Nieuws

Onderzoek: mensen negeren online waarschuwingen

maandag 24 november 2014, 12:29 door Redactie, 11 reacties

Mensen negeren op internet allerlei waarschuwingen waardoor ze met malware besmet kunnen raken, zo hebben onderzoekers ontdekt. De onderzoekers van de Brigham Young University vroegen eerst aan studenten hoe ze over online security dachten. Vervolgens werd voor een niet-gerelateerde opdracht gevraagd of ze met hun laptop op een website wilden inloggen om afbeeldingen van Batman te categoriseren.

Om de zoveel tijd verschenen er pop-ups met veiligheidswaarschuwingen dat de website die ze bezochten malware bevatte. Als ze genoeg waarschuwingen negeerden waren ze "gehackt" en verscheen er een bericht van een "Algerijnse hacker" met een afbeelding van een lachend doodshoofd. Het ging hier alleen om een animatie, maar volgens de onderzoekers beseffen veel mensen niet dat ze de zwakste schakel in de veiligheid van hun computer zijn.

"De besturingssystemen die we gebruiken beschikken over veel ingebouwde bescherming en de manier voor een aanvaller om je computer over te nemen is je iets te laten doen", zegt universitair docent Brock Kirwan. Uit het onderzoek kwam naar voren dat mensen malware-waarschuwingen op grote schaal negeren. "We zien de waarschuwingen zoveel dat we er niet meer over nadenken", stelt universitair docent Anthony Vance. "We zien ze eigenlijk niet meer, en dus negeren we ze vaak en gaan toch door."

Gedrag

Hoewel mensen zeggen dat ze online security belangrijk vinden, gedragen ze zich niet zo. De onderzoekers voerden een aanvullend experiment met een EEG-machine uit en stellen dat mensen zich meer gedragen volgens wat hun hersenen zeggen dan dat ze zelf beweren. Hersengolven geven dan ook een betere voorspelling van hoeveel risico mensen op internet nemen. "We hebben geleerd dat hersendata een betere voorspeller van securitygedrag is dan iemands eigen antwoord", merkt Vance op. "Met neurowetenschap proberen we deze zwakste schakel te begrijpen en te kijken hoe we het kunnen versterken."

Onderzoeker Bonnie Anderson stelt dat dit een belangrijk onderwerp is en herhaalt daarbij een uitspraak van beveiligingsexpert Bruce Schneier: "alleen amateurs vallen machines aan, professionals richten zich op mensen." De onderzoekers hebben een beurs van 300.000 dollar gekregen om hun onderzoek naar securitygedrag verder voor te zetten.

Exploit voor lek in IE3 t/m IE11 verschijnt in exploitkit

Maandag 1 december controlebericht NL-Alert

Reacties (11)

24-11-2014, 12:41 door Anoniem

Jaja we moeten meer op willekeurige pop-ups klikken die ons vertellen dat de beveiliging niet in orde is, resp. we besmet zijn! ;P

24-11-2014, 12:54 door Anoniem

Ik wou zeggen, veel mensen zien het verschil niet tussen popups van het os of de browser, en popups van webpagina's. Niet iedereen is technisch genoeg om het onderscheid te maken.

24-11-2014, 13:22 door Anoniem

Mensen negeren ongeveer alle waarschuwingen. Niet heel gek want meestal zijn de popupjes die bijvoorbeeld windows je voorschotelt niet de moeite waard om te lezen. Dus is het gepeupel goed getraind in het eerst wegklikken en daarna niet meer afvragen wat er nou eigenlijk stond.

Daarnaast is "ons" verteld dat de software "intuitief" en "gebruiksvriendelijk" zou zijn. Jezelf in allerlei bochten moeten wringen om diezelfde "intuitieve" en "gebruiksvriendelijke" software maar niet vies (geinfecteerd) te laten worden is dan eigenlijk een hele rare verwachting. Nog een reden waarom later oplappen van software gewoon niet goed genoeg is.

Dus om nou zulke spelletjes met wat labstudenten te spelen is eigenlijk vooral vragen naar de bekende weg. De betere vraag is, kun je echt niets beters verzinnen dan de eindgebruiker lastigvallen met "uitkijken waar je klikt hoor!!!1!" omdat anders de rotte software vies wordt? Beginnen met eerdere beloften in te lossen en betere software te schrijven mischien?

24-11-2014, 13:24 door potshot - Bijgewerkt: 24-11-2014, 13:25

de overgrote meerderheid wil alleen maar consumeren en verder niet nadenken.
en mekkeren over van alles en nog wat maar nooit en te nimmer verantwoordelijkheid nemen voor eigen acties.

einstein:

The difference between stupidity and genius is that genius has its limits.

Only two things are infinite, the universe and human stupidity, and I'm not sure about the former.

24-11-2014, 13:24 door Anoniem

Pop-ups, worden die niet standaard geblokkeerd tegenwoordig? Het is goed dat gebruikers niet meer alle popups serieus nemen.
Hebben we net mensen weer laten afwennen van Microsofts geweldige UAC... Zelfs flash update tegenwoordig onzichtbaar en automagisch.
Verse malware gaat overigens zonder herkend te worden dwars door je firewall, je antivirus en uit emet. Zoek maar een forumdraadje over bol.com of de PTTNTGPpost.
Gebruik je geen Windows, dan ga ik er van uit dat je zelf de boel kunt dichttimmeren.

Weet je niet meer wat een pop-up is, richt dan je favoriete zoekmachine op de "Realistic Internet simulator" :)

24-11-2014, 14:25 door Anoniem

Al klik ik op alles, betekend dat niet dat ik meteen mijn computer letterlijk verneuk.
Want als ik add-ons in mijn browser heb met bepaalde regels blokkeert hij toch gewoon cliënt-side de rommel en zie je het uiteindelijk toch wel..

24-11-2014, 14:52 door Briolet - Bijgewerkt: 24-11-2014, 14:53

Door Anoniem: Pop-ups, worden die niet standaard geblokkeerd tegenwoordig?

Bij mij is dat een browser-instelling die ik standaard op blokkeren zet. Alleen zijn er sites waarbij een download via zo'n pop-up loopt. In elk geval bij het online ophalen van een factuur bij PostNL. Dat heeft me indertijd uren gekost voordat ik doorhad waarom hun download-button niet werkte

24-11-2014, 15:22 door Anoniem

Door Briolet:

Door Anoniem: Pop-ups, worden die niet standaard geblokkeerd tegenwoordig?

Zelfs buiten dat akkefietje is "ophalen van een online factuur" op zich al een duidelijke indicatie dat er iets grondig mis zit in hoe we dat met dat automatiseren doen. Een brief valt vanzelf op de mat (nuja, dat doet de postbode), dus daar hoef jij niets aan te doen. Zelf een factuur ophalen? Door op een website te klikken? Hoe automatiseer ik dat?

Maar eigenlijk is dat al de verkeerde vraag. Stuur maar een (versleuteld en gesigneerd) mailtje naar een adres van mijn keuze. Ophalen is extra werk voor mij, en dus uit den boze. Het is ook de omgekeerde wereld. Stel dat ik het vergeet. Dan ben ik dus in gebreke omdat ik niet zelf de factuur ben komen halen. Zo werkt dat ook bij de "digitale overheid", en daarmee verheffen we tot standaard "beware of the leopard". Lijkt me geen goede zaak.

24-11-2014, 15:37 door Anoniem

de overgrote meerderheid wil alleen maar consumeren en verder niet nadenken. en mekkeren over van alles

Tja, en ergens is dat heel erg begrijpelijk. Niet iedereen is beveiligingsspecialist. En of je van iedereen kunt verwachten dat ze kaas hebben gegeten van dit soort zaken. Denk aan bijvoorbeeld de opa en oma's van de gebruikers hier.

Op een enkele uitzondering na zal je die weinig kunnen bijbrengen over veilig internet gebruik. Zij verwachten ook gewoon dat het werkt, zonder verder geneuzel, en die verwachting vind ik niet zo raar (ook al is die verwachting naief).

24-11-2014, 17:29 door Anoniem

Door Anoniem:

de overgrote meerderheid wil alleen maar consumeren en verder niet nadenken. en mekkeren over van alles

Ga toch weg met je redelijkheid, hier op security.nl gaan we ervanuit dat iedereen specialist is en anders moet het ze verboden worden computers of internet te gebruiken!

Ik lees in je reactie ook geen enkel verwijt aan het adres van "Ome (of opa) Ivo". Duidelijk geen security.nl materiaal!

24-11-2014, 19:26 door Anoniem

Door Anoniem: Ga toch weg met je redelijkheid, hier op security.nl gaan we ervanuit dat iedereen specialist is en anders moet het ze verboden worden computers of internet te gebruiken!

Zonder internetpaspoort geen toegang, wat ik je brom. Eugene Kaspersky is het hier helemaal mee eens. Plus al die anoniempjes met hun commentaren, dat moet ook maar eens afgelopen zijn. Twee vliegen in een klap, je weet tog.

Ik lees in je reactie ook geen enkel verwijt aan het adres van "Ome (of opa) Ivo". Duidelijk geen security.nl materiaal!

Een waar woord! Bij deze:

Waar blijft de roverheid, en waarom hebben ome ifo en opa vred nog geen campagne gestart om demense te wijzen op de correcte wijze van bevraaglijke links aanklikken? Voor je het weet doen ze het nog verkeerd, en krijgen we weer zure stukjes en uitgekauwde hoon. Waar blijven de kamervragen?!?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer