새로운 유형의 피싱은 범죄자가 Steam 계정을 훔치고 재판매하는 데 사용합니다. 이를 전문가들은 브라우저 인 브라우저 공격이라고 부르며, 이는 로그인 화면이 팝업으로 나타나도록 제안합니다.
이 새로운 기술은 이미 올해 초 가명을 가진 연구원에 의해 발견되었습니다. 씨.d0x. 이제 보안 회사인 Group IB의 조사에 따르면 이 기술이 Steam 계정 자격 증명을 가로채는 데 사용되고 있습니다. 알려진 피싱 기술과 유사하게 피해자는 해커가 설정한 가짜 웹사이트로 리디렉션됩니다. Steam 사용자에 대한 이러한 공격도 마찬가지입니다. 피해자는 Counterstrike 토너먼트 웹사이트로 유인되어 Steam 계정으로 로그인해야 합니다.
일반적으로 SSL 인증서와 URL은 합법적인 사이트가 아님을 보여줍니다. 브라우저 인 브라우저 기술을 사용하면 이 피싱 사이트가 JavaScript를 사용하여 실제 Steam 로그인 창과 거의 구별할 수 없는 팝업 로그인 창을 표시하기 때문에 이를 보기가 훨씬 더 어렵습니다.
창은 열린 탭 내에서 간단히 이동할 수 있습니다. 또한 가짜 창의 URL도 합법적으로 표시되고 올바른 SSL 인증서에 대한 녹색 잠금이 표시됩니다. 희생자가 첫 번째 창을 닫을 때만 팝업 화면이 현재 페이지의 일부라는 것이 분명해집니다.
피해자가 가짜 창을 통해 성공적으로 로그인하는 순간 범죄자는 Steam 계정에 액세스할 수 있습니다. 피해자를 놀라게 하지 않기 위해 로그인에 성공하면 토너먼트 참가 확인 페이지로 이동합니다.