在各種資安攻擊類型中,釣魚(Phishing)是最常見的社交工程手段之一。它通常透過假網站、詐騙郵件或訊息騙取使用者敏感資料。到了 2025–2026 年,資安社群觀察到一種 更具欺騙性與技術性的釣魚變種:Browser-in-the-Browser(簡稱 BitB)攻擊。這種技術能讓攻擊者創造看似「真實瀏覽器登入視窗」,誘使用戶輸入帳密,而使用者甚至察覺不到自己已陷入陷阱。
BitB 攻擊的基本原理
簡單來說,BitB 攻擊是利用 HTML、CSS、JavaScript 等技術,在正常瀏覽器頁面裡「模擬出一個假的瀏覽器視窗」。這個假視窗看起來就像你熟悉的登入頁,例如 Google、Facebook、Microsoft 等網站的登入畫面;但實際上它並不是真正的系統視窗或安全視窗。攻擊者會在這個視窗裡誘導受害者輸入帳號與密碼,而這些資訊最終會被送到攻擊者手上。
這種攻擊不同於一般釣魚網站的重導向,它不會將你導到另一個可疑網址,而是在你當前頁面上直接顯示一個虛假的「登入視窗」,讓人誤以為正在跟合法網站互動。
為什麼 BitB 比普通釣魚更危險?
更難被察覺
傳統釣魚網站往往有可疑網址或瀏覽器地址列提示,而 BitB 攻擊則會模擬登入介面,使得 URL 在背景保持不動,用戶肉眼難以分辨真假。
與使用者熟悉流程一致
這類攻擊經常出現在單一登入(SSO)或社交帳號登入流程中,讓人誤以為是正常授權程序的一部分。
不依賴漏洞,只是視覺欺騙
BitB 並不是透過突破系統安全漏洞來入侵,而是靠社交工程與視覺模擬,提高受害者信任度。
實際被利用的例子
安全社群發現,這種攻擊已經在多個領域出現,包括:
- 模仿 Steam 登入頁的釣魚頁面,誘使用戶輸入帳密
- 假裝彈出的 Microsoft 或 Facebook 登入視窗
- 將爛 QR Code 或偽造通知引導到這類虛假視窗
其核心目的都是捕獲使用者憑證與身份資料,進一步進行帳號接管或其他詐騙行為。
對 WordPress 站長與網站使用者的威脅
即使 BitB 看起來像是「用戶端欺騙」,它也會間接影響網站資安:
被盜登的 WordPress 帳號
若使用者在 BitB 假窗中輸入 WordPress 帳密,攻擊者就能直接取得後台權限。
與 OAuth/SSO 集成風險
許多 WordPress 網站使用第三方登入(Google、Facebook 等),若這些流程被 BitB 攻擊攔截,就可能讓攻擊者拿到跨站登入憑證。
信任破壞與品牌傷害
網站標誌、登入流程被利用進行釣魚攻擊,會降低使用者對網站的信任度。
如何預防與保護自己
啟用多因素驗證(MFA / 2FA)
即使用戶不慎在偽造視窗輸入密碼,攻擊者仍無法通過第二道驗證。
留意登入視窗的行為
真實彈出視窗可以被拖動、離開主頁,而 BitB 模擬視窗通常被「困在」同一頁面中。
強制使用 WebAuthn / Passkey
這類基於公私鑰技術的登入方式可以完全避免 BitB 攻擊的有效性。
提升使用者警覺
教育使用者不要僅憑外觀信任視窗,而是檢查來源與安全提示。
