Jinis phishing anyar digunakake dening kriminal kanggo nyolong lan adol maneh akun Steam. Iki sing diarani para ahli minangka serangan browser-in-browser, sing nuduhake yen layar mlebu katon minangka pop-up.
Teknik anyar iki wis ditemokake awal taun iki dening peneliti kanthi jeneng samaran pak d0x. Saiki diselidiki dening perusahaan keamanan Group IB nuduhake yen teknik iki digunakake kanggo nyegat kredensial akun uap. Kaya teknik phishing sing dikenal, korban dialihake menyang situs web palsu sing digawe dening peretas. Semono uga serangan kasebut marang pangguna Steam. Korban ditarik menyang situs web turnamen Counterstrike lan kudu mlebu nganggo akun Steam.
Biasane, sertifikat ssl lan asring uga url nuduhake yen iku dudu situs sing sah. Kanthi teknik browser-in-browser, iki luwih angel dideleng, amarga situs phishing iki nggunakake JavaScript kanggo nampilake jendela mlebu pop-up, sing meh ora bisa dibedakake karo jendela login Steam nyata.
Jendhela mung bisa dipindhah ing tab sing mbukak. Kajaba iku, URL ing jendhela palsu uga katon sah lan kunci ijo kanggo sertifikat SSL sing bener ditampilake. Mung nalika korban nutup jendhela pisanan bakal dadi cetha yen layar pop-up minangka bagéan saka kaca saiki.
Nalika korban kasil mlebu liwat jendela palsu, para penjahat duwe akses menyang akun Steam. Supaya ora gawe weker korban, sawise mlebu sukses, bakal diterusake menyang kaca konfirmasi entri turnamen.