Kurjategijad kasutavad Steami kontode varastamiseks ja edasimüümiseks uut tüüpi andmepüügi. Seda nimetavad eksperdid brauseris-brauseris rünnakuks, mis viitab sellele, et sisselogimiskuva ilmub hüpikaknana.
Uue tehnika avastas pseudonüümi kandnud teadlane juba selle aasta alguses mr.d0x. Nüüd näitab turvafirma Group IB uurimine, et seda tehnikat kasutatakse Steam-konto mandaatide pealtkuulamiseks. Sarnaselt teadaolevatele andmepüügitehnikatele suunatakse ohver ümber häkkeri loodud võltsveebisaidile. See kehtib ka nende rünnakute puhul Steami kasutajatele. Ohvrid meelitatakse Counterstrike'i turniiri veebisaidile ja nad peavad sisse logima oma Steami kontoga.
Tavaliselt näitavad ssl-sertifikaat ja sageli ka url, et tegemist pole legitiimse saidiga. Brauseris-brauseris tehnikaga on seda palju keerulisem näha, kuna see andmepüügisait kasutab hüpikakna kuvamiseks JavaScripti, mis on peaaegu eristamatu tõelisest Steami sisselogimisaknast.
Akent saab lihtsalt avatud vahekaardil liigutada. Lisaks näib võltsitud aknas olev URL ka õige olevat ja kuvatakse õige SSL-sertifikaadi roheline lukk. Alles siis, kui ohver sulgeb esimese akna, saab selgeks, et hüpikaken on aktiivse lehe osa.
Hetkel, kui ohver võltsakna kaudu edukalt sisse logib, on kurjategijatel juurdepääs Steami kontole. Et ohvrit mitte häirida, suunatakse ta eduka sisselogimise korral turniiri sisenemise kinnituslehele.