UX против мошенников

Каждый из нас слышал истории взлома сервисов и учеток с разными исходами, у кого-то побывали в таких ситуациях близкие.

Что думают об этом архитекторы, разрабатывающие и принимающие эти сервисы?
Опыт показывает, что они подозревают, что что-то идет не так. А дальше включается традиционный иерархический менталитет, где даже самое благое предложение, оспаривающее чье-то решение, может очень быстро привести автора на мороз с нелестными рекомендациями.

Да и понятно, что не предложишь внезапно начать развивать то, чего еще нету, требований на это ниоткуда не спускалось, в списке бизнес-целей оно тоже не наблюдается.

Что есть общение пользователя с сервисами, включая разные госуслуги?
HCI - человеко-машинное взаимодействие.

На современных схемах дисциплин HCI уже есть cyber security.

В последнее время общество осознало риски цифровизации и активно пытается от них защищаться. Эти риски реализуются не где-то в космосе, а (в числе прочего) в процессе взаимодействия пользователя и приложения, и кажется, есть где развернуться тому самому дизайнеру HCI и связанного с ним UX, с его пониманием психологии взаимодействия с приложениями и поведения пользователей. Но что-то дизайнерских голосов не слышно.

Выявить шаги, которые эксплуатируют злоумышленники, обнародовать повторяющиеся сценарии, создать стандарт по их обходу и ликвидации последствий, применять его, дополнять и обновлять созданное - на первый взгляд похоже, что нас посетил капитан очевидность. Но давайте посмотрим примеры сценариев:

 Намеренно не детализирую, где это может произойти, но два из перечисленных на картинке кейсов были прожиты мной изнутри.

Мои личные выводы о причинах отсутствия интереса профильных специалистов к проблематике:

• Сложность и закрытость расследований – мы узнаем о подобном из новостей без доступа к полной детальной картине;

• Проблема находится на стыке компетенций – где-то рядом с ИБ и разработкой взаимодействия пользователя и системы, и этим полюсам трудно встретиться;

• Слабая компетенция cybersecurity в UX, то есть отсутствие таких специалистов.
  Ведь сложилось, что UX всегда был про что-то «продуктовое»;

• Невозможность передачи обратной связи о приложении его разработчикам.

Есть предположение, что может влиять и проектный характер разработки подобных систем, неизвестно, насколько к нему применима популярная схема решения проблем, или проект после исполнения завершается.

О хорошем. Недавно добавленный самозапрет на кредиты, кстати, это в том числе три эвристики UX:

• Visibility of System Status

• User Control and Freedom (в статьях по UX обычно это значит немного другое, но контроля точно прибавилось)

• Error Prevention

То есть дело противодействия мошенникам уже живет, причем в небанковском сервисе.

Возвращаясь к началу, к чему все это написано. Сегодня мог бы быть звездный час дизайнеров с компетенциями ИБ в UX — разработчиков интерфейсов, устойчивых к мошенничеству. То есть вроде бы речь идет про взаимодействие человек‑компьютер, но перед ним ставятся цели, которых раньше не было. Момент похож на положение вещей, которое было при зарождении UX community лет 10–15 назад.

Что скажете, Хабр?