ગુનેગારો દ્વારા સ્ટીમ એકાઉન્ટની ચોરી અને પુનઃવેચાણ માટે એક નવા પ્રકારની ફિશીંગનો ઉપયોગ કરવામાં આવે છે. નિષ્ણાતો આને બ્રાઉઝર-ઇન-બ્રાઉઝર હુમલો કહે છે, જે સૂચવે છે કે લોગિન સ્ક્રીન પોપ-અપ તરીકે દેખાય છે.
નવી ટેકનિક આ વર્ષની શરૂઆતમાં ઉપનામ સાથે સંશોધક દ્વારા શોધી કાઢવામાં આવી હતી mr.d0x. હવે સિક્યોરિટી કંપની ગ્રુપ IB દ્વારા કરવામાં આવેલી તપાસ દર્શાવે છે કે આ ટેકનિકનો ઉપયોગ સ્ટીમ એકાઉન્ટના ઓળખપત્રને અટકાવવા માટે કરવામાં આવી રહ્યો છે. જાણીતી ફિશિંગ તકનીકોની જેમ, પીડિતને હેકર દ્વારા સેટ કરેલી નકલી વેબસાઇટ પર રીડાયરેક્ટ કરવામાં આવે છે. તે સ્ટીમ વપરાશકર્તાઓ પરના આ હુમલાઓ સાથે પણ કેસ છે. પીડિતોને કાઉન્ટરસ્ટ્રાઇક ટુર્નામેન્ટ વેબસાઇટ પર લલચાવવામાં આવે છે અને તેઓએ તેમના સ્ટીમ એકાઉન્ટથી લોગ ઇન કરવું આવશ્યક છે.
સામાન્ય રીતે, ssl પ્રમાણપત્ર અને ઘણીવાર url પણ દર્શાવે છે કે તે કાયદેસરની સાઇટ નથી. બ્રાઉઝર-ઇન-બ્રાઉઝર તકનીક સાથે, આ જોવાનું વધુ મુશ્કેલ છે, કારણ કે આ ફિશિંગ સાઇટ પોપ-અપ લોગિન વિન્ડો દર્શાવવા માટે JavaScriptનો ઉપયોગ કરે છે, જે વાસ્તવિક સ્ટીમ લોગિન વિન્ડોથી લગભગ અસ્પષ્ટ છે.
વિન્ડો ખાલી ઓપન ટેબમાં ખસેડી શકાય છે. વધુમાં, નકલી વિન્ડોમાં URL પણ કાયદેસર દેખાય છે અને સાચા SSL પ્રમાણપત્ર માટે લીલો લોક પ્રદર્શિત થાય છે. જ્યારે પીડિત પ્રથમ વિન્ડો બંધ કરશે ત્યારે જ તે સ્પષ્ટ થશે કે પોપ-અપ સ્ક્રીન વર્તમાન પૃષ્ઠનો ભાગ છે.
જે ક્ષણે પીડિત નકલી વિન્ડો દ્વારા સફળતાપૂર્વક લોગ ઇન કરે છે, ગુનેગારોને સ્ટીમ એકાઉન્ટની ઍક્સેસ મળે છે. પીડિતને એલાર્મ ન કરવા માટે, સફળ લોગિન પર, તેમને ટુર્નામેન્ટ એન્ટ્રી કન્ફર્મેશન પેજ પર ફોરવર્ડ કરવામાં આવશે.