স্টিম অ্যাকাউন্ট চুরি এবং পুনরায় বিক্রি করতে অপরাধীরা একটি নতুন ধরনের ফিশিং ব্যবহার করে। এটিকে বিশেষজ্ঞরা ব্রাউজার-ইন-ব্রাউজার আক্রমণ বলে, যা পরামর্শ দেয় যে একটি লগইন স্ক্রিন একটি পপ-আপ হিসাবে উপস্থিত হয়।
নতুন কৌশলটি ইতিমধ্যে এই বছরের শুরুতে ছদ্মনাম সহ একজন গবেষক আবিষ্কার করেছিলেন mr.d0x. এখন নিরাপত্তা সংস্থা গ্রুপ আইবি-এর একটি তদন্ত দেখায় যে এই কৌশলটি স্টিম অ্যাকাউন্টের শংসাপত্রগুলিকে আটকাতে ব্যবহার করা হচ্ছে৷ পরিচিত ফিশিং কৌশলগুলির মতো, শিকারকে হ্যাকার দ্বারা সেট করা একটি জাল ওয়েবসাইটে পুনঃনির্দেশিত করা হয়। স্টিম ব্যবহারকারীদের উপর এই আক্রমণগুলির ক্ষেত্রেও এটি। শিকারদের একটি কাউন্টারস্ট্রাইক টুর্নামেন্ট ওয়েবসাইটে প্রলোভিত করা হয় এবং তাদের স্টিম অ্যাকাউন্ট দিয়ে লগ ইন করতে হবে।
সাধারণত, ssl সার্টিফিকেট এবং প্রায়শই ইউআরএলও দেখায় যে এটি একটি বৈধ সাইট নয়। ব্রাউজার-ইন-ব্রাউজার কৌশলের সাথে, এটি দেখতে অনেক বেশি কঠিন, কারণ এই ফিশিং সাইটটি একটি পপ-আপ লগইন উইন্ডো প্রদর্শন করতে JavaScript ব্যবহার করে, যা একটি বাস্তব স্টিম লগইন উইন্ডো থেকে প্রায় আলাদা করা যায় না।
উইন্ডোটি খোলা ট্যাবের মধ্যে সরানো যেতে পারে। এছাড়াও, জাল উইন্ডোতে URLটিও বৈধ বলে মনে হয় এবং একটি সঠিক SSL শংসাপত্রের জন্য সবুজ লক প্রদর্শিত হয়৷ শুধুমাত্র যখন শিকার প্রথম উইন্ডোটি বন্ধ করবে তখনই এটি পরিষ্কার হয়ে যাবে যে পপ-আপ স্ক্রীনটি বর্তমান পৃষ্ঠার অংশ।
যে মুহূর্তে একজন শিকার সফলভাবে জাল উইন্ডোর মাধ্যমে লগ ইন করে, অপরাধীদের স্টিম অ্যাকাউন্টে অ্যাক্সেস থাকে। ক্ষতিগ্রস্ত ব্যক্তিকে সতর্ক না করার জন্য, সফল লগইন করার পরে, তাদের একটি টুর্নামেন্ট এন্ট্রি নিশ্চিতকরণ পৃষ্ঠায় ফরোয়ার্ড করা হবে।