Man-in-the-browser ( MITB , MitB , MIB , MiB ), una forma de amenaza de Internet relacionada con man-in-the-middle (MITM), es un troyano proxy [1] que infecta un navegador web tomando aprovechar las vulnerabilidades en la seguridad del navegador para modificar páginas web , modificar el contenido de transacciones o insertar transacciones adicionales, todo de manera encubierta e invisible tanto para el usuario como para la aplicación web host. Un ataque MitB tendrá éxito independientemente de si los mecanismos de seguridad como SSL / PKI y/oexisten soluciones de autenticación de dos o tres factores. Un ataque MitB se puede contrarrestar mediante el uso de la verificación de transacciones fuera de banda , aunque la verificación por SMS puede ser derrotada por una infección de malware man-in-the-mobile ( MitMo ) en el teléfono móvil . Los troyanos pueden ser detectados y eliminados por el software antivirus; [2] este enfoque obtuvo una tasa de éxito del 23 % frente a Zeus en 2009 [3] y tasas todavía bajas en un informe de 2011. [4] El informe de 2011 concluyó que se necesitaban medidas adicionales además del software antivirus. [4]
La mayoría de los profesionales de servicios financieros en una encuesta consideraron que MitB es la mayor amenaza para la banca en línea . [5]
La amenaza MitB fue demostrada por Augusto Paes de Barros en su presentación de 2005 sobre las tendencias de puertas traseras "El futuro de las puertas traseras: el peor de todos los mundos". [6] El nombre "hombre en el navegador" fue acuñado por Philipp Gühring el 27 de enero de 2007. [7]
Un troyano MitB funciona mediante el uso de instalaciones comunes proporcionadas para mejorar las capacidades del navegador, como objetos auxiliares del navegador (una función limitada a Internet Explorer ), extensiones del navegador y scripts de usuario (por ejemplo, en JavaScript ). [7] El software antivirus puede detectar algunos de estos métodos. [2]
En pocas palabras, un intercambio de ejemplo entre el usuario y el host, como una transferencia de fondos de banca por Internet , siempre se le mostrará al cliente, a través de pantallas de confirmación, la información de pago exacta tal como se tecló en el navegador. El banco, sin embargo, recibirá una transacción con instrucciones sustancialmente alteradas, es decir, un número de cuenta de destino diferente y posiblemente una cantidad diferente. El uso de herramientas de autenticación sólidas simplemente crea un mayor nivel de confianza fuera de lugar, tanto por parte del cliente como del banco, de que la transacción es segura. La autenticación, por definición, se ocupa de la validación de las credenciales de identidad. Esto no debe confundirse con la verificación de transacciones.
Los troyanos conocidos pueden ser detectados, bloqueados y eliminados por el software antivirus. [2] En un estudio de 2009, la efectividad del antivirus contra Zeus fue del 23 %, [3] y nuevamente se informaron bajas tasas de éxito en una prueba separada en 2011. [4] El informe de 2011 concluyó que se necesitaban medidas adicionales además del antivirus . necesario. [4]