يتعرض مستخدمو فيسبوك بشكل متزايد لتقنية تصيد احتيالي متطورة تتجاوز الإجراءات الأمنية التقليدية. يسعى المهاجمون إلى اختراق الحسابات وسرقة بيانات الاعتماد الشخصية، واستغلال قاعدة المستخدمين الضخمة للمنصة.
في النصف الثاني من عام 2025، شهدت حملات التصيد الاحتيالي على فيسبوك زيادة ملحوظة، حيث لجأ المهاجمون إلى أساليب جديدة ومبتكرة لخداع المستخدمين. من بين هذه التقنيات، تبرز تقنية “المتصفح داخل المتصفح” (Browser-in-the-Browser) لتعقيدها الفني وفعاليتها.
تقنية “المتصفح داخل المتصفح” (BitB) تهديد متقدم لمستخدمي فيسبوك
تمثل تقنية “المتصفح داخل المتصفح” (BitB) الابتكار الأكثر بروزًا في هذه الحملات. تعمل هذه الطريقة عن طريق إنشاء نافذة وهمية بالكامل داخل نافذة المتصفح الشرعية للمستخدم، مما يجعل التمييز بينها وبين نوافذ المصادقة الأصلية شبه مستحيل. تستغل هذه التقنية مألوفية المستخدمين مع نوافذ تسجيل الدخول، مستفيدة من توقعهم لرؤية مثل هذه النوافذ عند الوصول إلى المنصة.
تبدأ تسلسل الهجوم عادةً برسالة بريد إلكتروني تصيدية تتنكر في هيئة مراسلة من شركة محاماة، تتضمن إشعارًا قانونيًا مزيفًا بشأن مقطع فيديو ينتهك حقوق الملكية ورابطًا لتسجيل الدخول إلى فيسبوك. تستخدم الروابط المختصرة التي تعيد التوجيه إلى صفحات CAPTCHA مزيفة لزيادة طبقات الخداع.
عندما يتفاعل المستخدمون مع هذه الصفحات، قد يواجهون ما يبدو وكأنه نافذة منبثقة شرعية لتسجيل الدخول إلى فيسبوك. ومع ذلك، يكشف الفحص الدقيق للكود الأساسي عن الطبيعة الخبيثة للهجوم. يتم تضمين عنوان URL الخاص بفيسبوك بشكل ثابت داخل الواجهة المزيفة، مما يخلق بيئة مصادقة احتيالية بالكامل.
استغلال الثغرات والتوسع في الاستهداف
تقع براعة هذا النهج في كيفية إساءة استخدام المهاجمين للبنية التحتية الشرعية. يستضيف الجهات الفاعلة الخبيثة صفحات التصيد الاحتيالي على منصات سحابية موثوقة مثل Netlify و Vercel، مستفيدين من سمعتها لتجاوز مرشحات الأمان. وغالبًا ما تخفي خدمات اختصار عناوين URL الوجهة الفعلية، مما يوفر إخفاءً إضافيًا.
تضيف أدوات التحقق المزيفة مثل CAPTCHA طبقة أخرى من التعقيد، مما يجعل المستخدم يشعر بضرورة التحقق من هويته. كما لاحظ محللو Trellix، يستخدم المهاجمون أيضًا تنبيهات وهمية تتعلق بتسجيل الدخول غير المصرح به، مما يدفع المستخدمين إلى اتخاذ إجراءات فورية دون تفكير. يمثل هذا المزيج من التطور الفني والهندسة الاجتماعية تصعيدًا كبيرًا في تكتيكات التصيد الاحتيالي على فيسبوك، مما يتطلب من المستخدمين الحفاظ على يقظة متزايدة تتجاوز ممارسات الأمان القياسية.