Porto Velho (RO), 15 de
Janeiro de 2026 - 12:39:51
Reprodução
Nos últimos seis meses, uma onda crescente de ataques de phishing tem mirado usuários do Facebook usando uma técnica sofisticada chamada Browser-in-the-Browser (BitB). Com mais de 3 bilhões de usuários ativos, a plataforma se tornou um dos alvos favoritos dos criminosos digitais, que roubam contas para espalhar golpes, coletar dados pessoais ou cometer fraudes de identidade.
A campanha foi descoberta pela empresa de segurança Trellix, que identificou o uso massivo da técnica BitB em ataques direcionados ao Facebook. O golpe funciona apresentando aos usuários uma janela pop-up falsa de login que é praticamente indistinguível de uma autêntica.
O ataque começa com e-mails que se passam por escritórios de advocacia alegando violação de direitos autorais, notificações de segurança da Meta sobre logins não autorizados ou avisos de suspensão iminente da conta. Ao clicar no link, o usuário é redirecionado para uma página de phishing que usa URLs encurtados e páginas falsas de CAPTCHA da Meta para parecer legítima.
Na fase final, as vítimas são solicitadas a fazer login inserindo suas credenciais do Facebook em uma janela pop-up falsa. E é aí que mora o perigo.
O que é um ataque Browser-in-the-Browser
A técnica Browser-in-the-Browser foi desenvolvida pelo pesquisador de segurança Mr.d0x em 2022 e posteriormente adotada por cibercriminosos. O método funciona criando uma janela pop-up de login completamente falsa dentro do navegador da vítima usando um elemento HTML chamado iframe que imita perfeitamente a interface de autenticação do Facebook.
Para olhos destreinados, é impossível distinguir essa janela da real. Os criminosos conseguem personalizar o título da janela, a URL exibida na barra de endereços falsa e até os botões e elementos visuais, tornando o engano extremamente difícil de detectar.
O grande truque está no fato de que a URL do Facebook exibida na janela falsa não é funcional — ela foi simplesmente codificada diretamente no HTML da página. Checando o código-fonte, os pesquisadores da Trellix descobriram que a URL era apenas texto estático, não uma conexão real com os servidores do Facebook.
"Ao criar uma janela pop-up de login falsa e personalizada no navegador da vítima, esse método aproveita a familiaridade do usuário com os fluxos de autenticação, tornando o roubo de credenciais quase impossível de ser detectado visualmente", explica o relatório da Trellix.
Abuso de infraestrutura confiável
Uma das evoluções mais preocupantes dessa campanha é o uso estratégico de serviços legítimos para dar credibilidade ao golpe. Ao hospedar páginas de phishing em Netlify e Vercel, dois dos serviços de hospedagem mais populares do mundo, os atacantes conseguem contornar filtros de segurança que normalmente bloqueariam domínios suspeitos.
"A principal mudança está no abuso de infraestrutura confiável, utilizando serviços legítimos de hospedagem em nuvem e encurtadores de URL para contornar os filtros de segurança tradicionais", diz o relatório da Trellix.
Além disso, os golpistas utilizam encurtadores de URL como Lnk.ink e Rebrand.ly para mascarar o destino final dos links. As páginas falsas replicam perfeitamente a paleta de cores oficial do Facebook, os logotipos e os estilos de fonte.
A Trellix identificou diferentes variações do golpe rodando simultaneamente, todas hospedadas nessas plataformas confiáveis. Os formulários solicitam inicialmente informações básicas como nome completo, e-mail, nome da página e telefone. Na etapa final, pedem a senha da conta do Facebook.
Uma vez que as credenciais são inseridas, elas são imediatamente enviadas para servidores controlados pelos criminosos, dando aos atacantes acesso total à conta da vítima.
Consequências do roubo de contas
Com acesso a uma conta do Facebook comprometida, os criminosos podem realizar diversas atividades maliciosas:
• Enviar mensagens de phishing para todos os contatos da vítima, explorando a confiança entre amigos e familiares;
• Criar posts fraudulentos promovendo golpes financeiros ou vendas falsas;
• Roubar dados pessoais, fotos e informações sensíveis armazenadas na conta;
• Usar a conta para espalhar malware ou links maliciosos em grupos e páginas;
• Cometer fraudes de identidade usando o nome e a reputação da vítima;
• Vender o acesso à conta comprometida em fóruns clandestinos.
A pesquisadora de segurança da Trellix enfatiza que muitas das contas roubadas são de perfis comerciais ou páginas com grande número de seguidores, o que amplifica o potencial de dano quando caem em mãos erradas.
Cecilia Ferraz I Tecmundo
