Jest to atak ukierunkowany często stosowany przez phisher-ów. Jego adresatami są najczęściej pojedyncze, wcześniej upatrzone, osoby. Celem ataku Man in The Middle jest zdobycie danych osobowych, lub przechwycenie danych uwierzytelniających. W związku z tym, że atak ten jest dość „drogi” w odniesieniu do potencjalnie otrzymanych korzyści to ofiary są starannie dobierane. Raczej nie ma tu mowy o przypadkowości.

Przykładowo gdy staniemy się celem takiego ataku to podczas dokonywania transakcji za pośrednictwem swojego konta internetowego nasze hasła czy loginy mogą zostać podsłuchane. Dzieję się tak ponieważ cyberprzestępca pośredniczy pomiędzy nami, jako klientami, a serwerem docelowym, którym jest serwer banku. Dzięki temu wszystkie informacje przesyłane od klienta w kierunku serwera docelowego i odwrotnie są transferowane przez serwer atakującego.

Przeprowadzenie ataku MiTM jest możliwe poprzez modyfikację pliku „hosts” klienta. W systemie Windows znajduje się on w katalogu C:\WINDOWS\system32\drivers\etc, natomiast w systemie Linux w katalogu /etc. Modyfikacja tego pliku może polegać na przypisaniu nazwie domenowej serwera docelowego adresu IP serwera, przez który ruch ma być transferowany. Dzięki temu atakujący ma możliwość przechwycenia aktualnej sesji i jej dowolnej modyfikacji. Podczas gdy klient loguje się do swojego konta bankowości elektronicznej nie jest świadomy, że jego dane trafiają do osoby przeprowadzającej atak co umożliwia oszustowi na dokonanie uwierzytelniania w serwisie przy użyciu danych klienta. Dzięki temu serwer docelowy banku będzie kierował wszystkie informacje do atakującego. Ten z kolei będzie przekazywał odpowiednio zmodyfikowane informacje klientowi. Klient jest nieświadomy zagrożenia kiedy zostaje poproszony o autoryzację transakcji, choć w rzeczywistości dokonuje autoryzacji transakcji atakującego.

Wadą ataku Man in The Middle jest z pewnością konieczność kierowania go do wąskiej grupy użytkowników. Ponadto ofiara może odnieść wrażenie, że logowanie do konta bankowości elektronicznej oraz wszystkie wykonywane tam czynności trwają zdecydowanie dłużej niż normalnie, co w konsekwencji może naprowadzić ofiarę na to, że jest atakowana. Cyberprzestępca pośrednicząc pomiędzy klientem, a serwerem docelowym powoduje spowolnienie działania funkcjonalności danego serwisu.

Zaletą zastosowania tego działania jest to, że cyberprzestępca może zdobyć nie tylko dane uwierzytelniające klienta w danym serwisie, ale także inne hasła używane w jego ramach. Atak MiTM daje także możliwość bezpośredniego porozumiewania się z ofiarą poprzez wyświetlanie jej okien pop-up z prośbą o wypełnienie pewnych istotnych dla atakującego pól. Przykładowe okno pop-up sugerujące podanie tajnych informacji zaprezentowano na poniższym rysunku.

Przykładowe okno pop-up sugerujące podanie tajnych informacji

Żaden bank nie pozwoliłby sobie, by w ten sposób prosić klienta o podanie poufnych informacji. Natomiast uzupełnienie powyższych pól przez ofiarę, daje cyberprzestępcy informację pozwalające na pozbawienie ofiary środków na koncie. Dlatego zawsze należy zachować czujność.