Sicherheitsexperten von "CSIS" beschrieben Tinba als Trojaner, der "sich in Browser einschleicht, Login-Daten stiehlt und den Netzwerkverkehr ausspäht". Nur selten habe der Trojaner die Websites im Browser manipuliert. Doch das hat sich offenbar geändert. Seither ist der Trojaner laut IBM von Betrügerbanden immer wieder angepasst worden. Mittlerweile gibt es mehr als hundert Varianten.
Der Schadcode verbirgt sich in der Regel in einem E-Mail-Anhang. Die Betrüger informieren ihre Opfer in der Mail oft über vermeintliche Schulden, die sie begleichen müssten. Wer den Anhang öffnet, der startet die Tinba-Installation. Der Mini-Trojaner nistet sich im Hauptspeicher des Rechners ein und manipuliert von dort aus den Browser.
Sobald die Nutzer ihre Daten auf einer Bank-Website eingeben, schaltet sich Tinba dazwischen. Der Trojaner lotst die Nutzer heimlich auf eine gefälschte Website, die an das Design der jeweiligen Bank angepasst ist. Dort verlangen die Betrüger dann im Namen der Bank beispielsweise Kreditkarteninformationen oder Tan-Nummern.
In einigen Fällen öffnet sich auch ein Fenster mit der Botschaft, dass man eine fehlerhafte Überweisung korrigieren müsse. In einer Nachricht heißt es etwa: "Wenn Sie glauben, dass der Betrag irrtümlicherweise überwiesen worden ist, oder Sie den Absender nicht kennen, dann müssen Sie den Betrag so schnell wie möglich zurücküberweisen." Dieses Geld landete dann natürlich auf dem Konto der Betrüger.