只要极少的金钱激励,用户就愿意在他们的计算机上下载和执行任意程序而不考虑潜在后果。卡内基梅隆大学和滨州州立大学的研究人员发表了一篇论文《It’s All About The Benjamins: An empirical study on incentivizing users to ignore security advice》(PDF),他们利用亚马逊的 Mechanical Turk 招募志愿者,发现 1 美分就可以收买不到二分之一的参与者同意执行程序;而当赏金提高到 50 美分,同意执行程序的比例增加到了 58%,1 美元增加到了 64%。研究显示,一位攻击者只需要投资极少的钱,就可以在受害者的同意下访问其电脑。研究只针对使用 Windows XP、Vista 或 7 的用户,以测试 User Access Control 的有效性。研究人员提供了 1 美分、5 美分、10 美分、50 美分和 1 美元的金钱激励,他们的可执行程序被下载了 1714 次,运行了 965 次,执行程序的比例随赏金的增加而提高。
相关文章
