🕵️♂️ Browser-in-the-Browser Attack: هجوم احتيال عبقري يستغل واجهة المتصفح
مقدّمة في عصر المصادقة عبر الإنترنت (OAuth، SSO، تسجيل الدخول عبر
Google/Facebook)، ظهرت تقنية احتيالية ذكية تُعرف باسم Browser-in-the-Browser
(BitB) — أو بالعربية «المتصفح داخل المتصفح». هذا الهجوم لا يحتاج ثغرة برمجية تقليدية، بل يعتمد على خداع بصري واجتماعي
(UI deception) يجعل المستخدم يصدّق أنّه يُدخل بياناته في نافذة مصادقة رسمية
بينما هو في واقع الأمر يقدّم بياناته لصفحة خبيثة. في هذا المقال سنشرح الفكرة تقنيًا وبشكل واضح، نماذج الهجوم، علامات الكشف،
وكيف تحمي مستخدميك وخدماتك منه — بدون تعليمات تنفيذية ضارة، مع تركيز عملي
على الوقاية والدفاع. ما هو هجوم Browser-in-the-Browser (BitB)؟ BitB هو شكل من أشكال هجمات التصيّد (phishing) يَستخدم نوافذ منبثقة (popups)
أو عناصر ظاهرية داخل صفحة الويب لعرض «نافذة تسجيل دخول» تبدو تمامًا مثل
نافذة المصادقة الحقيقية (مثلاً نافذة OAuth الخاصة بجوجل). الفرق: بدلاً من إعادة توجيه المستخدم
إلى صفحة موثوقة أو فتح نافذة حقيقية للمتصفح، يظهر المهاجم نافذة وهمية داخل
الصفحة (HTML/CSS/JS) تُحاكي شريط العنوان، أيقونات…
