Τι είναι το Shoulder Surfing;

Στην ασφάλεια των υπολογιστών, υπάρχουν πολλοί κίνδυνοι και πολλές μορφές που μπορούν να λάβουν αυτοί οι κίνδυνοι. Το σέρφινγκ ώμων είναι μια μορφή κοινωνικής μηχανικής. Αναφέρεται σε μια κατηγορία επίθεσης όπου ένας εισβολέας αποκτά πληροφορίες κοιτάζοντας τη συσκευή του θύματος. Αυτό περιλάμβανε ιστορικά σωματική ματιά πάνω από τον ώμο τους, αλλά περιλαμβάνει επίσης τεχνικές που περιλαμβάνουν κρυφές κάμερες και παρόμοια.

Το κλασικό παράδειγμα σέρφινγκ ώμου είναι όταν ένας εισβολέας κοιτάζει πάνω από τον ώμο του θύματος ενώ πληκτρολογεί το PIN της κάρτας πληρωμής του. Η επίγνωση αυτού του τύπου επίθεσης έχει οδηγήσει σε αλλαγές στη συμπεριφορά, συμπεριλαμβανομένης της ενεργητικής κάλυψης του χεριού και της πληκτρολόγησης του PIN με το άλλο χέρι. Ορισμένα τερματικά πληρωμής περιλαμβάνουν επίσης ένα ενσωματωμένο κάλυμμα απορρήτου πάνω από το πληκτρολόγιο PIN. Ορισμένα ΑΤΜ υπενθυμίζουν επίσης στους χρήστες να ελέγχουν πάνω από τους ώμους τους. Μπορεί επίσης να διαθέτουν έναν μικρό καθρέφτη για να σας επιτρέπουν να ελέγχετε τον ώμο σας.

Σημείωση: Ο καθρέφτης του ATM είναι συχνά μικροσκοπικός και κάπως ομιχλώδης. Αυτό είναι εσκεμμένο. Είναι αρκετά καλό για να σας αφήσει να ελέγξετε τον ώμο σας. Επίσης, δεν είναι αρκετά καλό για να επιτρέψετε σε έναν καλά τοποθετημένο εισβολέα να δει το PIN σας.

Αυτά τα αντίμετρα έχουν οδηγήσει σε πιο προηγμένες τεχνικές στον πραγματικό κόσμο. Πολλές εγκληματικές επιχειρήσεις έχουν χρησιμοποιήσει κρυφές κάμερες για να κατασκοπεύσουν το πληκτρολόγιο PIN. Μερικοί έχουν τοποθετηθεί πιο μακριά και χρησιμοποίησαν κιάλια ή τηλεσκόπιο για να δουν το πληκτρολόγιο PIN από ασφαλή απόσταση. Οι θερμικές κάμερες έχουν επίσης χρησιμοποιηθεί για την αναγνώριση του PIN λόγω της υπολειπόμενης θερμότητας που αφήνεται πίσω στα κουμπιά όταν τα άγγιξαν. Σε ορισμένες περιπτώσεις, συσκευές skimmer έχουν τοποθετηθεί στο μπροστινό μέρος της συσκευής, καλύπτοντας τα πραγματικά κουμπιά. Ενώ αυτή η τελευταία περίπτωση εξακολουθεί να έχει ως αποτέλεσμα την κλοπή PIN και στοιχείων κάρτας, δεν υπολογίζονται αυστηρά ως σέρφινγκ στους ώμους, καθώς δεν χρειαζόταν πραγματική παρατήρηση.

Άλλες Καταστάσεις

Φυσικά, το σέρφινγκ στους ώμους μπορεί επίσης να αποτελέσει κίνδυνο σε άλλα σενάρια. Οποιοδήποτε σύστημα με ένα σύντομο μυστικό - ειδικά σε ένα αριθμημένο πληκτρολόγιο PIN - είναι ανοιχτό σε αυτόν τον κίνδυνο. Ένας εισβολέας θα μπορούσε να παρακολουθήσει έναν κωδικό που εισάγεται σε μια πόρτα ασφαλείας, να δει τις θέσεις του ποτηριού όταν ανοίγει ένα χρηματοκιβώτιο ή να παρατηρήσει την εισαγωγή ενός κωδικού πρόσβασης.

Σημείωση: Όταν χρησιμοποιείται ένα μεμονωμένο PIN σε ένα πληκτρολόγιο για μεγάλο χρονικό διάστημα, τα κουμπιά μπορεί να φθαρούν ή να βρωμίσουν μόνο από τη χρήση. Αυτό είναι παρόμοιο –αν είναι πιο ακραία παραλλαγή– με την έννοια της θερμικής απεικόνισης. Συνήθως ισχύει μόνο για πόρτες ασφαλείας, καθώς τείνουν να έχουν ένα PIN γνωστό από όλους τους εξουσιοδοτημένους, το οποίο δεν αλλάζει συχνά.

Το σενάριο ενός εισβολέα που παρατηρεί την εισαγωγή ενός κωδικού πρόσβασης είναι ιδιαίτερα ενδιαφέρον στην ασφάλεια του υπολογιστή. Αν και μπορεί να μην πείτε πρόθυμα στους άλλους έναν κωδικό πρόσβασης, υπάρχουν άλλοι τρόποι για να τον αποκτήσετε. Το phishing είναι ένας σχετικά γνωστός και συχνά υποτιμημένος κίνδυνος. Το σέρφινγκ στους ώμους είναι επίσης ένας άλλος κίνδυνος. Αυτός ο κίνδυνος ισχύει ιδιαίτερα σε δημόσιους χώρους όπου δεν έχετε κανέναν έλεγχο στους ανθρώπους γύρω σας. Σε ένα περιβάλλον σπιτιού ή εργασίας, υπάρχει μεγαλύτερη προσδοκία αξιοπιστίας, όσο άστοχη κι αν είναι.

Για παράδειγμα, ένας εισβολέας μπορεί να δει τον κωδικό πρόσβασής σας πάνω από τον ώμο σας εάν βρίσκεστε σε καφετέρια και συνδεθείτε στο τηλέφωνό σας. Ένας εισβολέας μπορεί επίσης να κάνει το ίδιο εάν χρησιμοποιείτε φορητό υπολογιστή. Είναι πιο εύκολο καθώς τα κλειδιά είναι πιο εμφανή και ξεχωρίζουν ευκολότερα αν πληκτρολογήσετε γρήγορα τον κωδικό πρόσβασής σας.

Άλλο Περιεχόμενο

Συχνά ο μεγαλύτερος στόχος των ώμων σέρφερ είναι κάτι μικρό και υψηλής αξίας. Τα PIN και οι κωδικοί πρόσβασης είναι ιδανικοί για αυτό, καθώς είναι σύντομοι, σχετικά εύκολο να εντοπιστούν και να απομνημονευθούν και παρέχουν περαιτέρω πρόσβαση σε κεφάλαια ή σε λογαριασμό ή συσκευή, για παράδειγμα. Σε άλλες περιπτώσεις, η επίθεση μπορεί να είναι καθαρά ευκαιριακή ή αποτέλεσμα συγκεκριμένων στόχων, όπως η κατασκοπεία.

Μια ευκαιριακή επίθεση τείνει να είναι η παρατήρηση κάποιου ευαίσθητου αλλά όχι κάτι χρήσιμου για τον επιτιθέμενο. Για παράδειγμα, ορισμένοι επιχειρηματίες εργάζονται στα μέσα μαζικής μεταφοράς. Μπορούν να εργαστούν σε ευαίσθητα έγγραφα που περιλαμβάνουν οικονομικές προβλέψεις ή οποιοδήποτε άλλο είδος ευαίσθητης, εσωτερικής και μη δημόσιας πληροφορίας. Κάποιος που κάθεται κοντά μπορεί να δει την οθόνη του και να συλλέξει πληροφορίες.

Σε αυτήν την περίπτωση, ο εισβολέας μπορεί να μην είναι καν πραγματικός εισβολέας. Μπορεί να είναι περίεργοι αλλά δεν έχουν σκοπό να κάνουν κάτι με αυτά που μαθαίνουν. Αυτό δεν συμβαίνει πάντα, ωστόσο, και δεν υπάρχει τρόπος να το πούμε, επομένως πρέπει να δίνεται προσοχή όταν αντιμετωπίζουμε ευαίσθητες πληροφορίες σε δημόσιους χώρους. Αυτή η έννοια ισχύει επίσης για ευαίσθητο προσωπικό περιεχόμενο, ειδικά φωτογραφικό ή βίντεο. Και πάλι, κάποιος άλλος μπορεί να κοιτάξει την οθόνη σας. Ακόμα κι αν δεν το μοιραστούν περαιτέρω, αυτό μπορεί να είναι μια ανεπιθύμητη εισβολή.

Σε περιβάλλοντα κατασκοπείας και κοινωνικής μηχανικής, ένας εισβολέας μπορεί να στοχεύσει σκόπιμα ένα θύμα ή μια τοποθεσία για να δει ευαίσθητες πληροφορίες σε μια οθόνη. Αυτό μπορεί να μην παρέχει απαραίτητα στον εισβολέα άμεση πρόσβαση όπως ένας κωδικός πρόσβασης. Όπως το προηγούμενο παράδειγμα, άλλες ευαίσθητες πληροφορίες μπορεί επίσης να είναι πολύτιμες για τον εισβολέα.

συμπέρασμα

Το σέρφινγκ ώμων είναι μια κατηγορία επίθεσης κοινωνικής μηχανικής. Περιλαμβάνει έναν εισβολέα που συγκεντρώνει πληροφορίες κοιτάζοντας τις ενέργειες ή την οθόνη του θύματος. Το σερφάρισμα ώμων καλύπτει κυρίως τις προσπάθειες αναγνώρισης κωδικών πρόσβασης ή PIN. Καλύπτει επίσης προσπάθειες προβολής προσωπικών πληροφοριών σε οθόνες, όπως εταιρικά ή κυβερνητικά μυστικά ή διακυβευτικές πληροφορίες. Το σέρφινγκ στους ώμους είναι ουσιαστικά το οπτικό ισοδύναμο της υποκλοπής ή της ακρόασης συνομιλιών που υποτίθεται ότι δεν θα μπορούσατε να ακούσετε.