Zwakke wachtwoorden, het niet installeren van patches en het willekeurige openen van links en bijlagen, toch ontsnappen de meeste internetgebruikers die onveilig gedrag vertonen aan malware en phishingaanvallen. Dat stellen onderzoekers van Microsoft, die onderzochten het naar eigen zeggen "gigantische gat" tussen de kans op schade en de echte schade die online plaatsvindt.

De oorzaak hiervoor ligt in de inspanning die een aanvaller moet verrichten en niet in het aanvallen van alleen de zwakste schakel. Het weten van iemands zijn huisdier kan toegang tot een bankrekening geven, maar de kosten van het bepalen van de namen van één miljoen huisdieren is groter dan de informatie waard is. "De strategie die eenvoudig in isolatie lijkt, leidt tot bankroet in verwachting", aldus de Microsoft onderzoekers. Deze 'sum of effort' aanpak betekent dat een aanval gemiddeld bij alle pogingen geld op moet leveren, en niet alleen in een bepaalde situatie. Elke aanval brengt kosten met zich mee en geen één van de aanvallen werkt altijd.

Advies
Het grootste deel van de twee miljard internetgebruikers negeert zelfs de meest basale beveiligingsadviezen. Uit verschillende onderzoeken blijkt dat gebruikers zwakke wachtwoorden kiezen, certificaatwaarschuwingen negeren, phishingsites niet herkennen, de status van de virusscanner negeren en wachtwoorden hergebruiken. "Als de zaken er zo slecht voor staan, hoe komt het dat het dan toch goed gaat", was de vraag die Dinei Florencio en Cormac Herley zich stelden in het onderzoeksrapport "Where do all the attacks go?"

In het rapport werden alleen naar financieel gemotiveerde aanvallen gekeken. Aanvallen in de relationele sfeer, spear phishing-aanvallen en advanced persistent threats werden buiten beschouwing gelaten. Veel van de dreigingsmodellen blijken niet voor aanvallers te gelden of zijn niet op een grote populatie toe te passen. In de aanvallen die de onderzoekers bekeken is de aanvaller niet met het slachtoffer bekend. Ook weet de aanvaller niet hoeveel de informatie van het slachtoffer waard is en hoe goed het slachtoffer zichzelf heeft beveiligd. Het zou dus best kunnen dat de kosten van een aanval groter dan de mogelijke opbrengsten zijn. Daarnaast moet een aanvaller ook nog eens met andere aanvallers concurreren.

De modellen houden ook geen rekening met de schaal van het internet. Het aantal internetgebruikers is veel groter dan het aantal aanvallers. Het is onmogelijk dat een aanvaller bij elke gebruiker de zwakste schakel kan misbruiken. De zwakste schakel geldt volgens de onderzoekers alleen in een scenario waarbij één aanvaller het op één slachtoffer heeft voorzien. "Met slechts twee spelers is de dreiging die het meeste oplevert voor de aanvaller, het kostbaarst voor de verdediger."

Falen
Bij het model dat de onderzoekers toepassen, waarbij een grote groep gebruikers met een groep aanvallers te maken heeft, gaat dit niet meer op. Er zijn dan ook verschillende redenen dat aanvallen mislukken. Zo kunnen succesratio en opbrengsten te laag zijn, maar komt het ook voor dat aanvallers met elkaar botsen of dat de aanval te kostbaar is.

In hun conclusie wijzen de onderzoekers dan ook naar de opmerking van John Wanamaker. "De helft van mijn advertentiebudget is weggegooid geld. Het probleem is dat ik niet weet welke helft." In het geval van cybercriminelen ligt dit eerder bij de 99,9999% verspilling.

Het vinden van de juiste groep slachtoffers is zowel lastig als kostbaar. De voorwaarde dat aanvallen geld op moeten leveren, zorgt ervoor dat veel aanvallen die economisch haalbaar lijken, nooit worden uitgevoerd. "Wanneer aanvallers en masse gebruikers aanvallen, zoals nu gebeurt, moeten aanvallen winstgevend op schaal zijn." Veel gebruikers zijn ondanks hun onveilige surfgedrag dan ook niet de moeite waard.