{"id":30510,"date":"2026-03-09T15:27:16","date_gmt":"2026-03-09T13:27:16","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30510"},"modified":"2026-03-10T11:28:04","modified_gmt":"2026-03-10T09:28:04","slug":"browser-in-the-browser-phishing-facebook","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/browser-in-the-browser-phishing-facebook\/30510\/","title":{"rendered":"Attacchi browser-in-the-browser: dalla teoria alla realt\u00e0"},"content":{"rendered":"

Nel 2022 ci siamo dedicati a un metodo di attacco chiamato browser-in-the-browser<\/a>, originariamente sviluppato dal ricercatore di sicurezza informatica noto come mr.d0x<\/em>. All\u2019epoca non esisteva alcun esempio reale dell\u2019utilizzo di questo modello in natura. Sono passati quattro anni e gli attacchi browser-in-the-browser sono passati da teorici a reali: ora gli autori degli attacchi li stanno utilizzando sul campo. In questo post, esaminiamo cos\u2019\u00e8 esattamente un attacco browser-in-the-browser, mostriamo in che modo gli hacker lo distribuiscono e, soprattutto, spieghiamo come evitare di diventarne la prossima vittima.<\/p>\n

Che cos\u2019\u00e8 un attacco browser-in-the-browser (BitB)?<\/h2>\n

Per cominciare, rinfreschiamoci un po\u2019 la memoria su cosa si \u00e8 inventato mr.d0x<\/em><\/a>. Il fulcro dell\u2019attacco deriva dalla sua osservazione di quanto siano diventati avanzati i moderni strumenti di sviluppo Web (HTML, CSS, JavaScript e simili). \u00c8 questa consapevolezza che ha ispirato il ricercatore a elaborare un modello di phishing particolarmente elaborato.<\/p>\n

Un attacco browser-in-the-browser \u00e8 una forma sofisticata di phishing che utilizza il Web design per creare siti Web fraudolenti che imitano le finestre di accesso per servizi noti come Microsoft, Google, Facebook o Apple e che sembrano proprio reali. L\u2019idea del ricercatore prevede che un utente malintenzionato costruisca un sito dall\u2019aspetto legittimo per attirare le vittime. Una volta l\u00ec, gli utenti non possono lasciare commenti o effettuare acquisti a meno che prima non \u201ceseguano l\u2019accesso\u201d.<\/p>\n

L\u2019accesso sembra abbastanza semplice: \u00e8 sufficiente fare clic sul pulsante Accedi con {popular service name}<\/em>. Ed \u00e8 qui che le cose si fanno interessanti: invece di una vera e propria pagina di autenticazione fornita dal servizio legittimo, l\u2019utente visualizza un modulo falso all\u2019interno del sito dannoso, esattamente come\u2026 un pop-up del browser. Inoltre, la barra degli indirizzi nel pop-up, sempre visualizzata dagli utenti malintenzionati, mostra un URL perfettamente legittimo<\/em>. Neanche un\u2019ispezione ravvicinata \u00e8 in grado di rivelare il trucco.<\/p>\n

Da l\u00ec, l\u2019ignaro utente immette le proprie credenziali per Microsoft, Google, Facebook o Apple in questa finestra di rendering e tali dettagli vanno direttamente ai criminali informatici. Per un po\u2019 questo schema \u00e8 rimasto un esperimento teorico del ricercatore nel campo della sicurezza. Adesso gli autori degli attacchi del mondo reale lo hanno aggiunto ai loro arsenali.<\/p>\n

Furto delle credenziali di Facebook<\/h2>\n

Gli autori degli attacchi hanno dato una svolta al concetto originale di mr.d0x<\/em>: i recenti successi di browser-in-the-browser sono stati iniziati con e-mail<\/a> progettate per allarmare i destinatari. Ad esempio, una campagna di phishing si \u00e8 presentata come uno studio legale che informava l\u2019utente di aver commesso una violazione del copyright pubblicando qualcosa su Facebook. Il messaggio includeva un collegamento dall\u2019aspetto credibile al post incriminato.<\/p>\n

\"E-mail

Gli autori dell\u2019attacco hanno inviato messaggi per conto di un falso studio legale sostenendo una presunta violazione del copyright, completi di un collegamento presumibilmente al post problematico di Facebook. Fonte<\/a><\/p><\/div>\n

\u00c8 interessante notare che per far abbassare la guardia alla vittima, facendo clic sul collegamento non si apriva immediatamente una pagina di accesso a Facebook falsa. La vittima \u00e8 stata invece accolta per la prima volta da un Meta CAPTCHA fasullo. Solo dopo alla vittima \u00e8 stato presentato il pop-up di autenticazione falso.<\/p>\n

\"Finestra

Non si tratta di un vero pop-up del browser; si tratta di un elemento del sito Web che imita una pagina di accesso di Facebook, uno stratagemma che consente agli utenti malintenzionati di visualizzare un indirizzo perfettamente convincente. Fonte <\/a><\/p><\/div>\n

Naturalmente, la falsa pagina di accesso di Facebook ha seguito il progetto di mr.d0x<\/em>: \u00e8 stata creata interamente con strumenti di Web design per raccogliere le credenziali della vittima. Nel frattempo, l\u2019URL visualizzato nella barra degli indirizzi contraffatta puntava al sito Facebook reale: www.facebook.com.<\/p>\n

Per evitare di cadere vittima:<\/h2>\n

Il fatto che ora i truffatori stiano distribuendo attacchi browser-in-the-browser dimostra che il loro bagaglio di trucchi \u00e8 in continua evoluzione. Ma non disperare: c\u2019\u00e8 un modo per capire se una finestra di accesso \u00e8 legittima. Un gestore di password<\/a>\u00a0pu\u00f2 venirti in soccorso e, tra le altre cose, funge da affidabile cartina tornasole di sicurezza per qualsiasi sito Web.<\/p>\n

Questo perch\u00e9 quando si tratta di compilare automaticamente le credenziali, un gestore di password esamina l\u2019URL effettivo, non ci\u00f2 che sembra<\/em> mostrare la barra degli indirizzi o l\u2019aspetto della pagina stessa. A differenza di un utente umano, un gestore di password<\/a>\u00a0non pu\u00f2 essere ingannato con tattiche browser-in-the-browser o altri trucchi, come domini con un indirizzo leggermente diverso (typosquatting) o moduli di phishing sepolti in annunci e pop-up. C\u2019\u00e8 una semplice regola: se il gestore di password offre di compilare automaticamente nome utente e password, ci si trova in un sito Web per cui sono state precedentemente salvate le credenziali. Se non lo fa, c\u2019\u00e8 qualcosa che non va.<\/p>\n

Oltre a ci\u00f2, seguire i nostri consigli collaudati ti aiuter\u00e0 a difenderti da vari metodi di phishing, o almeno a ridurre al minimo le ricadute se un attacco ha esito positivo:<\/p>\n