:strip_icc()/kly-media-production/medias/697299/original/ilustrasi-fb-140625.jpg)
Serangan siber yang memanfaatkan teknik "Browser-in-the-Browser" (BitB) semakin merajalela, menargetkan akun-akun krusial seperti Facebook dengan metode penipuan visual yang kian canggih. Dalam enam bulan terakhir, peneliti keamanan siber dari Trellix mencatat peningkatan signifikan dalam penggunaan BitB, di mana peretas mampu menciptakan jendela login palsu yang nyaris tak dapat dibedakan dari yang asli, bahkan menampilkan URL yang sah di bilah alamat palsu dalam pop-up tersebut. Teknik ini, yang pertama kali dijelaskan oleh peneliti keamanan mr.d0x pada tahun 2022, mengeksploitasi ketergantungan pengguna pada opsi masuk tunggal (Single Sign-On/SSO) melalui platform pihak ketiga seperti Google, Apple, Microsoft, atau Facebook.
Modus operandi serangan BitB dimulai dengan email phishing yang menyamarkan diri sebagai pemberitahuan resmi, misalnya dari firma hukum yang mengklaim pelanggaran hak cipta atau peringatan keamanan dari Meta tentang aktivitas login yang tidak sah. Email-email ini seringkali menyertakan URL yang diperpendek atau mengarahkan korban ke halaman CAPTCHA Meta palsu sebagai lapisan penipuan awal. Setelah melewati tahap tersebut, korban disajikan dengan jendela pop-up login Facebook palsu yang dibuat menggunakan HTML dan CSS untuk meniru antarmuka otentik secara sempurna. Jendela palsu ini bahkan dapat menampilkan URL Facebook yang sebenarnya di bilah alamatnya, menjadikannya sangat sulit dideteksi secara visual oleh pengguna awam. Trellix juga menemukan bahwa banyak halaman phishing ini dihosting pada platform cloud yang sah seperti Netlify dan Vercel, menambah legitimasi palsu dan membantu serangan melewati filter keamanan tradisional.
Sejak diperkenalkan sebagai konsep, BitB telah diadopsi oleh pelaku kejahatan siber untuk menyerang berbagai layanan online, termasuk Steam, selain Facebook. Peningkatan serangan phishing berbasis browser secara keseluruhan sangat mencolok, dengan laporan dari Menlo Security menunjukkan lonjakan 140% insiden dari tahun 2023 ke 2024, mencapai 752.000 serangan. Bahkan, serangan phishing zero-hour meningkat 130% dalam periode yang sama. Microsoft menjadi target utama dengan 33% percobaan phishing, diikuti oleh Amazon (9%) dan Google (8%) pada kuartal keempat 2023. Sektor teknologi secara keseluruhan menghadapi jumlah serangan tertinggi, dengan media sosial dan perbankan juga menjadi sasaran utama.
Implikasi jangka panjang dari teknik BitB mengarah pada erosi kepercayaan pengguna terhadap mekanisme otentikasi daring dan peningkatan kompleksitas dalam mendeteksi ancaman siber. Serangan ini menandai evolusi signifikan dari phishing tradisional yang hanya mengandalkan tautan palsu. Kemampuan peretas untuk menyalahgunakan platform cloud yang sah untuk hosting halaman phishing menunjukkan bahwa infrastruktur yang dipercaya oleh filter keamanan kini dapat menjadi bagian dari rantai serangan.
Para ahli keamanan siber menekankan pentingnya otentikasi multifaktor (MFA) sebagai pertahanan krusial. Bahkan jika kredensial berhasil dicuri melalui serangan BitB, MFA dapat mencegah akses tidak sah ke akun. Selain itu, pengguna disarankan untuk tidak mengklik tautan dalam email yang mencurigakan, melainkan langsung mengetikkan URL situs web resmi atau menggunakan aplikasi resmi untuk memeriksa status akun mereka. Pemeriksaan cermat terhadap bilah alamat browser yang sebenarnya, bukan yang ditampilkan dalam pop-up, untuk mencari domain yang mencurigakan seperti netlify.app, vercel.app, atau URL yang diperpendek, juga sangat penting. Penggunaan pengelola kata sandi dapat membantu, karena alat ini memverifikasi alamat situs yang sah sebelum mengisi kredensial. Kebiasaan untuk mencoba menyeret jendela pop-up keluar dari batas jendela browser utama juga dapat menjadi indikator; jendela asli akan bergerak bebas, sementara jendela BitB akan terperangkap di dalam.
