Aina mpya ya wizi wa data binafsi hutumiwa na wahalifu kuiba na kuuza tena akaunti za Steam. Hili ndilo ambalo wataalam huita shambulio la kivinjari-ndani-kivinjari, ambalo linapendekeza kuwa skrini ya kuingia inaonekana kama dirisha ibukizi.
Mbinu hiyo mpya tayari iligunduliwa mapema mwaka huu na mtafiti mwenye jina bandia Bw.d0x. Sasa uchunguzi wa kampuni ya usalama Group IB unaonyesha kuwa mbinu hii inatumiwa kunasa kitambulisho cha akaunti ya stima. Sawa na mbinu zinazojulikana za kuhadaa ili kupata maelezo ya kibinafsi, mwathiriwa anaelekezwa kwenye tovuti ghushi iliyoanzishwa na mdukuzi. Ndivyo ilivyo pia kwa mashambulizi haya kwa watumiaji wa Steam. Waathiriwa wanashawishiwa kwenye tovuti ya mashindano ya Counterstrike na lazima waingie wakitumia akaunti yao ya Steam.
Kwa kawaida, cheti cha ssl na mara nyingi pia url huonyesha kuwa si tovuti halali. Kwa mbinu ya kivinjari-katika-kivinjari, hii ni vigumu zaidi kuona, kwa sababu tovuti hii ya ulaghai hutumia JavaScript ili kuonyesha dirisha la kuingia la pop-up, ambalo ni karibu kutofautishwa na dirisha halisi la kuingia kwa Steam.
Dirisha linaweza kuhamishwa tu ndani ya kichupo wazi. Kwa kuongeza, URL katika dirisha ghushi pia inaonekana kuwa halali na kufuli ya kijani kwa cheti sahihi cha SSL huonyeshwa. Ni wakati tu mwathirika atafunga dirisha la kwanza ndipo itakuwa wazi kuwa skrini ya pop-up ni sehemu ya ukurasa wa sasa.
Wakati mwathirika anapoingia kwa mafanikio kupitia dirisha bandia, wahalifu wanaweza kufikia akaunti ya Steam. Ili usiogope mwathirika, baada ya kuingia kwa mafanikio, watatumwa kwa ukurasa wa uthibitishaji wa ingizo la mashindano.