Ce este Shoulder Surfing?

În securitatea computerelor, există multe riscuri și multe forme pe care le pot lua acele riscuri. Surfingul pe umăr este o formă de inginerie socială. Se referă la o clasă de atac în care un atacator obține informații privind dispozitivul victimei. Istoric, aceasta a implicat privirea fizică peste umăr, dar include și tehnici care implică camere ascunse și altele asemenea.

Exemplul clasic de navigare pe umăr este atunci când un atacator se uită peste umărul victimei în timp ce introduce codul PIN al cardului de plată. Conștientizarea acestui tip de atac a dus la schimbări în comportament, inclusiv acoperirea activă a mâinii și introducerea codului PIN cu cealaltă mână. Unele terminale de plată includ, de asemenea, o husă de confidențialitate încorporată peste panoul PIN. De asemenea, unele bancomate le amintesc utilizatorilor să verifice peste umeri. Ele pot avea, de asemenea, o oglindă mică pentru a vă permite să verificați peste umăr.

Notă: oglinda ATM-ului este adesea mică și oarecum ceață. Acest lucru este deliberat. Este suficient de bun încât să te lase să verifici peste umăr. De asemenea, nu este suficient de bun pentru a permite unui atacator bine plasat să vă vadă PIN-ul.

Aceste contramăsuri au condus la tehnici mai avansate în lumea reală. Multe întreprinderi criminale au folosit camere ascunse pentru a spiona codul PIN. Unii s-au plasat mai departe și au folosit un binoclu sau un telescop pentru a vedea PIN-ul de la o distanță sigură. Camerele termice au fost folosite și pentru a identifica PIN-ul din cauza căldurii rămase rămase în urmă pe butoane atunci când au fost atinse. În unele cazuri, dispozitivele skimmer au fost plasate peste partea din față a dispozitivului, acoperind butoanele reale. Deși acest ultim caz duce în continuare la furtul PIN-urilor și a detaliilor cardului, acestea nu sunt strict considerate ca navigare pe umăr, deoarece nu a fost necesară nicio observație reală.

Alte Situații

Desigur, surfingul pe umăr poate fi un risc și în alte scenarii. Orice sistem cu un secret scurt – în special pe un bloc PIN numerotat – este expus acestui risc. Un atacator ar putea urmări un cod introdus într-o ușă de securitate, poate vedea pozițiile paharelor când deschide un seif sau poate observa introducerea unei parole.

Notă: Când un singur PIN este utilizat pe o tastatură pentru o perioadă lungă de timp, butoanele pot deveni uzate sau murdare doar după utilizare. Aceasta este similară – dacă este o variantă mai extremă a – conceptului de imagistică termică. De obicei, se aplică doar ușilor de securitate, deoarece acestea tind să aibă un cod PIN cunoscut de toți cei autorizați, care nu este schimbat adesea.

Scenariul unui atacator care observă introducerea unei parole este deosebit de interesant în securitatea computerelor. Deși s-ar putea să nu le spui de bunăvoie oamenilor o parolă, există și alte modalități de a o obține. Phishingul este un risc relativ bine cunoscut și adesea subapreciat. Surfingul la umăr este, de asemenea, un alt risc. Acest risc se aplică în special în mediile publice în care nu aveți control asupra oamenilor din jurul vostru. Într-un mediu de acasă sau de serviciu, există mai mult o așteptare de încredere, oricât de deplasată ar fi.

De exemplu, un atacator vă poate vedea parola peste umăr dacă vă aflați într-o cafenea și vă conectați la telefon. Un atacator poate face același lucru dacă utilizați un laptop. Este mai ușor, deoarece tastele sunt mai proeminente și mai ușor de distins dacă introduceți rapid parola.

Alte conținuturi

Adesea, cea mai mare țintă a surferilor de umăr este ceva mic de mare valoare. Codurile PIN și parolele sunt ideale pentru acest lucru, deoarece sunt scurte, relativ ușor de identificat și reținut și oferă acces suplimentar la fonduri sau la un cont sau dispozitiv, de exemplu. În alte cazuri, atacul poate fi pur oportunist sau rezultatul unor ținte specifice, cum ar fi spionajul.

Un atac oportunist tinde să fie observarea a ceva sensibil, dar nu a ceva util atacatorului. De exemplu, unii oameni de afaceri lucrează în transportul public. Aceștia pot lucra pe documente sensibile care implică previziuni financiare sau orice alt tip de informații sensibile, interne și non-publice. Cineva care stă în apropiere poate să-și vadă ecranul și să culeagă informații.

În acest caz, atacatorul poate să nu fie nici măcar un atacator real. Ei pot fi curioși, dar nu au intenția de a face nimic cu ceea ce învață. Acest lucru nu este întotdeauna cazul, totuși și nu există nicio modalitate de a spune, așa că ar trebui să aveți grijă atunci când aveți de-a face cu informații sensibile în locuri publice. Acest concept se aplică și conținutului personal sensibil, în special foto sau video. Din nou, altcineva se poate uita la ecranul tău. Chiar dacă nu o împărtășesc în continuare, aceasta poate fi totuși o intruziune nedorită.

În contexte de spionaj și inginerie socială, un atacator poate viza în mod deliberat o victimă sau o locație pentru a vedea informații sensibile pe un ecran. Acest lucru poate să nu ofere neapărat atacatorului acces direct, așa cum ar face o parolă. La fel ca exemplul anterior, alte informații sensibile pot fi, de asemenea, valoroase pentru atacator.

Concluzie

Surfingul pe umăr este o clasă de atac de inginerie socială. Implică un atacator care culege informații privind acțiunile sau ecranul victimei. Navigarea pe umăr acoperă în primul rând încercările de identificare a parolelor sau a codurilor PIN. De asemenea, acoperă încercările de a vedea informații private pe ecrane, cum ar fi secrete corporative sau guvernamentale sau informații compromițătoare. Navigarea pe umăr este, în esență, echivalentul vizual al interceptării sau ascultării conversațiilor pe care nu ar fi trebuit să le auzi.