Изображение закрытого или разомкнутого замка, обозначающее наличие или отсутствие шифрованного (HTTPS) соединения, не защищает от фишинга. Хотя сама система работает нормально, отображая замок в соответствующем состоянии, пользователи просто не обращают на него внимания.
Исследователи Гарвардского университета и Массачусетского технологического института выяснили это в ходе исследования поведения пользователей банковских систем. 67 клиентов одного из банков попросили войти в свой онлайновый счёт и провести ряд операций. Исследователи же подстроили работу системы так, чтобы она намекала на то, что сайт ненастоящий. Во-первых, исследователи «разомкнули» замок, что означало нешифрованное соединение, и отобразили в URL http вместо https. Несмотря на это, 100% участников эксперимента продолжили вход в систему. Второй тест заключался в удалении аутентификационного изображения, так называемого «ключа сайта» (site key). Это запоминающееся простое изображение, выбираемое пользователем в настройках учётной записи для подтверждения подлинности сайта. Предполагается, что подставной сайт не сможет показать это изображение, и факт обмана станет виден невооружённым глазом. Лишь 3% обратили на это внимание и не стали вводить пароль доступа. Третий тест отображал окно с предупреждением о недействительности сертификата удалённого сайта и выбором вариантов — закрыть страницу или продолжить работу со своим счётом. В этом случае каждый второй — 43% — не стал вводить пароль для входа. Тесты были проведены на браузере Microsoft IE 6, где замок имеет маленький размер и расположен в углу. IE7 предоставляет более яркие предупреждения различных цветов. Результаты исследования будут представлены в мае на Симпозиуме IEEE по безопасности и прайвеси.
Источник: Cnews.ru