Çfarë është Shoulder Surfing?

Në sigurinë kompjuterike, ka shumë rreziqe dhe shumë forma që ato rreziqe mund të marrin. Sërfimi i shpatullave është një formë e inxhinierisë sociale. I referohet një klase sulmi ku një sulmues merr informacion duke parë pajisjen e viktimës. Kjo përfshin historikisht shikimin fizik mbi supe, por gjithashtu përfshin teknika që përfshijnë kamera të fshehta dhe të ngjashme.

Shembulli klasik i surfimit të shpatullave është kur një sulmues shikon mbi shpatullën e viktimës ndërsa shkruan PIN-in e kartës së tij të pagesës. Ndërgjegjësimi për këtë lloj sulmi ka çuar në ndryshime në sjellje, duke përfshirë mbulimin aktiv të dorës dhe shtypjen e PIN-it me dorën tjetër. Disa terminale pagese përfshijnë gjithashtu një mbulesë të integruar të privatësisë mbi bllokun PIN. Disa ATM gjithashtu u kujtojnë përdoruesve të kontrollojnë mbi supet e tyre. Ato mund të kenë gjithashtu një pasqyrë të vogël për t'ju lejuar të kontrolloni mbi supe.

Shënim: Pasqyra e ATM-së është shpesh e vogël dhe disi me mjegull. Kjo është e qëllimshme. Është mjaft e mirë për t'ju lejuar të kontrolloni mbi supe. Gjithashtu nuk është mjaft e mirë për të lejuar një sulmues të vendosur mirë të shohë kodin PIN tuaj.

Këto kundërmasa kanë çuar në teknika më të avancuara në botën reale. Shumë ndërmarrje kriminale kanë përdorur kamera të fshehta për të spiunuar bllokun PIN. Disa e kanë vendosur veten më larg dhe kanë përdorur dylbi ose teleskop për të parë bllokun PIN nga një distancë e sigurt. Kamerat termike janë përdorur gjithashtu për të identifikuar kodin PIN për shkak të nxehtësisë së mbetur të mbetur në butona kur ato prekeshin. Në disa raste, pajisjet skimmer janë vendosur mbi pjesën e përparme të pajisjes, duke mbuluar butonat e vërtetë. Ndërsa ky rast i fundit rezulton ende në vjedhjen e kodeve PIN dhe detajeve të kartave, ato nuk llogariten rreptësisht si surfim i shpatullave, pasi nuk nevojitej ndonjë vëzhgim aktual.

Situata të tjera

Sigurisht, surfimi i shpatullave mund të jetë gjithashtu një rrezik në skenarë të tjerë. Çdo sistem me një sekret të shkurtër – veçanërisht në një bllok PIN me numër – është i hapur ndaj këtij rreziku. Një sulmues mund të shikojë një kod të futur në një derë sigurie, të shikojë pozicionet e kasafortës kur hap një kasafortë ose të vëzhgojë futjen e një fjalëkalimi.

Shënim: Kur një PIN i vetëm përdoret në një tastierë për një periudhë të gjatë, butonat mund të konsumohen ose të njollosen vetëm nga përdorimi. Ky është i ngjashëm - nëse është një variant më ekstrem i - konceptit të imazhit termik. Zakonisht zbatohet vetëm për dyert e sigurisë pasi ato priren të kenë një PIN të njohur nga të gjithë të autorizuarit, i cili nuk ndryshohet shpesh.

Skenari i një sulmuesi që vëzhgon futjen e një fjalëkalimi është veçanërisht interesant në sigurinë e kompjuterit. Ndërsa mund të mos u tregoni njerëzve me dëshirë një fjalëkalim, ka mënyra të tjera për ta marrë atë. Phishing është një rrezik relativisht i njohur dhe shpesh i nënvlerësuar. Sërfimi i shpatullave është gjithashtu një rrezik tjetër. Ky rrezik vlen veçanërisht në mjediset publike ku nuk keni kontroll mbi njerëzit përreth jush. Në një mjedis shtëpie ose pune, ka më shumë një pritshmëri për besueshmëri, sado e gabuar të jetë kjo.

Për shembull, një sulmues mund të shohë kodkalimin tuaj mbi supe nëse jeni në një kafene dhe regjistroheni në telefonin tuaj. Një sulmues mund të bëjë të njëjtën gjë nëse jeni duke përdorur një laptop. Është më e lehtë pasi çelësat janë më të dukshëm dhe më të lehtë për t'u dalluar nëse shkruani shpejt fjalëkalimin tuaj.

Përmbajtje të tjera

Shpesh objektivi më i madh i surfuesve të shpatullave është diçka e vogël me vlerë të lartë. PIN-et dhe fjalëkalimet janë ideale për këtë pasi janë të shkurtër, relativisht të lehtë për t'u identifikuar dhe mbajtur mend dhe ofrojnë akses të mëtejshëm në fonde ose një llogari ose pajisje, për shembull. Në raste të tjera, sulmi mund të jetë thjesht oportunist ose rezultat i synimeve të veçanta, siç është spiunazhi.

Një sulm oportunist tenton të jetë vëzhgimi i diçkaje të ndjeshme, por jo diçka e dobishme për sulmuesin. Për shembull, disa biznesmenë punojnë në transportin publik. Ata mund të punojnë në dokumente të ndjeshme që përfshijnë parashikime financiare ose çdo lloj informacioni të ndjeshëm, të brendshëm dhe jo publik. Dikush i ulur afër mund të jetë në gjendje të shohë ekranin e tij dhe të mbledhë informacion.

Në këtë rast, sulmuesi mund të mos jetë as një sulmues aktual. Ata mund të jenë kureshtarë, por nuk kanë ndërmend të bëjnë asgjë me atë që mësojnë. Megjithatë, kjo nuk është gjithmonë kështu dhe nuk ka asnjë mënyrë për ta thënë, ndaj duhet pasur kujdes kur merreni me informacione të ndjeshme në vende publike. Ky koncept vlen edhe për përmbajtjet e ndjeshme personale, veçanërisht fotografike ose video. Përsëri, dikush tjetër mund të shikojë në ekranin tuaj. Edhe nëse nuk e ndajnë më tej, kjo mund të jetë ende një ndërhyrje e padëshiruar.

Në kontekstet e spiunazhit dhe inxhinierisë sociale, një sulmues mund të synojë qëllimisht një viktimë ose vendndodhje për të parë informacione të ndjeshme në një ekran. Kjo nuk mund t'i sigurojë domosdoshmërisht sulmuesit akses të drejtpërdrejtë si një fjalëkalim. Ashtu si shembulli i mëparshëm, informacione të tjera të ndjeshme gjithashtu mund të jenë të vlefshme për sulmuesin.

konkluzioni

Sërfimi i shpatullave është një klasë e sulmit të inxhinierisë sociale. Ai përfshin një sulmues që mbledh informacion duke parë veprimet ose ekranin e viktimës. Surfimi i shpatullave mbulon kryesisht përpjekjet për të identifikuar fjalëkalimet ose PIN-et. Ai gjithashtu mbulon përpjekjet për të parë informacione private në ekrane, të tilla si sekretet e korporatave ose qeveritare ose informacione komprometuese. Sërfimi i shpatullave është në thelb ekuivalenti vizual i përgjimit ose dëgjimit të bisedave që nuk duhej t'i dëgjonit.