ฟิชชิ่งรูปแบบใหม่ถูกใช้โดยอาชญากรเพื่อขโมยและขายบัญชี Steam นี่คือสิ่งที่ผู้เชี่ยวชาญเรียกว่าการโจมตีแบบเบราว์เซอร์ในเบราว์เซอร์ ซึ่งแนะนำว่าหน้าจอการเข้าสู่ระบบจะปรากฏเป็นป๊อปอัป
เทคนิคใหม่นี้ถูกค้นพบเมื่อต้นปีนี้โดยนักวิจัยที่มีนามแฝง นาย.d0x. ขณะนี้ การตรวจสอบโดยบริษัทรักษาความปลอดภัย Group IB แสดงให้เห็นว่าเทคนิคนี้กำลังถูกใช้เพื่อสกัดกั้นข้อมูลประจำตัวของบัญชี Steam คล้ายกับเทคนิคการฟิชชิ่งที่รู้จัก เหยื่อถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ปลอมที่แฮ็กเกอร์สร้างขึ้น นั่นคือกรณีของการโจมตีผู้ใช้ Steam เหล่านี้ เหยื่อจะถูกล่อให้เข้าสู่เว็บไซต์การแข่งขัน Counterstrike และต้องเข้าสู่ระบบด้วยบัญชี Steam ของพวกเขา
โดยปกติใบรับรอง SSL และ URL มักจะแสดงว่าไม่ใช่ไซต์ที่ถูกต้อง ด้วยเทคนิคเบราว์เซอร์ในเบราว์เซอร์ สิ่งนี้มองเห็นได้ยากกว่ามาก เนื่องจากไซต์ฟิชชิ่งนี้ใช้ JavaScript เพื่อแสดงหน้าต่างการเข้าสู่ระบบแบบป๊อปอัป ซึ่งแทบจะแยกไม่ออกจากหน้าต่างเข้าสู่ระบบ Steam จริง
สามารถย้ายหน้าต่างได้ภายในแท็บที่เปิดอยู่ นอกจากนี้ URL ในหน้าต่างปลอมยังปรากฏถูกต้อง และล็อคสีเขียวสำหรับใบรับรอง SSL ที่ถูกต้องจะปรากฏขึ้น เมื่อเหยื่อปิดหน้าต่างแรกเท่านั้นจึงจะเห็นได้ชัดว่าหน้าจอป๊อปอัปเป็นส่วนหนึ่งของหน้าปัจจุบัน
ทันทีที่เหยื่อล็อกอินผ่านหน้าต่างปลอม อาชญากรจะสามารถเข้าถึงบัญชี Steam ได้ เพื่อไม่ให้เหยื่อตื่นตกใจ เมื่อเข้าสู่ระบบสำเร็จ พวกเขาจะถูกส่งต่อไปยังหน้ายืนยันการเข้าร่วมการแข่งขัน