Нов тип на фишинг користат криминалци за кражба и препродавање на сметки на Steam. Ова е она што експертите го нарекуваат напад на прелистувач-во-прелистувач, што сугерира дека екранот за најавување се појавува како скокачки прозорец.
Новата техника веќе беше откриена претходно оваа година од истражувач со псевдоним mr.d0x. Сега истрагата на безбедносната компанија Group IB покажува дека оваа техника се користи за пресретнување на ингеренциите на сметката на Steam. Слично на познатите техники на фишинг, жртвата е пренасочена на лажна веб-страница поставена од хакерот. Тоа е случај и со овие напади врз корисниците на Steam. Жртвите се намамени на веб-страница на турнирот Counterstrike и мора да се логираат со нивната сметка на Steam.
Нормално, сертификатот ssl и честопати и URL-то покажуваат дека не е легитимна локација. Со техниката прелистувач-во-прелистувач, ова е многу потешко да се види, бидејќи оваа страница за фишинг користи JavaScript за прикажување на скокачки прозорец за најавување, кој речиси не се разликува од вистинскиот прозорец за најавување на Steam.
Прозорецот едноставно може да се премести во отвореното јазиче. Дополнително, URL-то во лажниот прозорец исто така се чини легитимно и се прикажува зелената брава за правилен SSL сертификат. Само кога жртвата ќе го затвори првиот прозорец ќе стане јасно дека скокачкиот екран е дел од тековната страница.
Во моментот кога жртвата успешно се најавува преку лажниот прозорец, криминалците имаат пристап до сметката на Steam. За да не се алармира жртвата, по успешното најавување, тие ќе бидат препратени на страницата за потврда за влез во турнирот.