Webインジェクトと同様に、オンラインバンキングを狙った攻撃の一つがMITB(Man-in-the-Browser)攻撃 である。過去問(H26SC春午後Ⅰ問3)に紹介されているので、引用する。
海外では,利用者が入力した送金内容をマルウェアKが書き換えて,攻撃者の口座に送金するという被害が発生したそうです。
mitb

では、対策はどうすればいいのでしょうか。過去問(H29春SC午前Ⅱ問11)を見てみましょう。
問11 インターネットバンキングの利用時に被害をもたらすMITB (Man-in-the-Browser)攻撃に有効な対策はどれか。
ア インターネットバンキングでの送金時にWebブラウザで利用者が入力した情報と,金融機関が受信した情報とに差異がないことを検証できるよう,トランザクション署名を利用する。
イ インターネットバンキングでの送金時に接続するWebサイトの正当性を確認できるよう, EV SSL サーバ証明書を採用する。
ウ インターネットバンキングでのログイン認証において,一定時間ごとに自動的に新しいパスワードに変更されるワンタイムパスワードを用意する。
エ インターネットバンキング利用時の通信をSSLではなくTLSを利用して暗号化する。
情報セキュリティスペシャリスト試験を目指す女性SE 

セキュリティ対策としては、どれも重要だと思います。




はい、その通りです。しかし、MITB攻撃の対策になるのは、アだけです。
先ほどのMITB攻撃の流れを確認しましょう。
攻撃は、ログイン後に仕掛けられるのです。ですから、いくらログイン時の対策をしても意味がありません。
情報セキュリティスペシャリスト試験を目指す女性SE

アの内容も、よくあるセキュリティ対策だと思います。
なぜMITB攻撃が防げるのですか?



ポイントは、ログインの認証だけではなく、トランザクション(取引)も認証することです。
ログインID/パスワードだけを認証するのではなく、どの口座にいくら振り込んだか、という情報も、サーバ側でチェックします。ですから、利用者が意図しない取引が行えない様になるのです。

さて、埼玉りそな銀行の場合は、カメラ機能でコードを読み取る方式で、以下の流れでトランザクション認証を行います。
http://www.resonabank.co.jp/hojin/b_direct/security/transaction.html