Che cosè il surf sulle spalle?

Nella sicurezza informatica, ci sono molti rischi e molte forme che tali rischi possono assumere. Il surf sulle spalle è una forma di ingegneria sociale. Si riferisce a una classe di attacco in cui un utente malintenzionato ottiene informazioni guardando il dispositivo della vittima. Questo storicamente comportava il guardarsi fisicamente alle spalle, ma comprende anche tecniche che coinvolgono telecamere nascoste e simili.

Il classico esempio di shoulder surfing è quando un utente malintenzionato guarda oltre la spalla della vittima mentre digita il PIN della carta di pagamento. La consapevolezza di questo tipo di attacco ha portato a cambiamenti nel comportamento, incluso coprirsi attivamente la mano e digitare il PIN con l'altra mano. Alcuni terminali di pagamento includono anche una copertura per la privacy integrata sul PIN pad. Alcuni bancomat ricordano anche agli utenti di controllare le proprie spalle. Possono anche essere dotati di un piccolo specchio per permetterti di controllare da sopra la spalla.

Nota: lo specchio del bancomat è spesso minuscolo e un po' annebbiato. Questo è deliberato. È abbastanza buono da farti controllare da sopra la spalla. Inoltre, non è abbastanza buono da consentire a un utente malintenzionato ben posizionato di vedere il tuo PIN.

Queste contromisure hanno portato a tecniche più avanzate nel mondo reale. Molte imprese criminali hanno utilizzato telecamere nascoste per spiare il PIN pad. Alcuni si sono posizionati più lontano e hanno usato un binocolo o un telescopio per vedere il PIN pad da una distanza di sicurezza. Le termocamere sono state utilizzate anche per identificare il PIN a causa del calore residuo lasciato sui pulsanti quando sono stati toccati. In alcuni casi, i dispositivi skimmer sono stati posizionati sopra la parte anteriore del dispositivo, coprendo i pulsanti reali. Sebbene quest'ultimo caso comporti ancora il furto di PIN e dettagli della carta, non contano strettamente come shoulder surfing, poiché non era necessaria alcuna osservazione effettiva.

Altre situazioni

Naturalmente, anche il surf sulle spalle può essere un rischio in altri scenari. Qualsiasi sistema con un breve segreto, in particolare su un PIN pad numerato, è esposto a questo rischio. Un utente malintenzionato potrebbe guardare un codice inserito in una porta di sicurezza, vedere le posizioni del bicchiere quando si apre una cassaforte o osservare l'inserimento di una password.

Nota: quando un singolo PIN viene utilizzato su una tastiera per un periodo prolungato, i pulsanti possono consumarsi o sporcarsi solo per l'uso. Questo è simile al concetto di imaging termico, anche se più estremo. In genere si applica solo alle porte di sicurezza poiché tendono ad avere un PIN noto a tutti gli autorizzati, che non viene modificato spesso.

Lo scenario di un utente malintenzionato che osserva l'immissione di una password è particolarmente interessante nella sicurezza informatica. Anche se potresti non dire volentieri alle persone una password, ci sono altri modi per ottenerla. Il phishing è un rischio relativamente noto e spesso sottovalutato. Anche il surf sulle spalle è un altro rischio. Questo rischio si applica soprattutto in ambienti pubblici in cui non hai alcun controllo sulle persone intorno a te. In un ambiente domestico o lavorativo, c'è più di un'aspettativa di affidabilità, per quanto malriposta possa essere.

Ad esempio, un utente malintenzionato potrebbe vedere il tuo passcode da sopra la spalla se ti trovi in ​​un bar e accedi al telefono. Un utente malintenzionato può fare lo stesso anche se utilizzi un laptop. È più facile in quanto le chiavi sono più prominenti e più facili da distinguere se si digita rapidamente la password.

Altri contenuti

Spesso il più grande obiettivo dei surfisti sulle spalle è qualcosa di piccolo e di alto valore. I PIN e le password sono ideali per questo in quanto sono brevi, relativamente facili da identificare e ricordare e forniscono, ad esempio, un ulteriore accesso ai fondi o a un account o dispositivo. In altri casi, l'attacco può essere puramente opportunistico o frutto di bersagli particolari, come lo spionaggio.

Un attacco opportunistico tende ad essere l'osservazione di qualcosa di sensibile ma non utile per l'aggressore. Ad esempio, alcuni uomini d'affari lavorano sui trasporti pubblici. Possono lavorare su documenti sensibili che coinvolgono previsioni finanziarie o qualsiasi altro tipo di informazione riservata, interna e non pubblica. Qualcuno seduto nelle vicinanze potrebbe essere in grado di vedere il proprio schermo e raccogliere informazioni.

In questo caso, l'attaccante potrebbe anche non essere un vero attaccante. Possono essere curiosi ma non hanno intenzione di fare nulla con ciò che imparano. Tuttavia, non è sempre così e non c'è modo di dirlo, quindi è necessario prestare attenzione quando si trattano informazioni sensibili in luoghi pubblici. Questo concetto si applica anche ai contenuti personali sensibili, in particolare fotografici o video. Ancora una volta, qualcun altro potrebbe guardare il tuo schermo. Anche se non lo condividono ulteriormente, potrebbe comunque trattarsi di un'intrusione indesiderata.

In contesti di spionaggio e ingegneria sociale, un utente malintenzionato può prendere di mira deliberatamente una vittima o un luogo per visualizzare informazioni sensibili su uno schermo. Ciò potrebbe non fornire necessariamente all'attaccante l'accesso diretto come farebbe una password. Come nell'esempio precedente, anche altre informazioni sensibili possono essere preziose per l'attaccante.

Conclusione

Il surf sulle spalle è una classe di attacchi di ingegneria sociale. Coinvolge un utente malintenzionato che raccoglie informazioni osservando le azioni o lo schermo della vittima. Lo shoulder surfing copre principalmente i tentativi di identificare password o PIN. Copre anche i tentativi di vedere informazioni private sugli schermi, come segreti aziendali o governativi o informazioni compromettenti. Lo shoulder surfing è essenzialmente l'equivalente visivo dell'intercettazione o dell'ascolto di conversazioni che non avresti dovuto essere in grado di ascoltare.