{"id":24790,"date":"2026-03-09T09:10:36","date_gmt":"2026-03-09T12:10:36","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24790"},"modified":"2026-03-09T09:06:39","modified_gmt":"2026-03-09T12:06:39","slug":"browser-in-the-browser-phishing-facebook","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/browser-in-the-browser-phishing-facebook\/24790\/","title":{"rendered":"Ataques browser-in-the-browser: da teoria \u00e0 pr\u00e1tica"},"content":{"rendered":"

Em 2022, analisamos em profundidade um m\u00e9todo de ataque chamado browser-in-the-browser<\/a>, originalmente desenvolvido pelo pesquisador de ciberseguran\u00e7a conhecido como mr.d0x<\/em>. Na \u00e9poca, ainda n\u00e3o havia exemplos reais desse modelo sendo utilizado em ataques. Quatro anos depois, a situa\u00e7\u00e3o mudou: os ataques browser-in-the-browser deixaram de ser apenas um conceito te\u00f3rico e passaram a ser utilizados em campanhas reais. Neste artigo, revisitamos o que exatamente \u00e9 um ataque browser-in-the-browser, mostramos como hackers est\u00e3o utilizando essa t\u00e9cnica e, principalmente, explicamos como evitar se tornar a pr\u00f3xima v\u00edtima.<\/p>\n

O que \u00e9 um ataque browser-in-the-browser (BitB)?<\/h2>\n

Para come\u00e7ar, vale relembrar o que mr.d0x<\/em> realmente desenvolveu<\/a>. A base do ataque surgiu da observa\u00e7\u00e3o de qu\u00e3o avan\u00e7adas se tornaram as ferramentas modernas de desenvolvimento Web, como HTML, CSS e JavaScript. Essa constata\u00e7\u00e3o levou o pesquisador a conceber um modelo de phishing particularmente sofisticado.<\/p>\n

Um ataque browser-in-the-browser \u00e9 uma forma avan\u00e7ada de phishing que utiliza recursos de design e desenvolvimento Web para criar sites fraudulentos que imitam janelas de login de servi\u00e7os conhecidos, como Microsoft, Google, Facebook ou Apple, com apar\u00eancia praticamente id\u00eantica \u00e0 original. No conceito proposto pelo pesquisador, o atacante cria um site aparentemente leg\u00edtimo para atrair as v\u00edtimas. Uma vez nesse site, o usu\u00e1rio descobre que n\u00e3o pode deixar coment\u00e1rios ou realizar uma compra sem antes fazer login.<\/p>\n

O processo parece simples: basta clicar no bot\u00e3o Fazer login com {nome de um servi\u00e7o popular}<\/em>. \u00c9 nesse momento que ocorre o golpe. Em vez de abrir a p\u00e1gina real de autentica\u00e7\u00e3o do servi\u00e7o leg\u00edtimo, o usu\u00e1rio recebe um formul\u00e1rio falso renderizado dentro do pr\u00f3prio site malicioso, que se apresenta visualmente como se fosse\u2026 uma janela pop-up do navegador. Al\u00e9m disso, a barra de endere\u00e7o exibida nessa janela, tamb\u00e9m renderizada pelos invasores, mostra uma URL aparentemente leg\u00edtima<\/em>. Mesmo uma inspe\u00e7\u00e3o cuidadosa pode n\u00e3o revelar a fraude.<\/p>\n

A partir desse ponto, o usu\u00e1rio desavisado insere suas credenciais Microsoft, Google, Facebook ou Apple nessa janela renderizada, e esses dados s\u00e3o enviados diretamente aos cibercriminosos. Durante algum tempo, esse esquema permaneceu apenas como um experimento te\u00f3rico do pesquisador de seguran\u00e7a. Hoje, por\u00e9m, ataques reais j\u00e1 incorporaram essa t\u00e9cnica aos seus arsenais de phishing.<\/p>\n

Roubo de credenciais do Facebook<\/h2>\n

Os atacantes adaptaram o conceito original de mr.d0x<\/em>. Em ataques recentes do tipo browser-in-the-browser, o golpe come\u00e7a com e-mails<\/a> criados para alarmar o destinat\u00e1rio. Em uma campanha de phishing, por exemplo, os criminosos se passaram por um escrit\u00f3rio de advocacia informando ao usu\u00e1rio que ele teria cometido uma viola\u00e7\u00e3o de direitos autorais ao publicar conte\u00fado no Facebook. A mensagem inclu\u00eda um link aparentemente leg\u00edtimo que supostamente levaria \u00e0 publica\u00e7\u00e3o problem\u00e1tica.<\/p>\n

\"E-mail

Os invasores enviaram mensagens em nome de um escrit\u00f3rio de advocacia fict\u00edcio alegando viola\u00e7\u00e3o de direitos autorais, acompanhadas de um link que supostamente direcionava ao post problem\u00e1tico no Facebook. Fonte<\/a><\/p><\/div>\n

Curiosamente, para reduzir a desconfian\u00e7a da v\u00edtima, ao clicar no link n\u00e3o era exibida imediatamente uma p\u00e1gina falsa de login do Facebook. Em vez disso, o usu\u00e1rio era primeiro apresentado a um CAPTCHA falso da Meta. Somente ap\u00f3s \u201cpassar\u201d por essa verifica\u00e7\u00e3o \u00e9 que a v\u00edtima recebia a janela pop-up de autentica\u00e7\u00e3o falsa.<\/p>\n

\"Janela

Isso n\u00e3o \u00e9 um pop-up real do navegador, mas um elemento da pr\u00f3pria p\u00e1gina que imita uma tela de login do Facebook. Esse truque permite que os invasores exibam um endere\u00e7o aparentemente leg\u00edtimo. Fonte <\/a><\/p><\/div>\n

Naturalmente, a p\u00e1gina falsa de login do Facebook segue o modelo descrito por mr.d0x<\/em>. Ela \u00e9 constru\u00edda inteiramente com ferramentas de desenvolvimento Web para capturar as credenciais da v\u00edtima. Enquanto isso, a URL exibida na barra de endere\u00e7o simulada aponta para o site verdadeiro do Facebook, www.facebook.com.<\/p>\n

Como evitar se tornar uma v\u00edtima<\/h2>\n

O fato de golpistas j\u00e1 estarem utilizando ataques browser-in-the-browser demonstra que as t\u00e9cnicas de fraude digital evoluem constantemente. Ainda assim, existe uma forma eficaz de verificar se uma janela de login \u00e9 leg\u00edtima. Utilizar um gerenciador de senhas<\/a>, que funciona como um teste de seguran\u00e7a confi\u00e1vel para sites.<\/p>\n

Isso ocorre, porque, ao preencher credenciais automaticamente, o gerenciador de senhas verifica a URL real da p\u00e1gina, e n\u00e3o aquilo que parece<\/em> estar na barra de endere\u00e7o ou o que a interface visual mostra. Diferentemente de um usu\u00e1rio humano, n\u00e3o \u00e9 poss\u00edvel enganar um gerenciador de senhas<\/a>\u00a0por meio de t\u00e9cnicas como browser-in-the-browser, dom\u00ednios com pequenas varia\u00e7\u00f5es ortogr\u00e1ficas (typosquatting) ou formul\u00e1rios de phishing ocultos em an\u00fancios e pop-ups. A regra \u00e9 simples: se o gerenciador de senhas oferecer o preenchimento autom\u00e1tico de login e senha, voc\u00ea est\u00e1 em um site para o qual j\u00e1 salvou credenciais. Se ele permanecer silencioso, h\u00e1 um forte ind\u00edcio de que algo est\u00e1 errado.<\/p>\n

Al\u00e9m disso, seguir algumas recomenda\u00e7\u00f5es cl\u00e1ssicas de seguran\u00e7a digital ajuda a se proteger contra phishing ou, pelo menos, reduzir os danos caso um ataque seja bem-sucedido:<\/p>\n