Isang bagong uri ng phishing ang ginagamit ng mga kriminal para magnakaw at magbenta muli ng mga Steam account. Ito ang tinatawag ng mga eksperto na pag-atake ng browser-in-browser, na nagmumungkahi na lumilitaw ang isang login screen bilang isang pop-up.
Ang bagong pamamaraan ay natuklasan nang mas maaga sa taong ito ng isang mananaliksik na may pseudonym mr.d0x. Ngayon ang isang pagsisiyasat ng kumpanya ng seguridad na Group IB ay nagpapakita na ang diskarteng ito ay ginagamit upang maharang ang mga kredensyal ng steam account. Katulad ng kilalang mga diskarte sa phishing, ang biktima ay na-redirect sa isang pekeng website na itinakda ng hacker. Iyan din ang kaso sa mga pag-atake na ito sa mga gumagamit ng Steam. Ang mga biktima ay inaakit sa isang website ng Counterstrike tournament at dapat mag-log in gamit ang kanilang Steam account.
Karaniwan, ang ssl certificate at madalas din ang url ay nagpapakita na ito ay hindi isang lehitimong site. Gamit ang pamamaraan ng browser-in-browser, ito ay mas mahirap makita, dahil ang phishing site na ito ay gumagamit ng JavaScript upang magpakita ng isang pop-up na window sa pag-login, na halos hindi makilala sa isang tunay na Steam login window.
Ang window ay maaaring ilipat lamang sa loob ng bukas na tab. Bilang karagdagan, ang URL sa pekeng window ay lumilitaw din na lehitimo at ang berdeng lock para sa isang tamang SSL certificate ay ipinapakita. Tanging kapag isinara ng biktima ang unang window ay magiging malinaw na ang pop-up screen ay bahagi ng kasalukuyang pahina.
Sa sandaling matagumpay na mag-log in ang isang biktima sa pamamagitan ng pekeng window, may access ang mga kriminal sa Steam account. Upang hindi maalarma ang biktima, sa matagumpay na pag-login, ipapasa sila sa pahina ng kumpirmasyon ng pagpasok sa tournament.