Yon nouvo kalite èskrokri itilize pa kriminèl yo vòlè ak revann kont vapè. Sa a se sa ekspè yo rele yon atak navigatè-nan-navigatè, ki sijere ke yon ekran login parèt kòm yon pop-up.
Nouvo teknik la te deja dekouvri pi bonè ane sa a pa yon chèchè ak psedonim la mr.d0x. Koulye a, yon envestigasyon konpayi sekirite Group IB montre ke yo te itilize teknik sa a pou entèsepte kalifikasyon kont vapè. Menm jan ak teknik èskrokri li te ye, viktim nan redireksyone sou yon sit entènèt fo mete sou pye pa pirate a. Sa a se ka a tou ak atak sa yo sou itilizatè vapè. Viktim yo atire nan yon sit entènèt tounwa Counterstrike epi yo dwe konekte ak kont vapè yo.
Nòmalman, sètifika ssl la ak souvan tou url la montre ke li pa yon sit lejitim. Avèk teknik navigatè-an-navigatè a, sa a pi difisil pou wè, paske sit èskrokri sa a sèvi ak JavaScript pou montre yon fenèt pop-up pou konekte, ki prèske pa distenge ak yon fenèt reyèl koneksyon vapè.
Fenèt la ka tou senpleman deplase nan tab la louvri. Anplis de sa, URL la nan fenèt la fo parèt tou lejitim epi fèmen vèt la pou yon sètifika SSL kòrèk parèt. Se sèlman lè viktim nan fèmen premye fenèt la ap vin klè ke ekran pop-up la se yon pati nan paj aktyèl la.
Moman yon viktim konekte avèk fo fenèt la, kriminèl yo gen aksè a kont vapè a. Pou yo pa alam viktim nan, lè yo konekte avèk siksè, yo pral voye yo nan yon paj konfimasyon antre nan tounwa.