Коли ви натискаєте «Увійти через Google» чи «Продовжити з Facebook», у браузері зʼявляється невелике спливне вікно для входу. Ініціатори загроз навчилися малювати таке вікно повністю фальшивим — прямо на сторінці, разом із підробленим рядком адреси й «замочком» HTTPS. Стара порада «перевіряй URL» тут безсила, адже адресу теж підроблено. Цю техніку називають Browser-in-the-Browser (BitB), і наприкінці 2025 — на початку 2026 року вона знову набрала обертів.
Що таке атака «браузер у браузері»
Багато сайтів пропонують швидкий вхід через обліковий запис Google, Facebook, Microsoft чи Apple — це технологія єдиного входу (Single Sign-On, SSO). Зазвичай після натискання кнопки «Увійти через…» відкривається окреме вікно браузера зі сторінкою справжнього сервісу, де ви вводите логін і пароль.
BitB імітує саме це вікно. Замість того щоб відкрити справжнє спливне вікно, шкідлива сторінка малює його копію засобами HTML, CSS і JavaScript: рамку вікна, кнопки керування, рядок адреси з «правильним» доменом і навіть значок захищеного зʼєднання. Усередину цього псевдовікна вбудовано фішингову форму, яка збирає введені дані й надсилає їх на сервер зловмисників.
Уперше техніку публічно описав дослідник безпеки під псевдонімом mr.d0x у березні 2022 року. Його вихідне запитання звучало просто: чи можна зробити пораду «перевір URL» ненадійною? Виявилося, що можна — адже підробити можна й сам рядок адреси.
Чому її майже неможливо розпізнати на око
Фальшиве вікно — це не справжній елемент інтерфейсу браузера, а частина веб-сторінки. Та для користувача воно виглядає переконливо: його можна «схопити» за заголовок і перетягувати, рядок адреси показує легітимний домен, поруч — зелений значок HTTPS.
Звичні ознаки фішингу тут не спрацьовують. Перевірка домену в адресному рядку нічого не дає, бо цей рядок намальований. Те саме стосується «замочка»: він свідчить лише про те, що зʼєднання із самим шкідливим сайтом захищене шифруванням, а не про те, що сайт справжній.
Єдина по-справжньому надійна побутова ознака — спробувати перетягнути вікно за межі вікна браузера. Справжнє системне вікно можна винести на робочий стіл; фальшиве лишиться «прибитим» до сторінки, бо є її частиною.
Як BitB застосовували проти України
Для українських користувачів це не теоретична загроза. Уже в березні 2022 року, лише за кілька днів після публікації mr.d0x, техніку взяло на озброєння угруповання Ghostwriter (відоме також як UNC1151 і повʼязане з міноборони Білорусі).
За даними Google Threat Analysis Group (TAG), Ghostwriter розміщували фішингові сторінки на зламаних сайтах і поверх них малювали фальшиве вікно входу, що виглядало як сторінка домену passport.i.ua — популярного українського поштового сервісу. Щойно жертва вводила облікові дані, вони відправлялися на підконтрольний зловмисникам домен. Серед зафіксованих доменів кампанії були login-verification[.]top, ua-login[.]top та secure-ua[.]space.
Це збіглося в часі з масштабними фішинговими кампаніями тієї ж групи проти українських військових та повʼязаних із ними осіб, про які тоді попереджала Команда реагування на компʼютерні надзвичайні події України (CERT-UA).
Чому загроза знову зросла у 2025–2026 роках
BitB не зник — навпаки, він став доступнішим. Якщо раніше для такої атаки потрібні були певні навички, то у 2025 році техніку почали вбудовувати в готові набори «фішинг як послуга» (Phishing-as-a-Service, PhaaS). У листопаді 2025 року дослідники зафіксували, що функцію BitB додали до набору Sneaky2FA, — тепер розгорнути переконливу підробку можуть навіть низькокваліфіковані зловмисники.
За оцінками профільних дослідників, наприкінці 2025 — на початку 2026 року кількість BitB-кампаній помітно зросла. Найчастіше цілями стають облікові записи Microsoft 365, Facebook та ігрової платформи Steam. Типові приманки — фейкові «юридичні повідомлення», сповіщення про «призупинення акаунту», «несанкціонований вхід» чи запрошення переглянути спільний документ. Окремі набори додають фальшиву CAPTCHA для більшої правдоподібності й уміють у реальному часі перехоплювати сесію навіть після проходження двофакторної автентифікації.
Як захиститися
Покладатися лише на зовнішній вигляд вікна входу більше не можна. Найнадійніший підхід — позбавити крадіжку облікових даних сенсу:
Переходьте на passkeys і WebAuthn. Ці методи входу привʼязані до конкретного сайту й пристрою, тож на фальшивому домені вони просто не спрацюють. Дослідники називають перехід на стійку до фішингу автентифікацію головною лінією захисту проти BitB.
Користуйтеся менеджером паролів. Він автоматично підставляє дані лише на справжньому домені. Якщо менеджер «не бачить» сайт і не пропонує автозаповнення там, де ви очікуєте входу, — це привід насторожитися.
Зробіть «тест перетягуванням». Спробуйте винести вікно входу за межі вікна браузера: якщо воно не виходить, перед вами підробка.
Не вводьте облікові дані за посиланнями з листів і повідомлень. Відкривайте сайт сервісу вручну — через закладку або самостійно набравши адресу.
Увімкніть двофакторну автентифікацію. Вона не панацея проти BitB (досвідчені зловмисники вміють перехоплювати й одноразові коди), але суттєво ускладнює захоплення акаунту й лишається базовим рівнем захисту.
Якщо ви підозрюєте, що вже ввели дані у фальшиве вікно, негайно змініть пароль на відповідному сервісі (відкривши його напряму, а не за посиланням), завершіть усі активні сесії в налаштуваннях безпеки й перевірте, чи не змінилися привʼязані до акаунту номер телефону та адреса пошти.
