In questo sito bancario ho letto le seguenti righe
Item #2 - You will also need to create a "Security Word". This allows you to verify that you have reached our Internet Banking site, and not some other site. Every time you attempt to log in to your accounts, we will send you a graphical representation of the Security Word that you created. If you do not see that Security Word or it is not the one you created then you know that you are NOT at OUR site. If this happens, please contact us immediately.
Si dice che la banca visualizza la parola di sicurezza in modo che l'utente possa sapere che se ha raggiunto il sito corretto, ma non capisco come impedisce l'attacco man-in-middle.
L'utente malintenzionato può chiedere alla vittima di immettere le credenziali, che poi può utilizzare per inviare la richiesta di back-end REST al sito banca originale, che restituirà un html contenente la parola di sicurezza della vittima, che può essere facilmente analizzata e può essere mostrato sul sito di phishing. In che modo questa parola di sicurezza in realtà aiuta?