Co to jest surfowanie na ramieniu?

W bezpieczeństwie komputerowym istnieje wiele zagrożeń i wiele form, które mogą one przybierać. Surfowanie po ramionach jest formą inżynierii społecznej. Odnosi się do klasy ataku, w której atakujący uzyskuje informacje, patrząc na urządzenie ofiary. Historycznie wymagało to fizycznego patrzenia przez ramię, ale obejmuje również techniki obejmujące ukryte kamery i tym podobne.

Klasycznym przykładem surfowania po ramieniu jest sytuacja, w której atakujący zagląda przez ramię ofiary podczas wpisywania kodu PIN jej karty płatniczej. Świadomość tego typu ataku doprowadziła do zmian w zachowaniu, w tym aktywnego zakrywania dłoni i wpisywania PIN-u drugą ręką. Niektóre terminale płatnicze mają również wbudowaną osłonę prywatności na klawiaturze PIN. Niektóre bankomaty przypominają również użytkownikom o sprawdzaniu przez ramię. Mogą być również wyposażone w małe lusterko, które pozwoli Ci sprawdzić przez ramię.

Uwaga: lustro bankomatu jest często małe i nieco zamglone. To jest celowe. Wystarczająco dobrze, żebyś mógł zajrzeć przez ramię. Nie jest również wystarczająco dobre, aby dobrze umiejscowiony atakujący mógł zobaczyć Twój kod PIN.

Te środki zaradcze doprowadziły do ​​bardziej zaawansowanych technik w prawdziwym świecie. Wiele przedsiębiorstw przestępczych wykorzystuje ukryte kamery do szpiegowania PIN Pada. Niektórzy ustawili się dalej i użyli lornetki lub teleskopu, aby zobaczyć PIN Pada z bezpiecznej odległości. Kamery termowizyjne były również używane do identyfikacji kodu PIN ze względu na resztkowe ciepło pozostawione na przyciskach po ich dotknięciu. W niektórych przypadkach skimmery zostały umieszczone z przodu urządzenia, zasłaniając prawdziwe przyciski. Chociaż ten ostatni przypadek nadal skutkuje kradzieżą kodów PIN i danych kart, nie są one traktowane jako surfowanie po ramionach, ponieważ nie była wymagana żadna rzeczywista obserwacja.

Inne sytuacje

Oczywiście surfowanie po ramieniu może również stanowić ryzyko w innych scenariuszach. Każdy system z krótkim sekretem – szczególnie na numerowanej klawiaturze PIN – jest narażony na to ryzyko. Atakujący może obserwować kod wprowadzany do drzwi antywłamaniowych, widzieć położenie zastawki podczas otwierania sejfu lub obserwować wprowadzanie hasła.

Uwaga: Gdy pojedynczy kod PIN jest używany na klawiaturze przez dłuższy czas, przyciski mogą ulec zużyciu lub zabrudzeniu podczas zwykłego użytkowania. Jest to podobne do – choć bardziej ekstremalnego wariantu – koncepcji termowizyjnej. Zwykle dotyczy to tylko drzwi antywłamaniowych, ponieważ mają one zwykle jeden kod PIN znany wszystkim upoważnionym osobom, który nie jest często zmieniany.

Scenariusz, w którym atakujący obserwuje wprowadzanie hasła, jest szczególnie interesujący w bezpieczeństwie komputerowym. Chociaż możesz nie chcieć podawać ludziom hasła, istnieją inne sposoby, aby je zdobyć. Phishing jest stosunkowo dobrze znanym i często niedocenianym ryzykiem. Surfowanie na ramieniu to także inne ryzyko. Ryzyko to dotyczy zwłaszcza miejsc publicznych, w których nie masz kontroli nad ludźmi wokół siebie. W środowisku domowym lub w pracy oczekuje się większej wiarygodności, choć może to być nie na miejscu.

Na przykład osoba atakująca może zobaczyć Twój kod dostępu przez ramię, jeśli jesteś w kawiarni i logujesz się na swoim telefonie. Osoba atakująca może również zrobić to samo, jeśli używasz laptopa. Jest to łatwiejsze, ponieważ klawisze są bardziej widoczne i łatwiejsze do rozróżnienia, jeśli szybko wpiszesz hasło.

Inne treści

Często największym celem surferów na ramieniu jest coś małego o dużej wartości. Kody PIN i hasła są do tego idealne, ponieważ są krótkie, stosunkowo łatwe do zidentyfikowania i zapamiętania oraz umożliwiają np. dalszy dostęp do środków, konta lub urządzenia. W innych przypadkach atak może być czysto oportunistyczny lub wynikać z określonych celów, takich jak szpiegostwo.

Atak oportunistyczny to zwykle obserwacja czegoś wrażliwego, ale nie przydatnego dla atakującego. Na przykład niektórzy biznesmeni pracują w transporcie publicznym. Mogą pracować nad wrażliwymi dokumentami obejmującymi prognozy finansowe lub inne wrażliwe informacje wewnętrzne i niepubliczne. Ktoś siedzący w pobliżu może zobaczyć jego ekran i zebrać informacje.

W takim przypadku atakujący może nawet nie być faktycznym atakującym. Mogą być ciekawi, ale nie mają zamiaru robić czegokolwiek z tym, czego się uczą. Jednak nie zawsze tak jest i nie można tego stwierdzić, dlatego należy zachować ostrożność podczas obchodzenia się z poufnymi informacjami w miejscach publicznych. Ta koncepcja dotyczy również wrażliwych treści osobistych, zwłaszcza zdjęć lub filmów. Znowu ktoś inny może spojrzeć na twój ekran. Nawet jeśli nie udostępnią go dalej, nadal może to być niechciana ingerencja.

W kontekście szpiegostwa i inżynierii społecznej osoba atakująca może celowo obrać za cel ofiarę lub lokalizację, aby wyświetlić na ekranie poufne informacje. Nie musi to koniecznie zapewniać atakującemu bezpośredniego dostępu, takiego jak hasło. Podobnie jak w poprzednim przykładzie, inne poufne informacje również mogą być cenne dla atakującego.

Wniosek

Surfowanie po ramieniu to klasa ataku socjotechnicznego. Polega na tym, że atakujący zbiera informacje, patrząc na działania lub ekran ofiary. Surfowanie po ramieniu obejmuje przede wszystkim próby identyfikacji haseł lub kodów PIN. Obejmuje również próby wyświetlenia na ekranach prywatnych informacji, takich jak tajemnice korporacyjne lub państwowe lub informacje kompromitujące. Surfowanie po ramieniu jest zasadniczo wizualnym odpowiednikiem podsłuchiwania lub słuchania rozmów, których nie powinieneś słyszeć.