Un hombre en el ataque del navegador es una aplicación que es capaz de robar credenciales de inicio de sesión, números de cuenta y otros tipos de información financiera. El ataque combina el uso de caballos de Troya con un enfoque único de phishing para insinuar una ventana que se superpone al navegador en una computadora determinada. La presencia del caballo de Troya es transparente para el usuario, ya que no interfiere con el uso normal del navegador para visitar sitios web y realizar transacciones en esos sitios.

Estos ataques están diseñados para capturar información confidencial que se puede utilizar en beneficio de la entidad que lanzó el ataque. Como parte de la función, el hombre en el proceso del navegador comienza con el establecimiento del troyano en el disco duro. El troyano se incrusta en un archivo y, a menudo, es difícil de aislar. Una vez que el troyano está en su lugar, el virus lanza una superposición transparente en el navegador que es poco probable que se detecte.

A diferencia de los métodos de phishing más tradicionales que emplean enlaces en el cuerpo de correos electrónicos para dirigir a los usuarios a sitios web falsos y solicitarles que ingresen datos seguros, el hombre en el navegador simplemente captura los datos a medida que el usuario los ingresa. El usuario desconoce por completo que los datos están siendo secuestrados, ya que está interactuando con un sitio legítimo. El ataque no interfiere con la transacción de ninguna manera en este momento.

Una vez que se capturan los datos, la entidad que creó y distribuyó el ataque recibe la recopilación de códigos de seguridad, números de tarjetas de crédito o información de inicio de sesión de la cuenta bancaria y puede comenzar a usarlos para una amplia gama de propósitos. Es posible que la víctima no se dé cuenta del problema hasta que se hayan utilizado varias tarjetas de crédito o el saldo en la cuenta corriente empiece a caer inesperadamente.

Parte de la frustración con un hombre en el ataque del navegador es que el error es muy difícil de detectar e incluso más difícil de eliminar del sistema. A diferencia de muchas otras formas de virus intrusivos, el invasor opera entre los protocolos de seguridad del navegador y la entrada del usuario. Esto significa que las medidas de seguridad estándar normalmente ni siquiera revelarán la presencia del virus.