|
Изображение закрытого или разомкнутого замка, обозначающее наличие или отсутствие шифрованного (HTTPS) соединения, не защищает от фишинга. Хотя сама система работает нормально, отображая замок в соответствующем состоянии, пользователи просто не обращают на него внимания, сообщил DarkReading.com.
Исследователи Гарвардского университета и Массачусетского технологического института выяснили это в ходе исследования поведения пользователей банковских систем. 67 клиентов одного из банков попросили войти в свой онлайновый счёт и провести ряд операций. Исследователи же подстроили работу системы так, чтобы она намекала на то, что сайт ненастоящий.
Во-первых, исследователи «разомкнули» замок, что означало нешифрованное соединение, и отобразили в URL http вместо https. Несмотря на это, 100% участников эксперимента продолжили вход в систему.
Второй тест заключался в удалении аутентификационного изображения, так называемого «ключа сайта» (site key). Это запоминающееся простое изображение, выбираемое пользователем в настройках учётной записи для подтверждения подлинности сайта. Предполагается, что подставной сайт не сможет показать это изображение, и факт обмана станет виден невооружённым глазом. Лишь 3% обратили на это внимание и не стали вводить пароль доступа.
Третий тест отображал окно с предупреждением о недействительности сертификата удалённого сайта и выбором вариантов — закрыть страницу или продолжить работу со своим счётом. В этом случае каждый второй — 43% — не стал вводить пароль для входа.
Тесты были проведены на браузере Microsoft IE 6, где замок имеет маленький размер и расположен в углу. IE7 предоставляет более яркие предупреждения различных цветов.
Результаты исследования будут представлены в мае на Симпозиуме IEEE по безопасности и прайвеси.
Интересные материалы: все новости
 |
![Мы [В]КОНТАКТЕ](http://www.maxhost.ru/i/vkb.jpg "Мы [В]КОНТАКТЕ")
