什麼是肩衝浪？

在計算機安全領域，存在許多風險以及這些風險可能採取的多種形式。肩衝浪是社會工程學的一種形式。它指的是攻擊者通過查看受害者的設備獲取信息的一類攻擊。這在歷史上涉及回頭看，但也包括涉及隱藏攝像頭等的技術。

肩窺的典型示例是攻擊者在輸入支付卡 PIN 碼時越過受害者的肩膀查看。意識到這種類型的攻擊導致行為發生變化，包括主動遮住手並用另一隻手輸入 PIN。一些支付終端還在 PIN 鍵盤上包含一個內置的隱私保護蓋。一些自動取款機還提醒用戶檢查他們的肩膀。他們可能還配有一面小鏡子，讓您可以檢查自己的肩膀。

注意： ATM 鏡子通常很小並且有些模糊。這是故意的。它足以讓你檢查你的肩膀。它也不足以讓位置合適的攻擊者看到您的 PIN。

這些對策導致了現實世界中更先進的技術。許多犯罪企業利用隱藏的攝像頭來監視密碼鍵盤。有些人將自己放在更遠的地方，並使用雙筒望遠鏡或望遠鏡從安全距離查看密碼鍵盤。由於觸摸按鈕時殘留的熱量留在按鈕上，因此熱像儀也被用於識別 PIN。在某些情況下，瀏覽器設備被放置在設備的正面，覆蓋了真正的按鈕。雖然後一種情況仍然會導致 PIN 碼和卡詳細信息被盜，但嚴格來說它們不能算作肩窺，因為不需要實際觀察。

其他情況

當然，肩膀衝浪在其他情況下也可能是一種風險。任何具有簡短密碼的系統——尤其是在數字密碼鍵盤上——都會面臨這種風險。攻擊者可以看到輸入安全門的密碼，打開保險箱時看到翻轉開關的位置，或者看到輸入的密碼。

注意：如果長時間在鍵盤上使用單個 PIN，按鈕可能會因使用而磨損或變髒。這類似於——如果是更極端的變體——熱成像概念。它通常只適用於防盜門，因為它們往往有一個 PIN 碼，每個被授權的人都知道，而且不經常更改。

攻擊者觀察輸入密碼的場景在計算機安全中特別有趣。雖然您可能不願意告訴別人密碼，但還有其他方法可以獲得密碼。網絡釣魚是一種相對知名且經常被低估的風險。肩衝浪也是另一種風險。這種風險尤其適用於您無法控制周圍人的公共場合。在家庭或工作環境中，人們對可信度的期望更高，儘管這可能是錯位的。

例如，如果您在咖啡店登錄手機，攻擊者可能會越過您的肩膀看到您的密碼。如果您使用的是筆記本電腦，攻擊者也可以這樣做。如果您快速輸入密碼，按鍵會更顯眼且更容易區分，這會更容易。

其他內容

肩膀衝浪者的最大目標通常是高價值的小東西。PIN 和密碼是理想的選擇，因為它們很短，相對容易識別和記憶，並提供對資金、賬戶或設備的進一步訪問。在其他情況下，攻擊可能純粹是機會主義的或特定目標的結果，例如間諜活動。

機會主義攻擊往往是對敏感但對攻擊者無用的事物的觀察。例如，一些商人在公共交通工具上工作。他們可能處理涉及財務預測或任何其他類型的敏感、內部和非公開信息的敏感文件。坐在附近的人可能能夠看到他們的屏幕並收集信息。

在這種情況下，攻擊者甚至可能不是真正的攻擊者。他們可能很好奇，但無意用他們學到的東西做任何事情。不過，情況並非總是如此，而且也無法分辨，因此在公共場所處理敏感信息時應格外小心。這個概念也適用於敏感的個人內容，尤其是照片或視頻。同樣，其他人可能會看您的屏幕。即使他們不進一步分享，那也可能是不受歡迎的入侵。

在間諜活動和社會工程環境中，攻擊者可能故意瞄準受害者或位置以在屏幕上查看敏感信息。這不一定會像密碼那樣為攻擊者提供直接訪問權限。與前面的示例一樣，其他敏感信息也可能對攻擊者有價值。

結論

肩窺是一類社會工程學攻擊。它涉及攻擊者通過查看受害者的操作或屏幕來收集信息。肩窺主要包括嘗試識別密碼或 PIN。它還包括試圖在屏幕上查看私人信息，例如公司或政府機密或洩露信息。肩窺本質上是竊聽或竊聽您不應該聽到的對話的視覺等價物。