Jenis phishing baru digunakan oleh penjahat untuk mencuri dan menjual kembali akun Steam. Inilah yang disebut para ahli sebagai serangan browser-in-browser, yang menunjukkan bahwa layar login muncul sebagai pop-up.
Teknik baru ini sudah ditemukan awal tahun ini oleh seorang peneliti dengan nama samaran mr.d0x. Sekarang penyelidikan oleh perusahaan keamanan Grup IB menunjukkan bahwa teknik ini digunakan untuk mencegat kredensial akun uap. Mirip dengan teknik phishing yang dikenal, korban diarahkan ke situs web palsu yang dibuat oleh peretas. Itu juga terjadi dengan serangan ini pada pengguna Steam. Korban digiring ke situs turnamen Counterstrike dan harus masuk dengan akun Steam mereka.
Biasanya, sertifikat ssl dan sering juga url menunjukkan bahwa itu bukan situs yang sah. Dengan teknik browser-in-browser, ini jauh lebih sulit untuk dilihat, karena situs phishing ini menggunakan JavaScript untuk menampilkan jendela masuk pop-up, yang hampir tidak bisa dibedakan dari jendela masuk Steam yang sebenarnya.
Jendela dapat dengan mudah dipindahkan di dalam tab yang terbuka. Selain itu, URL di jendela palsu juga tampak sah dan kunci hijau untuk sertifikat SSL yang benar ditampilkan. Hanya ketika korban menutup jendela pertama akan menjadi jelas bahwa layar pop-up adalah bagian dari halaman saat ini.
Saat korban berhasil masuk melalui jendela palsu, para penjahat memiliki akses ke akun Steam. Agar tidak membuat korban khawatir, setelah berhasil login, mereka akan diteruskan ke halaman konfirmasi entri turnamen.