ไหล่ท่องคืออะไร?

ในการรักษาความปลอดภัยคอมพิวเตอร์ มีความเสี่ยงมากมายและหลายรูปแบบที่ความเสี่ยงเหล่านั้นสามารถรับได้ การท่องไหล่เป็นรูปแบบหนึ่งของวิศวกรรมสังคม หมายถึงการโจมตีประเภทหนึ่งที่ผู้โจมตีได้รับข้อมูลโดยดูจากอุปกรณ์ของเหยื่อ ในอดีตสิ่งนี้เกี่ยวข้องกับการมองข้ามไหล่ของพวกเขา แต่ยังรวมถึงเทคนิคที่เกี่ยวข้องกับกล้องที่ซ่อนอยู่และอื่น ๆ

ตัวอย่างคลาสสิกของการโต้กลับคือเมื่อผู้โจมตีมองข้ามไหล่ของเหยื่อขณะพิมพ์รหัส PIN ของบัตรชำระเงิน การตระหนักรู้ถึงการโจมตีประเภทนี้ได้นำไปสู่การเปลี่ยนแปลงพฤติกรรม รวมถึงการปิดมืออย่างแข็งขันและพิมพ์ PIN ด้วยมืออีกข้างหนึ่ง เครื่องชำระเงินบางเครื่องยังมีแผ่นปิดความเป็นส่วนตัวในตัวบนแผ่น PIN ตู้เอทีเอ็มบางแห่งยังเตือนผู้ใช้ให้ตรวจสอบเหนือไหล่ของพวกเขา พวกเขายังอาจมีกระจกบานเล็กเพื่อให้คุณตรวจสอบไหล่ของคุณ

หมายเหตุ:กระจก ATM มักจะเล็กและค่อนข้างมีฝ้า นี่คือเจตนา มันดีพอที่จะให้คุณตรวจสอบไหล่ของคุณ นอกจากนี้ยังไม่ดีพอที่จะทำให้ผู้โจมตีที่มีสถานะดีสามารถเห็น PIN ของคุณได้

มาตรการตอบโต้เหล่านี้นำไปสู่เทคนิคขั้นสูงในโลกแห่งความเป็นจริง องค์กรอาชญากรหลายแห่งใช้กล้องที่ซ่อนอยู่เพื่อสอดแนมแผ่น PIN บางคนวางตัวเองให้ไกลออกไปและใช้กล้องส่องทางไกลหรือกล้องโทรทรรศน์เพื่อดูแป้น PIN จากระยะที่ปลอดภัย กล้องตรวจจับความร้อนยังถูกใช้เพื่อระบุรหัส PIN เนื่องจากความร้อนที่หลงเหลืออยู่บนปุ่มเมื่อถูกสัมผัส ในบางกรณี มีการวางอุปกรณ์สกิมเมอร์ไว้เหนือด้านหน้าของอุปกรณ์ ครอบคลุมปุ่มจริง แม้ว่ากรณีสุดท้ายนี้ยังคงส่งผลให้ PIN และรายละเอียดบัตรถูกขโมย แต่ก็ไม่นับเป็นการท่องไหล่โดยเคร่งครัด เนื่องจากไม่จำเป็นต้องมีการสังเกตอย่างแท้จริง

สถานการณ์อื่น ๆ

แน่นอน การโต้คลื่นที่ไหล่อาจเป็นความเสี่ยงในสถานการณ์อื่นๆ ได้เช่นกัน ระบบใดก็ตามที่มีความลับสั้นๆ โดยเฉพาะบนแป้น PIN ที่มีตัวเลข มีความเสี่ยงนี้ ผู้โจมตีสามารถดูรหัสที่ป้อนเข้าไปในประตูรักษาความปลอดภัย ดูตำแหน่งแก้วน้ำเมื่อเปิดตู้เซฟ หรือสังเกตรหัสผ่านที่ป้อน

หมายเหตุ:เมื่อใช้ PIN เดียวบนแผงปุ่มกดเป็นระยะเวลานาน ปุ่มอาจชำรุดหรือสกปรกจากการใช้งาน ซึ่งคล้ายกับแนวคิดการถ่ายภาพความร้อน โดยทั่วไปจะใช้กับประตูรักษาความปลอดภัยเท่านั้น เนื่องจากมักจะมี PIN เดียวที่ทราบโดยทุกคนที่ได้รับอนุญาต ซึ่งมักจะไม่เปลี่ยนแปลง

สถานการณ์ของผู้โจมตีที่สังเกตรหัสผ่านที่ป้อนนั้นน่าสนใจอย่างยิ่งในความปลอดภัยของคอมพิวเตอร์ แม้ว่าคุณอาจไม่เต็มใจบอกรหัสผ่านแก่ผู้อื่น แต่ก็มีวิธีอื่นในการรับรหัสผ่าน ฟิชชิงเป็นความเสี่ยงที่ค่อนข้างเป็นที่รู้จักและมักจะประเมินค่าต่ำเกินไป การท่องไหล่ก็เป็นความเสี่ยงเช่นกัน ความเสี่ยงนี้นำไปใช้โดยเฉพาะอย่างยิ่งในที่สาธารณะซึ่งคุณไม่สามารถควบคุมผู้คนรอบตัวคุณได้ ในสภาพแวดล้อมที่บ้านหรือที่ทำงาน มีความคาดหวังเรื่องความน่าเชื่อถือมากขึ้น ซึ่งอาจจะผิดคาดไปบ้าง

ตัวอย่างเช่น ผู้โจมตีอาจเห็นรหัสผ่านของคุณที่ไหล่ของคุณ หากคุณอยู่ในร้านกาแฟและลงชื่อเข้าใช้โทรศัพท์ ผู้โจมตีสามารถทำเช่นเดียวกันได้หากคุณใช้แล็ปท็อป ง่ายกว่าเนื่องจากคีย์จะเด่นกว่าและแยกแยะได้ง่ายกว่าหากคุณพิมพ์รหัสผ่านอย่างรวดเร็ว

เนื้อหาอื่น ๆ

บ่อยครั้งที่เป้าหมายที่ใหญ่ที่สุดของนักเล่นไหล่คือสิ่งเล็กน้อยที่มีมูลค่าสูง PIN และรหัสผ่านเหมาะสำหรับกรณีนี้เนื่องจากสั้น ค่อนข้างง่ายในการระบุและจดจำ และให้การเข้าถึงเงินหรือบัญชีหรืออุปกรณ์เพิ่มเติม เป็นต้น ในกรณีอื่นๆ การโจมตีอาจเป็นเพียงการฉวยโอกาสหรือเป็นผลมาจากการกำหนดเป้าหมายเฉพาะ เช่น การจารกรรม

การโจมตีแบบฉวยโอกาสมักจะเป็นการสังเกตบางสิ่งที่ละเอียดอ่อนแต่ไม่ใช่สิ่งที่เป็นประโยชน์ต่อผู้โจมตี ตัวอย่างเช่น นักธุรกิจบางคนทำงานบนระบบขนส่งมวลชน พวกเขาอาจทำงานกับเอกสารที่ละเอียดอ่อนซึ่งเกี่ยวข้องกับการคาดการณ์ทางการเงินหรือข้อมูลที่ละเอียดอ่อน ข้อมูลภายใน และไม่เปิดเผยต่อสาธารณะประเภทอื่นๆ คนที่นั่งอยู่ใกล้ๆ อาจมองเห็นหน้าจอและรวบรวมข้อมูลได้

ในกรณีนี้ ผู้โจมตีอาจไม่ใช่ผู้โจมตีจริงด้วยซ้ำ พวกเขาอาจจะอยากรู้อยากเห็น แต่ไม่มีความตั้งใจที่จะทำอะไรกับสิ่งที่เรียนรู้ นี่ไม่ใช่กรณีเสมอไป และไม่มีทางที่จะบอกได้ ดังนั้นควรระมัดระวังในการจัดการกับข้อมูลที่ละเอียดอ่อนในที่สาธารณะ แนวคิดนี้ยังใช้กับเนื้อหาส่วนตัวที่ละเอียดอ่อน โดยเฉพาะภาพถ่ายหรือวิดีโอ อีกครั้ง คนอื่นอาจดูหน้าจอของคุณ แม้ว่าพวกเขาจะไม่แชร์ต่อ แต่นั่นก็ยังอาจเป็นการบุกรุกที่ไม่พึงประสงค์

ในบริบทของหน่วยสืบราชการลับและวิศวกรรมสังคม ผู้โจมตีอาจจงใจกำหนดเป้าหมายเหยื่อหรือสถานที่เพื่อดูข้อมูลที่ละเอียดอ่อนบนหน้าจอ สิ่งนี้อาจไม่จำเป็นต้องให้ผู้โจมตีเข้าถึงได้โดยตรงเหมือนรหัสผ่าน เช่นเดียวกับตัวอย่างก่อนหน้านี้ ข้อมูลที่ละเอียดอ่อนอื่นๆ อาจมีประโยชน์ต่อผู้โจมตีได้เช่นกัน

บทสรุป

การโต้คลื่นไหล่เป็นการโจมตีแบบวิศวกรรมสังคม มันเกี่ยวข้องกับผู้โจมตีที่รวบรวมข้อมูลโดยดูจากการกระทำหรือหน้าจอของเหยื่อ การท่องไหล่ครอบคลุมความพยายามในการระบุรหัสผ่านหรือ PIN เป็นหลัก นอกจากนี้ยังครอบคลุมถึงความพยายามที่จะเห็นข้อมูลส่วนตัวบนหน้าจอ เช่น ความลับขององค์กรหรือของรัฐบาล หรือข้อมูลที่ประนีประนอม การท่องไหล่เป็นสิ่งที่เทียบเท่ากับการดักฟังหรือฟังการสนทนาที่คุณไม่ควรจะได้ยิน