Окна «Войти через Google/Microsoft» уже стали для многих таким же привычным элементом интернета, как поле поиска. Пользователь нажимает кнопку, поверх сайта всплывает аккуратное окно авторизации, вверху виден домен, внутри знакомая форма, дальше MFA и готово. В этом сценарии есть одна тонкая деталь: человек доверяет не потому, что все проверил, а потому что узнает картинку. А узнаваемые картинки, как известно, любят не только дизайнеры, но и мошенники.
Атака Browser-in-the-Browser, или BitB, использует именно эту привычку. Вместо настоящего браузерного окна сайт показывает его имитацию внутри страницы. Для жертвы разница почти не ощущается: визуально все выглядит «как обычно», поэтому вводятся логин, пароль и даже одноразовые коды. BitB не взламывает браузер и не требует сложных эксплойтов, она делает ставку на доверие и автоматизм. И поэтому встречается там, где много SSO (Single Sign-On): в облачных сервисах, корпоративных порталах, таск-трекерах и почте.
Ниже разбор того, что именно видит жертва, какие техники применяются, какие нюансы помогают атаке выглядеть правдоподобно и какие простые действия обычно ломают сценарий злоумышленников.
Как выглядит BitB глазами жертвы
Чаще всего все начинается с правдоподобного повода: «вам дали доступ к документу», «нужно подтвердить учетную запись», «обновите настройки безопасности». Жертва открывает ссылку, попадает на страницу с узнаваемым брендингом и видит кнопку входа через провайдера. После нажатия появляется «всплывающее окно».
Окно похоже на реальное: есть рамка, кнопка закрытия, вверху строка с доменом вроде «accounts.google.com» или «login.microsoftonline.com», иногда даже рисуют замок. Внутри идут привычные шаги: email, пароль, затем MFA. Продвинутые варианты добавляют мелочи: тени, анимации, правильные шрифты, сообщения об ошибке. Иногда после ввода данных жертву перекидывают на настоящий сайт, чтобы ощущение «все прошло нормально» закрепилось.
Ключевой момент: домен, который видит жертва в «строке», не имеет отношения к адресной строке браузера. Это просто текст или картинка на странице. Если человек ограничивается быстрым взглядом, проверка превращается в имитацию проверки.
Как атака устроена технически
BitB строится на обычных возможностях веба: HTML, CSS и JavaScript. Внутри страницы рисуется модальное окно поверх контента, фон затемняется, а «окно» делается перетаскиваемым, чтобы походить на отдельное приложение. Иногда внутри используют iframe, но чаще достаточно собственной формы и стилизации под нужного провайдера.
Самый распространенный вариант простой: страница полностью поддельная, все введенное уходит на сервер злоумышленника. После этого может появиться «ошибка входа» или редирект на настоящую страницу авторизации, чтобы у жертвы не осталось ощущения кражи. Более сложные схемы комбинируют BitB с перехватом сессии или проксированием авторизации, но базовая идея неизменна: вместо реального окна показывается копия, которой управляет атакующая сторона.
Почему браузер это «разрешает». Потому что для браузера это обычная разметка. Он не может запрещать страницам рисовать похожие интерфейсы, иначе сломаются легитимные модальные окна, виджеты оплаты и половина современных UI. Поэтому защита в основном упирается не в предупреждение браузера, а в проверяемые пользователем признаки.
Нюансы, которые делают BitB убедительной
BitB особенно опасна в контексте, где SSO привычен. Корпоративные пользователи десятки раз в день видят одинаковые окна входа, поэтому мозг распознает «шаблон» и ускоряет действие. Если сверху еще и давление времени, шанс остановиться падает почти до нуля.
На мобильных устройствах ситуация хуже: адресная строка часто скрыта, места мало, все выглядит «как карточка». Поэтому поддельное окно может не вызывать вопросов просто потому, что сравнивать не с чем. Плюс некоторые пользователи ориентируются на значок замка или «правильный логотип», но BitB легко рисует и то, и другое.
Еще одна ловушка связана с тем, что настоящие окна авторизации часто открываются как попап. BitB имитирует попап настолько хорошо, что даже опытный человек может спутать, особенно если не делает активных действий с адресом.
Как распознать и не попасться
Рабочее правило такое: доверять можно только тому, что контролирует сам браузер, а не страница. Это означает, что проверка должна быть не «на глаз», а через взаимодействие.
- Проверка адреса должна быть активной. В настоящем окне можно кликнуть в адресную строку, выделить адрес, скопировать его и открыть в новой вкладке. В BitB «адрес» внутри нарисованного окна обычно не ведет себя как адресная строка.
- Окно должно существовать для операционной системы. Настоящий попап виден в Alt+Tab и имеет реальные границы окна. Подделка остается частью вкладки и не появляется как отдельное окно. И поэтому же её нельзя масштабировать, потянув за край.
- Менеджер паролей обычно ломает атаку. Решения вроде Bitwarden или 1Password подставляют пароль только на правильном домене. Если автозаполнение не предлагается там, где «всегда предлагалось», это мощный сигнал остановиться.
- Лучше входить через известный адрес. Вместо клика по ссылке из письма разумнее открыть сервис вручную и запустить вход оттуда, либо использовать корпоративный портал SSO, который уже в закладках.
- Не стоит отдавать лишнее. Запрос резервных кодов, повторного пароля «для подтверждения» или необычно подробной формы - типичный признак фишинга.
Для быстрой проверки подозрительных ссылок помогают сервисы VirusTotal и URL Scan. Это не «магические детекторы», но они показывают цепочки редиректов и домены, что часто достаточно, чтобы увидеть подвох.
Системная защита тоже важна. Passkeys и FIDO2/WebAuthn привязывают вход к домену и устройству, поэтому украденный пароль становится гораздо менее полезным. В компаниях это дополняют политиками условного доступа и мониторингом подозрительных входов.
Что делать, если данные уже введены
Если жертва подозревает BitB, действовать нужно так, как при обычном фишинге, но быстро. Сразу сменить пароль через прямой переход на настоящий домен провайдера, затем завершить активные сессии и отозвать доступы приложений. Далее проверить правила почты, переадресации, добавленные устройства и методы MFA. В корпоративной среде важно быстро сообщить обо всем в ИБ-отдел, потому что украденная учетная запись часто используется для дальнейших атак внутри организации.
Заключение
BitB хороша тем, что она почти не требует техники, зато отлично использует привычки людей. Она выглядит как нормальный попап, говорит правильными словами и показывает «правильный домен», но все это нарисовано внутри страницы. Поэтому надежная защита здесь строится не на абстрактной внимательности, а на конкретных проверках: активное взаимодействие с адресом, доверие менеджеру паролей, вход только через известные точки и использование современных методов аутентификации.
Когда эти привычки закрепляются, атака резко теряет эффективность: злоумышленнику остается рассчитывать только на спешку и усталость. А значит, лучший антидот против «браузера в браузере» - короткая пауза и проверка того, что перед глазами действительно браузер, а не убедительная декорация.
