Одна инструкция — и теперь любой может вычислить трояна. Даже бабушка с планшетом.
Несмотря на то что в сфере кибербезопасности человек традиционно считается самым уязвимым элементом, новое исследование канадских специалистов показывает — при наличии минимальной помощи даже неподготовленные пользователи могут эффективно выявлять вредоносные программы.
Впервые в академической практике был проведён эксперимент, моделирующий рабочую обстановку, в которой добровольцы сталкиваются с поддельными служебными сообщениями, побуждающими их устанавливать программное обеспечение. В роли провокаторов — фейковые коллеги, а в качестве среды — чат, имитирующий корпоративную платформу вроде Microsoft Teams.
Инициаторами эксперимента стали исследователи из Университета Ватерлоо и Университета Гвельфа, опубликовавшие результаты работы в материалах 34-го симпозиума USENIX Security . В ходе испытания участники с разным уровнем подготовки — от новичков до опытных пользователей — получали якобы внутренние корпоративные сообщения с предложением установить определённые программы. Решения принимались на основе интуиции, визуальных подсказок и результатов собственного поиска в интернете.
Первый этап выявил впечатляющие результаты: общее количество верных идентификаций вредоносного ПО составило 75%, при этом у неопытных пользователей точность достигла 68%, а у продвинутых — 81%. Однако за поверхностными цифрами скрылись тонкие механизмы восприятия угроз. Как отметили авторы работы, новички чаще принимали легитимные программы за вредоносные из-за орфографических ошибок в описании или непривычного интерфейса. В то же время они игнорировали признаки реальных угроз — например, резкое увеличение нагрузки на процессор — не связывая их с возможной опасностью.
На втором этапе участникам был предложен усовершенствованный диспетчер задач и краткая инструкция с описанием тревожных признаков, таких как множественные сетевые подключения или подозрительное обращение к файловой системе. После этого точность детекции возросла до 80%, что нивелировало различия между новичками и опытными пользователями. Авторы подчёркивают: даже минимальное количество структурированной информации способно резко повысить уровень цифровой грамотности и критического мышления, приближая неспециалистов к уровню профессионалов.
Работа учёных стала первой попыткой изучить поведение пользователей в реальном времени, а не в ретроспективе. До сих пор большинство исследований опирались на анализ уже состоявшихся инцидентов, что давало лишь ограниченное понимание факторов, влияющих на принятие решений. Новый подход позволяет увидеть динамику пользовательской реакции на потенциальную угрозу в момент возникновения — и, как выяснилось, дать этим реакциям точный прогноз.
Один из главных выводов: не столько техническая грамотность, сколько способность интерпретировать сигналы и настороженно относиться к необычному поведению системы становится решающим фактором в предотвращении заражения. Разработчики решений в сфере безопасности, по мнению авторов, должны учитывать человеческий фактор не как слабость, а как актив, который при правильной поддержке может стать первой линией защиты.