Https не защищает от фишинга
Изображение закрытого или разомкнутого замка, обозначающее наличие или отсутствие шифрованного (HTTPS) соединения, не защищает от фишинга. Хотя сама система работает нормально, отображая замок в соответствующем состоянии, пользователи просто не обращают на него внимания, сообщил DarkReading.com.
Исследователи Гарвадского университета и Массачусетского технологического института выяснили это в ходе исследования поведения пользователей банковских систем. 67 клиентов одного из банков попросили войти в свой онлайновый счёт и провести ряд операций. Исследователи же подстроили работу системы так, чтобы она намекала на то, что сайт ненастоящий.
Во-первых, исследователи "разомкнули" замок, что означало нешифрованное соединение, и отобразили в URL http вместо https. Несмотря на это, 100% участников эксперимента продолжили вход в систему.
Второй тест заключался в удалении аутентификационного изображения, так называемого "ключа сайта" (site key). Это запоминающееся простое изображение, выбираемое пользователем в настройках учётной записи для подтверждения подлинности сайта. Предполагается, что подставной сайт не сможет показать это изображение, и факт обмана станет виден невооружённым глазом. Лишь 3% обратили на это внимание и не стали вводить пароль доступа.
Третий тест отображал окно с предупреждением о недействительности сертификата удалённого сайта и выбором вариантов – закрыть страницу или продолжить работу со своим счётом. В этом случае каждый второй – 43% - не стал вводить пароль для входа.
Тесты были проведены на браузере Microsoft IE 6, где замок имеет маленький размер и расположен в углу. IE7 предоставляет более яркие предупреждения различных цветов.
Результаты исследования будут представлены в мае на Симпозиуме IEEE по безопасности и прайвеси.
Исследователи Гарвадского университета и Массачусетского технологического института выяснили это в ходе исследования поведения пользователей банковских систем. 67 клиентов одного из банков попросили войти в свой онлайновый счёт и провести ряд операций. Исследователи же подстроили работу системы так, чтобы она намекала на то, что сайт ненастоящий.
Во-первых, исследователи "разомкнули" замок, что означало нешифрованное соединение, и отобразили в URL http вместо https. Несмотря на это, 100% участников эксперимента продолжили вход в систему.
Второй тест заключался в удалении аутентификационного изображения, так называемого "ключа сайта" (site key). Это запоминающееся простое изображение, выбираемое пользователем в настройках учётной записи для подтверждения подлинности сайта. Предполагается, что подставной сайт не сможет показать это изображение, и факт обмана станет виден невооружённым глазом. Лишь 3% обратили на это внимание и не стали вводить пароль доступа.
Третий тест отображал окно с предупреждением о недействительности сертификата удалённого сайта и выбором вариантов – закрыть страницу или продолжить работу со своим счётом. В этом случае каждый второй – 43% - не стал вводить пароль для входа.
Тесты были проведены на браузере Microsoft IE 6, где замок имеет маленький размер и расположен в углу. IE7 предоставляет более яркие предупреждения различных цветов.
Результаты исследования будут представлены в мае на Симпозиуме IEEE по безопасности и прайвеси.
Ещё новости по теме:
18:20