Co je to Shoulder Surfing?

V počítačové bezpečnosti existuje mnoho rizik a mnoho podob, které tato rizika mohou mít. Ramenní surfování je formou sociálního inženýrství. Označuje třídu útoku, kdy útočník získává informace pohledem na zařízení oběti. To historicky zahrnuje fyzické nahlížení přes rameno, ale zahrnuje také techniky zahrnující skryté kamery a podobně.

Klasickým příkladem surfování přes rameno je situace, kdy se útočník dívá oběti přes rameno a zadává PIN k její platební kartě. Uvědomění si tohoto typu útoku vedlo ke změnám v chování, včetně aktivního zakrývání ruky a psaní PINu druhou rukou. Některé platební terminály také obsahují vestavěný ochranný kryt na PIN podložku. Některé bankomaty také připomínají uživatelům, aby se kontrolovali přes rameno. Mohou také obsahovat malé zrcátko, které vám umožní zkontrolovat přes rameno.

Poznámka: Zrcátko bankomatu je často malé a poněkud zamlžené. To je záměrné. Je to dost dobré na to, abyste se mohli podívat přes rameno. Není také dost dobré, abyste umožnili dobře umístěnému útočníkovi vidět váš PIN.

Tato protiopatření vedla k pokročilejším technikám v reálném světě. Mnoho zločineckých podniků využilo skryté kamery ke špehování PIN bloku. Někteří se umístili dále a použili dalekohled nebo dalekohled, aby viděli PIN pad z bezpečné vzdálenosti. Termokamery byly také použity k identifikaci PIN kvůli zbytkovému teplu, které zůstalo na tlačítkách, když se jich dotklo. V některých případech byla skimmerová zařízení umístěna přes přední část zařízení a zakrývala skutečná tlačítka. I když tento poslední případ stále vede ke krádežím PINů a podrobností o kartě, nepočítají se striktně jako surfování přes rameno, protože nebylo potřeba žádné skutečné sledování.

Jiné situace

Ramenní surfování může být samozřejmě rizikem i v jiných scénářích. Jakýkoli systém s krátkým tajemstvím – zejména na očíslovaném PIN bloku – je tomuto riziku vystaven. Útočník by mohl sledovat kód zadaný do bezpečnostních dveří, vidět pozice západek při otevírání trezoru nebo sledovat zadávané heslo.

Poznámka: Pokud je na klávesnici používán jeden PIN po delší dobu, tlačítka se mohou opotřebovat nebo zašpinit používáním. Jedná se o obdobu – pokud jde o extrémnější variantu – konceptu termovize. Obvykle se vztahuje pouze na bezpečnostní dveře, protože mají tendenci mít jeden PIN známý všem oprávněným, který se často nemění.

Scénář, kdy útočník zpozoruje zadávané heslo, je zvláště zajímavý v počítačové bezpečnosti. I když možná lidem heslo neřeknete dobrovolně, existují i ​​jiné způsoby, jak ho získat. Phishing je poměrně známé a často nedoceněné riziko. Dalším rizikem je také surfování přes rameno. Toto riziko platí zejména ve veřejném prostředí, kde nemáte kontrolu nad lidmi kolem sebe. V domácím nebo pracovním prostředí existuje spíše očekávání důvěryhodnosti, i když to může být nesprávné.

Útočník může například vidět váš přístupový kód přes vaše rameno, když jste v kavárně a přihlašujete se do telefonu. Útočník může udělat totéž, pokud používáte notebook. Je to snazší, protože klávesy jsou výraznější a snáze rozeznatelné, pokud rychle zadáte heslo.

Jiný obsah

Často je největším cílem ramenních surfařů něco malého s vysokou hodnotou. K tomu jsou ideální PINy a hesla, protože jsou krátké, relativně snadno identifikovatelné a zapamatovatelné a poskytují například další přístup k finančním prostředkům nebo účtu nebo zařízení. V jiných případech může být útok čistě oportunistický nebo může být výsledkem konkrétního cílení, jako je špionáž.

Oportunistický útok má tendenci být pozorováním něčeho citlivého, ale ne užitečného pro útočníka. Někteří podnikatelé například pracují ve veřejné dopravě. Mohou pracovat na citlivých dokumentech zahrnujících finanční prognózy nebo jakýkoli jiný druh citlivých, interních a neveřejných informací. Někdo sedící poblíž může vidět svou obrazovku a získávat informace.

V tomto případě nemusí být útočník ani skutečným útočníkem. Mohou být zvědaví, ale nemají v úmyslu s tím, co se naučí, něco dělat. Ne vždy tomu tak ale je a nelze to nijak poznat, takže při zacházení s citlivými informacemi na veřejných místech je třeba být opatrní. Tento koncept platí i pro citlivý osobní obsah, zejména fotografie nebo video. Opět se na vaši obrazovku může podívat někdo jiný. I když to dále nesdílejí, stále to může být nechtěné narušení.

V kontextu špionáže a sociálního inženýrství může útočník úmyslně zacílit na oběť nebo místo, aby na obrazovce viděl citlivé informace. To nemusí nutně poskytnout útočníkovi přímý přístup jako heslo. Stejně jako v předchozím příkladu mohou být pro útočníka cenné i další citlivé informace.

Závěr

Ramenní surfování je třída útoku sociálního inženýrství. Zahrnuje útočníka, který sbírá informace tím, že se dívá na akce nebo obrazovku oběti. Ramenní surfování pokrývá především pokusy o identifikaci hesel nebo PINů. Zahrnuje také pokusy o zobrazení soukromých informací na obrazovkách, jako jsou firemní nebo vládní tajemství nebo kompromitující informace. Ramenní surfování je v podstatě vizuální ekvivalent odposlouchávání nebo poslouchání konverzací, které jste neměli slyšet.