Què és el surf despatlles?

En seguretat informàtica, hi ha molts riscos i moltes formes que aquests riscos poden adoptar. El surf a l'espatlla és una forma d'enginyeria social. Es refereix a una classe d'atac en què un atacant obté informació mirant el dispositiu de la víctima. Històricament, això implicava mirar físicament per sobre de l'espatlla, però també inclou tècniques que impliquen càmeres ocultes i similars.

L'exemple clàssic de navegar a l'espatlla és quan un atacant mira per sobre de l'espatlla de la víctima mentre escriu el PIN de la seva targeta de pagament. La consciència d'aquest tipus d'atac ha provocat canvis en el comportament, inclòs cobrir-se activament la mà i escriure el PIN amb l'altra mà. Alguns terminals de pagament també inclouen una coberta de privadesa integrada sobre el bloc PIN. Alguns caixers també recorden als usuaris que revisin per sobre de les seves espatlles. També poden incloure un petit mirall que us permetrà comprovar per sobre de l'espatlla.

Nota: el mirall del caixer automàtic és sovint petit i una mica boirós. Això és deliberat. És prou bo per deixar-te comprovar per sobre de l'espatlla. Tampoc és prou bo per permetre que un atacant ben situat vegi el vostre PIN.

Aquestes contramesures han donat lloc a tècniques més avançades en el món real. Moltes empreses criminals han utilitzat càmeres ocultes per espiar el llapis PIN. Alguns s'han col·locat més lluny i han utilitzat binocles o un telescopi per veure el llapis PIN des d'una distància segura. També s'han utilitzat càmeres tèrmiques per identificar el PIN a causa de la calor residual que queda als botons en tocar-los. En alguns casos, els dispositius skimmer s'han col·locat a la part frontal del dispositiu, cobrint els botons reals. Tot i que aquest últim cas encara provoca el robatori de PIN i dades de la targeta, no es compten estrictament com a navegació a l'espatlla, ja que no calia cap observació real.

Altres Situacions

Per descomptat, el surf a l'espatlla també pot ser un risc en altres escenaris. Qualsevol sistema amb un secret breu, especialment en un llapis PIN numerat, està obert a aquest risc. Un atacant podria veure un codi introduït a una porta de seguretat, veure les posicions del got quan obre una caixa forta o observar que s'introdueix una contrasenya.

Nota: quan s'utilitza un únic PIN en un teclat durant un període prolongat, els botons es poden desgastar o quedar bruts només amb l'ús. Això és similar al concepte d'imatge tèrmica, si és una variant més extrema. Normalment només s'aplica a les portes de seguretat, ja que solen tenir un PIN conegut per tothom autoritzat, que no es canvia sovint.

L'escenari d'un atacant observant que s'introdueix una contrasenya és especialment interessant en seguretat informàtica. Tot i que és possible que no digueu una contrasenya a la gent de bon grat, hi ha altres maneres d'obtenir-la. La pesca és un risc relativament conegut i sovint infravalorat. El surf a l'espatlla també és un altre risc. Aquest risc s'aplica especialment en entorns públics on no tens control sobre les persones que t'envolten. En un entorn domèstic o laboral, hi ha més expectatives de fiabilitat, per molt equivocada que sigui.

Per exemple, un atacant pot veure la vostra contrasenya per sobre de l'espatlla si sou a una cafeteria i inicieu sessió al telèfon. Un atacant també pot fer el mateix si feu servir un ordinador portàtil. És més fàcil, ja que les tecles són més destacades i més fàcils de distingir si escriviu ràpidament la contrasenya.

Altres continguts

Sovint, l'objectiu més gran dels surfistes d'espatlles és quelcom petit d'alt valor. Els PIN i les contrasenyes són ideals per a això, ja que són breus, relativament fàcils d'identificar i recordar i proporcionen més accés als fons o a un compte o dispositiu, per exemple. En altres casos, l'atac pot ser purament oportunista o el resultat d'objectius concrets, com l'espionatge.

Un atac oportunista acostuma a ser l'observació d'alguna cosa sensible però no útil per a l'atacant. Per exemple, alguns empresaris treballen en transport públic. Poden treballar en documents sensibles que incloguin previsions financeres o qualsevol altre tipus d'informació sensible, interna i no pública. És possible que algú assegut a prop pugui veure la seva pantalla i recopilar informació.

En aquest cas, l'atacant pot ni tan sols ser un atacant real. Poden ser curiosos, però no tenen cap intenció de fer res amb el que aprenen. Això no sempre és així, però, i no hi ha manera de saber-ho, per la qual cosa s'ha de tenir cura en tractar informació sensible en llocs públics. Aquest concepte també s'aplica al contingut personal sensible, especialment fotogràfic o de vídeo. De nou, algú altre pot mirar la teva pantalla. Fins i tot si no ho comparteixen més, pot ser que sigui una intrusió no desitjada.

En contextos d'espionatge i enginyeria social, un atacant pot apuntar deliberadament a una víctima o una ubicació per veure informació sensible a la pantalla. Això pot no proporcionar necessàriament a l'atacant accés directe com ho faria una contrasenya. Com l'exemple anterior, altra informació sensible també pot ser valuosa per a l'atacant.

Conclusió

El surf a l'espatlla és una classe d'atac d'enginyeria social. Implica que un atacant reculli informació mirant les accions o la pantalla de la víctima. La navegació a l'espatlla cobreix principalment els intents d'identificar contrasenyes o PIN. També cobreix els intents de veure informació privada a les pantalles, com ara secrets corporatius o governamentals o informació comprometedora. El surf a l'espatlla és essencialment l'equivalent visual d'escoltar o escoltar converses que no hauríeu de poder escoltar.