Способность нетехнических пользователей распознавать мошенничества и другие опасные операции в Интренете пока еще очень неразвита.

Совсем немного людей осведомлены об опасностях и риске, кроющихся в гулянии по Интернету, и о различных видах приемов, которые используют вредоносные программы, онлайновые устройства, обманчивые почтовые сообщения и на первый взгляд совершенно невинные веб-страницы для получения доступа к их компьютерам или конфиденциальной, личной информации, сохраненной на них.

Фото любезно предоставил: Алекс Махер

Мы слишком мало знаем о мощеннических стратегиях и ложных приемах, которые служат в качестве прямых ловушек для "поимки" пользователей и нападения на компьютеры ничего не подозревающих веб-бродяг.

Отсутствие явных признаков, по которым мы судим, стоит ли доверять производителю товара или магазину в реальном мире, крайне затрудняет способность среднестатистического Интернет-пользователя распознавать мошенничество и обман во время своего пребывания онлайн.

Вот собственное мнение д-ра Эрика Шаффера на счет интересных результатов одного исследования под названием "Опасности, таящиеся в Интернет-мошенничестве: эмпирическое исследование жульничества и уровня доверия, проведенное вместе с опытными Интернет-потребителями". Эта работа была опубликована в 2000 году, однако она остается очень актуальной и сегодня.

ФИШИНГ, ФАРМИНГ И МОШЕННИЧЕСТВО, О ГОСПОДИ

Способность идентифицировать людей, пытающихся использовать вас - это ключ к вашему выживанию. Исследователи, изучающие эволюцию распознавательных механизмов, предполагают, что мы начинает развивать в себе общие "алгоритмы распознавания обмана" из-за подвержения тем типам жульничеств, которые происходят ежедневно (Космидес и Туби, 1989; Чен и Хольйоак, 1985; Вашек, 1986).

В общем, мы учимся подозревать обман и становиться осторожными в случаях, когда существует заметное расхождение между тем, что происходит на самом деле и тем, что мы ожидаем.

Тем не менее, способность потребителей обнаруживать обман в Интернете пока еще очень невысокая. Так получается потому, что наша способность оттачивать наши универсальные "детекторы обмана" зависит от наших специфических или усредненных знаний о "мошеннической среде". Когда думаешь об этом, нетрудно себе представить, почему это так. Даже смышленые пользователи находят довольно тяжелым постоянное распознавание новейших типов мошенничества. Можете ли вы определить, что такое фишинг? А как насчет фарминга?

Вот определения из Wikipedia для этих видов Интернет-мошенничеств:

- Фишинг (Phishing), также кардинг (carding) и спуфинг (spoofing) - форма социотехники, характеризующаяся попытками завладеть обманным путем чувствительной информацией, такой, как пароли и данные с кредитных карточек. Это делается с помощью представления себя как заслуживающего доверия человека или компании в на первый взгляд официальной электронной переписке (в электронной почте или инстант-мессенджере). Термин "фишинг" ("выуживание") происходит от самой сущности все более совершенствующихся попыток подобного обмана - "выудить" ("to fish") финансовую информацию и пароли пользователей.

- Фарминг (Pharming) - использование незащищенностей в программах DNS-серверов, позволяющих хакерам захватить домейнное имя сайта и перенаправлять его траффик на другой вебсайт.

Есть и еще:

- Похищение страниц (Page-jacking) и ловля мышки (mouse-trapping) - техники, используемые жуликами для отвода Интернет-пользователей с первоначально задуманной ими цели (похищение страниц) на свой сайт, с которого пользователи не могут уйти при помощи нажатия мышью на кнопки перехода (вперед и назад) или даже закрытия в своем браузере (ловля мышки).

Также, при всем внимании к фишингу и фармингу, люди забывают и про простые мошенничества.

Неудивительно, что людям тяжело идентифицировать Интернет-обманы.

Особые признаки мошенничества, которыми вы руководствуетесь в остальной жизни, чтобы обнаружить их, неприменимы в кибер-пространстве.

В физических трансакциях вы можете видеть, с кем имеете дело. В кибер-пространстве мошенников гораздо тяжелее обнаружить... если они вообще там находятся.

СРЕДНЕСТАТИСТИЧЕСКАЯ ЖЕРТВА ИНТЕРНЕТ-МОШЕННИЧЕСТВА ТЕРЯЕТ СВЫШЕ 700 ДОЛЛАРОВ, НЕ УЧИТЫВАЯ ПОТЕРЯННОГО ВРЕМЕНИ.

Хорошие новости - это то, что по мере того, как потребители лучше изучают принципы работы Интернета, они больше узнают и о том, как работает Интернет-жулье. В будущем облапошивать таких пользователей станет гораздо тяжелее. Как и иллюзионизм, Интернет-мошенничество фактически не такое сложное для понимания, если вы знаете, где смотреть.

Поэтому главная задача - это помочь потребителям узнать, куда нужно смотреть, чтобы обнаружить жульничество.

Организации вроде Consumer WebWatch, Интернет-крыла американского Объединения потребителей (Consumers Union), опубликовали отчеты, целью которых является инструктировать пользователя, как правильно идентифицировать характеристики заслуживающего доверия вебсайта.

Одна проблема - это то, что пока недостаточное количество потребителей читает их отчеты. А те, кто читает их, недостаточно следует инструкциям. Еще одна проблема - это то, что те, кто практикуют Интернет-мошенничество, очевидно, внимательно читают эти отчеты.

Исследователи вроде Грациоли идут другим путем. Работа Грациоли (и работы, сделанные им совместно с коллегами, такими, как Сиркка Йарвенпаа) сравнивает поведение удачливых и менее удачливых обнаружителей жульничества.

Потребители, которые умеют хорошо обнаруживать мошенничество в Интернете, оценивают гарантийные факторы - конкретные параметры организации или ее бизнес-модели, которые можно легко проверить на правдивость (например, номер телефона) или соответствие закону (например, гарантию).

В противоположность этому, потребители, которым не удается вовремя заметить мошенничество, склонны доверять сайту на основе виртуальных признаков -- сгенерированных самим сайтом маркетинговых элементов (например, отзывов клиентов или отчетов о размерах продаж), которые тяжело проверить, и это в в лучшем случае.

КОГДА ЛЮДИ ВРУТ, ОНИ СКЛОННЫ ЧАСТО ДОТРАГИВАТЬСЯ ДО СВОЕГО ЛИЦА. А ЧТО ДЕЛАЮТ ПРИ ЭТОМ ВЕБСАЙТЫ?

Грациоли наблюдал за этими паттернами поведения в процессе контролируемого исследования об обнаружении мошенничества. В этом исследовании 80 участников ("сведущих в бизнесе и ИТ") попросили посетить специфический сайт перепродажи подержанных лэптопов и помочь своему другу принять решение, стоит ли покупать лэптоп стоимостью в 625 долларов с этого сайта -- в сущности, высказать дополнительное мнение о его благонадежности. Если участник чувствовал, что с сайтом все в порядке, он покупал лэптоп, используя номер кредитной карточки друга.

Половина участников эксперимента Грациоли посетила действующий и функционирующий сайт перепродажи лэптопов. Другие участники подверглись "похищению страницы" и были перенаправлены а "мошеннический" сайт.

Мошеннический сайт был оформлен так же, как и настоящий сайт перепродажи компьютеров, за исключением шести известных характеристик, которые свидетельствуют о мошенничестве (Ямагиши и Ямагиши, 1994), внесенных в него или измененных относительно исходного сайта.

Измененные характеристики включали в себя:

• Фальшивое удостоверение "Бюро лучшего бизнеса" (Better Business Bureau), направляющее посетителя на отчет, выглядящий как настоящий документ
• Гарантию, выглядящую слишком хорошо, чтобы быть настоящей
• Ложную информацию о местоположении компании
• Подделанные новостные клипы из профессиональных журналов
• Дико завышенные статистики по продажам
• Однородно положительные, гиперболические "отзывы" покупателей

После просмотра вебсайта и (возможно) приобретения лэптопа, участники заполняли опрос о том, восприняли ли они сайт как мошеннический или честный... или не смогли обнаружить жульничества.

Участники считались достигшими успеха, если они подозревали в мошенничестве измененный сайт или признавали настоящий сайт заслуживающим доверия.

Те, кто не достигли успеха, либо не смогли распознать опасность в подделанном сайте, либо серьезно восприняли настоящий сайт как мошеннический.

В общем, результаты исследования показали, что даже эти сведущие в бизнесе и ИТ пользователи не смогли должным образом отличить настоящий сайт от подделанного.

55% процентов участников доверились мошенническому сайту (30% процентов правильно определили его как мошеннический; 15% не были уверены в выводе). Только 38% процентов правильно распознало хороший сайт (32% подозревали его в мошенничестве; 30% не были уверены).

ПОСМОТРЕЛИ ЛИ ВЫ НА ЗЕРКАЛО ЗАДНЕГО ВИДА, НО НЕ ЗАГЛЯНУЛИ В НЕГО?

В этом эксперименте мошеннических характеристик было много, но они были мелкими.
Участники могли заключить, что измененные характеристики сведетельствовали о мошенничестве следующим образом:

• Кросс-проверкой учетной записи предприятия на сайте BBB. Хотя нажатие на гарантийный баннер вело на подробный отчет, содержавший обратные линки на BBB, этот отчет был фальшивым. Единственный способ определить, имеет ли компания отношения с BBB - это проверить сайт самого BBB.
  
• Прочтение и реалистичная оценка деловых заявлений и обещаний.
  
• Проверить, не выглядит ли гарантия подозрительно идеальной -- в эксперименте она была сформулирована так: "Никаких вопросов. Полное возмещение убытков. В любое время. На всю жизнь".
  
• Оценка деловых заявлений. В данном примере, несоответствие между завышенной статистикой продаж (25,000 проданных единиц) и инвентарем (5 единиц) кажется совершенно невообразимым.
  
• Проверка номера телефона на соответствие адресу. В эксперименте мошеннический сайт представил бизнес-адрес в Сиэтле, но предоставил калифорнийский областной код. Осторожные участники также заметили, что у офиса на картинке был адрес, отличный от отмеченного текстом на вебсайте.
  
• Валидация рекомендаций с третьей стороны, включая новостные клипы и профессиональные рекомендации. В эксперименте обратные линки были сломаны или переводили пользователей на домашнюю страницу вместо страницы того, кто опубликовал рекомендацию. Обязательно следуйте обратным линкам, чтобы проверить источник рекомендаций. Ищите похожие рекомендации на страницах источника.
  
• Валидация покупательских похвал и отзывов. Если это невозможно сделать, сразу настораживайтесь.

ЛУИЗИАНА (АЛАБАМА, МИССИСИПИ И ТЕХАС) У МЕНЯ В МЫСЛЯХ

В своем эксперименте Грациоли также заметил, что успешные обнаружители мошенничества сосредотачивались на характеристиках, отличных от тех, которые разбирали потерпевшие неудачу. Они фокусировались на официальных заверительных характеристиках (удостоверения о благонадежности, гарантии, физическое местоположение компании).

В противоположность этому, те, кто не смог обнаружить мошенничества, сосредотачивались на разборе доверительных характеристик, созданных самим сайтом (отзывы покупателей). Чтобы доверять таким характеристикам, нужно доверять самой компании. А чтобы проверить гарантийные характеристики, нужно идти на сайты внешних организаций.

Погоня за валидацией на этом уровне выглядит как большая работа. Возможно, потому, что для большинства из нас стратегии определения опасностей и рисков не включают в себя проверку данных в посторонних организациях. В ситуации с реальным физическим предприятием мы идем по адресу. Мы разговариваем с работниками. Мы видим конторку обслуживания покупателей своими глазами. Мы держим в своих руках реальные квитанции и гарантии.

В Интернете эти - часто неявные - характеристики отсутствуют. Наши общие приемы обнаружения мошенничества могут работать в реальном мире, однако нам стоит основательно "подкрутить" свою способность распознавания подобных вещей в Интернете.

Нам нужно найти ПРАКТИЧЕСКИЕ пути идентификации сайта как правильного сайта от заслуживающего доверия производителя. Давайте искать творческие решения.

Такие организации, как EBay и PayPal, предоставляют немедленный доступ к данным продавца и отзывам клиентов. Это позволяет пользователям сразу отличить заслуживающих доверия производителей от прочих.

Однако сейчас нам требуются эффективные стратегии для обнаружения мошенничества во всех онлайновых пространствах.

Давайте забудем о шатком отличии поддельных логотипов от настоящих и долгом, тщательном исследовании сайтов. Давайте все работать, чтобы найти быстрые, простые, соответствующие принципам здравого смысла и мощные методы, которые действительно будут работать. Иначе пространства информации будут становиться все более опасными, и полными невидимых разбойников с большой дороги.

Исходное заглавие:
Фишинг, фарминг и мошенничество, о Господи (Phishing and Pharming and Phraud, oh my)

Впервые опубликовано в сентябре 2005 года в Информационном "Обновления на тему дизайна пользовательского интерфейса" от организации HFI (Human Factors International)

В этом бюллетене обсуждается новейшее исследование в области удобства и простоты использования (юзабилити, usability). Чтобы узнать больше о практическом применении результатов недавнего исследования и о том, какое влияние оно оказывает на дизайн, фокусирующийся на пользователе (user-centered design), вам стоит взвесить возможность посещения курса HFI "Воплощение выводов исследований в практику" (на английском).

http://www.humanfactors.com/downloads/sep05.asp

Автор - Прагматичный Экономист, д-р Эрик Шаффер, исполнительный директор и основатель организации Human Factors International.

За последние 25 лет развития науки о человеческих факторах, д-р Шаффер стал известен как провидец, предсказавший, что юзабилити станет ведущей силой "Третьей волны информационного века."

Д-р Шаффер также предвидел, что самое глубокое влияние на корпоративный компьютерный бизнес окажет позитивные впечатления пользователя от онлайновой работы - то есть возможность для пользователя выполнить свою работу эффективно, легко и не сталкиваясь с лишними препятствиями.

Д-р Шаффер работает в области исследования профессиональных человеческих факторов с 1977 года, выполняя проекты для свыше 100 клиентов из списка Fortune 500 и предоставляя им обширный и высокоуровневый системный анализ и консультацию по дизайну, интеграции, документированию и реализации программ.

Д-р Шаффер является членом Общества человеческих факторов и эргономики (Human Factors and Ergonomics Society) и дипломированным профессиональным эргономистом.

Dr. Eric Shaffer - - Human Factors International [ читать дальше ]