Tip ġdid ta' phishing jintuża mill-kriminali biex jisirqu u jerġgħu jbigħu kontijiet ta' Steam. Dan huwa dak li l-esperti jsejħu attakk browser-in-browser, li jissuġġerixxi li skrin tal-login jidher bħala pop-up.
It-teknika l-ġdida diġà ġiet skoperta aktar kmieni din is-sena minn riċerkatur bil-psewdonimu mr.d0x. Issa investigazzjoni mill-kumpanija tas-sigurtà Group IB turi li din it-teknika qed tintuża biex tinterċetta l-kredenzjali tal-kont tal-fwar. Simili għal tekniki magħrufa ta’ phishing, il-vittma tiġi ridiretta lejn websajt falza stabbilita mill-hacker. Dan huwa wkoll il-każ ta 'dawn l-attakki fuq l-utenti ta' Steam. Il-vittmi huma mħajjar lejn websajt ta 'tournament ta' Counterstrike u jridu jidħlu bil-kont Steam tagħhom.
Normalment, iċ-ċertifikat ssl u ħafna drabi wkoll l-url juru li mhuwiex sit leġittimu. Bit-teknika tal-browser-in-browser, dan huwa ħafna aktar diffiċli biex tara, minħabba li dan is-sit tal-phishing juża JavaScript biex juri tieqa tal-login pop-up, li hija kważi indistingwibbli minn tieqa reali tal-login Steam.
It-tieqa tista 'sempliċement tiġi mċaqalqa fit-tab miftuħa. Barra minn hekk, il-URL fit-tieqa falza tidher ukoll leġittima u jintwera l-lock aħdar għal ċertifikat SSL korrett. Huwa biss meta l-vittma tagħlaq l-ewwel tieqa se jkun ċar li l-iskrin pop-up huwa parti mill-paġna kurrenti.
Il-mument li vittma tidħol b'suċċess mit-tieqa falza, il-kriminali jkollhom aċċess għall-kont Steam. Sabiex ma tiġix allarmata lill-vittma, mal-login b'suċċess, dawn jintbagħtu lil paġna ta' konferma tad-dħul fit-tournament.