Hvad er skuldersurfing?

Inden for computersikkerhed er der mange risici og mange former, som disse risici kan tage. Skuldersurfing er en form for social engineering. Det refererer til en klasse af angreb, hvor en angriber får information ved at se på ofrets enhed. Dette involverede historisk set fysisk at kigge dem over skulderen, men omfatter også teknikker, der involverer skjulte kameraer og lignende.

Det klassiske eksempel på skuldersurfing er, når en angriber kigger offerets skulder over, mens han indtaster deres betalingskort PIN-kode. Bevidsthed om denne type angreb har ført til ændringer i adfærd, herunder aktiv dækning af hånden og indtastning af PIN-koden med den anden hånd. Nogle betalingsterminaler har også et indbygget privatlivsdæksel over PIN-koden. Nogle pengeautomater minder også brugerne om at tjekke dem over skulderen. De kan også have et lille spejl, så du kan tjekke over skulderen.

Bemærk: ATM-spejlet er ofte lille og noget tåget. Dette er bevidst. Det er godt nok til at lade dig tjekke over skulderen. Det er heller ikke godt nok til at tillade en velplaceret angriber at se din pinkode.

Disse modforanstaltninger har ført til mere avancerede teknikker i den virkelige verden. Mange kriminelle virksomheder har brugt skjulte kameraer til at spionere på PIN-koden. Nogle har placeret sig længere væk og brugt en kikkert eller et teleskop til at se PIN-koden på sikker afstand. Termiske kameraer er også blevet brugt til at identificere PIN-koden på grund af den resterende varme, der blev efterladt på knapperne, når de blev rørt ved dem. I nogle tilfælde er skimmer-enheder blevet placeret over forsiden af ​​enheden, der dækker de rigtige knapper. Selvom dette sidste tilfælde stadig resulterer i, at pinkoder og kortoplysninger bliver stjålet, tæller de strengt taget ikke som skuldersurfing, da der ikke var behov for en egentlig observation.

Andre situationer

Selvfølgelig kan skuldersurfing også være en risiko i andre scenarier. Ethvert system med en kort hemmelighed - især på en nummereret PIN-kode - er åben for denne risiko. En angriber kunne se en kode indtastet i en sikkerhedsdør, se tumblerens positioner, når du åbner et pengeskab, eller observere, at en adgangskode indtastes.

Bemærk: Når en enkelt PIN-kode bruges på et tastatur i en længere periode, kan knapperne blive slidte eller snavsede bare ved brug. Dette svarer til – hvis en mere ekstrem variant af – termobilledkonceptet. Det gælder typisk kun for sikkerhedsdøre, da de har en tendens til at have én PIN-kode kendt af alle autoriserede, som ikke ofte ændres.

Scenariet med en angriber, der observerer, at en adgangskode indtastes, er særligt interessant inden for computersikkerhed. Selvom du måske ikke villigt fortæller folk en adgangskode, er der andre måder at få den på. Phishing er en relativt velkendt og ofte undervurderet risiko. Skuldersurfing er også en anden risiko. Denne risiko gælder især i offentlige omgivelser, hvor du ikke har kontrol over menneskerne omkring dig. I et hjemme- eller arbejdsmiljø er der mere en forventning om troværdighed, hvor malplaceret det end kan være.

For eksempel kan en hacker se din adgangskode over din skulder, hvis du er på en café og logger ind på din telefon. En angriber kan også gøre det samme, hvis du bruger en bærbar computer. Det er nemmere, da tasterne er mere fremtrædende og nemmere at skelne, hvis du hurtigt indtaster din adgangskode.

Andet indhold

Ofte er det største mål for skuldersurfere noget lille af høj værdi. Pinkoder og adgangskoder er ideelle til dette, da de er korte, relativt nemme at identificere og huske og giver yderligere adgang til f.eks. penge eller en konto eller enhed. I andre tilfælde kan angrebet være rent opportunistisk eller resultatet af bestemte målretninger, såsom spionage.

Et opportunistisk angreb har en tendens til at være observation af noget følsomt, men ikke noget nyttigt for angriberen. For eksempel arbejder nogle forretningsfolk med offentlig transport. De kan arbejde på følsomme dokumenter, der involverer økonomiske prognoser eller enhver anden form for følsom, intern og ikke-offentlig information. En person, der sidder i nærheden, kan muligvis se deres skærm og indsamle oplysninger.

I dette tilfælde er angriberen muligvis ikke engang en egentlig angriber. De kan være nysgerrige, men har ingen intentioner om at gøre noget med det, de lærer. Dette er dog ikke altid tilfældet, og der er ingen måde at sige det på, så der skal udvises forsigtighed, når du håndterer følsomme oplysninger på offentlige steder. Dette koncept gælder også for følsomt personligt indhold, især fotografisk eller video. Igen kan en anden kigge på din skærm. Selvom de ikke deler det yderligere, kan det stadig være en uønsket indtrængen.

I forbindelse med spionage og social engineering kan en angriber bevidst målrette mod et offer eller et sted for at se følsomme oplysninger på en skærm. Dette giver muligvis ikke nødvendigvis angriberen direkte adgang, som en adgangskode ville. Ligesom det foregående eksempel kan andre følsomme oplysninger også være værdifulde for angriberen.

Konklusion

Skuldersurfing er en klasse af socialt ingeniørangreb. Det involverer en angriber, der indsamler information ved at se på ofrets handlinger eller skærm. Skuldersurfing dækker primært over forsøg på at identificere adgangskoder eller pinkoder. Det dækker også forsøg på at se private oplysninger på skærme, såsom virksomheds- eller regeringshemmeligheder eller kompromitterende oplysninger. Skuldersurfing er i bund og grund den visuelle ækvivalent til aflytning eller at lytte til samtaler, du ikke skulle være i stand til at høre.