Toch bizar als een argeloze gebruiker de OK knop klikt.
Als de tekst zou luiden: behalve als u absoluut zeker bent dat u de rode lichten en het belsignaal op deze spoorwegovergang kunt negeren rijdt de betreffende persoon zeker ook ehh... app-verslaafd door ?!?

Nogmaals: vreemd dat men glasheldere waarschuwingen negeert.

Mensen worden lees-moe en hebben meestal haast, 2 onderdelen die passen in het recept van 'domweg' OK klikken.
Daarom helpt instructie slechts deels (wel aanzienlijk) in het spotten van malware/phishing emails.

Zo glashelder is die waarschuwing geenszins.

Er staat een hele hoop "zou kunnen" en "mischien wel", maar wat er vooral niet staat is wat er zeker wel staat te gebeuren. Er staat iets van "this package" maar er staat nergens wat dat is, waar het vandaankomt ("hoezo download? ik dacht dat het al in het document zat!"), zelfs maar enige context ontbreekt. Ik schat dat "de" manier om te kijken wat die dubbelklik zal gaan doen is, pop-up wegklikken, rechterklik op icoon, en dan iets van "eigenschappen" uit het contextmenu, al dan niet gevolgd door nog meer klikken (na een flinke laadtijd want die menuutjes gebruik je helemaal nooit) waaronder een paar keer "advanced", en zo verder.

Je moet dus op zeer beperkte en zeer zeker onvolledige informatie een beslissing nemen. Vaak genoeg blijkt zoiets loos alarm. En je krijgt er nogal veel van om je oren, *kuch* zekere GUI omgevingen *kuch* hebben daar een handje van en hebben zelfs de trend gezet.

En dan kom je bij het al genoemde puntje lees-moe (veel woorden, weinig inhoud, visueel vrijwel gelijk aan vele vele andere meldingen) en haast. En ondertussen bij veel mensen waaronder "digital natives" een soort Pavlov-training van eerst wegklikken en na tien keer hetzelfde actie-popup-wegklik-waar-is-mijn-reactie? maar eens hulp roepen van iemand anders. Die hopelijk wel het geduld heeft om niet onmiddelijk weg te klikken en te lezen wat er staat.

Computer security mensen vergeten nog wel eens dat de rest van de wereld (inclusief ontwikkelaars) geen expert is, of zelfs maar wil zijn, in het "veilig houden" van hun kompjoetertje. Dat is voor een groot deel ook te danken aan de manier waarop *kuch* zekere systemen *kuch* in de markt gezet zijn. "Geen training nodig! Intuitief!" en waarom zou de security daar ineens niet onder vallen?

Maarja, ontwikkelaars vergeten ook nog wel eens dat de rest van de wereld geen expert is, of zelfs maar wil zijn, in wat ontwikkelaars "intuitief" noemen. Dit heeft ook zo zijn gevolgen voor hoe er met de software omgegaan wordt.

Psychologie, luiheid en kuddegedrag van mensen zijn de toverwoorden. Bovenstaande afbeelding is door de aanvallers gemaakt. Ze geven een instructie om de default "Cancel" knop niet te gebruiken, maar in plaats daarvan de "OK" knop te klikken. Doordat de lezers nu al een instructie met plaatje gezien hebben, herkennen ze de echte waarschuwing uit de eerdere instructie en gaan hem ook niet meer lezen, maar volgen hem blindelings op.

Ik schreeuw al jaren dat mensen altijd eerst een handleiding moeten bestuderen. Maar de meeste mensen beginnen met op goed geluk van alles te proberen en als ze vast lopen, bellen ze een helpdesk. Investeren in eigen kennis is voor velen een stap te ver.

Investeren in eigen kennis...


Windows thuisgebruikers wordt geadviseerd Sophos Sandboxie te gebruiken. Dat is een zandbak voor onder Windows, waarin men een verscheidenheid van applicaties veilig kan draaien, zoals voor het openen van PDF en ODT bestanden.

Sandboxie: Trust No Program
https://www.sandboxie.com/

Sandboxie wordt ontwikkeld als een openbare zandbak, dus waarvan de code door derden is in te zien, en deze is vrij verkrijgbaar gesteld. Het is zeer aan te bevelen de gebruikte webbrowser permanent in Sandboxie te laten draaien.


Onder Linux met Gnome valt het firejail(1) pakket, zie bovenstaand voorbeeld, ook zo te configuren dat een willekeurig Office bestand met slechts 1 muisklik in een zandbak met LibreOffice wordt geopend. Eenvoudiger kan het niet.

En dat is volstrekt terecht in een omgeving waar actief wordt gezegd "geen training nodig, is intuitief". Helaas straalt dat ook af op andere omgevingen waar dat heel erg niet geldt. Ben weleens mensen tegengekomen die gewoon zwaar beledigd waren als je voorstelde de handleiding erbij te pakken.

Die handleidingen zijn vaak volstrekt onleesbaar voor de leek. Of zelfs de expert. *kuch* Zekere *kuch* fabrikanten van te dure netwerkhardware herrinner ik me als daar nogal een handje van hebben. De enige handleidingen die er waren waren "reference" handleidingen vol met "setfoo: set the value for foo" met als je veel geluk had de range van valide waarden, maar wat ze betekenen of wat de "foo" functie doet was al teveel gevraagd, laat staan hoe het in het grotere plaatje paste. Dan heb je dus derde-partijboeken nodig om dat dan weer in te vullen.

Of neem *kuch* sommige *kuch* documentatie voor software. Die denken wel eens dat de header files door doxygen halen en in vijf formaten meeleveren telt als "documentatie". Maar aan alleen de headers heb ik niets. Ik heb nog steeds nodig wat de functie doet, hoe de parameters in te vullen, en oh ja, hoe en wanneer in te zetten, oftewel hoe het in het grotere plaatje past. Dat is dus "documentatie" door en voor "experts". Maar niet heus.

Dan is het niet gek dat je als leek het niet eens probeert. Maargoed, beide problemen mogen best veranderen.

Zou dat gebruikers waarschuwingen negeren, een verschijnsel dat wel geduid kan worden als repressieve tolerantie [1], misschien iets te maken hebben met de stroom van onbegrijpelijke (fout)meldingen die een gebruiker op een zeker platform [2] met regelmaat overvalt ?

[1] https://nl.wikipedia.org/wiki/Repressieve_tolerantie
[2] https://en.wikipedia.org/wiki/Microsoft_Windows

Mensen zijn opgevoed met 'next, next, ok'

Vroeger werdt bij ons op het werk veelal de kreet RTFM gebezigd! Je weet wel, Read the fucking mamual!