Një lloj i ri phishing përdoret nga kriminelët për të vjedhur dhe rishitur llogaritë e Steam. Kjo është ajo që ekspertët e quajnë një sulm shfletues në shfletues, i cili sugjeron që një ekran identifikimi shfaqet si një dritare kërcyese.
Teknika e re u zbulua tashmë në fillim të këtij viti nga një studiues me pseudonim mr.d0x. Tani një hetim nga kompania e sigurisë Group IB tregon se kjo teknikë po përdoret për të përgjuar kredencialet e llogarisë steam. Ngjashëm me teknikat e njohura të phishing, viktima ridrejtohet në një faqe interneti të rreme të krijuar nga hakeri. Ky është gjithashtu rasti me këto sulme ndaj përdoruesve të Steam. Viktimat joshen në një faqe interneti të turneut Counterstrike dhe duhet të identifikohen me llogarinë e tyre Steam.
Normalisht, certifikata ssl dhe shpesh edhe url-ja tregojnë se nuk është një faqe legjitime. Me teknikën e shfletuesit-në-shfletues, kjo është shumë më e vështirë për t'u parë, sepse kjo faqe phishing përdor JavaScript për të shfaqur një dritare identifikimi pop-up, e cila është pothuajse e padallueshme nga një dritare e vërtetë e hyrjes në Steam.
Dritarja thjesht mund të zhvendoset brenda skedës së hapur. Përveç kësaj, URL-ja në dritaren e rreme duket gjithashtu e ligjshme dhe shfaqet bllokimi i gjelbër për një certifikatë të saktë SSL. Vetëm kur viktima mbyll dritaren e parë do të bëhet e qartë se ekrani që shfaqet është pjesë e faqes aktuale.
Në momentin që një viktimë hyn me sukses përmes dritares së rreme, kriminelët kanë akses në llogarinë Steam. Për të mos alarmuar viktimën, pas hyrjes me sukses, ata do të përcillen në një faqe konfirmimi të hyrjes në turne.