Che cosè il surf sulle spalle?

Nella sicurezza informatica, ci sono molti rischi e molte forme che tali rischi possono assumere. Il surf sulle spalle è una forma di ingegneria sociale. Si riferisce a una classe di attacco in cui un utente malintenzionato ottiene informazioni guardando il dispositivo della vittima. Questo storicamente comportava il guardarsi fisicamente alle spalle, ma comprende anche tecniche che coinvolgono telecamere nascoste e simili.

Il classico esempio di shoulder surfing è quando un utente malintenzionato guarda oltre la spalla della vittima mentre digita il PIN della carta di pagamento. La consapevolezza di questo tipo di attacco ha portato a cambiamenti nel comportamento, incluso coprirsi attivamente la mano e digitare il PIN con l'altra mano. Alcuni terminali di pagamento includono anche una copertura per la privacy integrata sul PIN pad. Alcuni bancomat ricordano anche agli utenti di controllare le proprie spalle. Possono anche essere dotati di un piccolo specchio per permetterti di controllare da sopra la spalla.

Nota: lo specchio del bancomat è spesso minuscolo e un po' annebbiato. Questo è deliberato. È abbastanza buono da farti controllare da sopra la spalla. Inoltre, non è abbastanza buono da consentire a un utente malintenzionato ben posizionato di vedere il tuo PIN.

Queste contromisure hanno portato a tecniche più avanzate nel mondo reale. Molte imprese criminali hanno utilizzato telecamere nascoste per spiare il PIN pad. Alcuni si sono posizionati più lontano e hanno usato un binocolo o un telescopio per vedere il PIN pad da una distanza di sicurezza. Le termocamere sono state utilizzate anche per identificare il PIN a causa del calore residuo lasciato sui pulsanti quando sono stati toccati. In alcuni casi, i dispositivi skimmer sono stati posizionati sopra la parte anteriore del dispositivo, coprendo i pulsanti reali. Sebbene quest'ultimo caso comporti ancora il furto di PIN e dettagli della carta, non contano strettamente come shoulder surfing, poiché non era necessaria alcuna osservazione effettiva.

Altre situazioni

Naturalmente, anche il surf sulle spalle può essere un rischio in altri scenari. Qualsiasi sistema con un breve segreto, in particolare su un PIN pad numerato, è esposto a questo rischio. Un utente malintenzionato potrebbe guardare un codice inserito in una porta di sicurezza, vedere le posizioni del bicchiere quando si apre una cassaforte o osservare l'inserimento di una password.

Nota: quando un singolo PIN viene utilizzato su una tastiera per un periodo prolungato, i pulsanti possono consumarsi o sporcarsi solo per l'uso. Questo è simile al concetto di imaging termico, anche se più estremo. In genere si applica solo alle porte di sicurezza poiché tendono ad avere un PIN noto a tutti gli autorizzati, che non viene modificato spesso.

Lo scenario di un utente malintenzionato che osserva l'immissione di una password è particolarmente interessante nella sicurezza informatica. Anche se potresti non dire volentieri alle persone una password, ci sono altri modi per ottenerla. Il phishing è un rischio relativamente noto e spesso sottovalutato. Anche il surf sulle spalle è un altro rischio. Questo rischio si applica soprattutto in ambienti pubblici in cui non hai alcun controllo sulle persone intorno a te. In un ambiente domestico o lavorativo, c'è più di un'aspettativa di affidabilità, per quanto malriposta possa essere.

Ad esempio, un utente malintenzionato potrebbe vedere il tuo passcode da sopra la spalla se ti trovi in ​​un bar e accedi al telefono. Un utente malintenzionato può fare lo stesso anche se utilizzi un laptop. È più facile in quanto le chiavi sono più prominenti e più facili da distinguere se si digita rapidamente la password.

Altri contenuti

Spesso il più grande obiettivo dei surfisti sulle spalle è qualcosa di piccolo e di alto valore. I PIN e le password sono ideali per questo in quanto sono brevi, relativamente facili da identificare e ricordare e forniscono, ad esempio, un ulteriore accesso ai fondi o a un account o dispositivo. In altri casi, l'attacco può essere puramente opportunistico o frutto di bersagli particolari, come lo spionaggio.

Un attacco opportunistico tende ad essere l'osservazione di qualcosa di sensibile ma non utile per l'aggressore. Ad esempio, alcuni uomini d'affari lavorano sui trasporti pubblici. Possono lavorare su documenti sensibili che coinvolgono previsioni finanziarie o qualsiasi altro tipo di informazione riservata, interna e non pubblica. Qualcuno seduto nelle vicinanze potrebbe essere in grado di vedere il proprio schermo e raccogliere informazioni.

In questo caso, l'attaccante potrebbe anche non essere un vero attaccante. Possono essere curiosi ma non hanno intenzione di fare nulla con ciò che imparano. Tuttavia, non è sempre così e non c'è modo di dirlo, quindi è necessario prestare attenzione quando si trattano informazioni sensibili in luoghi pubblici. Questo concetto si applica anche ai contenuti personali sensibili, in particolare fotografici o video. Ancora una volta, qualcun altro potrebbe guardare il tuo schermo. Anche se non lo condividono ulteriormente, potrebbe comunque trattarsi di un'intrusione indesiderata.

In contesti di spionaggio e ingegneria sociale, un utente malintenzionato può prendere di mira deliberatamente una vittima o un luogo per visualizzare informazioni sensibili su uno schermo. Ciò potrebbe non fornire necessariamente all'attaccante l'accesso diretto come farebbe una password. Come nell'esempio precedente, anche altre informazioni sensibili possono essere preziose per l'attaccante.

Conclusione

Il surf sulle spalle è una classe di attacchi di ingegneria sociale. Coinvolge un utente malintenzionato che raccoglie informazioni osservando le azioni o lo schermo della vittima. Lo shoulder surfing copre principalmente i tentativi di identificare password o PIN. Copre anche i tentativi di vedere informazioni private sugli schermi, come segreti aziendali o governativi o informazioni compromettenti. Lo shoulder surfing è essenzialmente l'equivalente visivo dell'intercettazione o dell'ascolto di conversazioni che non avresti dovuto essere in grado di ascoltare.



Leave a Comment

Come clonare un disco rigido

Come clonare un disco rigido

Nell'era digitale moderna, in cui i dati sono una risorsa preziosa, la clonazione di un disco rigido su Windows può essere un processo cruciale per molti. Questa guida completa

Come risolvere il problema con il caricamento del driver WUDFRd su Windows 10?

Come risolvere il problema con il caricamento del driver WUDFRd su Windows 10?

Stai riscontrando il messaggio di errore durante l'avvio del computer che dice che il driver WUDFRd non è stato caricato sul tuo computer?

Come risolvere il codice di errore NVIDIA GeForce Experience 0x0003

Come risolvere il codice di errore NVIDIA GeForce Experience 0x0003

Hai riscontrato l'esperienza NVIDIA GeForce con il codice di errore 0x0003 sul tuo desktop? Se sì, leggi il blog per scoprire come correggere questo errore in modo semplice e veloce.

How to Use Auto Clicker for Chromebook

How to Use Auto Clicker for Chromebook

Today, were going to delve into a tool that can automate repetitive clicking tasks on your Chromebook: the Auto Clicker. This tool can save you time and

Come rimuovere una GPU da un PC Windows nel 2023

Come rimuovere una GPU da un PC Windows nel 2023

Devi rimuovere la GPU dal tuo PC? Unisciti a me mentre ti spiego come rimuovere una GPU dal tuo PC in questa guida dettagliata.

Come installare ununità SSD NVMe su desktop e laptop

Come installare ununità SSD NVMe su desktop e laptop

Hai acquistato un nuovo SSD NVMe M.2 ma non sai come installarlo? Continua a leggere per sapere come installare un'unità SSD NVMe su laptop o desktop.

Cosè una bomba logica?

Cosè una bomba logica?

Una bomba logica è un incidente di sicurezza in cui un utente malintenzionato organizza un'azione ritardata. Continua a leggere per scoprire di più.

Che cosè Stuxnet?

Che cosè Stuxnet?

Stuxnet era un worm autopropagante. È stato il primo utilizzo di un'arma informatica e la prima istanza di malware.

Cosè un hacker etico?

Cosè un hacker etico?

Un hacker etico è un hacker che agisce entro i limiti della legge. Continua a leggere per saperne di più sull'argomento.

Che cosè la crittografia simmetrica?

Che cosè la crittografia simmetrica?

Ci sono molte parti diverse della crittografia. Se vuoi crittografare alcuni dati, ci sono due tipi di algoritmi che puoi usare: symmetric