Eine neue Art von Phishing wird von Kriminellen verwendet, um Steam-Konten zu stehlen und weiterzuverkaufen. Experten nennen dies einen Browser-in-Browser-Angriff, der suggeriert, dass ein Anmeldebildschirm als Popup erscheint.
Die neue Technik wurde bereits Anfang dieses Jahres von einem Forscher mit dem Pseudonym entdeckt Herr.d0x. Nun zeigt eine Untersuchung des Sicherheitsunternehmens Group IB, dass diese Technik genutzt wird, um Zugangsdaten für Steam-Konten abzufangen. Ähnlich wie bei bekannten Phishing-Techniken wird das Opfer auf eine vom Hacker eingerichtete gefälschte Website umgeleitet. Das ist auch bei diesen Angriffen auf Steam-Nutzer der Fall. Opfer werden auf eine Counterstrike-Turnier-Website gelockt und müssen sich mit ihrem Steam-Konto anmelden.
Normalerweise zeigen das SSL-Zertifikat und oft auch die URL, dass es sich nicht um eine legitime Seite handelt. Mit der Browser-in-Browser-Technik ist dies viel schwieriger zu erkennen, da diese Phishing-Site JavaScript verwendet, um ein Popup-Anmeldefenster anzuzeigen, das von einem echten Steam-Anmeldefenster kaum zu unterscheiden ist.
Innerhalb des geöffneten Tabs kann das Fenster einfach verschoben werden. Außerdem erscheint die URL im gefälschten Fenster auch legitim und das grüne Schloss für ein korrektes SSL-Zertifikat wird angezeigt. Erst wenn das Opfer das erste Fenster schließt, wird klar, dass der Pop-up-Bildschirm Teil der aktuellen Seite ist.
Sobald sich ein Opfer erfolgreich über das gefälschte Fenster anmeldet, haben die Kriminellen Zugriff auf das Steam-Konto. Um das Opfer nicht zu beunruhigen, wird es nach erfolgreicher Anmeldung auf eine Bestätigungsseite für die Teilnahme am Turnier weitergeleitet.