How can I tell if a login popup is fake if it looks exactly like the real thing?

Try to interact with the popup window as you would a real browser window. Attempt to drag it outside your browser's visible area, right-click on the address bar or window controls, or check if it appears in your operating system's window switcher (Alt+Tab). Fake BitB popups are trapped within the webpage and won't behave like independent windows. Additionally, use your browser's developer tools (F12) to inspect the page structure—fake popups will appear as div or iframe elements in the HTML.

If I've already entered my credentials in a fake popup, what should I do immediately?

Change your password immediately on the legitimate service website by typing the URL directly into your browser. Enable or update two-factor authentication if you haven't already. Check your account's recent activity logs and active sessions, terminating any unfamiliar access. Monitor linked accounts (email, banking, social media) for suspicious activity and consider placing fraud alerts with financial institutions. If business or financial accounts were compromised, report the incident to relevant authorities and your organization's security team.

Are mobile devices vulnerable to Browser-in-Browser attacks?

Yes, mobile browsers are equally vulnerable and potentially more dangerous because mobile interfaces make verification harder. The smaller screen size makes it difficult to distinguish embedded popups from system-level authentication flows, and users cannot easily drag windows or access developer tools. Mobile users should be especially cautious about clicking SSO login buttons on unfamiliar websites and should prefer using dedicated apps with built-in authentication rather than mobile browser-based logins.

Can antivirus software or browser security extensions detect these attacks?

Traditional antivirus software typically cannot detect BitB attacks because they don't involve malware installation—just malicious HTML and JavaScript. However, specialized browser security extensions that monitor for suspicious DOM manipulation, CSP violations, or behavioral anomalies can provide some protection. The most reliable protection remains user awareness and verification techniques like attempting to drag login windows or checking the browser's window manager for legitimate popup instances.

Why do these attacks target SSO and OAuth login flows specifically?

SSO credentials provide attackers access to multiple services through a single compromised account, maximizing their return on effort. Users have been trained to trust SSO popups as secure, making them less suspicious of these authentication flows. Additionally, the legitimate SSO process already involves popup windows and redirects, making fake versions harder to distinguish. Compromising a Google or Microsoft account can give attackers access to email, cloud storage, financial services, and numerous third-party applications simultaneously.

높음 평균 피해액: $3,000 일반적 기간: 1-3 days

브라우저 인 브라우저 공격: 보이지 않는 피싱 위협

브라우저 인 브라우저(BitB) 공격은 2022년에 두드러지게 나타난 피싱 정교화의 진화를 나타냅니다. 이러한 공격은 정당한 웹사이트 내에서 설득력 있는 가짜 브라우저 창을 만들어 사용자를 속여 Google, Microsoft, Facebook과 같은 신뢰할 수 있는 서비스로 이동하는 것으로 보이는 자격 증명을 입력하게 합니다. 기존의 피싱 페이지와 달리 BitB 공격은 피해자가 의심스러운 링크를 클릭하거나 명백히 가짜인 도메인을 방문할 필요가 없습니다. 대신, 사용자가 신뢰하도록 훈련받은 SSO(Single Sign-On) 인증 흐름을 모방하는 현실적으로 보이는 팝업 창을 주입합니다. 이 기법은 "Google으로 로그인" 또는 "Microsoft로 계속"을 클릭할 때 새로운 브라우저 창이 열리는 OAuth 및 SSO 로그인 흐름에 대한 사용자의 친숙함을 악용합니다. 사기꾼들은 HTML, CSS, JavaScript를 사용해 이러한 창을 재현하여 정당한 웹사이트 위에 위치시키며, https://와 올바른 도메인 이름을 표시하는 가짜 주소창을 포함합니다. 사이버보안 연구 회사들에 따르면, 이러한 공격은 많은 시각적 보안 검사를 우회하기 때문에 기존 피싱보다 3~4배 높은 성공률을 보입니다. 금융 기관, 암호화폐 플랫폼, 기업용 SaaS 애플리케이션은 BitB 방법론을 사용한 상당한 자격 증명 탈취 사건을 보고했습니다. FBI의 인터넷 범죄 신고 센터는 2023년에 정교한 피싱 공격이 47% 증가했으며, BitB 기법이 피해자당 평균 3,000달러의 손실을 야기하는 비즈니스 이메일 타협 계획에 배포되었다고 지적했습니다. 이 공격은 손상되었거나 악성 웹사이트에 배포될 수 있으며, 가짜 창은 자격 증명 탈취 직후 즉시 사라져 최소한의 포렌식 증거만 남기기 때문에 특히 위험합니다.

주요 수법 식별 방법 자신을 보호하는 법 실제 사례 신고 채널

주요 수법

• 사기꾼들은 손상된 정당한 웹사이트나 인기 있는 서비스와 관련된 것으로 보이는 가짜 랜딩 페이지에 악성 JavaScript 코드를 삽입하여 사용자가 SSO 로그인 흐름을 시도하기를 기다립니다.
• Google, Microsoft, Apple, Facebook의 인증 팝업 창을 HTML과 CSS를 사용하여 화소 단위로 정확하게 복제하며, 가짜 주소창, SSL 자물쇠 아이콘, 실제 로그인 경험과 일치하는 시뮬레이션된 로딩 애니메이션까지 포함합니다.
• 공격자들은 절대 위치 지정과 높은 z-index 값을 사용하여 이러한 가짜 창을 실제 웹페이지 위에 오버레이로 위치시켜 내장 페이지 요소가 아닌 정당한 브라우저 팝업으로 보이게 합니다.
• 사용자 상호 작용을 모니터링하는 정교한 탐지 스크립트를 구현하여 사용자가 "로그인" 버튼을 클릭하거나 인증이 필요한 프리미염 기능에 접근하려 할 때 자동으로 가짜 로그인 창을 트리거합니다.
• 사기꾼들은 키스트로크 로깅 및 양식 제출 차단을 통해 실시간으로 입력된 자격 증명을 캡처하여 공격자가 제어하는 서버로 즉시 데이터를 전송하면서 가짜 로딩 또는 오류 메시지를 표시합니다.
• 자격 증명 탈취 후 공격자들은 가짜 창을 빠르게 제거하고 사용자를 정당한 로그인 페이지로 리디렉션하여 인증을 완료하게 하거나(탈취 위장) 일반적인 오류 메시지를 표시하여 나중에 다시 시도하도록 제안합니다.

식별 방법

로그인 팝업 창을 브라우저의 보이는 영역 경계 밖으로 드래그할 수 없거나 메인 페이지 콘텐츠에서 독립적으로 움직일 수 없으면, 이는 진정한 브라우저 창이 아니라 내장된 HTML 요소임을 나타냅니다.
팝업의 주소창, 창 경계 또는 최소화/최대화 버튼을 마우스 우클릭하면 브라우저 특화 옵션이 아닌 표준 웹페이지 컨텍스트 메뉴가 나타나거나 메뉴가 표시되지 않습니다.
팝업의 주소창에 있는 URL을 강조 표시하거나 복사하려고 할 때 URL이 변하지 않으며, 주소창을 클릭해도 정당한 브라우저 창이 허용하는 것처럼 텍스트 편집이나 URL 수정이 불가능합니다.
브라우저 개발자 도구(F12)를 사용하면 팝업 창이 별도의 브라우저 창 프로세스가 아니라 div 또는 iframe 요소로 페이지의 DOM 구조 내에 존재함을 드러냅니다.
팝업이 특성 있는 브라우저 창 애니메이션 없이 즉시 나타나거나 메인 브라우저 창 크기를 조정할 때도 완벽하게 중앙 정렬된 상태로 유지되면, 이는 페이지의 좌표 시스템에 바인딩되어 있음을 나타냅니다.
브라우저의 창 관리자(Windows에서 Alt+Tab, Mac에서 Command+Tab)를 확인하면 팝업에 대한 추가 창 인스턴스가 없으며, 이는 정당한 별도의 브라우저 창이 아님을 확인해줍니다.

자신을 보호하는 법

도메인 일치 기능이 있는 전용 암호 관리자를 항상 사용하면, 표시된 그래픽이 아닌 실제 URL을 확인하므로 가짜 내장 창에서 자격 증명 자동 채우기를 거부합니다.
모든 계정에서 이중 인증(2FA) 또는 다중 인증(MFA)을 활성화하세요. 가능하면 SMS 코드보다는 하드웨어 키나 인증 앱을 사용하여 자격 증명이 탈취되더라도 피해를 제한합니다.
낯선 웹사이트의 "로그인" 버튼을 클릭하는 대신 로그인 URL을 브라우저 주소창에 직접 입력하여 정당한 인증 페이지를 실제 브라우저 창에서 방문하도록 합니다.
자격 증명을 입력하기 전에 팝업 창을 브라우저 경계 밖으로 드래그하거나 URL 주소창을 클릭하여 정당한 브라우저 창인지 HTML 오버레이인지 확인하세요.
의심스러운 JavaScript 동작을 감지하거나 콘텐츠 보안 정책 검증을 구현하여 페이지가 가짜 창 오버레이를 만들려고 할 때 경고하는 브라우저 확장 프로그램을 설치합니다.
가능한 한 낯선 웹사이트의 SSO 로그인 흐름을 피하고 대신 각 서비스마다 고유한 암호가 있는 별도 계정을 만들어 탈취된 자격 증명의 가치를 단일 서비스로 제한합니다.

실제 사례

프리랜서 그래픽 디자이너가 프리미엄 디자인 리소스를 제공한다고 주장하는 포트폴리오 웹사이트를 방문했습니다. 다운로드에 접근하기 위해 "Google으로 로그인"을 클릭했을 때 전문가처럼 보이는 Google 로그인 창이 나타났습니다. 자격 증명을 입력했지만 창에 오류 메시지가 표시되었다가 사라졌습니다. 2시간 후 그녀의 Gmail 계정이 동유럽의 IP 주소에서 접근되었고, 공격자는 그 이메일 주소와 연결된 PayPal 및 은행 계좌의 비밀번호를 재설정하려고 시도했습니다.

IT 컨설턴트가 Microsoft 365 계정의 보안 업데이트라고 주장하는 이메일을 받았으며, 최근 로그인 활동을 검토하기 위한 링크가 포함되어 있었습니다. 링크된 페이지는 가짜 주소창에 올바른 microsoft.com URL이 표시되는 설득력 있는 Microsoft 로그인 팝업을 표시했습니다. 자격 증명을 입력한 후 그는 정당한 Microsoft 페이지로 리디렉션되었습니다. 3일 후 그의 회사는 47개의 클라이언트 연락처 기록이 유출되었으며, 그 클라이언트들이 컨설턴트가 해킹되었다고 주장하는 몸값 요구를 받았음을 발견했습니다.

암호화폐 투자자가 인기 있는 거래 플랫폼의 후원 검색 결과를 클릭했습니다. 랜딩 페이지는 거래소 웹사이트와 동일해 보였으며 Google SSO 팝업을 통한 로그인을 요청했습니다. 자격 증명을 입력한 후 창은 "연결 시간 초과" 메시지와 함께 닫혔습니다. 다음 날 아침 투자자는 거래소 계정이 접근되었고 8,400달러 상당의 비트코인이 미지의 지갑으로 이체되었음을 발견했습니다. 공격자는 탈취된 Google 자격 증명을 사용하여 거래소의 이메일 기반 검증을 우회했습니다.

신고 채널 — 대한민국

귀하의 지역에서 이 사기를 신고할 수 있는 공식 채널.

경찰청 사이버범죄 신고시스템 (ECRM)

사이버 범죄

경찰청 사이버수사 신고. 보이스피싱·해킹·온라인사기 통합 접수.

182 방문 →

한국인터넷진흥원 KISA 118

개인정보 침해, 스팸, 해킹 등 종합상담 (24시간).

118 방문 →

금융감독원 1332

금융 감독

보이스피싱·금융사기 신고 및 피해구제 상담.

1332 방문 →

한국소비자원

소비자 보호

소비자 피해 상담 및 분쟁조정.

1372 방문 →

이 사기를 의심하시나요?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), 브라우저 인 브라우저 공격: 보이지 않는 피싱 위협 is described at https://scamlens.org/ko/encyclopedia/browser-in-browser-attack.

https://scamlens.org/ko/encyclopedia/browser-in-browser-attack

여기서 시작

안전 검사

인텔리전스

도구 및 보고서

프리미엄 서비스

확장 프로그램 및 API