Rivista di Diritto del Risparmio
L’attacco informatico “man in the browser” nella giurisprudenza dell’Arbitro Bancario [*]
di Francesco COCCHI [**]
Man in the browser attack is such as more sophisticated computer fraud by hacker through which by using an intrusive element based upon a malware, he takes victim’s PC control including banking transactions.
In the case the malware acts like a well-placed, hidden spy in the PC recording all the traffic entered into the browser through the infected computer and acting when the user log into their banking services account.
When logging in is done, through a fake page, the hacker captures credentials to access the online account by driving out the target person from browsing.
Precisely the construction of false home banking environments through fake pages that faithfully reproduce the stylistic features of the intermediary will lead the victim to believe that they are operating in the protected environment of their own bank, while in reality they are handing over data to the cybercriminal.
The purpose of this contribution is to examine the main phases of the M.I.T.B. attack by comparing it to the most ancient Phishing attacks and the new “hybrid” forms of phishing, also giving an account of the analysis of this computer fraud in the jurisprudence of the banking Arbitrator and in the ordinary one.
_________________________________
Rivista di Diritto del Risparmio
Aprile – Fascicolo 1/2024
Abstract.
L’attacco “man in the browser” è una frode informatica particolarmente sofisticata nella quale l’hacker sfruttando un principio intrusivo basato su di un malware riesce a prendere il controllo del PC e delle transazioni bancarie della propria vittima.
In pratica il malware, come una spia silente si anniderà nel PC registrando tutto il traffico che dalla macchina infettata sarà immesso nel browser di navigazione, attivandosi nel momento in cui l’utente si dirigerà verso i propri servizi bancari. In quel momento, attraverso una fake page l’attaccante otterrà le credenziali per poter accedere la conto on line estromettendo così dalla navigazione il soggetto target.
Proprio la costruzione di falsi ambienti di home banking tramite pagine civetta che riproducono fedelmente gli stilemi dell’intermediario, indurranno la vittima a ritenere di stare operando nell’ambiente protetto della propria banca, mentre invece sta cedendo dati al malfattore.
Il presente contributo si prefigge lo scopo di esaminare le principali fasi dell’attacco M.I.T.B. ponendo in raffronto con i più risalenti attacchi Phishing e le nuove forme “ibride” di phishing, dando conto anche dell’analisi di tale frode informatica nella giurisprudenza dell’Arbitro bancario e ed in quella ordinaria.
________________________
[*] Contributo approvato dai referee.
[**] Avvocato.