Usa ka bag-ong klase sa phishing ang gigamit sa mga kriminal aron mangawat ug ibaligya pag-usab ang mga account sa Steam. Mao kini ang gitawag sa mga eksperto og browser-in-browser attack, nga nagsugyot nga ang login screen makita isip pop-up.
Ang bag-ong teknik nadiskobrehan na sa sayo pa niining tuiga sa usa ka tigdukiduki nga adunay pseudonym mr.d0x. Karon ang usa ka imbestigasyon sa kompanya sa seguridad nga Group IB nagpakita nga kini nga pamaagi gigamit aron ma-intercept ang mga kredensyal sa account sa singaw. Sama sa nahibal-an nga mga teknik sa phishing, ang biktima gi-redirect sa usa ka peke nga website nga gipahimutang sa hacker. Ingon usab niana ang kaso sa kini nga mga pag-atake sa mga tiggamit sa Steam. Ang mga biktima gihaylo sa usa ka website sa Counterstrike tournament ug kinahanglang mag-log in gamit ang ilang Steam account.
Kasagaran, ang ssl certificate ug kasagaran usab ang url nagpakita nga kini dili usa ka lehitimong site. Uban sa teknik sa browser-in-browser, kini mas lisud nga makita, tungod kay kini nga phishing site naggamit sa JavaScript aron ipakita ang pop-up nga window sa pag-login, nga halos dili mailhan gikan sa tinuod nga Steam login window.
Ang bintana mahimo nga ibalhin sa sulod sa bukas nga tab. Dugang pa, ang URL sa peke nga bintana makita usab nga lehitimo ug ang berde nga kandado alang sa usa ka husto nga sertipiko sa SSL gipakita. Sa diha lamang nga ang biktima mosira sa unang bintana mahimong tin-aw nga ang pop-up screen kabahin sa kasamtangan nga panid.
Sa higayon nga ang usa ka biktima malampuson nga naka-log in pinaagi sa peke nga bintana, ang mga kriminal adunay access sa Steam account. Aron dili maalarma ang biktima, sa malampuson nga pag-login, sila ipasa sa usa ka panid sa pagkumpirma sa pagsulod sa torneyo.