文章总结： 黑客利用“浏览器内浏览器”BitB技术伪造Facebook登录弹窗，在合法浏览器界面内嵌虚假认证页，结合钓鱼邮件与lnk.in等短链绕过过滤，诱导30亿用户直接交出凭据；攻击托管于Netlify、Vercol等可信云平台，极难识别。应对需MFA、浏览器安全指示、短链检测与深度社会工程培训并举。 综合评分： 83 文章分类： WEB安全,社会工程学,钓鱼攻击,安全意识,威胁情报

黑客利用浏览器内嵌漏洞劫持Facebook账号

原创

网络安全9527

安全圈的那点事儿

2026年1月14日 09:02 北京

Facebook 拥有 30 亿活跃用户，使其成为复杂网络钓鱼攻击的理想目标。随着攻击者手段日益高明，一种危险的技术正在兴起：“浏览器内浏览器”（BitB）攻击。

这种先进的社会工程方法创建了定制的虚假登录弹出窗口，这些窗口几乎与合法的身份验证窗口无法区分，从而以前所未有的规模窃取凭据。

这种方法利用了用户的一种基本行为：人们对第三方登录弹出窗口的熟悉程度。

攻击者通过在浏览器标签页中模拟合法的身份验证屏幕，有效地将窃取凭据的页面隐藏在看似官方的 Facebook 登录提示背后。

BitB攻击技术运作方式极其简单，却极具欺骗性。它不会将用户重定向到外部钓鱼网站，而是在合法的浏览器界面中创建一个完全虚假的窗口。

Trellix 的安全研究人员观察到， 2025 年下半年 Facebook 网络钓鱼诈骗案件大幅增加，其中 BitB 技术是最值得注意的策略。

这一关键区别使得攻击更具说服力，用户会在熟悉的浏览器环境中看到一个弹出窗口，其中包含看起来合法的 URL 和品牌元素。

攻击方法

典型的BitB 攻击活动始于精心制作的网络钓鱼电子邮件，这些电子邮件通常伪装成来自律师事务所的通信。

这些电子邮件通常会引用有关侵权视频的虚假法律通知，并包含一个伪装成 Facebook 登录链接的恶意超链接。

缩短的 URL（通常使用 lnk.ink 等服务）最初会将用户定向到一个虚假的 MetaCAPTCHA验证页面，这是旨在使其看起来真实的额外规避层。

用户尝试进行身份验证时，会看到 BitB 弹出窗口，显示 Facebook 登录提示。

窗口显示的是真实的 Facebook 网址，乍一看似乎可信。然而，检查底层代码后发现，该网址只是硬编码到恶意页面中的，并非合法的身份验证入口。用户在不知情的情况下输入凭据，实际上是将凭据直接提交给了攻击者。

虽然 BitB 代表着一种升级，但攻击者仍然继续利用已被证明有效的社会工程攻击手段。

账户暂停或违规通知仍然很常见，声称用户违反了版权或社区准则。未经授权的登录警报，警告用户来自未知设备的可疑活动，也依然存在。

声称 Facebook 检测到威胁并要求重新验证身份的安全更新消息仍在欺骗用户。

滥用合法基础设施

现代Facebook网络钓鱼攻击的一个关键方面是利用可信服务进行攻击。攻击者将钓鱼页面托管在Netlify和Vercel等合法云平台上，从而为恶意网站赋予不应有的可信度。

lnk.ink 和 rebrand.ly 等网址缩短服务会掩盖钓鱼网站地址，并绕过传统的安全过滤器。

这种对可信基础设施的滥用有效地绕过了许多组织的安全措施，同时使钓鱼页面看起来像是合法的。

Facebook 网络钓鱼的演变反映了一种令人担忧的趋势：攻击者正在将技术上的复杂性与社会工程的精准性结合起来。

BitB 技术是一个里程碑式的事件，它证明窃取凭证不再需要诱骗用户访问外部域名。攻击者可以直接在用户熟悉的浏览器环境中收集数据。

组织和用户必须认识到，标准的安全意识培训不足以抵御这些复杂的攻击。

将用户警惕性与平台级安全措施相结合的综合防御策略如今至关重要。

多因素身份验证、基于浏览器的安全指标以及能够检测短链接的电子邮件过滤仍然是抵御这些不断演变的威胁的关键防御措施。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527《黑客利用浏览器内嵌漏洞劫持Facebook账号》