HTTPS не защищает от фишинга
Исследователи Гарвардского университета и Массачусетского технологического института выяснили это в ходе исследования поведения пользователей банковских систем. 67 клиентов одного из банков попросили войти в свой онлайновый счёт и провести ряд операций. Исследователи же подстроили работу системы так, чтобы она намекала на то, что сайт ненастоящий.
Второй тест заключался в удалении аутентификационного изображения, так называемого «ключа сайта» (site key). Это запоминающееся простое изображение, выбираемое пользователем в настройках учётной записи для подтверждения подлинности сайта. Предполагается, что подставной сайт не сможет показать это изображение, и факт обмана станет виден невооружённым глазом. Лишь 3% обратили на это внимание и не стали вводить пароль доступа.
Третий тест отображал окно с предупреждением о недействительности сертификата удалённого сайта и выбором вариантов закрыть страницу или продолжить работу со своим счётом. В этом случае каждый второй 43% не стал вводить пароль для входа.
Тесты были проведены на браузере Microsoft IE 6, где замок имеет маленький размер и расположен в углу. IE7 предоставляет более яркие предупреждения различных цветов.
Результаты исследования будут представлены в мае на Симпозиуме IEEE по безопасности и прайвеси.