При помощи метода «Браузер в браузере» злоумышленники научились получать доступ к учётным записям на игровой платформе Steam, стоимость которых достигает $300000. Хакеры отправляют сообщения потенциальным жертвам через Steam, предлагая присоединиться к Counter-Strike, Dota 2, League of Legends, Rocket League, PUBG и прочим популярным киберспортивным играм. Если даже пользователь не соглашается, хакеры просят проголосовать за команду и дают ссылку на сайт, якобы принадлежащий киберспортивной организации.

Сайт сделан вполне качественно, поддерживая 27 языков и определяя язык в настройках браузера посетителя. Чтобы присоединиться к команде и сыграть в турнире или в товарищеском матче, пользователей просят войти в систему через учётную запись Steam. Для этого следует ввести логин, пароль и код аутентификации, если она включена.

На самом деле страница входа в систему не является окном браузера. Это встроенное в текущую страницу фальшивое окно. Его можно перетаскивать, сворачивать и разворачивать, что делает его похожим на настоящее.

Если пользователь вводит учётные данные Steam, он перенаправляется на кажущийся обычным адрес. В этом время данные отправляются злоумышленникам и они быстро меняют адрес электронной почты и пароль аккаунта жертвы.

Для защиты от таких махинаций предлагается блокировать JS-скрипты. Большинство пользователей не желают делать этого, так как многие популярные сайты используют JS.

Проще всего защититься, с недоверием относясь к сообщениям и тем более ссылкам от незнакомцев. Впрочем, и сообщения от знакомых могут быть опасными, если их аккаунты взломали. В случае подобных просьб от знакомого желательно связаться с ним другим способом, чтобы убедиться, что вы общаетесь именно с ним, советует Digitaltrends.