犯罪者は、Steam アカウントを盗んで転売するために、新しいタイプのフィッシングを使用します。 これは専門家が browser-in-browser 攻撃と呼んでいるもので、ログイン画面がポップアップとして表示されることを示唆しています。
新しい技術は、今年の初めに仮名の研究者によってすでに発見されていました ミスターd0x. 現在、セキュリティ会社 Group IB による調査では、この手法が Steam アカウントの資格情報を傍受するために使用されていることが示されています。 既知のフィッシング手法と同様に、被害者はハッカーによって設定された偽の Web サイトにリダイレクトされます。 これは、Steam ユーザーに対するこれらの攻撃にも当てはまります。 被害者は Counterstrike トーナメント Web サイトに誘導され、Steam アカウントでログインする必要があります。
通常、ssl 証明書と、多くの場合、URL は、それが正当なサイトではないことを示しています。 このフィッシング サイトは JavaScript を使用してポップアップ ログイン ウィンドウを表示しますが、これは実際の Steam ログイン ウィンドウとほとんど見分けがつきません。
ウィンドウは、開いているタブ内で簡単に移動できます。 さらに、偽のウィンドウ内の URL も正規のように見え、正しい SSL 証明書の緑色の鍵が表示されます。 被害者が最初のウィンドウを閉じたときにのみ、ポップアップ画面が現在のページの一部であることが明らかになります。
被害者が偽のウィンドウからログインに成功した瞬間、犯罪者は Steam アカウントにアクセスできます。 被害者を驚かせないために、ログインに成功すると、トーナメント エントリの確認ページに転送されます。