什么是“浏览器中的浏览器”攻击（即 BitB 攻击）？

我们依赖安全的登录门户来访问工作所需的资源。不过，随着……浏览器中的浏览器攻击（BitB）这意味着，我们永远都不应该完全信任SSO以及Web应用程序的登录页面。

BitB攻击利用了用户对于登录弹窗和单点登录页面的信任。它们会诱使用户交出个人及企业级的认证信息。本文详细解释了这类攻击的工作原理，并提供了一些实际案例，同时给出了一些安全建议，以帮助用户避免受到攻击。

浏览器中的浏览器攻击定义

浏览器中的浏览器攻击（BitB）通过创建虚拟的浏览器窗口来模仿可信网站或登录页面。这发生在合法的浏览器会话期间。攻击者可以创建一个与真实登录界面极为相似的虚假登录提示框。通过匹配网站的布局，这种恶意弹出窗口就能自然地融入正常的页面中。

用户可能不会注意到这种差异，因此很容易窃取用户的凭证信息。这种手段比使用虚假网站更为难以被察觉，而且会带来严重的后果。犯罪分子可以赢得受害者的信任，然后强迫他们输入凭证或其他敏感信息到虚假的登录表单中。

BitB攻击是如何进行的呢？

我们依赖网络浏览器来访问各种工作负载并进行在线协作。然而，使用网络环境并非毫无风险。恶意攻击者可以利用浏览器漏洞来破坏会话过程，从而将看似无害的浏览器窗口变成数据泄露和身份盗窃的渠道。

BitB攻击是那些最常见且最危险的基于浏览器的威胁之一。它们属于……社会工程学技巧这种行为会制造出虚假的登录窗口，从而窃取用户的密码信息。它们模仿可信的登录弹窗，以欺骗用户。

网络犯罪分子利用 HTML 和 CSS 技术，在网页上模拟出类似浏览器窗口的界面。这种虚假的弹出窗口看起来就像来自可信网站的界面。它可能会模仿某个公司的单点登录门户，或者像 Gmail、Microsoft Teams 这样的知名服务的外观。

用户不会被重定向到虚假的网站。相反，这个假的弹出窗口看起来就像是从一个可信网站中弹出的。犯罪分子可以通过在虚假的登录窗口中伪造URL来欺骗用户，让用户误以为该链接是合法的。

BitB攻击利用HTML、CSS和JavaScript来伪造登录页面的外观。这种攻击方式会在弹窗中显示虚假的地址栏内容。不过，浏览器地址栏中的实际URL地址仍然保持不变。

当用户与这个虚假登录窗口进行交互时，犯罪分子可以获取用户的身份信息和数据，然后将其用于出售或用于后续的攻击行为。他们还可以利用这些信息来实施网络钓鱼攻击，或者利用用户的凭据进入受保护的网络环境，甚至还可能发起账户接管行为。

让BitB攻击变得有效的因素在于……他们利用可信安全手段的能力受害者以为自己正在与一个安全的登录平台进行交互，但实际上，他们的数据却被泄露给了恶意攻击者。因此，从源头上阻止BitB攻击是至关重要的。

现实世界中发生的BitB攻击

在讨论缓解措施之前，我们先来看看现实世界中出现的BitB攻击情况。通过这种方式，我们可以了解一些伪造的登录表单和弹窗的特征，以及在使用SSO门户时需要注意的一些事项。

首例BitB攻击案例是由infosec领域的专家mr.d0x在2022年记录的。他们指出，可以通过使用HTML/CSS来创建模拟的浏览器窗口，其中包括看似合法的URL栏。

从那时起，现实中的BiTB攻击确实证明了mr.d0x的观点是正确的。在2022年，攻击者向Steam平台上的玩家发送了伪造的注册邀请。据报道，这些攻击导致玩家账户被盗，损失金额高达30万美元。

例如，代笔人/代写人该白俄罗斯威胁行为者还将BitB钓鱼技术纳入了其身份盗窃手段中。攻击者利用BitB来模拟passport.i.ua这个受欢迎的乌克兰电子邮件服务提供商的登录页面。伪造的弹窗出现在被入侵的网站上，从而诱使用户输入自己的身份凭证。一旦用户输入了凭证，这些被窃取的凭证就会被发送到攻击者控制的域中。

这些例子表明，BitB攻击是一种越来越流行的钓鱼攻击手段。幸运的是，有一些方法可以识别出这些虚假的弹出窗口，从而避免输入密码或敏感信息。

如何防范“浏览器中的浏览器攻击”？

BitB攻击之所以难以被检测到，是因为它们的特性使得安全团队很难发现它们。通常情况下，钓鱼网站会存在URL错误或其他可以被威胁检测系统识别出的特征。但BitB攻击则并非如此。因此，需要采取更加有效的防御措施来应对这类攻击。

应对“浏览器中的浏览器攻击”的安全最佳实践包括：

采用多因素认证机制。

BitB攻击试图通过伪造的登录门户来收集密码和用户名信息。这种攻击方式会暴露那些依赖单一登录凭证的公司的安全漏洞。攻击者只需收集或暴力破解这些凭证，就能获得网络访问权限。

多因素认证或双因素认证这是唯一的解决方案。MFA/2FA要求为每次登录提供独特的凭证。这些凭证可以是一次性密码，也可以是生物识别信息。增加额外的验证步骤，就能降低标准密码和用户名的安全性。这样一来，非法访问就变得更加困难了。

密码管理器同时，这些工具还可以帮助识别那些 legitimate 的登录网站。它们能够记录这些网站的地址，从而防止用户输入到假冒的登录页面中。

实施浏览器安全措施

BitB攻击利用了HTML、CSS和JavaScript等网页技术来创建虚假的登录弹窗。它们通过社会工程学手段，诱使用户输入密码信息。因此，确保浏览器和扩展程序保持最新状态，是加强防御措施的关键。使用这些工具来保护自己吧。内置的防网络钓鱼工具用于检测可疑活动。

可以考虑添加一下吧。浏览器安全扩展程序此外，这些扩展功能还会监控安全指标，并通过加强的URL验证来检测潜在威胁。这可以帮助用户及时发现那些伪造的登录窗口。

练习安全的网络浏览方式。

不安全的网站更容易受到BitB攻击的威胁。没有加密功能的网站会让他们的代码暴露给攻击者，从而更容易被植入虚假的弹出窗口。而使用具有强大加密协议的网站则更难被劫持。请只使用那些具备这些功能的网站。HTTPS前缀以及挂锁图标。

此外，使用综合性的方法也是明智的选择。内容安全策略CSP可以限制浏览器能够加载的内容来源。例如，可以阻止内嵌脚本的加载，或者禁止访问未经授权的框架。此外，还可以指定用于下载图片的信任域名。

彻底的CSP技术通过将内容限制在可信来源中，从而减少了攻击面。虽然消费者使用的浏览器需要手动进行配置或安装扩展程序，但企业使用的浏览器则提供了集中的CSP管理功能。这样，管理员就可以对所有用户实施严格的策略，从而实现一致性的保护。

实施端点保护系统（EPS）

终端安全工具能够扫描出可能由BitB攻击引发的恶意软件和病毒。此外，这些工具还能阻止那些恶意的登录窗口的访问。建议使用配备了相关功能的EPS工具。签名检测在已知的攻击脚本加载虚假门户网站或钓鱼网站之前，能够识别并阻止这些脚本。

先进的EPS系统包括：行为监控该功能可以检测异常的浏览器活动。此外，它还能识别出受到攻击的终端设备，从而确保BitB攻击不会在连接的网络资产中扩散开来。

审计用户权限

请记住：BitB攻击者试图获取用户的认证信息，从而获得网络访问权限。拥有管理权限的攻击者可以自由地在各种数据库和应用程序之间移动，他们甚至有权提取或删除数据。

通过以下方式避免这种情况：严格监管用户的权限使用根据“最小权限”原则，应降低临时权限的级别，并将用户的权限与业务角色关联起来。即使BitB技术取得了成功，攻击者的网络访问权限也应该是有限的。

总结来说：保护您的网络免受“浏览器中的浏览器攻击”的威胁。

浏览器中的攻击行为使得网络环境变得更加危险，人们在这里进行工作和分享信息的风险也越来越大。这些具有欺骗性的网络攻击可能导致严重的后果，包括身份盗窃、数据丢失以及账户被劫持等问题。这些问题可能会破坏企业的运营，并损害企业的声誉。

保持警惕非常重要。应使用强大的身份验证、威胁检测系统以及安全培训来保障网络浏览器的安全性。同时，可以寻求专业合作伙伴的帮助，以降低数据安全风险。