Un attacco uomo nel browser è un’applicazione in grado di rubare credenziali di accesso, numeri di conto e vari altri tipi di informazioni finanziarie. L’attacco combina l’uso di cavalli di Troia con un approccio di phishing unico per insinuare una finestra che si sovrappone al browser su un determinato computer. La presenza del cavallo di Troia è trasparente per l’utente, in quanto non interferisce con il normale utilizzo del browser per visitare i siti Web ed effettuare transazioni su tali siti.
Questi attacchi sono progettati per acquisire informazioni riservate che possono essere utilizzate a vantaggio dell’entità che ha lanciato l’attacco. Come parte della funzione, l’uomo nel processo del browser inizia con l’installazione del Trojan sul disco rigido. Il Trojan si incorpora in un file ed è spesso difficile da isolare. Una volta che il Trojan è a posto, il virus lancia una sovrapposizione trasparente sul browser che difficilmente verrà rilevata.
A differenza dei metodi di phishing più tradizionali che utilizzano collegamenti nel corpo delle e-mail per indirizzare gli utenti a siti Web falsi e invitarli a immettere dati protetti, l’uomo nel browser acquisisce semplicemente i dati mentre l’utente li inserisce. L’utente è completamente all’oscuro del fatto che i dati vengono dirottati, poiché sta interagendo con un sito legittimo. L’attacco non interferisce in alcun modo con la transazione a questo punto.
Una volta acquisiti i dati, l’entità che ha creato e distribuito l’attacco riceve la raccolta di codici di sicurezza, numeri di carta di credito o informazioni di accesso al conto bancario e può iniziare a utilizzarli per un’ampia gamma di scopi. La vittima potrebbe non essere consapevole del problema fino a quando non sono state utilizzate diverse carte di credito o il saldo del conto corrente inizia a diminuire inaspettatamente.
Parte della frustrazione con un attacco man in the browser è che il bug è molto difficile da rilevare e ancora più difficile da rimuovere dal sistema. A differenza di molte altre forme sui virus intrusivi, l’invasore opera tra i protocolli di sicurezza del browser e l’input dell’utente. Ciò significa che le misure di sicurezza standard normalmente non riveleranno nemmeno la presenza del virus.