Ný tegund vefveiða er notuð af glæpamönnum til að stela og endurselja Steam reikninga. Þetta er það sem sérfræðingar kalla árás á vafra í vafra, sem bendir til þess að innskráningarskjár birtist sem sprettigluggi.
Nýja tæknin var þegar uppgötvað fyrr á þessu ári af vísindamanni með dulnefnið mr.d0x. Nú sýnir rannsókn öryggisfyrirtækisins Group IB að þessi tækni er notuð til að stöðva skilríki fyrir gufureikning. Líkt og þekktar vefveiðaraðferðir er fórnarlambinu vísað á falska vefsíðu sem tölvuþrjótarinn setti upp. Það er líka raunin með þessar árásir á Steam notendur. Fórnarlömb eru tæld á vefsíðu Counterstrike móta og verða að skrá sig inn með Steam reikningnum sínum.
Venjulega sýnir ssl vottorðið og oft einnig vefslóðin að þetta sé ekki lögmæt síða. Með vafra-í-vafra tækninni er mun erfiðara að sjá þetta, því þessi vefveiðasíða notar JavaScript til að birta innskráningarglugga sem sprettur upp, sem er nánast óaðskiljanlegur frá raunverulegum Steam innskráningarglugga.
Það er einfaldlega hægt að færa gluggann innan opna flipans. Að auki virðist vefslóðin í falsglugganum einnig lögmæt og græni lásinn fyrir rétt SSL vottorð birtist. Aðeins þegar fórnarlambið lokar fyrsta glugganum verður ljóst að sprettigluggi er hluti af núverandi síðu.
Um leið og fórnarlambið skráir sig inn í gegnum falsgluggann hafa glæpamennirnir aðgang að Steam-reikningnum. Til þess að gera fórnarlambið ekki viðvörun, þegar innskráning hefur tekist, verður það framsend á staðfestingarsíðu mótsins.