Pelaku kejahatan siber dalam enam bulan terakhir semakin gencar memanfaatkan teknik browser-in-browser (BitB) untuk mencuri kredensial login Facebook. Metode ini membuat halaman phishing tampak jauh lebih meyakinkan dan sulit dibedakan dari proses autentikasi yang sah.
Teknik BitB pertama kali diperkenalkan oleh peneliti keamanan siber pada 2022, lalu diadopsi oleh penjahat siber untuk menyerang berbagai layanan online populer. Menurut pemantauan peneliti Trellix, Facebook menjadi salah satu target utama karena akun yang berhasil dibajak dapat dimanfaatkan untuk menyebarkan penipuan, mencuri data pribadi, hingga melakukan penipuan identitas. Dengan basis lebih dari tiga miliar pengguna aktif, platform ini tetap menjadi sasaran empuk bagi pelaku kejahatan.
Dalam serangan BitB, korban yang mengunjungi situs yang dikendalikan penyerang akan disajikan jendela pop-up palsu yang menyerupai tampilan browser asli. Pop-up tersebut dibuat menggunakan iframe dan dirancang menyerupai halaman login resmi, lengkap dengan judul jendela serta URL yang terlihat meyakinkan. Karena tampilan ini berada di dalam browser korban sendiri, banyak pengguna sulit menyadari bahwa mereka sedang berinteraksi dengan halaman palsu.
Kampanye phishing terbaru yang diamati Trellix menunjukkan variasi umpan yang semakin beragam. Penyerang menyamar sebagai firma hukum yang menuduh pelanggaran hak cipta, mengancam penangguhan akun dalam waktu dekat, atau mengirimkan peringatan keamanan palsu yang mengatasnamakan Meta terkait aktivitas login tidak sah. Untuk meningkatkan tingkat keberhasilan, pelaku juga memanfaatkan URL pendek serta halaman CAPTCHA palsu agar serangan tampak lebih kredibel.
Pada tahap akhir, korban diarahkan untuk memasukkan nama pengguna dan kata sandi Facebook mereka ke dalam jendela pop-up palsu tersebut. Kredensial yang dimasukkan langsung dikirim ke penyerang, sementara korban sering kali tidak menyadari bahwa akun mereka telah dikompromikan.
Selain itu, Trellix juga menemukan banyak halaman phishing yang dihosting di infrastruktur cloud sah seperti Netlify dan Vercel. Halaman-halaman ini meniru portal Pusat Privasi Meta dan mengarahkan pengguna ke formulir banding palsu yang dirancang untuk mengumpulkan informasi pribadi. Penyalahgunaan layanan cloud tepercaya ini membantu penyerang melewati filter keamanan tradisional sekaligus menumbuhkan rasa aman palsu pada korban.
Para peneliti menilai kampanye ini sebagai evolusi signifikan dibanding phishing Facebook konvensional. Penggunaan infrastruktur tepercaya, pemendek URL, serta teknik BitB menjadikan pencurian kredensial hampir mustahil dideteksi secara visual oleh pengguna awam.
Untuk mengurangi risiko, pengguna disarankan selalu membuka alamat resmi Facebook secara manual di tab terpisah ketika menerima notifikasi keamanan atau klaim pelanggaran akun, bukan mengklik tautan di dalam email atau pesan. Saat diminta login melalui pop-up, perhatikan apakah jendela tersebut bisa dipindahkan ke luar area browser—iframe yang digunakan dalam teknik BitB tidak dapat dipisahkan dari jendela utama.
Sebagai langkah perlindungan tambahan, mengaktifkan autentikasi dua faktor sangat dianjurkan. Meski bukan solusi sempurna, lapisan keamanan ekstra ini dapat membantu mencegah pengambilalihan akun meskipun kredensial telah berhasil dicuri.