Els delinqüents utilitzen un nou tipus de pesca per robar i revendre comptes de Steam. Això és el que els experts anomenen un atac del navegador al navegador, que suggereix que apareix una pantalla d'inici de sessió com a finestra emergent.
La nova tècnica ja va ser descoberta a principis d'any per un investigador amb el pseudònim mr.d0x. Ara una investigació de l'empresa de seguretat Group IB mostra que aquesta tècnica s'està utilitzant per interceptar les credencials del compte de Steam. De manera similar a les tècniques de pesca conegudes, la víctima és redirigida a un lloc web fals creat pel pirata informàtic. Aquest també és el cas d'aquests atacs als usuaris de Steam. Les víctimes són atretes a un lloc web del torneig de Counterstrike i han d'iniciar sessió amb el seu compte de Steam.
Normalment, el certificat ssl i sovint també l'URL mostren que no és un lloc legítim. Amb la tècnica del navegador al navegador, això és molt més difícil de veure, perquè aquest lloc de pesca utilitza JavaScript per mostrar una finestra emergent d'inici de sessió, que gairebé no es pot distingir d'una finestra d'inici de sessió real de Steam.
La finestra simplement es pot moure dins de la pestanya oberta. A més, l'URL de la finestra falsa també sembla legítim i es mostra el bloqueig verd per a un certificat SSL correcte. Només quan la víctima tanqui la primera finestra quedarà clar que la pantalla emergent forma part de la pàgina actual.
En el moment en què una víctima inicia sessió amb èxit a través de la finestra falsa, els delinqüents tenen accés al compte de Steam. Per no alarmar a la víctima, un cop s'hagi iniciat sessió correctament, se'ls enviarà a una pàgina de confirmació d'entrada al torneig.