Een nieuw type phishing wordt door criminelen gebruikt om Steam-accounts te stelen en door te verkopen. Dit is wat experts een browser-in-browser-aanval noemen, wat suggereert dat een inlogscherm als een pop-up verschijnt.
De nieuwe techniek werd eerder dit jaar al ontdekt door een onderzoeker met het pseudoniem dhr.d0x. Nu blijkt uit een onderzoek door het beveiligingsbedrijf Group IB dat deze techniek wordt gebruikt om inloggegevens van Steam-accounts te onderscheppen. Net als bij bekende phishing-technieken wordt het slachtoffer doorgestuurd naar een valse website die door de hacker is opgezet. Dat is ook het geval bij deze aanvallen op Steam-gebruikers. Slachtoffers worden naar een Counterstrike-toernooiwebsite gelokt en moeten inloggen met hun Steam-account.
Normaal gesproken laat het ssl-certificaat en vaak ook de url zien dat het geen legitieme site is. Met de browser-in-browser-techniek is dit veel moeilijker te zien, omdat deze phishingsite JavaScript gebruikt om een pop-up inlogvenster weer te geven, dat bijna niet te onderscheiden is van een echt Steam-inlogvenster.
Het venster kan eenvoudig worden verplaatst binnen het geopende tabblad. Daarnaast lijkt de URL in het nepvenster ook legitiem en wordt het groene slotje voor een correct SSL-certificaat weergegeven. Pas als het slachtoffer het eerste venster sluit, wordt duidelijk dat het pop-upscherm onderdeel is van de huidige pagina.
Op het moment dat een slachtoffer succesvol inlogt via het nepvenster, hebben de criminelen toegang tot het Steam-account. Om het slachtoffer niet te alarmeren, worden ze na succesvolle aanmelding doorgestuurd naar een bevestigingspagina voor deelname aan het toernooi.