الإدارة العامة لمكافحة جرائم الإنترنت

الجرائم الإلكترونية

الإدارة العامة لمكافحة جرائم الحاسبات والشبكات بوزارة الداخلية المصرية.

108 زيارة →

AECERT (الإمارات)

إبلاغ

الفريق الوطني للاستجابة لطوارئ الحاسب الآلي.

زيارة →

هل تعتقد أنك واجهت هذا الاحتيال؟

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), هجوم المتصفح داخل المتصفح: تهديد التصيد الاحتيالي غير المرئي is described at https://scamlens.org/ar/encyclopedia/browser-in-browser-attack.

https://scamlens.org/ar/encyclopedia/browser-in-browser-attack

ابدأ من هنا

فحص الأمان

الاستخبارات

الأدوات والتقارير

الخدمات المميزة

الإضافة وAPI