How can I tell if a login popup is fake if it looks exactly like the real thing?

Try to interact with the popup window as you would a real browser window. Attempt to drag it outside your browser's visible area, right-click on the address bar or window controls, or check if it appears in your operating system's window switcher (Alt+Tab). Fake BitB popups are trapped within the webpage and won't behave like independent windows. Additionally, use your browser's developer tools (F12) to inspect the page structure—fake popups will appear as div or iframe elements in the HTML.

If I've already entered my credentials in a fake popup, what should I do immediately?

Change your password immediately on the legitimate service website by typing the URL directly into your browser. Enable or update two-factor authentication if you haven't already. Check your account's recent activity logs and active sessions, terminating any unfamiliar access. Monitor linked accounts (email, banking, social media) for suspicious activity and consider placing fraud alerts with financial institutions. If business or financial accounts were compromised, report the incident to relevant authorities and your organization's security team.

Are mobile devices vulnerable to Browser-in-Browser attacks?

Yes, mobile browsers are equally vulnerable and potentially more dangerous because mobile interfaces make verification harder. The smaller screen size makes it difficult to distinguish embedded popups from system-level authentication flows, and users cannot easily drag windows or access developer tools. Mobile users should be especially cautious about clicking SSO login buttons on unfamiliar websites and should prefer using dedicated apps with built-in authentication rather than mobile browser-based logins.

Can antivirus software or browser security extensions detect these attacks?

Traditional antivirus software typically cannot detect BitB attacks because they don't involve malware installation—just malicious HTML and JavaScript. However, specialized browser security extensions that monitor for suspicious DOM manipulation, CSP violations, or behavioral anomalies can provide some protection. The most reliable protection remains user awareness and verification techniques like attempting to drag login windows or checking the browser's window manager for legitimate popup instances.

Why do these attacks target SSO and OAuth login flows specifically?

SSO credentials provide attackers access to multiple services through a single compromised account, maximizing their return on effort. Users have been trained to trust SSO popups as secure, making them less suspicious of these authentication flows. Additionally, the legitimate SSO process already involves popup windows and redirects, making fake versions harder to distinguish. Compromising a Google or Microsoft account can give attackers access to email, cloud storage, financial services, and numerous third-party applications simultaneously.

उच्च जोखिम औसत हानि: $3,000 सामान्य अवधि: 1-3 days

ब्राउज़र-इन-ब्राउज़र हमला: अदृश्य फ़िशिंग खतरा

ब्राउज़र-इन-ब्राउज़र (BitB) हमले फ़िशिंग की परिष्कृतता में एक नया चरण हैं, जो 2022 में प्रमुख रूप से उभरे। ये हमले वैध वेबसाइटों के भीतर विश्वसनीय नकली ब्राउज़र विंडो बनाते हैं, जिससे उपयोगकर्ता ऐसे क्रेडेंशियल दर्ज करते हैं जो Google, Microsoft या Facebook जैसे भरोसेमंद सेवाओं को जाने लगते हैं। पारंपरिक फ़िशिंग पृष्ठों के विपरीत, BitB हमलों में पीड़ितों को संदिग्ध लिंक पर क्लिक करने या स्पष्ट रूप से नकली डोमेन पर जाने की आवश्यकता नहीं होती। इसके बजाय, ये वास्तविक दिखने वाली पॉपअप विंडो डालते हैं जो सिंगल साइन-ऑन (SSO) प्रमाणीकरण प्रवाह की नकल करती हैं, जिन पर उपयोगकर्ता भरोसा करते हैं। यह तकनीक OAuth और SSO लॉगिन प्रवाहों के प्रति उपयोगकर्ताओं की परिचितता का फायदा उठाती है, जहां "Google से साइन इन करें" या "Microsoft के साथ जारी रखें" पर क्लिक करने से एक नया ब्राउज़र विंडो खुलता है। धोखेबाज HTML, CSS और JavaScript का उपयोग करके इन विंडो को वैध वेबसाइटों के ऊपर रखकर बनाते हैं, नकली एड्रेस बार के साथ जिसमें https:// और सही डोमेन नाम दिखता है। साइबर सुरक्षा अनुसंधान फर्मों के अनुसार, ये हमले पारंपरिक फ़िशिंग की तुलना में 3-4 गुना अधिक सफल होते हैं क्योंकि ये कई दृश्य सुरक्षा जांचों को बायपास कर लेते हैं जो उपयोगकर्ता करते हैं। वित्तीय संस्थान, क्रिप्टोक्यूरेंसी प्लेटफ़ॉर्म और एंटरप्राइज़ SaaS एप्लिकेशन ने BitB पद्धति का उपयोग करके महत्वपूर्ण क्रेडेंशियल चोरी की घटनाओं की सूचना दी है। एफबीआई के इंटरनेट क्राइम कंप्लेंट सेंटर ने 2023 में परिष्कृत फ़िशिंग हमलों में 47% वृद्धि दर्ज की, जिसमें BitB तकनीकों का उपयोग व्यवसाय ईमेल समझौता योजनाओं में किया गया, जिससे प्रति पीड़ित औसत $3,000 का नुकसान हुआ। यह हमला विशेष रूप से खतरनाक है क्योंकि इसे किसी भी समझौता या दुर्भावनापूर्ण वेबसाइट पर लागू किया जा सकता है, और क्रेडेंशियल पकड़ने के तुरंत बाद नकली विंडो गायब हो जाती है, जिससे फोरेंसिक साक्ष्य बहुत कम रहते हैं।

सामान्य रणनीतियाँ कैसे पहचानें खुद को कैसे सुरक्षित रखें वास्तविक उदाहरण रिपोर्ट कहाँ करें

सामान्य रणनीतियाँ

• धोखेबाज समझौता की गई वैध वेबसाइटों पर दुर्भावनापूर्ण JavaScript कोड एम्बेड करते हैं या लोकप्रिय सेवाओं से संबंधित दिखने वाले नकली लैंडिंग पेज बनाते हैं, जो उपयोगकर्ताओं के SSO लॉगिन प्रवाहों को शुरू करने का इंतजार करते हैं।
• वे Google, Microsoft, Apple या Facebook के प्रमाणीकरण पॉपअप विंडो की पिक्सेल-परफेक्ट नकल HTML और CSS का उपयोग करके बनाते हैं, जिसमें नकली एड्रेस बार, SSL पैडलॉक आइकन और वास्तविक लॉगिन अनुभव से मेल खाने वाले लोडिंग एनीमेशन शामिल होते हैं।
• हमलावर इन नकली विंडो को वास्तविक वेबपेज के ऊपर ओवरले के रूप में स्थिति देते हैं, जिसमें पूर्ण स्थिति और उच्च z-index मानों का उपयोग करते हैं, जिससे ये असली ब्राउज़र पॉपअप लगते हैं न कि पेज के एम्बेडेड तत्व।
• वे परिष्कृत डिटेक्शन स्क्रिप्ट लागू करते हैं जो उपयोगकर्ता की बातचीत की निगरानी करते हैं, और जब उपयोगकर्ता "साइन इन" बटन पर क्लिक करते हैं या प्रमाणीकरण की आवश्यकता वाले प्रीमियम फीचर्स तक पहुंचने का प्रयास करते हैं तो नकली लॉगिन विंडो स्वतः सक्रिय हो जाती है।
• धोखेबाज वास्तविक समय में दर्ज किए गए क्रेडेंशियल को कीस्ट्रोक लॉगिंग और फॉर्म सबमिशन इंटरसेप्शन के माध्यम से कैप्चर करते हैं, तुरंत डेटा को हमलावर नियंत्रित सर्वरों को भेजते हैं और नकली लोडिंग या त्रुटि संदेश दिखाते हैं।
• क्रेडेंशियल चोरी के बाद, हमलावर नकली विंडो को जल्दी से हटा देते हैं और उपयोगकर्ताओं को प्रमाणीकरण पूरा करने के लिए वैध लॉगिन पेज पर पुनः निर्देशित कर सकते हैं (चोरी को छुपाते हुए) या सामान्य त्रुटि संदेश दिखा सकते हैं कि बाद में पुनः प्रयास करें।

कैसे पहचानें

लॉगिन पॉपअप विंडो को ब्राउज़र के व्यूपोर्ट सीमाओं से बाहर खींचा या मुख्य पेज सामग्री से स्वतंत्र रूप से स्थानांतरित नहीं किया जा सकता, जो दर्शाता है कि यह एक एम्बेडेड HTML तत्व है, असली ब्राउज़र विंडो नहीं।
पॉपअप के एड्रेस बार, विंडो बॉर्डर या मिनिमाइज़/मैक्सिमाइज़ बटन पर राइट-क्लिक करने पर ब्राउज़र-विशिष्ट विकल्पों के बजाय मानक वेबपेज संदर्भ मेनू आता है या कोई मेनू नहीं आता।
पॉपअप के एड्रेस बार में URL को हाइलाइट या कॉपी करने का प्रयास करने पर URL नहीं बदलता, और एड्रेस बार पर क्लिक करने से टेक्स्ट संपादन या URL संशोधन संभव नहीं होता जैसा कि असली ब्राउज़र विंडो में होता है।
ब्राउज़र डेवलपर टूल्स (F12) का उपयोग करने पर पता चलता है कि पॉपअप विंडो पेज के DOM संरचना में एक div या iframe तत्व के रूप में मौजूद है, न कि एक अलग ब्राउज़र विंडो प्रक्रिया के रूप में।
पॉपअप तुरंत प्रकट होता है बिना किसी विशिष्ट ब्राउज़र विंडो एनीमेशन के, या मुख्य ब्राउज़र विंडो के आकार बदलने पर भी पूरी तरह केंद्रित रहता है, जो दर्शाता है कि यह पेज के निर्देशांक प्रणाली से बंधा है।
ब्राउज़र के विंडो मैनेजर (Windows पर Alt+Tab, Mac पर Command+Tab) की जांच करने पर पॉपअप के लिए कोई अतिरिक्त विंडो इंस्टेंस नहीं दिखता, जो पुष्टि करता है कि यह वैध अलग ब्राउज़र विंडो नहीं है।

खुद को कैसे सुरक्षित रखें

हमेशा एक समर्पित पासवर्ड मैनेजर का उपयोग करें जिसमें डोमेन-मिलान फीचर हो, जो नकली एम्बेडेड विंडो पर क्रेडेंशियल ऑटोफिल करने से मना कर देगा, क्योंकि ये टूल वास्तविक URL की जांच करते हैं न कि प्रदर्शित ग्राफिक्स की।
सभी खातों पर दो-कारक प्रमाणीकरण (2FA) या बहु-कारक प्रमाणीकरण (MFA) सक्षम करें, विशेष रूप से हार्डवेयर की या ऑथेंटिकेटर ऐप्स का उपयोग करें बजाय SMS कोड के, जिससे क्रेडेंशियल चोरी होने पर भी नुकसान सीमित रहता है।
अपरिचित वेबसाइटों पर "साइन इन विथ" बटन पर क्लिक करने के बजाय लॉगिन URL को सीधे ब्राउज़र एड्रेस बार में टाइप करें, ताकि आप वास्तविक प्रमाणीकरण पृष्ठ पर असली ब्राउज़र विंडो में जा रहे हों।
किसी भी पॉपअप विंडो में क्रेडेंशियल दर्ज करने से पहले, विंडो को ब्राउज़र की सीमाओं से बाहर खींचने या URL बार पर क्लिक करने का प्रयास करें ताकि यह सुनिश्चित हो सके कि यह असली ब्राउज़र विंडो है न कि HTML ओवरले।
ऐसे ब्राउज़र एक्सटेंशन इंस्टॉल करें जो संदिग्ध JavaScript व्यवहारों का पता लगाते हों या कंटेंट सिक्योरिटी पॉलिसी सत्यापन लागू करते हों, ताकि जब पेज नकली विंडो ओवरले बनाने का प्रयास करें तो आपको सचेत किया जा सके।
जहां संभव हो, अपरिचित वेबसाइटों पर SSO लॉगिन प्रवाहों का उपयोग करने से बचें और इसके बजाय विशिष्ट पासवर्ड वाले अलग खाते बनाएं, जिससे समझौता किए गए क्रेडेंशियल की कीमत एक ही सेवा तक सीमित हो।

वास्तविक उदाहरण

एक फ्रीलांस ग्राफिक डिजाइनर एक पोर्टफोलियो वेबसाइट पर गई जो प्रीमियम डिज़ाइन संसाधन प्रदान करने का दावा करती थी। जब उसने डाउनलोड एक्सेस करने के लिए "Google से साइन इन करें" पर क्लिक किया, तो एक पेशेवर दिखने वाली Google लॉगिन विंडो प्रकट हुई। उसने अपने क्रेडेंशियल दर्ज किए, लेकिन विंडो ने एक त्रुटि संदेश दिखाया और गायब हो गई। दो घंटे के भीतर, उसके Gmail खाते में पूर्वी यूरोप के एक IP पते से प्रवेश हुआ, और हमलावर ने उसके PayPal और बैंक खातों के पासवर्ड रीसेट करने का प्रयास किया जो उस ईमेल से जुड़े थे।

एक आईटी कंसल्टेंट को उसके Microsoft 365 खाते के लिए एक कथित सुरक्षा अपडेट के बारे में ईमेल मिला, जिसमें हाल की साइन-इन गतिविधि की समीक्षा के लिए लिंक था। लिंक किए गए पेज पर एक विश्वसनीय Microsoft लॉगिन पॉपअप था जिसमें नकली एड्रेस बार में सही microsoft.com URL दिख रहा था। क्रेडेंशियल दर्ज करने के बाद, उसे वैध Microsoft पेज पर पुनः निर्देशित किया गया। तीन दिन बाद, उसकी कंपनी ने पाया कि 47 ग्राहक संपर्क रिकॉर्ड चोरी हो गए थे, और उन ग्राहकों को फिरौती की मांगें भेजी गईं कि कंसल्टेंट का डेटा समझौता हुआ है।

एक क्रिप्टोक्यूरेंसी निवेशक ने एक लोकप्रिय ट्रेडिंग प्लेटफ़ॉर्म के लिए प्रायोजित खोज परिणाम पर क्लिक किया। लैंडिंग पेज एक्सचेंज की वेबसाइट जैसा दिखता था और Google SSO पॉपअप के माध्यम से लॉगिन का आग्रह करता था। क्रेडेंशियल दर्ज करने के बाद, विंडो "कनेक्शन टाइमआउट" संदेश के साथ बंद हो गई। अगले दिन, निवेशक ने पाया कि उसके एक्सचेंज खाते तक पहुंच हो चुकी थी, और $8,400 मूल्य के बिटकॉइन अज्ञात वॉलेट में ट्रांसफर हो चुके थे। हमलावर ने चोरी किए गए Google क्रेडेंशियल का उपयोग करके एक्सचेंज की ईमेल-आधारित सत्यापन प्रक्रिया को बायपास किया था।

रिपोर्ट कहाँ करें — भारत

आपके क्षेत्र में इस घोटाले की रिपोर्ट के लिए आधिकारिक चैनल।

राष्ट्रीय साइबर अपराध रिपोर्टिंग पोर्टल

साइबर अपराध

गृह मंत्रालय का साइबर अपराध हेल्पलाइन (1930) और रिपोर्टिंग पोर्टल।

1930 जाएँ →

CERT-In

रिपोर्टिंग

इलेक्ट्रॉनिक्स एवं सूचना प्रौद्योगिकी मंत्रालय के तहत साइबर सुरक्षा एजेंसी।

जाएँ →

राष्ट्रीय उपभोक्ता हेल्पलाइन

उपभोक्ता संरक्षण

उपभोक्ता मामलों के विभाग द्वारा संचालित शिकायत हेल्पलाइन।

1915 जाएँ →

RBI Sachet (वित्तीय धोखाधड़ी)

वित्तीय नियामक

भारतीय रिजर्व बैंक का अनधिकृत संस्थाओं की रिपोर्ट के लिए पोर्टल।

जाएँ →

क्या आपको लगता है कि आप इस घोटाले के संपर्क में आए?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), ब्राउज़र-इन-ब्राउज़र हमला: अदृश्य फ़िशिंग खतरा is described at https://scamlens.org/hi/encyclopedia/browser-in-browser-attack.

https://scamlens.org/hi/encyclopedia/browser-in-browser-attack

यहाँ से शुरू करें

सुरक्षा जाँच

इंटेलिजेंस

उपकरण और रिपोर्ट

प्रीमियम सेवाएँ

एक्सटेंशन और API