סוג חדש של פישינג משמש פושעים כדי לגנוב ולמכור מחדש חשבונות Steam. זה מה שמומחים מכנים מתקפת דפדפן בדפדפן, מה שמרמז על כך שמסך התחברות מופיע כחלון קופץ.
הטכניקה החדשה כבר התגלתה בתחילת השנה על ידי חוקר בעל השם הבדוי mr.d0x. כעת חקירה של חברת האבטחה Group IB מראה שהטכניקה הזו משמשת ליירוט אישורי חשבון Steam. בדומה לטכניקות דיוג ידועות, הקורבן מופנה לאתר מזויף שהוקם על ידי ההאקר. זה גם המקרה עם התקפות אלה על משתמשי Steam. קורבנות מפתים לאתר טורניר Counterstrike ועליהם להתחבר עם חשבון Steam שלהם.
בדרך כלל, תעודת ssl ולעיתים קרובות גם כתובת האתר מראים שזה לא אתר לגיטימי. עם טכניקת הדפדפן בדפדפן, הרבה יותר קשה לראות את זה, מכיוון שאתר הדיוג הזה משתמש ב-JavaScript כדי להציג חלון כניסה מוקפץ, שכמעט ולא ניתן להבחין בו מחלון כניסה אמיתי של Steam.
ניתן פשוט להזיז את החלון בתוך הכרטיסייה הפתוחה. בנוסף, גם כתובת האתר בחלון המזויף נראית לגיטימית ומוצגת המנעול הירוק לתעודת SSL נכונה. רק כאשר הקורבן יסגור את החלון הראשון יתברר שהמסך המוקפץ הוא חלק מהעמוד הנוכחי.
ברגע שקורבן נכנס בהצלחה דרך החלון המזויף, לפושעים יש גישה לחשבון Steam. כדי לא להדאיג את הקורבן, לאחר כניסה מוצלחת, הם יועברו לדף אישור כניסה לטורניר.