Co je to Shoulder Surfing?

V počítačové bezpečnosti existuje mnoho rizik a mnoho podob, které tato rizika mohou mít. Ramenní surfování je formou sociálního inženýrství. Označuje třídu útoku, kdy útočník získává informace pohledem na zařízení oběti. To historicky zahrnuje fyzické nahlížení přes rameno, ale zahrnuje také techniky zahrnující skryté kamery a podobně.

Klasickým příkladem surfování přes rameno je situace, kdy se útočník dívá oběti přes rameno a zadává PIN k její platební kartě. Uvědomění si tohoto typu útoku vedlo ke změnám v chování, včetně aktivního zakrývání ruky a psaní PINu druhou rukou. Některé platební terminály také obsahují vestavěný ochranný kryt na PIN podložku. Některé bankomaty také připomínají uživatelům, aby se kontrolovali přes rameno. Mohou také obsahovat malé zrcátko, které vám umožní zkontrolovat přes rameno.

Poznámka: Zrcátko bankomatu je často malé a poněkud zamlžené. To je záměrné. Je to dost dobré na to, abyste se mohli podívat přes rameno. Není také dost dobré, abyste umožnili dobře umístěnému útočníkovi vidět váš PIN.

Tato protiopatření vedla k pokročilejším technikám v reálném světě. Mnoho zločineckých podniků využilo skryté kamery ke špehování PIN bloku. Někteří se umístili dále a použili dalekohled nebo dalekohled, aby viděli PIN pad z bezpečné vzdálenosti. Termokamery byly také použity k identifikaci PIN kvůli zbytkovému teplu, které zůstalo na tlačítkách, když se jich dotklo. V některých případech byla skimmerová zařízení umístěna přes přední část zařízení a zakrývala skutečná tlačítka. I když tento poslední případ stále vede ke krádežím PINů a podrobností o kartě, nepočítají se striktně jako surfování přes rameno, protože nebylo potřeba žádné skutečné sledování.

Jiné situace

Ramenní surfování může být samozřejmě rizikem i v jiných scénářích. Jakýkoli systém s krátkým tajemstvím – zejména na očíslovaném PIN bloku – je tomuto riziku vystaven. Útočník by mohl sledovat kód zadaný do bezpečnostních dveří, vidět pozice západek při otevírání trezoru nebo sledovat zadávané heslo.

Poznámka: Pokud je na klávesnici používán jeden PIN po delší dobu, tlačítka se mohou opotřebovat nebo zašpinit používáním. Jedná se o obdobu – pokud jde o extrémnější variantu – konceptu termovize. Obvykle se vztahuje pouze na bezpečnostní dveře, protože mají tendenci mít jeden PIN známý všem oprávněným, který se často nemění.

Scénář, kdy útočník zpozoruje zadávané heslo, je zvláště zajímavý v počítačové bezpečnosti. I když možná lidem heslo neřeknete dobrovolně, existují i ​​jiné způsoby, jak ho získat. Phishing je poměrně známé a často nedoceněné riziko. Dalším rizikem je také surfování přes rameno. Toto riziko platí zejména ve veřejném prostředí, kde nemáte kontrolu nad lidmi kolem sebe. V domácím nebo pracovním prostředí existuje spíše očekávání důvěryhodnosti, i když to může být nesprávné.

Útočník může například vidět váš přístupový kód přes vaše rameno, když jste v kavárně a přihlašujete se do telefonu. Útočník může udělat totéž, pokud používáte notebook. Je to snazší, protože klávesy jsou výraznější a snáze rozeznatelné, pokud rychle zadáte heslo.

Jiný obsah

Často je největším cílem ramenních surfařů něco malého s vysokou hodnotou. K tomu jsou ideální PINy a hesla, protože jsou krátké, relativně snadno identifikovatelné a zapamatovatelné a poskytují například další přístup k finančním prostředkům nebo účtu nebo zařízení. V jiných případech může být útok čistě oportunistický nebo může být výsledkem konkrétního cílení, jako je špionáž.

Oportunistický útok má tendenci být pozorováním něčeho citlivého, ale ne užitečného pro útočníka. Někteří podnikatelé například pracují ve veřejné dopravě. Mohou pracovat na citlivých dokumentech zahrnujících finanční prognózy nebo jakýkoli jiný druh citlivých, interních a neveřejných informací. Někdo sedící poblíž může vidět svou obrazovku a získávat informace.

V tomto případě nemusí být útočník ani skutečným útočníkem. Mohou být zvědaví, ale nemají v úmyslu s tím, co se naučí, něco dělat. Ne vždy tomu tak ale je a nelze to nijak poznat, takže při zacházení s citlivými informacemi na veřejných místech je třeba být opatrní. Tento koncept platí i pro citlivý osobní obsah, zejména fotografie nebo video. Opět se na vaši obrazovku může podívat někdo jiný. I když to dále nesdílejí, stále to může být nechtěné narušení.

V kontextu špionáže a sociálního inženýrství může útočník úmyslně zacílit na oběť nebo místo, aby na obrazovce viděl citlivé informace. To nemusí nutně poskytnout útočníkovi přímý přístup jako heslo. Stejně jako v předchozím příkladu mohou být pro útočníka cenné i další citlivé informace.

Závěr

Ramenní surfování je třída útoku sociálního inženýrství. Zahrnuje útočníka, který sbírá informace tím, že se dívá na akce nebo obrazovku oběti. Ramenní surfování pokrývá především pokusy o identifikaci hesel nebo PINů. Zahrnuje také pokusy o zobrazení soukromých informací na obrazovkách, jako jsou firemní nebo vládní tajemství nebo kompromitující informace. Ramenní surfování je v podstatě vizuální ekvivalent odposlouchávání nebo poslouchání konverzací, které jste neměli slyšet.


Jak klonovat pevný disk

Jak klonovat pevný disk

V moderním digitálním věku, kde jsou data cenným aktivem, může být klonování pevného disku v systému Windows pro mnohé zásadním procesem. Tento komplexní průvodce

Jak opravit selhání načtení ovladače WUDFRd v systému Windows 10?

Jak opravit selhání načtení ovladače WUDFRd v systému Windows 10?

Setkáváte se při spouštění počítače s chybovou zprávou, která říká, že se nepodařilo načíst ovladač WUDFRd do vašeho počítače?

Jak opravit kód chyby NVIDIA GeForce Experience 0x0003

Jak opravit kód chyby NVIDIA GeForce Experience 0x0003

Máte na ploše zkušenosti s chybovým kódem 0x0003 NVIDIA GeForce? Pokud ano, přečtěte si blog a zjistěte, jak tuto chybu rychle a snadno opravit.

Co je SMPS?

Co je SMPS?

Než si vyberete SMPS pro svůj počítač, zjistěte si, co je SMPS, a význam různých hodnocení účinnosti.

Proč se můj Chromebook nezapne

Proč se můj Chromebook nezapne

Získejte odpovědi na otázku Proč se můj Chromebook nezapíná? V této užitečné příručce pro uživatele Chromebooků.

Jak nahlásit phishingové podvody společnosti Google

Jak nahlásit phishingové podvody společnosti Google

V této příručce se dozvíte, jak nahlásit podvodníka společnosti Google a zabránit mu v podvádění ostatních.

Roomba se zastaví, přilepí a otočí – oprava

Roomba se zastaví, přilepí a otočí – oprava

Vyřešte problém, kdy se váš robotický vysavač Roomba zastaví, zasekne a stále se otáčí.

Jak změnit nastavení grafiky na Steam Deck

Jak změnit nastavení grafiky na Steam Deck

Steam Deck nabízí robustní a všestranný herní zážitek přímo na dosah ruky. Chcete-li však optimalizovat své hraní a zajistit to nejlepší možné

Co je zabezpečení založené na izolaci?

Co je zabezpečení založené na izolaci?

Chtěli jsme se ponořit do tématu, které je ve světě kybernetické bezpečnosti stále důležitější: zabezpečení založené na izolaci. Tento přístup k

Jak používat Auto Clicker pro Chromebook

Jak používat Auto Clicker pro Chromebook

Dnes jsme se chtěli ponořit do nástroje, který dokáže automatizovat opakované klikání na vašem Chromebooku: Auto Clicker. Tento nástroj vám může ušetřit čas a