Wat is schoudersurfen?

Bij computerbeveiliging zijn er veel risico's en vele vormen die deze risico's kunnen aannemen. Schoudersurfen is een vorm van social engineering. Het verwijst naar een aanvalsklasse waarbij een aanvaller informatie verkrijgt door naar het apparaat van het slachtoffer te kijken. Dit betekende historisch gezien fysiek meekijken over hun schouder, maar omvat ook technieken met verborgen camera's en dergelijke.

Het klassieke voorbeeld van schoudersurfen is wanneer een aanvaller over de schouder van het slachtoffer meekijkt terwijl hij de pincode van zijn betaalkaart intypt. Bewustwording van dit type aanval heeft geleid tot gedragsveranderingen, waaronder het actief bedekken van de hand en het typen van de pincode met de andere hand. Sommige betaalterminals hebben ook een ingebouwd privacyklepje over het pinpad. Sommige geldautomaten herinneren gebruikers er ook aan om over hun schouders te kijken. Ze kunnen ook een kleine spiegel hebben zodat u over uw schouder kunt kijken.

Opmerking: de ATM-spiegel is vaak klein en enigszins mistig. Dit is opzettelijk. Het is goed genoeg om je over je schouder te laten kijken. Het is ook niet goed genoeg om een ​​goed geplaatste aanvaller uw pincode te laten zien.

Deze tegenmaatregelen hebben geleid tot meer geavanceerde technieken in de echte wereld. Veel criminele ondernemingen hebben verborgen camera's gebruikt om de pincode te bespioneren. Sommigen zijn verder weg gaan staan ​​en hebben een verrekijker of een telescoop gebruikt om het pinpad vanaf een veilige afstand te zien. Thermische camera's zijn ook gebruikt om de pincode te identificeren vanwege de restwarmte die achterbleef op de knoppen toen ze werden aangeraakt. In sommige gevallen zijn skimmer-apparaten over de voorkant van het apparaat geplaatst, waardoor de echte knoppen worden bedekt. Hoewel dit laatste geval er nog steeds toe leidt dat pincodes en kaartgegevens worden gestolen, tellen ze niet strikt mee als schoudersurfen, aangezien er geen daadwerkelijke observatie nodig was.

Andere situaties

Natuurlijk kan schoudersurfen ook in andere scenario's een risico zijn. Elk systeem met een kort geheim - vooral op een genummerd pincodeblok - staat open voor dit risico. Een aanvaller kan kijken naar een code die wordt ingevoerd in een veiligheidsdeur, de posities van de tuimelschakelaars zien bij het openen van een kluis, of observeren dat een wachtwoord wordt ingevoerd.

Opmerking: wanneer een enkele pincode gedurende langere tijd op een toetsenbord wordt gebruikt, kunnen de knoppen door het gebruik versleten of vuil worden. Dit is vergelijkbaar met – zij het een extremere variant van – het warmtebeeldconcept. Het is meestal alleen van toepassing op veiligheidsdeuren, aangezien deze de neiging hebben om één pincode te hebben die bekend is bij iedereen die bevoegd is, en die niet vaak wordt gewijzigd.

Het scenario van een aanvaller die observeert dat een wachtwoord wordt ingevoerd, is met name interessant in computerbeveiliging. Hoewel u mensen misschien niet graag een wachtwoord vertelt, zijn er andere manieren om het te krijgen. Phishing is een relatief bekend en vaak ondergewaardeerd risico. Schoudersurfen is ook een ander risico. Dit risico is vooral van toepassing in openbare omgevingen waar u geen controle heeft over de mensen om u heen. In een thuis- of werkomgeving wordt meer betrouwbaarheid verwacht, hoe misplaatst dat ook mag zijn.

Een aanvaller kan bijvoorbeeld uw toegangscode over uw schouder zien als u zich in een coffeeshop bevindt en zich aanmeldt bij uw telefoon. Een aanvaller kan hetzelfde doen als je een laptop gebruikt. Het is gemakkelijker omdat de toetsen prominenter en gemakkelijker te onderscheiden zijn als u snel uw wachtwoord typt.

Andere inhoud

Vaak is het grootste doelwit van schoudersurfers iets kleins van grote waarde. Pincodes en wachtwoorden zijn hiervoor ideaal, omdat ze kort zijn, relatief eenvoudig te identificeren en te onthouden en verdere toegang bieden tot bijvoorbeeld geld of een rekening of apparaat. In andere gevallen kan de aanval puur opportunistisch zijn of het resultaat van bepaalde doelwitten, zoals spionage.

Een opportunistische aanval is meestal de observatie van iets gevoeligs, maar niet iets nuttigs voor de aanvaller. Sommige ondernemers werken bijvoorbeeld in het openbaar vervoer. Ze kunnen werken aan gevoelige documenten met betrekking tot financiële prognoses of andere soorten gevoelige, interne en niet-openbare informatie. Iemand die dichtbij zit, kan mogelijk zijn scherm zien en informatie verzamelen.

In dit geval is de aanvaller misschien niet eens een echte aanvaller. Ze zijn misschien nieuwsgierig, maar zijn niet van plan iets te doen met wat ze leren. Dit is echter niet altijd het geval en er is geen manier om dit te zeggen, dus wees voorzichtig bij het omgaan met gevoelige informatie op openbare plaatsen. Dit concept is ook van toepassing op gevoelige persoonlijke inhoud, met name foto's of video's. Nogmaals, iemand anders kan naar uw scherm kijken. Zelfs als ze het niet verder delen, kan dat nog steeds een ongewenste inbreuk zijn.

In contexten van spionage en social engineering kan een aanvaller zich opzettelijk richten op een slachtoffer of locatie om gevoelige informatie op een scherm te zien. Dit geeft de aanvaller niet noodzakelijkerwijs directe toegang zoals een wachtwoord dat zou doen. Net als het vorige voorbeeld kan ook andere gevoelige informatie waardevol zijn voor de aanvaller.

Conclusie

Schoudersurfen is een klasse van social engineering-aanvallen. Hierbij verzamelt een aanvaller informatie door naar de acties of het scherm van het slachtoffer te kijken. Schoudersurfen omvat voornamelijk pogingen om wachtwoorden of pincodes te identificeren. Het dekt ook pogingen om privé-informatie op schermen te zien, zoals bedrijfs- of overheidsgeheimen of compromitterende informatie. Schoudersurfen is in wezen het visuele equivalent van afluisteren of luisteren naar gesprekken die je niet hoort te kunnen horen.