Waspada Login Palsu, Peretas Manfaatkan Trik Browser-in-the-Browser untuk Bobol Akun Facebook dkk

Liputan6.com, Jakarta - Teknik phishing lama bernama browser-in-the-browser atau BitB kembali menjadi senjata utama peretas untuk membobol akun media sosial. Dalam enam bulan terakhir, metode ini masih aktif dipakau untuk mengelabui korban agar menyerahkan data login akun Facebook.

BitB bekerja dengan cara menampilkan jendela login palsu yang dibuat sangat mirip dengan browser asli. Saat muncul di layar, pop-ip ini tampak seperti halaman masuk resmi. Banyak pengguna tidak sadar mereka sedang berinteraksi dengan tampilan situs palsu.

Teknik ini pertama diperkenalkan pada 2022 oleh peneliti keamanan siber yang dikenal dengan nama mr.dox. Awalnya BitB ditujukan sebagai riset. Namun, teknik tersebut kemudian disalahgunakan oleh peretas dan diinplementasikan dalam berbagai serangan siber yang menargetkan sejumlah layanan online popular.

Target serangan pun tidak hanya Facebook. Platform populer lain seperti Steam juga kerap kali menjadi sasaran dalam kampanye phishing berbasis BitB. Karena tampilannya sangat meyakinkan, teknik ini masih efektif hingga kini dapat berpotensi menjebak pengguna yang kurang waspada saat mengakses layanan digital.

Dilansir BleepingComputer, Rabu (15/1/2026), akun Facebook hasil curian digunakan untuk berbagai tindak kejahatan digital. Mulai dari menyebarkan penipuan, memanen data pribadi, hingga melakukan penipuan identitas. Dengan lebih tiga miliar pengguna aktif, Facebook masih menjadi target utama para penipu siber.

Dalam serangan BitB, pengguna mengunjungi situs web dikendalikan penyerang. Di halaman tersebut, akan muncul pop-up login palsu sekilas identik dengan jendela autentikasi resmi. Tampilan ini dibuat menggunakan iframe meniru antarmuka login asli.

Judul jendela dan alamat URL juga bisa disesuaikan agar terlihat sah. Di titik ini, banyak pengguna terkecoh dan langsung memasukkan email serta kata sandi mereka tanpa curiga. 

Menurut Trellix, kampanye phishing terbaru menargetkan pengguna Facebook dan menyamar sebagai firma hukum yang mengklaim adanaya pelanggaran hak cipta. Pelaku juga kerap mengirimkan anacaman penangguhan akun dalam waktu dekat, atau mengatasnamakan pemberitahuan keamanan Meta terkait dugaan login tidak sah.

Untuk menghindari deteksi dan meningkatkan kesan legitimasi, pelaku kejahatan siber akan menambahkan URL yang dipersingkat serta menampilkan halaman CAPTCHA Meta palsu. Pada tahap akhir serangan, korban diarahkan untuk masuk dengan memasukkan data login akun Facebook mereka melalui jendela pop-up palsu.

Secara pararel, Trellix menemukan sejumlah besar halaman phishing yang berada di platform cloud yang sah seperti Netlify dan Varcel. Halaman-halaman tersebut meniru portal Pusat Privasi Meta dan mengarahkan pengguna ke laman yang disamarkan sebagai formular banding yang dirancang untuk mengumpulkan data pribadi pengguna.

Trellix juga menilai bahwa kampanye ini sebagai evolusi signifikan dibandingkan kampanye phishing Facebook standar yang selama ini umum diamati oleh peneliti keamanan siber.

Pengguna disarankan untuk selalu waspada saat menerima pemberitahuan keamanan akun atau pemberitahuan dugaan pelanggaran. Alih-alih mengklik tautan atau tombol yang disematkan dalam email, pengguna sebaiknya membuka Alamat situs resmi layanan secara manual melalui tab browser terpisah.

Saat diminta memasukan data login melalui pop-up, perhatikan jendela tersebut. Jika jendela login palsu yang dibuat menggunakan iframe, komponen penting dalam teknik BitB, umumnya terkait pada halaman web utama dan tidapat dialihkan ke luar jendela browser seperti pop-up asli.

Sebagai langkah perlindungan tambahan, pengguna juga dianjurkan mengaktifkan fitur autentikasi dua faktor (2FA) pada akun online mereka. Meski tidak sepenuhnya kebal, fitur ini memberikan lapisan keamanan ekstra untuk mencegah pengambilalihan akun, bahkan jika data masuk telah berhasil dicuri.