Recibe un mensaje de correo electrónico que pretende provenir de su banco. Le pide que haga clic en un enlace para algún propósito administrativo que suene razonable. ¿Cómo puede verificar que el mensaje realmente provino de su banco?
En general, no puedes.
Por eso, si recibo un mensaje de mi banco, no contiene ningún enlace. O bien contiene un mensaje independiente que no puede comprometer mi seguridad ("se han retirado más de 300 euros de su cuenta") o simplemente contiene el mensaje que debo consultar en mi buzón en el sitio web. No creo que muchos bancos firmen su contenido con, por ejemplo, PGP o proteger los mensajes de lo contrario.
Las aplicaciones bancarias, por supuesto, tienen más posibilidades en este sentido: normalmente puede confiar en la aplicación (asegúrese de hacerlo), y la aplicación puede confiar en los mensajes que se le envíen utilizando un esquema de firma.
Ahora juega el papel de un atacante. ¿Cómo podría interceptar el mensaje descrito en la parte (1) y convertirlo a sus propósitos mientras hace que tanto el banco como el cliente piensen que el mensaje es auténtico y confiable?
No tendrías que interceptar ningún mensaje. Usted puede simplemente falsificar un mensaje. Tal vez usted reciba un mensaje al tener acceso a una cuenta bancaria usted mismo, de alguna manera u otra. O simplemente toma el estilo del sitio bancario y lo utiliza para crear un mensaje de aspecto razonable.
No hay razón para hacer que el banco confíe en su mensaje; Estás tratando de engañar al cliente. El banco confía en el cliente para crear transacciones en su nombre.