Jinis phishing anyar dianggo ku penjahat pikeun maok sareng ngajual deui akun Steam. Ieu anu disebat para ahli serangan browser-in-browser, anu nunjukkeun yén layar login muncul salaku pop-up.
Téhnik anyar ieu parantos kapanggih awal taun ieu ku panalungtik kalayan nami samaran tuan d0x. Ayeuna panilitian ku perusahaan kaamanan Grup IB nunjukkeun yén téknik ieu dianggo pikeun nyegat kredensial akun uap. Sarupa jeung téhnik phishing dipikawanoh, korban ieu dialihkeun ka ramatloka palsu diatur ku hacker nu. Éta ogé kasus serangan ieu ka pangguna Steam. Korban ditarik ka situs web turnamén Counterstrike sareng kedah log in sareng akun Steam na.
Biasana, sertipikat SSL sareng sering ogé url nunjukkeun yén éta sanés situs anu sah. Kalayan téknik browser-in-browser, ieu langkung hese ningali, sabab situs phishing ieu nganggo JavaScript pikeun nampilkeun jandela login pop-up, anu ampir teu tiasa dibédakeun tina jandela login uap nyata.
Jandéla ngan saukur tiasa dipindahkeun dina tab anu kabuka. Salaku tambahan, URL dina jandela palsu ogé muncul sah sareng konci héjo pikeun sertipikat SSL anu leres ditampilkeun. Ngan nalika korban nutup jandela kahiji bakal jelas yén layar pop-up mangrupa bagian tina kaca ayeuna.
Momen korban hasil log in ngaliwatan jandela palsu, penjahat boga aksés ka akun uap. Dina raraga teu alarm korban, kana login suksés, aranjeunna bakal diteruskeun ka kaca konfirmasi éntri turnamén.