नवीन प्रकारचा फिशिंगचा वापर गुन्हेगारांकडून स्टीम खाती चोरण्यासाठी आणि पुनर्विक्रीसाठी केला जातो. यालाच तज्ञ ब्राउझर-इन-ब्राउझर हल्ला म्हणतात, जे सूचित करते की लॉगिन स्क्रीन पॉप-अप म्हणून दिसते.
नवीन तंत्र या वर्षाच्या सुरुवातीला टोपणनावाच्या संशोधकाने शोधले होते mr.d0x. आता सुरक्षा कंपनी ग्रुप आयबीने केलेल्या तपासणीत असे दिसून आले आहे की हे तंत्र स्टीम अकाउंट क्रेडेन्शियल्स इंटरसेप्ट करण्यासाठी वापरले जात आहे. ज्ञात फिशिंग तंत्रांप्रमाणेच, पीडितेला हॅकरने सेट केलेल्या बनावट वेबसाइटवर रीडायरेक्ट केले जाते. स्टीम वापरकर्त्यांवरील या हल्ल्यांच्या बाबतीतही तेच आहे. बळींना काउंटरस्ट्राइक स्पर्धेच्या वेबसाइटवर आकर्षित केले जाते आणि त्यांनी त्यांच्या स्टीम खात्यासह लॉग इन करणे आवश्यक आहे.
साधारणपणे, ssl प्रमाणपत्र आणि बर्याचदा url देखील दर्शवते की ती कायदेशीर साइट नाही. ब्राउझर-इन-ब्राउझर तंत्रासह, हे पाहणे अधिक कठीण आहे, कारण ही फिशिंग साइट पॉप-अप लॉगिन विंडो प्रदर्शित करण्यासाठी JavaScript वापरते, जी वास्तविक स्टीम लॉगिन विंडोपासून जवळजवळ वेगळी आहे.
विंडो फक्त ओपन टॅबमध्ये हलवता येते. याव्यतिरिक्त, बनावट विंडोमधील URL देखील वैध दिसते आणि योग्य SSL प्रमाणपत्रासाठी हिरवा लॉक प्रदर्शित केला जातो. जेव्हा पीडित व्यक्ती पहिली विंडो बंद करेल तेव्हाच पॉप-अप स्क्रीन वर्तमान पृष्ठाचा भाग असल्याचे स्पष्ट होईल.
ज्या क्षणी एक बळी यशस्वीरित्या बनावट विंडोद्वारे लॉग इन करतो, गुन्हेगारांना स्टीम खात्यात प्रवेश असतो. पीडितेला घाबरू नये म्हणून, यशस्वी लॉगिन केल्यावर, त्यांना स्पर्धेतील प्रवेश पुष्टीकरण पृष्ठावर पाठवले जाईल.