La verificación de transacciones protege a los consumidores del fraude al garantizar que no se haya realizado ningún cambio en una transacción monetaria mientras se procesa. La verificación de transacciones, una medida de seguridad basada en Internet, es útil contra los ataques Man-in-the-Middle. En estos ataques, un ciberdelincuente crea un sitio web falso que escucha a escondidas la comunicación entre un consumidor y su banco, minorista o compañía de tarjetas de crédito. De este modo, el delincuente puede obtener la información personal del consumidor y utilizarla. En un ataque Man-in-the-Middle, ni el consumidor ni el minorista saben que una parte externa está espiando la conversación.
Un ejemplo de una tecnología Man-in-the-Middle muy potente fue el malware Silent Banker que infectó a más de 400 sitios web de bancos en todo el mundo en 2008. En este caso, el malware fue un rootkit que se implementó antes de que se activara el software de protección antivirus del navegador. Una vez que el navegador desprevenido ingresó su información de autenticación en el sitio web del banco, el malware Silent Banker se activó, cambiando el destino de la transacción a la cuenta bancaria del criminal.
Muchos sitios web y programas de software para dispositivos móviles han implementado tecnología fuera de banda para la verificación de transacciones. Supuestamente, este método funciona porque lleva al consumidor fuera del navegador en el que el delincuente estaría escuchando a escondidas. El consumidor verificaría la transacción a través de una llamada telefónica o un correo electrónico. Desafortunadamente, la autenticación fuera de banda sigue siendo susceptible a los ataques Man-in-the-Middle, porque esos ataques utilizan sitios web falsificados. Por lo tanto, el consumidor no vería necesariamente que algo andaba mal en el sitio antes de proporcionar la autenticación. De hecho, podría llamar al criminal y darle su información por teléfono.
Otros sitios web han utilizado códigos de un solo uso para la verificación de transacciones. Teóricamente, solo el consumidor conocería el código, por lo que cuando ingresa ese código en el sitio web del banco, el banco tiene la seguridad de que el consumidor es quien dice ser. Si el sistema operativo del consumidor ha sido tomado por un programa de malware; sin embargo, no es la única persona que tiene acceso a ese código.
Si bien no hay forma de proteger completamente a un consumidor del fraude en línea a través de la verificación de transacciones, hay algunos consejos que pueden reducir la probabilidad de que un consumidor caiga en una trampa de intermediario. Primero, el consumidor debe tener cuidado con los correos electrónicos o mensajes de texto que se le envíen desde una fuente desconocida. Esas comunicaciones deben eliminarse de inmediato y no deben abrirse enlaces dentro de esos correos electrónicos o mensajes de texto. En segundo lugar, si el sitio web cambia repentinamente de apariencia, tenga cuidado al usarlo. Podría ser el sitio de señuelo de un Man-in-the-Middle. Si continúa la actividad sospechosa, llame a la organización que mantiene el sitio web. Finalmente, todos los usuarios de computadoras deben mantener la protección contra virus y spyware actualizada, así como un firewall para minimizar la probabilidad de que su computadora sea atacada con éxito.