Wygl膮d strony ma znaczenie
Badanie to, chocia偶 przeprowadzone na stosunkowo niewielk膮 skal臋, da艂o do艣膰 zaskakuj膮ce wyniki. Grupie 22 uczestnik贸w, z kt贸rych wszyscy posiadali wykszta艂cenie wy偶sze, przedstawiono prawdziwe i sfa艂szowane strony prosz膮c, aby je skomentowali. Po艂owa fa艂szywych stron zwiod艂a przynajmniej 50% uczestnik贸w badania. Jedna, doskonale skopiowana strona phishingowa zosta艂a uznana za prawdziw膮 przez a偶 91% os贸b. Og贸lnie, w 40% przypadk贸w uczestnicy badania b艂臋dnie oceniali, czy dana strona jest prawdziwa, czy fa艂szywa.
Autorzy badania t艂umacz膮 wyniki nast臋puj膮cymi czynnikami: brak podstawowych umiej臋tno艣ci obs艂ugi komputera oraz nieznajomo艣膰 kwestii bezpiecze艅stwa, stosowanie przez szkodliwych u偶ytkownik贸w wizualnych "sztuczek" oraz ignorowanie przez u偶ytkownik贸w wskaz贸wek informuj膮cych, 偶e dana strona jest bezpieczna. Nie zaobserwowano zale偶no艣ci pomi臋dzy wynikami badania a p艂ci膮, wiekiem, poziomem wykszta艂cenia czy ilo艣ci膮 godzin sp臋dzanych tygodniowo przy komputerze. 艢wiadczy to o tym, 偶e praktycznie ka偶dy mo偶e pa艣膰 ofiar膮 ataku phishing. Badanie wykaza艂o r贸wnie偶, 偶e stosunkowo du偶a liczba u偶ytkownik贸w nie mia艂a poj臋cia o protoko艂ach bezpiecze艅stwa, takich jak SSL czy TLS, a kilku nigdy nie zwraca艂o uwagi na symbol k艂贸dki w oknie przegl膮darki, kt贸re oznacza bezpieczne po艂膮czenie. A偶 jedna czwarta uczestnik贸w badania ocenia艂a, czy dana strona jest godna zaufania, jedynie na podstawie jej zawarto艣ci: zamieszczonego logo, uk艂adu graficznego strony czy jej wygl膮du.
Badanie wykaza艂o, 偶e dezorientacj臋 u偶ytkownik贸w wywo艂uje dost臋pno艣膰 wielu konkuruj膮cych ze sob膮 przegl膮darek, kt贸re stosuj膮 r贸偶ne ikony i umieszczaj膮 je w r贸偶nych miejscach. Okazuje si臋, 偶e nawet najprostsze chwyty phisher贸w s膮 skuteczne: strona, kt贸ra zwiod艂a 91% uczestnik贸w badania by艂a niemal idealn膮 kopi膮 prawdziwej strony, g艂贸wna r贸偶nica, kt贸r膮 dostrzeg艂 tylko 1 uczestnik, polega艂a na tym, 偶e zamiast litery "w" adres strony zawiera艂 "vv". Jest to tradycyjna technika stosowana przez phisher贸w do klonowania adres贸w stron www.
Autorzy badania doszli do wniosku, 偶e niezwykle 艂atwo jest podrobi膰 wskaz贸wki informuj膮ce o tym, 偶e dana strona jest godna zaufania. Stwierdzili r贸wnie偶, 偶e nawet u偶ytkownicy, kt贸rym zalecono czujno艣膰 wobec stron phishingowych, w wielu przypadkach nie s膮 w stanie odr贸偶ni膰 stron prawdziwych od tych sfa艂szowanych. W wielu przypadkach prawdziwe strony postrzegane by艂y jako fa艂szywe, poniewa偶 wydawa艂y si臋 niepozorne. Wed艂ug naukowc贸w, wyniki przeprowadzonego przez nich badania sugeruj膮, 偶e potrzebne jest inne podej艣cie do projektowania system贸w bezpiecze艅stwa. Nale偶y odej艣膰 od tradycyjnego podej艣cia kryptograficznego i uwzgl臋dni膰 to, z czym u偶ytkownicy sobie radz膮, jak r贸wnie偶 to, z czym maja problemy.
殴r贸d艂o: Harvard, Berkeley Study |