स्टीम खातों की चोरी और पुनर्विक्रय के लिए अपराधियों द्वारा एक नए प्रकार की फ़िशिंग का उपयोग किया जाता है। इसे ही विशेषज्ञ ब्राउज़र-इन-ब्राउज़र आक्रमण कहते हैं, जो बताता है कि एक लॉगिन स्क्रीन पॉप-अप के रूप में प्रकट होती है।
नई तकनीक इस साल की शुरुआत में छद्म नाम के एक शोधकर्ता द्वारा खोजी गई थी श्री.d0x. अब सुरक्षा कंपनी ग्रुप आईबी की एक जांच से पता चलता है कि इस तकनीक का इस्तेमाल स्टीम अकाउंट क्रेडेंशियल्स को इंटरसेप्ट करने के लिए किया जा रहा है। ज्ञात फ़िशिंग तकनीकों के समान, पीड़ित को हैकर द्वारा स्थापित एक नकली वेबसाइट पर पुनर्निर्देशित किया जाता है। स्टीम उपयोगकर्ताओं पर इन हमलों के मामले में भी यही है। पीड़ितों को एक काउंटरस्ट्राइक टूर्नामेंट की वेबसाइट का लालच दिया जाता है और उन्हें अपने स्टीम खाते से लॉग इन करना होगा।
आम तौर पर, ssl प्रमाणपत्र और अक्सर url यह भी दिखाते हैं कि यह एक वैध साइट नहीं है। ब्राउज़र-इन-ब्राउज़र तकनीक के साथ, यह देखना अधिक कठिन है, क्योंकि यह फ़िशिंग साइट एक पॉप-अप लॉगिन विंडो प्रदर्शित करने के लिए जावास्क्रिप्ट का उपयोग करती है, जो वास्तविक स्टीम लॉगिन विंडो से लगभग अप्रभेद्य है।
विंडो को केवल खुले टैब में ले जाया जा सकता है। इसके अलावा, नकली विंडो में URL भी वैध प्रतीत होता है और सही SSL प्रमाणपत्र के लिए हरे रंग का लॉक प्रदर्शित होता है। केवल जब पीड़ित पहली विंडो बंद करता है तो यह स्पष्ट हो जाएगा कि पॉप-अप स्क्रीन वर्तमान पृष्ठ का हिस्सा है।
जिस क्षण पीड़ित सफलतापूर्वक नकली विंडो के माध्यम से लॉग इन करता है, अपराधियों के पास स्टीम खाते तक पहुंच होती है। पीड़ित को सतर्क न करने के लिए, सफल लॉगिन पर, उन्हें एक टूर्नामेंट प्रविष्टि पुष्टिकरण पृष्ठ पर भेज दिया जाएगा।