O que é o ombro surfando?

Na segurança de computadores, existem muitos riscos e muitas formas que esses riscos podem assumir. Surfar no ombro é uma forma de engenharia social. Refere-se a uma classe de ataque em que um invasor obtém informações olhando para o dispositivo da vítima. Isso historicamente envolvia olhar fisicamente por cima do ombro, mas também engloba técnicas envolvendo câmeras escondidas e similares.

O exemplo clássico de navegação no ombro é quando um invasor olha por cima do ombro da vítima enquanto digita o PIN do cartão de pagamento. A consciência desse tipo de ataque levou a mudanças de comportamento, incluindo cobrir ativamente a mão e digitar o PIN com a outra mão. Alguns terminais de pagamento também incluem uma cobertura de privacidade integrada sobre o teclado PIN. Alguns caixas eletrônicos também lembram os usuários de verificar por cima dos ombros. Eles também podem apresentar um pequeno espelho para permitir que você verifique por cima do ombro.

Observação: o espelho do caixa eletrônico costuma ser minúsculo e um tanto embaçado. Isso é deliberado. É bom o suficiente para permitir que você verifique por cima do ombro. Também não é bom o suficiente permitir que um invasor bem posicionado veja seu PIN.

Essas contramedidas levaram a técnicas mais avançadas no mundo real. Muitas empresas criminosas utilizaram câmeras ocultas para espionar o PIN pad. Alguns se posicionaram mais longe e usaram binóculos ou telescópio para ver o PIN pad de uma distância segura. Câmeras térmicas também foram usadas para identificar o PIN devido ao calor remanescente deixado nos botões quando eles foram tocados. Em alguns casos, dispositivos skimmer foram colocados na frente do dispositivo, cobrindo os botões reais. Embora este último caso ainda resulte no roubo de PINs e detalhes do cartão, eles não contam estritamente como navegação no ombro, pois nenhuma observação real foi necessária.

Outras Situações

Claro, surfar no ombro também pode ser um risco em outros cenários. Qualquer sistema com um segredo curto – especialmente em um PIN pad numerado – está aberto a esse risco. Um invasor pode observar um código digitado em uma porta de segurança, ver as posições da tranqueta ao abrir um cofre ou observar a digitação de uma senha.

Observação: quando um único PIN é usado em um teclado por um período prolongado, os botões podem ficar desgastados ou sujos apenas pelo uso. Isso é semelhante – embora seja uma variante mais extrema – do conceito de imagem térmica. Normalmente, aplica-se apenas a portas de segurança, pois elas tendem a ter um PIN conhecido por todos os autorizados, que não é alterado com frequência.

O cenário de um invasor observando a digitação de uma senha é particularmente interessante em segurança de computadores. Embora você não possa fornecer uma senha às pessoas de bom grado, existem outras maneiras de obtê-la. O phishing é um risco relativamente conhecido e muitas vezes subestimado. O surf no ombro também é outro risco. Esse risco se aplica especialmente em ambientes públicos onde você não tem controle sobre as pessoas ao seu redor. Em um ambiente doméstico ou de trabalho, há mais expectativa de confiabilidade, por mais equivocada que isso possa ser.

Por exemplo, um invasor pode ver sua senha por cima do ombro se você estiver em uma cafeteria e fizer login em seu telefone. Um invasor também pode fazer o mesmo se você estiver usando um laptop. É mais fácil porque as teclas são mais proeminentes e mais fáceis de distinguir se você digitar sua senha rapidamente.

Outro conteúdo

Muitas vezes, o maior alvo dos surfistas de ombro é algo pequeno e de alto valor. PINs e senhas são ideais para isso, pois são curtos, relativamente fáceis de identificar e lembrar e fornecem acesso adicional a fundos ou uma conta ou dispositivo, por exemplo. Em outros casos, o ataque pode ser puramente oportunista ou resultado de alvos específicos, como espionagem.

Um ataque oportunista tende a ser a observação de algo sensível, mas não algo útil para o atacante. Por exemplo, alguns empresários trabalham no transporte público. Eles podem trabalhar em documentos confidenciais envolvendo previsões financeiras ou qualquer outro tipo de informação confidencial, interna e não pública. Alguém sentado próximo pode ver sua tela e coletar informações.

Nesse caso, o invasor pode nem ser um invasor real. Eles podem ser curiosos, mas não têm intenção de fazer nada com o que aprendem. Porém, nem sempre é esse o caso, e não há como saber, portanto, tome cuidado ao lidar com informações confidenciais em locais públicos. Este conceito também se aplica a conteúdos pessoais sensíveis, especialmente fotográficos ou de vídeo. Novamente, outra pessoa pode olhar para sua tela. Mesmo que eles não compartilhem mais, isso ainda pode ser uma intrusão indesejada.

Em contextos de espionagem e engenharia social, um invasor pode deliberadamente atingir uma vítima ou local para ver informações confidenciais em uma tela. Isso pode não necessariamente fornecer ao invasor acesso direto como uma senha faria. Como no exemplo anterior, outras informações confidenciais também podem ser valiosas para o invasor.

Conclusão

Surfar no ombro é uma classe de ataque de engenharia social. Envolve um invasor coletando informações observando as ações ou a tela da vítima. O surf no ombro cobre principalmente as tentativas de identificar senhas ou PINs. Também cobre tentativas de ver informações privadas nas telas, como segredos corporativos ou governamentais ou informações comprometedoras. Navegar no ombro é essencialmente o equivalente visual de espionar ou ouvir conversas que você não deveria ser capaz de ouvir.