Falske sikkerhedsmeddelelser mere troværdige end reelle advarsler viser

Hvordan reagerer du på følgende advarsel, når den dukker op på din skærm?

Jeg har endnu ikke fundet en person, der altid adlyder ovennævnte advarsel, men advarslen nedenfor har vist sig meget effektiv, selvom det er en komplet falske. Hvorfor?

Dette er et spørgsmål to forskere fra University of Cambridge forsøger at besvare i deres papir, hvor de læser: Dette kan skade din computer: Psychology of Malware Advarsler. Professor David Modic og professor Ross Anderson, forfattere af papiret, kiggede et langt hårdt kig på hvorfor advarsler om computersikkerhed er ineffektive.

Overbelastning af advarselsmeddelelse

Professorerne citerer flere tidligere undersøgelser, der giver bevis for, at brugerne vælger at ignorere sikkerhedsadvarsler. Jeg skrev om en af ​​de citerede undersøgelser, der er skrevet af Cormac Herley, hvor han argumenterer for:

  • Omfanget af sikkerhedsrådgivning er overvældende.
  • Den typiske bruger ser ikke altid fordelen ved at følge sikkerhedsrådgivning.
  • Fordelen ved at følge sikkerhedsrådgivning er spekulativ.

Cambridge-forskerne er enige med Herley og nævner i dette blogindlæg:

"Vi bombarderes konstant med advarsler, der er beregnet til at dække andres ryg, men hvilken slags tekst skal vi sætte en advarsel på, hvis vi faktisk ønsker, at brugeren skal være opmærksom på den?"

Jeg kan ikke tænke på et bedre eksempel på, hvad Herley, Anderson og Modic henviste til end mit første eksempel: advarslen om "websteds sikkerhedscertifikat er ikke betroet".

Advarselsmeddelelser er overbevisende

Anderson og Modic kiggede også på tidligere forskning, der beskæftiger sig med overtalelsespsykologi, på udkig efter faktorer, der har indflydelse på beslutningstagningen. Kommer med følgende determinanter:

  • Myndighedens indflydelse: Advarsler er mere effektive, når potentielle ofre mener, at de kommer fra en betroet kilde.
  • Social indflydelse: Enkeltpersoner vil overholde, hvis de mener, at andre medlemmer af deres samfund også overholder dem.
  • Risikopræferencer: Folk generelt har en tendens til at handle irrationelt under risikable forhold.

Brug hvad der fungerer for de onde fyre

For at finde ud af, hvad brugerne vil være opmærksomme på, oprettede Anderson og Modic en undersøgelse med advarsler, der spillede på forskellige følelser, i håb om at se, hvilke advarsler der ville have indflydelse. I en ironisk vending anvendte forskerne de samme psykologiske faktorer, der allerede var bevist at arbejde af de onde:

"W e baserede vores advarsler om nogle af de socialpsykologiske faktorer, der har vist sig at være effektive, når de bruges af svindlere. De faktorer, der spiller en rolle i at øge potentielle ofrenes overholdelse af falske anmodninger, viser sig også effektive i advarsler."

Advarslerne anvendt i undersøgelsen blev opdelt i følgende typer:

  • Kontrolgruppe: Advarsler mod malware, der i øjeblikket bruges i Google Chrome.
  • Autoritet: Det websted, du skulle besøge, er blevet rapporteret og bekræftet af vores sikkerhedsteam for at inkludere malware.
  • Social indflydelse: Det websted, du var ved at besøge, inkluderer software, der kan skade din computer. Det er kendt, at svindlerne, der driver dette websted, fungerer på personer fra dit lokale område. Nogle af dine venner er måske allerede blevet svindlet. Vær venlig ikke at fortsætte til dette websted.
  • Konkret trussel: Det websted, du skal besøge, er blevet bekræftet for at indeholde software, der udgør en betydelig risiko for dig. Den vil forsøge at inficere din computer med malware, der er designet til at stjæle din bankkonto og kreditkortoplysninger for at bedragere dig.
  • Vag trussel: Vi har blokeret din adgang til denne side. Det er muligt, at siden indeholder software, der kan skade din computer. Luk denne fane, og fortsæt andre steder.

Forskningsteamet indrullerede derefter 500 mænd og kvinder gennem Amazon Mechanical Turk til at deltage i undersøgelsen og registrerede, hvor stor indflydelse hver advarseltype havde på deltagere.

Folk reagerer på klare, autoritative meddelelser

Anderson og Modic udtrykte overraskelse over, at sociale signaler ikke havde den effekt, de forventede. De advarsler, der fungerede bedst, var specifikke og konkrete. F.eks. Meddelelser, der erklærer, at computeren vil blive inficeret med malware, eller et bestemt ondsindet websted stjæler brugerens økonomiske oplysninger. Anderson og Modic foreslår, at softwareudviklere, der opretter advarsler, skal følge følgende råd:

  • Advarselsteksten skal indeholde en klar og ikke-teknisk beskrivelse af det mulige negative resultat.
  • Advarslen skal være en informeret direkte meddelelse fra en myndighedsposition.
  • Brug af tvang (i modsætning til overtalelse) bør minimeres, da det sandsynligvis vil være kontraproduktivt.

I bund og grund ifølge Anderson og Modic, "Advarsler skal være færre, men bedre." Og ud fra det, jeg læste i rapporten, udfører de onde et overlegent job, når det kommer til advarsler, omend af en anden grund.

© Copyright 2020 | mobilegn.com