In nij type phishing wurdt brûkt troch kriminelen om Steam-akkounts te stellen en troch te ferkeapjen. Dit is wat saakkundigen neame in browser-in-browser oanfal, wat suggerearret dat in oanmeldskerm ferskynt as in pop-up.
De nije technyk waard earder dit jier al ûntdutsen troch in ûndersiker mei it pseudonym mr.d0x. No lit in ûndersyk troch it befeiligingsbedriuw Group IB sjen dat dizze technyk wurdt brûkt om steam-akkountsgegevens te ûnderskeppen. Fergelykber mei bekende phishing-techniken, wurdt it slachtoffer omlaat nei in falske webside ynsteld troch de hacker. Dat is ek it gefal mei dizze oanfallen op Steam-brûkers. Slachtoffers wurde lutsen nei in Counterstrike toernoai webside en moatte ynlogge mei harren Steam account.
Normaal lit it ssl-sertifikaat en faaks ek de url sjen dat it gjin legitime side is. Mei de browser-in-browser-technyk is dit folle dreger te sjen, om't dizze phishing-side JavaScript brûkt om in pop-up-oanmeldfinster wer te jaan, dat hast net te ûnderskieden is fan in echt Steam-oanmeldfinster.
It finster kin gewoan wurde ferpleatst binnen de iepen ljepper. Derneist ferskynt de URL yn it falske finster ek legitime en wurdt it griene slot foar in korrekt SSL-sertifikaat werjûn. Pas as it slachtoffer it earste finster slút sil dúdlik wurde dat it pop-up skerm diel útmakket fan de aktuele side.
It momint dat in slachtoffer mei súkses ynloggt troch it falske finster, hawwe de kriminelen tagong ta it Steam-akkount. Om it slachtoffer net te alarmearjen, wurde se by suksesfolle oanmelding trochstjoerd nei in befêstigingsside fan toernoaiyngong.