Nova speco de phishing estas uzata de krimuloj por ŝteli kaj revendi Steam-kontojn. Jen kion fakuloj nomas retumilo-en-retumila atako, kio sugestas, ke ensaluta ekrano aperas kiel pop-up.
La nova tekniko jam estis malkovrita pli frue ĉi-jare de esploristo kun la pseŭdonimo mr.d0x. Nun esploro de la sekureca kompanio Group IB montras, ke ĉi tiu tekniko estas uzata por kapti akreditaĵojn pri vaporkonto. Simile al konataj phishing teknikoj, la viktimo estas redirektita al falsa retejo starigita de la retpirato. Tio ankaŭ estas la kazo kun ĉi tiuj atakoj kontraŭ uzantoj de Steam. Viktimoj estas logitaj al Counterstrike-turnirretejo kaj devas ensaluti per sia Steam-konto.
Kutime, la ssl-atestilo kaj ofte ankaŭ la url montras, ke ĝi ne estas legitima retejo. Kun la retumilo-en-retumila tekniko, ĉi tio estas multe pli malfacile videbla, ĉar ĉi tiu phishing retejo uzas JavaScript por montri ŝpruc-ensalutu fenestro, kiu estas preskaŭ nedistingebla de vera Steam ensalutfenestro.
La fenestro simple povas esti movita ene de la malfermita langeto. Krome, la URL en la falsa fenestro ankaŭ aperas laŭleĝa kaj la verda seruro por ĝusta SSL-atestilo montriĝas. Nur kiam la viktimo fermas la unuan fenestron, evidentiĝos, ke la ŝprucfenestra ekrano estas parto de la nuna paĝo.
En la momento, kiam viktimo sukcese ensalutas tra la falsa fenestro, la krimuloj havas aliron al la Steam-konto. Por ne alarmi la viktimon, post sukcesa ensaluto, ili estos plusenditaj al turnira enira konfirmpaĝo.