How can I tell if a login popup is fake if it looks exactly like the real thing?

Try to interact with the popup window as you would a real browser window. Attempt to drag it outside your browser's visible area, right-click on the address bar or window controls, or check if it appears in your operating system's window switcher (Alt+Tab). Fake BitB popups are trapped within the webpage and won't behave like independent windows. Additionally, use your browser's developer tools (F12) to inspect the page structure—fake popups will appear as div or iframe elements in the HTML.

If I've already entered my credentials in a fake popup, what should I do immediately?

Change your password immediately on the legitimate service website by typing the URL directly into your browser. Enable or update two-factor authentication if you haven't already. Check your account's recent activity logs and active sessions, terminating any unfamiliar access. Monitor linked accounts (email, banking, social media) for suspicious activity and consider placing fraud alerts with financial institutions. If business or financial accounts were compromised, report the incident to relevant authorities and your organization's security team.

Are mobile devices vulnerable to Browser-in-Browser attacks?

Yes, mobile browsers are equally vulnerable and potentially more dangerous because mobile interfaces make verification harder. The smaller screen size makes it difficult to distinguish embedded popups from system-level authentication flows, and users cannot easily drag windows or access developer tools. Mobile users should be especially cautious about clicking SSO login buttons on unfamiliar websites and should prefer using dedicated apps with built-in authentication rather than mobile browser-based logins.

Can antivirus software or browser security extensions detect these attacks?

Traditional antivirus software typically cannot detect BitB attacks because they don't involve malware installation—just malicious HTML and JavaScript. However, specialized browser security extensions that monitor for suspicious DOM manipulation, CSP violations, or behavioral anomalies can provide some protection. The most reliable protection remains user awareness and verification techniques like attempting to drag login windows or checking the browser's window manager for legitimate popup instances.

Why do these attacks target SSO and OAuth login flows specifically?

SSO credentials provide attackers access to multiple services through a single compromised account, maximizing their return on effort. Users have been trained to trust SSO popups as secure, making them less suspicious of these authentication flows. Additionally, the legitimate SSO process already involves popup windows and redirects, making fake versions harder to distinguish. Compromising a Google or Microsoft account can give attackers access to email, cloud storage, financial services, and numerous third-party applications simultaneously.

Высокий Средний ущерб: $3,000 Обычная длительность: 1-3 days

Атака Browser-in-Browser: невидимая угроза фишинга

Атаки Browser-in-Browser (BitB) представляют собой эволюцию фишинга, которая получила широкое распространение в 2022 году. Эти атаки создают убедительные поддельные окна браузера на законных веб-сайтах, обманывая пользователей и заставляя их вводить учетные данные, которые якобы передаются доверенным сервисам, таким как Google, Microsoft или Facebook. В отличие от традиционных фишинг-страниц, атаки BitB не требуют от жертв нажатия на подозрительные ссылки или посещения очевидно поддельных доменов. Вместо этого они внедряют реалистичные всплывающие окна, которые имитируют потоки аутентификации Single Sign-On (SSO), к которым пользователи привыкли доверять. Эта техника эксплуатирует знакомство пользователей с потоками входа OAuth и SSO, когда нажатие кнопки «Войти через Google» или «Продолжить через Microsoft» открывает новое окно браузера. Мошенники воссоздают эти окна с помощью HTML, CSS и JavaScript, позиционируя их поверх законных веб-сайтов, со поддельными адресными строками, показывающими https:// и правильное имя домена. По данным компаний, занимающихся исследованиями в области кибербезопасности, эти атаки имеют вероятность успеха в 3-4 раза выше, чем традиционный фишинг, поскольку они обходят многие визуальные проверки безопасности, которые выполняют пользователи. Финансовые учреждения, платформы криптовалют и корпоративные SaaS-приложения сообщали о значительных инцидентах кражи учетных данных с использованием методологии BitB. По данным Интернет-центра жалоб ФБР, в 2023 году наблюдалось увеличение на 47% в количестве изощренных атак фишинга, при этом техники BitB использовались в схемах компрометации корпоративной электронной почты, приводящих к среднему ущербу в 3000 долларов США на одну жертву. Атака особенно опасна, потому что может быть развернута на любом скомпрометированном или вредоносном веб-сайте, а поддельное окно исчезает сразу после перехвата учетных данных, оставляя минимальные следы для криминалистической экспертизы.

Распространённые тактики Как распознать Как защитить себя Реальные примеры Куда сообщить

Распространённые тактики

• Мошенники внедряют вредоносный код JavaScript на скомпрометированные законные веб-сайты или создают поддельные целевые страницы, связанные с популярными сервисами, ожидая, когда пользователи попытаются использовать потоки входа SSO.
• Они создают пиксель-в-пиксель копии окон аутентификации от Google, Microsoft, Apple или Facebook с помощью HTML и CSS, включая поддельные адресные строки, значки блокировки SSL и даже имитацию загрузки, соответствующие реальному процессу входа.
• Атакующие позиционируют эти поддельные окна как наложение поверх фактической веб-страницы, используя абсолютное позиционирование и высокие значения z-index, заставляя их выглядеть как подлинные всплывающие окна браузера, а не встроенные элементы страницы.
• Они реализуют изощренные скрипты обнаружения, которые отслеживают взаимодействие пользователя, автоматически запуская поддельное окно входа, когда пользователи нажимают кнопки «Войти» или пытаются получить доступ к премиум-функциям, требующим аутентификации.
• Мошенники перехватывают введенные учетные данные в реальном времени через логирование нажатий клавиш и перехват отправки формы, немедленно передавая данные на серверы, контролируемые атакующими, одновременно показывая поддельные сообщения о загрузке или ошибках.
• После кражи учетных данных атакующие быстро удаляют поддельное окно и могут либо перенаправить пользователей на страницу законного входа для завершения аутентификации (скрывая кражу), либо отобразить общие сообщения об ошибках, предлагающие пользователям повторить попытку позже.

Как распознать

Окно входа не может быть перетащено за границы окна просмотра браузера или перемещаться независимо от основного содержимого страницы, что выявляет его как встроенный элемент HTML, а не подлинное окно браузера.
Щелчок правой кнопкой мыши на адресной строке, границе окна или кнопках развернуть/свернуть всплывающего окна выводит стандартное контекстное меню веб-страницы вместо опций, специфичных для браузера, или вообще никакого меню.
URL в адресной строке всплывающего окна не изменяется при попытке выделить или скопировать его, а нажатие на адресную строку не позволяет редактировать текст или изменять URL, как это разрешено в подлинных окнах браузера.
Использование средств разработчика браузера (F12) показывает, что всплывающее окно существует в структуре DOM страницы как элемент div или iframe, а не как отдельный процесс окна браузера.
Всплывающее окно появляется мгновенно без характерной анимации окна браузера или остается идеально отцентрировано даже при изменении размера главного окна браузера, что указывает на его привязку к системе координат страницы.
Проверка диспетчера окон браузера (Alt+Tab в Windows, Command+Tab на Mac) не показывает дополнительного экземпляра окна для всплывающего окна, подтверждая, что это не подлинное отдельное окно браузера.

Как защитить себя

Всегда используйте выделенный менеджер паролей с функциями сопоставления доменов, который откажется автоматически заполнять учетные данные в поддельных встроенных окнах, так как эти инструменты проверяют фактический URL вместо отображаемой графики.
Включите двухфакторную аутентификацию (2FA) или многофакторную аутентификацию (MFA) для всех учетных записей, которые ее поддерживают, предпочтительно используя аппаратные ключи или приложения-аутентификаторы вместо кодов SMS, что ограничивает ущерб, даже если учетные данные украдены.
Вручную вводите URL входа непосредственно в адресную строку браузера вместо нажатия кнопок «Войти с помощью» на незнакомых веб-сайтах, обеспечивая посещение подлинной страницы аутентификации в реальном окне браузера.
Перед вводом учетных данных в любое всплывающее окно попытайтесь перетащить окно за границы вашего браузера или нажмите на адресную строку, чтобы убедиться, что это подлинное окно браузера, а не наложение HTML.
Установите расширения браузера, которые обнаруживают подозрительное поведение JavaScript или реализуют проверку политики безопасности содержимого, чтобы предупредить вас, когда страницы пытаются создать поддельные наложения окон.
По возможности избегайте использования потоков входа SSO на незнакомых веб-сайтах и вместо этого создавайте уникальные учетные записи с отдельными паролями, снижая ценность скомпрометированных учетных данных для одного сервиса.

Реальные примеры

Фрилансер-графический дизайнер посетила веб-сайт портфолио, якобы предлагающий доступ к премиум-ресурсам дизайна. Когда она нажала «Войти через Google» для загрузки файлов, появилось профессионально выглядящее окно входа в Google. Она ввела свои учетные данные, но окно показало сообщение об ошибке и исчезло. В течение двух часов на ее учетную запись Gmail было произведено несанкционированное входа с IP-адреса из Восточной Европы, и атакующий попытался сбросить пароли для ее счетов PayPal и банка, связанных с этой электронной почтой.

IT-консультант получил электронное письмо об якобы необходимом обновлении безопасности для своей учетной записи Microsoft 365 со ссылкой для просмотра недавней активности входа. На связанной странице отображалось убедительное всплывающее окно входа Microsoft с правильным URL microsoft.com, видимым в поддельной адресной строке. После введения учетных данных он был перенаправлен на подлинную страницу Microsoft. Три дня спустя компания обнаружила, что были экспортированы 47 записей контактов клиентов, и требования выкупа были отправлены этим клиентам с утверждением, что консультант был взломан.

Инвестор в криптовалюту нажал на спонсируемый результат поиска популярной торговой платформы. Целевая страница выглядела идентично веб-сайту обмена и предложила вход через всплывающее окно Google SSO. После введения учетных данных окно закрылось с сообщением об ошибке «истечение срока подключения». На следующее утро инвестор обнаружил, что на его счет на бирже был произведен несанкционированный доступ, и биткоины на сумму 8400 долларов США были переведены на неизвестный кошелек. Атакующий использовал украденные учетные данные Google для обхода проверки на основе электронной почты на бирже.

Куда сообщить — Россия

Официальные каналы в вашем регионе для сообщения о мошенничестве.

МВД России — Управление «К»

Киберпреступность

Управление по борьбе с преступлениями в сфере IT. Электронное обращение в МВД.

Перейти →

Госуслуги — заявление в полицию

Сообщение

Подача заявления о мошенничестве через портал Госуслуг.

Перейти →

Роскомнадзор

Сообщение

Жалобы на сайты мошенников, утечки персональных данных.

Перейти →

Банк России — приёмная

Финансовый регулятор

Жалобы на финансовые пирамиды, нелегальных брокеров, банковское мошенничество.

8-800-300-30-00 Перейти →

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), атака browser-in-browser: невидимая угроза фишинга is described at https://scamlens.org/ru/encyclopedia/browser-in-browser-attack.

https://scamlens.org/ru/encyclopedia/browser-in-browser-attack

Начните здесь

Проверка Безопасности

Разведка

Инструменты и Отчёты

Премиум-услуги

Расширение и API

Атака Browser-in-Browser: невидимая угроза фишинга

Распространённые тактики

Как распознать

Как защитить себя

Реальные примеры

Куда сообщить — Россия

МВД России — Управление «К»

Госуслуги — заявление в полицию

Роскомнадзор

Банк России — приёмная

Считаете, что столкнулись с этим мошенничеством?

How to cite this guide