Onderzoekers hebben mensen onbekende computersoftware laten installeren tegen een betaling van zeer kleine bedragen. De resultaten tonen volgens de wetenschappers dat mensen in ruil voor weinig geld bereid zijn de veiligheid van hun computer in het geding te brengen.

De onderzoekers, van de universiteit Carnegie Mellon in de VS, plaatsten een taak op Mechanical Turk, een Amazon-dienst die het mogelijk maakt om kleine taken uit te laten voeren door internetgebruikers in ruil voor geld.

Voor bedragen van 1, 5, 10, 50 of 100 dollarcent werden Windows-gebruikers gevraagd om een programma met de naam 'Client.exe' te draaien. Deze software zou na een uur een code genereren waarmee de betaling binnen te halen viel.

In de omschrijving van de opdracht werd gesteld dat het om een onderzoek ging, maar daarvoor kregen de participanten verder geen bewijs. Het account dat werd gebruikt was niet gelinkt aan een universiteit en het programma werd gedownload van een privéserver.

De software had dan ook net zo goed een truc kunnen zijn om malware te installeren en computers toe te voegen aan een zogenoemd 'botnet'. Deze computernetwerken worden door cybercriminelen gebruikt om aanvallen uit te voeren en om malware verder te verspreiden.

Betaling

Van de 2.854 mensen die de opdracht bekeken, besloten 1.714 mensen de software te downloaden. Ruim de helft van hen (965) besloot het programma ook daadwerkelijk te openen.

De onderzoekers ontdekten dat rond de 60 procent van de downloaders de software ook daadwerkelijk uitvoerden als de betaling 50 cent of 1 dollar was, tegenover ruim 40 procent bij de lagere bedragen.

Het programma verzamelde ook een lijst van processen die op de computers van de gebruikers draaide. Bijna 80 procent van de mensen had beveiligingssoftware, zoals een antivirusprogramma, geïnstalleerd. Wel bleek dat op 16,4 procent van de computers al malware draaide. Opvallend genoeg bleek dit percentage op de computers met beveiligingssoftware iets hoger dan gemiddeld (17,6 procent).

"Dit onderzoek is een oproep tot actie aan beveiligingsonderzoekers", zo concluderen de wetenschappers (pdf). Volgens hen moeten er mechanismen ontstaan om gebruikers te beschermen als zij besluiten voor weinig geld hun beveiliging in te ruilen.