This cyberattack consists of launching pop-up login windows so that the user enters their access credentials without really thinking about the origin of the newly appeared window.
This technique is called “Browser-in-Browser Attack” and was discovered last spring. Firstly, se utilizaba suplantando al propio Google Chrome, el navegador de Google. El hecho de que la aplicación legítima de Steam use ventanas emergentes para iniciar sesión, reduce las sospechas del usuario.
El modus operandi para que la posible víctima pique es el envío de un correo electrónico con un conjunto de supuestas ofertas y descuentos. Al acceder a uno de los enlaces, se lanza una página clónica de Steam y al introducir las credenciales, ya están en los sistemas de los criminales.
Esto recuerda la necesidad de prestar suma atención a las ventanas de inicio de sesión y no hacer caso de ciertos correos electrónicos.
Fountain: Bleeping Computer