Mis on õlasurf?

Arvutiturbe valdkonnas on palju riske ja nendel riskidel võib olla palju vorme. Õlas surfamine on sotsiaalse manipuleerimise vorm. See viitab rünnakute klassile, kus ründaja saab teavet ohvri seadet vaadates. See hõlmas ajalooliselt füüsilist üle õla vaatamist, kuid hõlmab ka tehnikaid, mis hõlmavad peidetud kaameraid jms.

Klassikaline õlasurfi näide on see, kui ründaja vaatab üle ohvri õla, kui ta sisestab oma maksekaardi PIN-koodi. Teadlikkus seda tüüpi rünnakutest on kaasa toonud muutused käitumises, sealhulgas käe aktiivne katmine ja teise käega PIN-koodi sisestamine. Mõnel makseterminalil on ka sisseehitatud privaatsuskate üle PIN-koodi. Mõned sularahaautomaadid tuletavad kasutajatele meelde ka üle õla kontrollimist. Neil võib olla ka väike peegel, mis võimaldab teil üle õla vaadata.

Märkus. Pangaautomaadi peegel on sageli väike ja veidi udune. See on tahtlik. See on piisavalt hea, et saaksite üle õla kontrollida. See ei ole ka piisavalt hea, et võimaldada hea asukohaga ründajal teie PIN-koodi näha.

Need vastumeetmed on viinud reaalses maailmas arenenumate tehnikateni. Paljud kuritegelikud ettevõtted on PIN-koodi nuhkimiseks kasutanud peidetud kaameraid. Mõned on asetanud end kaugemale ja kasutanud binoklit või teleskoopi, et näha PIN-koodi turvalisest kaugusest. Soojuskaameraid on kasutatud ka PIN-koodi tuvastamiseks nuppude puudutamisel järele jäänud kuumuse tõttu. Mõnel juhul on seadme esiosa kohale asetatud skimmeriseadmed, mis katavad tegelikud nupud. Kuigi see viimane juhtum põhjustab endiselt PIN-koodide ja kaardiandmete varastamise, ei loeta neid rangelt õlal surfamiseks, kuna tegelikku vaatlust polnud vaja.

Muud olukorrad

Muidugi võib õlasurfamine olla risk ka muudel stsenaariumidel. Sellele riskile on avatud iga süsteem, millel on lühike saladus – eriti nummerdatud PIN-koodil. Ründaja võib jälgida turvauksesse sisestatud koodi, näha trumli asukohti seifi avamisel või jälgida parooli sisestamist.

Märkus. Kui klahvistikul kasutatakse pikka aega ühte PIN-koodi, võivad nupud kuluda või määrduda juba ainuüksi kasutamisest. See sarnaneb termilise pildistamise kontseptsiooniga, kui see on selle äärmuslikum variant. Tavaliselt kehtib see ainult turvauste kohta, kuna neil on tavaliselt üks PIN-kood, mida teavad kõik volitatud isikud, mida sageli ei muudeta.

Arvutiturbe vallas on eriti huvitav stsenaarium, kus ründaja jälgib parooli sisestamist. Kuigi te ei pruugi inimestele parooli tahtlikult öelda, on selle hankimiseks ka teisi viise. Andmepüük on suhteliselt tuntud ja sageli alahinnatud risk. Teine oht on ka õlasurfamine. See risk kehtib eriti avalikes kohtades, kus teil pole ümbritsevate inimeste üle kontrolli. Kodu- või töökeskkonnas eeldatakse rohkem usaldusväärsust, olgu see nii vale, kui see ka pole.

Näiteks võib ründaja näha teie pääsukoodi üle teie õla, kui olete kohvikus ja logite oma telefoni sisse. Ründaja võib sama teha ka siis, kui kasutate sülearvutit. See on lihtsam, kuna klahvid on silmatorkavamad ja neid on kergem eristada, kui sisestate kiiresti oma parooli.

Muu sisu

Sageli on õlasurfarite suurim sihtmärk midagi väikest ja väärtuslikku. PIN-koodid ja paroolid on selleks ideaalsed, kuna need on lühikesed, suhteliselt hõlpsasti tuvastatavad ja meeldejäävad ning võimaldavad näiteks täiendavat juurdepääsu rahalistele vahenditele või kontole või seadmele. Muudel juhtudel võib rünnak olla puhtalt oportunistlik või teatud sihtmärkide, näiteks spionaaži tagajärg.

Oportunistlik rünnak kipub olema millegi tundliku, kuid mitte ründaja jaoks kasuliku jälgimine. Näiteks mõned ärimehed töötavad ühistranspordis. Nad võivad töötada tundlike dokumentidega, mis hõlmavad finantsprognoose või muud tüüpi tundlikku, sisemist ja mitteavalikku teavet. Keegi läheduses istuv inimene võib näha oma ekraani ja koguda teavet.

Sel juhul ei pruugi ründaja olla isegi tegelik ründaja. Nad võivad olla uudishimulikud, kuid neil pole kavatsust õpituga midagi peale hakata. See ei ole aga alati nii ja seda ei saa kuidagi öelda, seega tuleks avalikes kohtades tundliku teabe käsitlemisel olla ettevaatlik. See kontseptsioon kehtib ka tundliku isikliku sisu, eriti foto- või videosisu kohta. Jällegi võib keegi teine ​​teie ekraani vaadata. Isegi kui nad seda edasi ei jaga, võib see ikkagi olla soovimatu sissetung.

Spionaaži ja sotsiaalse manipuleerimise kontekstis võib ründaja sihilikult võtta ohvri või asukoha, et näha ekraanil tundlikku teavet. See ei pruugi anda ründajale otsest juurdepääsu nagu parool. Nagu eelmises näites, võib ka muu tundlik teave olla ründajale väärtuslik.

Järeldus

Õlas surfamine on sotsiaalse manipuleerimise rünnak. See hõlmab ründajat, kes kogub teavet ohvri tegevust või ekraani vaadates. Õlas surfamine hõlmab peamiselt paroolide või PIN-koodide tuvastamise katseid. See hõlmab ka katseid näha ekraanidel privaatset teavet, näiteks ettevõtte või valitsuse saladusi või kompromiteerivat teavet. Õlas surfamine on sisuliselt visuaalne ekvivalent pealtkuulamisele või vestluste kuulamisele, mida te ei pidanud kuulma.