La técnica de ataque MITB permite por medio de troyanos bancarios altamente sofisticados realizar operaciones fraudulentas de una forma transparente para el usuario y la entidad. «La forma más habitual en que los navegadores se infectan con programas maliciosos es a través de ingeniería social. A menudo, mientras navegan o se descargan medios y otros archivos, se pide a los usuarios que actualicen sus versiones de software. Esas peticiones son tan habituales que muchos usuarios las aceptan de forma automática. Ése es justo el comportamiento que aprovechan los ciberdelincuentes. Crean avisos de descarga que se parecen mucho a los de los vendedores de software legítimos. La mayoría de los usuarios no se dan cuenta de las pequeñas diferencias que existen y aceptan la descarga, infectando así sin darse cuenta su navegador con un programa malicioso.»(SafNet) Es esencial que los usuarios sean conscientes de este riesgo y utilicen las redes sociales con extrema cautela.
Una vez infectado el equipo con código malicioso el usuario puede autenticarse correctamente en su entidad bancaria y cuando pretende llevar a cabo una operación el navegador infectado puede realizar actuaciones ilícitas de forma encubierta. En algunas versiones el código es capaz de iniciar acciones sin la participación del usuario. Los mecanismos tradicionales de seguridad dejan de ser efectivos.
Hasta ahora una de las medidas de seguridad para garantizar los servicios de banca online consistía en verificar las operaciones a través de un canal distinto al ordenador, generalmente con el envío de una contraseña por SMS para validar cada operación concreta (esté código caduca en minutos). Los usuarios debemos ser muy cuidadosos con el móvil, dadas las últimas estrategias para infectarlos e interceptar estas contraseñas.
—
Redes sociales infectadas. Los lazos de confianza creados facilitan la entrada de virus. El País, 05/03/2011.
—
– SpyEye se apunta al Man in the Browser, Blog S21sec, 21/10/2010.
—
– Fraude en línea especializado: Man in the Browser Attack. Blog Tecnologías y adelantos en seguridad web, 19/08/2010.
—
– Man in the Browser. Understanding Man-In-The-Browser Attacks and Addressing the Problem. SafeNet.
—