Bueno, es complejo pero posible, llaman a la técnica "man in the middle", consiste en que un troyano se identifica en el banco al mismo tiempo que te pide a ti mismo los datos mediante phising. Es decir:
-Tú entras en la web del banco pero el troyano intercepta la conexión.
-A ti te muestra una web idéntica a la del banco pero que en realidad es una recreación creada por el troyano.
-Al mismo tiempo el troyano se conecta al banco y averigua que datos te pide para identificarte.
-Mediante la web falsa te pide los datos y tú se los das, incluyendo SMS, tarjeta de coordenadas o clave operativa, creyendo que es el banco original.
-El troyano usa esos datos para identificarse en el banco.
-Te muestra un mensaje de que el banco está en mantenimiento, por lo que cierras la web del banco pensando que todo ha ido bien pero en ese momento no puedes operar.
-El troyano ya está conectado y de forma automática realiza en tu cuenta los pasos para los que fue programado. Normalmente hacer varias transferencias a cuentas de unos "muleros" (un pringados que sin saberlo están ayudando a desviar el dinero y son los primeros a quien detiene la policía).
Este tipo de software es muy raro, pues debe estar específicamente diseñado para cada banco y debe tener el control sobre el sistema operativo y/o el navegador. Que nadie se asuste, los típicos troyanos no son ni de lejos tan avanzados. Aparte es muy improbable que un troyano tan especifico acabe en un cliente del banco concreto para el que fue hecho, bueno... a no ser que se instale mediante ingeniería social, por ejemplo un Spam que simule ser el propio banco y pida a sus clientes que instalen un programa raro (sí... hay gente que se lo cree).
Pero es un ejemplo de lo importante que es conectarte a un banco online solo desde un entorno seguro que controles. Si por contra estás en un entorno comprometido, las medidas de seguridad pasivas como el SMS pueden dejar de ser validas.
