How can I tell if a login popup is fake if it looks exactly like the real thing?

Try to interact with the popup window as you would a real browser window. Attempt to drag it outside your browser's visible area, right-click on the address bar or window controls, or check if it appears in your operating system's window switcher (Alt+Tab). Fake BitB popups are trapped within the webpage and won't behave like independent windows. Additionally, use your browser's developer tools (F12) to inspect the page structure—fake popups will appear as div or iframe elements in the HTML.

If I've already entered my credentials in a fake popup, what should I do immediately?

Change your password immediately on the legitimate service website by typing the URL directly into your browser. Enable or update two-factor authentication if you haven't already. Check your account's recent activity logs and active sessions, terminating any unfamiliar access. Monitor linked accounts (email, banking, social media) for suspicious activity and consider placing fraud alerts with financial institutions. If business or financial accounts were compromised, report the incident to relevant authorities and your organization's security team.

Are mobile devices vulnerable to Browser-in-Browser attacks?

Yes, mobile browsers are equally vulnerable and potentially more dangerous because mobile interfaces make verification harder. The smaller screen size makes it difficult to distinguish embedded popups from system-level authentication flows, and users cannot easily drag windows or access developer tools. Mobile users should be especially cautious about clicking SSO login buttons on unfamiliar websites and should prefer using dedicated apps with built-in authentication rather than mobile browser-based logins.

Can antivirus software or browser security extensions detect these attacks?

Traditional antivirus software typically cannot detect BitB attacks because they don't involve malware installation—just malicious HTML and JavaScript. However, specialized browser security extensions that monitor for suspicious DOM manipulation, CSP violations, or behavioral anomalies can provide some protection. The most reliable protection remains user awareness and verification techniques like attempting to drag login windows or checking the browser's window manager for legitimate popup instances.

Why do these attacks target SSO and OAuth login flows specifically?

SSO credentials provide attackers access to multiple services through a single compromised account, maximizing their return on effort. Users have been trained to trust SSO popups as secure, making them less suspicious of these authentication flows. Additionally, the legitimate SSO process already involves popup windows and redirects, making fake versions harder to distinguish. Compromising a Google or Microsoft account can give attackers access to email, cloud storage, financial services, and numerous third-party applications simultaneously.

Alto risco Perda média: $3,000 Duração típica: 1-3 days

Ataque Browser-in-Browser: A Ameaça de Phishing Invisível

Os ataques Browser-in-Browser (BitB) representam uma evolução na sofisticação do phishing que emergiu de forma proeminente em 2022. Esses ataques criam janelas de navegador falsas e convincentes dentro de sites legítimos, enganando usuários a inserir credenciais que parecem estar indo para serviços confiáveis como Google, Microsoft ou Facebook. Diferentemente das páginas de phishing tradicionais, os ataques BitB não exigem que as vítimas cliquem em links suspeitos ou visitem domínios obviamente falsos. Em vez disso, eles injetam janelas popup realistas que imitam os fluxos de autenticação Single Sign-On (SSO) nos quais os usuários foram treinados a confiar. A técnica explora a familiaridade dos usuários com fluxos de login OAuth e SSO, onde clicar em "Entrar com Google" ou "Continuar com Microsoft" abre uma nova janela do navegador. Os golpistas recriam essas janelas usando HTML, CSS e JavaScript posicionados sobre sites legítimos, completos com barras de endereço falsas mostrando https:// e o nome de domínio correto. De acordo com empresas de pesquisa em cibersegurança, esses ataques têm uma taxa de sucesso 3-4 vezes maior do que o phishing tradicional porque contornam muitas verificações visuais de segurança que os usuários realizam. Instituições financeiras, plataformas de criptomoedas e aplicações SaaS empresariais relataram incidentes significativos de roubo de credenciais usando a metodologia BitB. O Centro de Reclamações de Crimes pela Internet do FBI notou um aumento de 47% em ataques de phishing sofisticados em 2023, com técnicas BitB sendo implementadas em esquemas de comprometimento de email comercial resultando em perdas médias de R$ 15.000 por vítima. O ataque é particularmente perigoso porque pode ser implementado em qualquer site comprometido ou malicioso, e a janela falsa desaparece imediatamente após a captura de credenciais, deixando evidências forenses mínimas.

Táticas comuns Como identificar Como se proteger Casos reais Onde denunciar

Táticas comuns

• Os golpistas incorporam código JavaScript malicioso em sites legítimos comprometidos ou criam páginas de destino falsas que parecem relacionadas a serviços populares, aguardando usuários tentarem fluxos de login SSO.
• Eles criam réplicas pixel-perfeitas de janelas popup de autenticação do Google, Microsoft, Apple ou Facebook usando HTML e CSS, incluindo barras de endereço falsas, ícones de cadeado SSL e até animações de carregamento simuladas que correspondem à experiência de login real.
• Os atacantes posicionam essas janelas falsas como sobreposições no topo da página real usando posicionamento absoluto e valores de z-index elevados, fazendo-as aparecer como popups genuínos do navegador em vez de elementos incorporados na página.
• Eles implementam scripts sofisticados de detecção que monitoram a interação do usuário, disparando automaticamente a janela de login falsa quando usuários clicam em botões "Entrar" ou tentam acessar recursos premium que exigem autenticação.
• Os golpistas capturam credenciais inseridas em tempo real através de registro de digitação e interceptação de envio de formulários, transmitindo imediatamente os dados para servidores controlados por atacantes enquanto exibem mensagens de carregamento ou erro falsas.
• Após o roubo de credenciais, os atacantes removem rapidamente a janela falsa e podem redirecionar usuários para a página de login legítima para completar a autenticação (mascarando o roubo) ou exibir mensagens de erro genéricas sugerindo que usuários tentem novamente mais tarde.

Como identificar

A janela popup de login não pode ser arrastada para fora dos limites do viewport do navegador ou movida independentemente do conteúdo da página principal, revelando que é um elemento HTML incorporado e não uma verdadeira janela do navegador.
Clicar com botão direito na barra de endereço, borda da janela ou botões minimizar/maximizar do popup produz o menu de contexto padrão da página da web em vez de opções específicas do navegador ou nenhum menu.
A URL na barra de endereço do popup não muda quando você tenta destacá-la ou copiá-la, e clicar na barra de endereço não permite edição de texto ou modificação de URL como janelas genuínas do navegador permitem.
Usar as ferramentas de desenvolvedor do navegador (F12) revela que a janela popup existe dentro da estrutura DOM da página como um elemento div ou iframe, em vez de ser um processo de janela do navegador separado.
O popup aparece instantaneamente sem a animação característica da janela do navegador, ou permanece perfeitamente centralizado mesmo ao redimensionar a janela principal do navegador, indicando que está vinculado ao sistema de coordenadas da página.
Verificar o gerenciador de janelas do navegador (Alt+Tab no Windows, Command+Tab no Mac) não mostra nenhuma instância adicional de janela para o popup, confirmando que não é uma verdadeira janela de navegador separada.

Como se proteger

Sempre use um gerenciador de senhas dedicado com recursos de correspondência de domínio que se recusarão a preencher automaticamente credenciais em janelas incorporadas falsas, pois essas ferramentas verificam a URL real em vez de gráficos exibidos.
Ative autenticação de dois fatores (2FA) ou autenticação multifator (MFA) em todas as contas que a suportam, preferencialmente usando chaves de hardware ou aplicativos autenticadores em vez de códigos SMS, o que limita danos mesmo se as credenciais forem roubadas.
Digite manualmente URLs de login diretamente na barra de endereço do navegador em vez de clicar em botões "Entrar com" em sites desconhecidos, garantindo que você esteja visitando a página de autenticação autêntica em uma verdadeira janela do navegador.
Antes de inserir credenciais em qualquer janela popup, tente arrastar a janela para fora dos limites do navegador ou clique na barra de URL para verificar se é uma verdadeira janela do navegador e não uma sobreposição HTML.
Instale extensões de navegador que detectem comportamentos suspeitos de JavaScript ou implementem validação de Política de Segurança de Conteúdo para alertá-lo quando páginas tentam criar sobreposições de janelas falsas.
Quando possível, evite usar fluxos de login SSO em sites desconhecidos e, em vez disso, crie contas únicas com senhas distintas, reduzindo o valor das credenciais comprometidas para um único serviço.

Casos reais

Uma designer gráfica freelancer visitou um site de portfólio que afirmava oferecer recursos de design premium. Quando clicou em "Entrar com Google" para acessar downloads, uma janela de login do Google profissional apareceu. Ela inseriu suas credenciais, mas a janela mostrou uma mensagem de erro e desapareceu. Dentro de duas horas, sua conta do Gmail foi acessada a partir de um endereço IP na Europa Oriental, e o atacante tentou redefinir senhas para suas contas PayPal e banco vinculadas a esse endereço de email.

Um consultor de TI recebeu um email sobre uma suposta atualização de segurança para sua conta Microsoft 365 com um link para revisar atividades de entrada recentes. A página vinculada exibiu um popup de login Microsoft convincente com a URL microsoft.com correta visível na barra de endereço falsa. Após inserir suas credenciais, ele foi redirecionado para a página legítima da Microsoft. Três dias depois, sua empresa descobriu que 47 registros de contato de clientes haviam sido exfiltrados e solicitações de resgate foram enviadas a esses clientes alegando que o consultor tinha sido comprometido.

Um investidor de criptomoedas clicou em um resultado de pesquisa patrocinado para uma plataforma de negociação popular. A página de destino parecia idêntica ao site da bolsa e pediu login por um popup de SSO do Google. Após inserir as credenciais, a janela fechou com uma mensagem de "tempo limite de conexão". No dia seguinte, o investidor descobriu que sua conta da bolsa havia sido acessada e R$ 42.000 em Bitcoin havia sido transferido para uma carteira desconhecida. O atacante havia usado as credenciais do Google roubadas para contornar a verificação baseada em email da bolsa.

Onde denunciar — Portugal / Brasil

Canais oficiais na sua região para denunciar este golpe.

Polícia Judiciária - Cibercrime (Portugal)

Cibercrime

Gabinete Cibercrime do Ministério Público — denúncias online.

Visitar →

CERT.PT (Portugal)

Denúncia

Centro Nacional de Cibersegurança — incidentes cibernéticos.

Visitar →

Polícia Federal - DENARC (Brasil)

Cibercrime

Canal de denúncia da Polícia Federal brasileira.

197 Visitar →

PROCON (Brasil)

Defesa do consumidor

Procon — defesa do consumidor (telefone varia por estado).

151 Visitar →

Acha que encontrou este golpe?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), ataque browser-in-browser: a ameaça de phishing invisível is described at https://scamlens.org/pt/encyclopedia/browser-in-browser-attack.

https://scamlens.org/pt/encyclopedia/browser-in-browser-attack

Comece aqui

Verificação de Segurança

Inteligência

Ferramentas e Relatórios

Serviços Premium

Extensão e API