Banken moeten er altijd vanuit gaan dat de pc's van hun klanten geïnfecteerd zijn met malware als ZeuS en SpyEye. Daar moeten beschermingsmaatregelen op gericht zijn.
Dat stelt ENISA, het Europese agentschap voor netwerk- en informatiebeveiliging. Die organisatie zegt dat het tegenwoordig veiliger is te veronderstellen dat een pc per definitie is besmet in tegenstelling tot het voorlichten van klanten over hoe een besmetting te voorkomen.
Daarbij is een standaard tweeweg authenticatie niet voldoende omdat dat niet verhindert dat een man-in-the-middle-aanval (of man-in-the-browser) financiële transacties kan afvangen. 'Daarom is het belangrijk dat banken transacties checken op het juiste bedrag en bestemming via een beveiligd en betrouwbaar kanaal', schrijft ENISA in zijn aanbevelingen aan de financiële sector. De beveiligers zeggen dat een sms, telefoontje of een standalone smartcardlezer met beeldscherm daarvoor kunnen worden gebruikt.
---
Precies dat laatste is de reden dat ik die tan code via sms wel relatief veilig vind, tenminste, als je die sms op een 'domme' telefoon ontvangt. Doe je dat laatste op een 'smart' telefoon is de relatieve veiligheid meteen om zeep.
Ook online betalingen met iDeal zijn af te raden. Je weet namelijk niet wat er zich afspeelt op de server van de site waar je een bestelling met iDeal wil afrekenen.
Aangezien het in principe om een vooruitbetaling gaat kun je dat beter zelf in gang zetten direct bij de bank, buiten het 'zicht' van de winkelsite server.