En ny type phishing brukes av kriminelle for å stjele og videreselge Steam-kontoer. Dette er det eksperter kaller et nettleser-i-nettleser-angrep, som antyder at en påloggingsskjerm vises som en popup.
Den nye teknikken ble allerede oppdaget tidligere i år av en forsker med pseudonymet mr.d0x. Nå viser en undersøkelse fra sikkerhetsselskapet Group IB at denne teknikken brukes til å avskjære steam-kontolegitimasjon. I likhet med kjente phishing-teknikker blir offeret omdirigert til et falskt nettsted satt opp av hackeren. Det er også tilfellet med disse angrepene på Steam-brukere. Ofre blir lokket til et nettsted for Counterstrike-turneringer og må logge på med Steam-kontoen sin.
Normalt viser ssl-sertifikatet og ofte også url-en at det ikke er et legitimt nettsted. Med nettleser-i-nettleser-teknikken er dette mye vanskeligere å se, fordi denne phishing-siden bruker JavaScript for å vise et popup-påloggingsvindu, som nesten ikke kan skilles fra et ekte Steam-påloggingsvindu.
Vinduet kan ganske enkelt flyttes innenfor den åpne fanen. I tillegg virker URL-en i det falske vinduet også legitim og den grønne låsen for et korrekt SSL-sertifikat vises. Først når offeret lukker det første vinduet vil det bli klart at popup-skjermen er en del av den gjeldende siden.
I det øyeblikket et offer lykkes med å logge på gjennom det falske vinduet, har de kriminelle tilgang til Steam-kontoen. For ikke å alarmere offeret, ved vellykket pålogging, vil de bli videresendt til en bekreftelsesside for turneringspåmelding.