警方表示，近日在假冒技術支援人員騙案中發現BITB手法，騙徒透過BITB顯示以假亂真的登錄界面，利用程式碼使網頁「憑空畫出」以假亂真登錄介面，誘騙受害人輸入個人資料，繼而被盜銀行賬戶，導致金錢損失。

　BITB (Browser-in-the-Browser) 攻擊模式包括偽造登錄界面，黑客模擬瀏覽器視窗的細節，包括網址欄內顯示看似真實的網址、HTTPS鎖頭、甚至視窗陰影。網頁界面看似真實，但其實黑客只將真正的網頁界面複製，或花心思偽造網頁界面誘騙，甚至通過全屏模式以隱藏假網址，企圖以假亂真。

　其後，假視窗中的帳號和密碼輸入欄位直接連結黑客伺服器，當按下「登入」時，資訊瞬間傳送至黑客手中，同時黑客會轉到真實網站，令受害人「中招」亦不知情。假系統更可能多次顯示「密碼錯誤」誘騙重複輸入，藉此收集更多密碼組合。被竊取個人資料或帳號密碼落後，可能導致賬戶盜用、金錢損失甚至身份盜竊。

　警方提醒防禦BITB的方法，嘗試將視窗拖出瀏覽器邊界外，真實瀏覽器視窗可自由移動且獨立於主頁面。假視窗會卡在瀏覽器內，或會隨着瀏覽器縮放。

　另外可啟用雙重驗證（2FA），即使密碼外流，黑客都要第二道驗證，如手機驗證碼才可登入。網民要避免點擊不明連結，尤其是「限時優惠」、「賬戶異常」等訊息，避免點擊以防釣魚陷阱，應手動輸入官方網址。最後要定期更新軟件，確保瀏覽器和防毒程式是最新版本，阻擋惡意程式入侵。

　市民如有懷疑，除向官方機構查詢外，亦可使用「防騙視伏器」或手機版「防騙視伏App」，輸入可疑網址驗證。（記者區天海）