Que é o Shoulder Surf?

Na seguridade informática, hai moitos riscos e moitas formas que poden adoptar eses riscos. O Shoulder Surf é unha forma de enxeñería social. Refírese a unha clase de ataque na que un atacante obtén información mirando o dispositivo da vítima. Históricamente, isto implicaba mirar fisicamente por riba do ombreiro, pero tamén inclúe técnicas que inclúen cámaras ocultas e similares.

O exemplo clásico de navegación do ombreiro é cando un atacante mira por riba do ombreiro da vítima mentres escribe o PIN da súa tarxeta de pago. A concienciación deste tipo de ataque provocou cambios no comportamento, incluíndo tapar activamente a man e escribir o PIN coa outra man. Algúns terminais de pago tamén inclúen unha tapa de privacidade integrada sobre o teclado PIN. Algúns caixeiros automáticos tamén recordan aos usuarios que comproben por riba dos seus ombreiros. Tamén poden ter un pequeno espello para que che permita revisar o teu ombreiro.

Nota: o espello do caixeiro automático adoita ser pequeno e algo néboa. Isto é deliberado. É o suficientemente bo para que che revise por riba do ombreiro. Tampouco é o suficientemente bo para permitir que un atacante ben situado vexa o teu PIN.

Estas contramedidas levaron a técnicas máis avanzadas no mundo real. Moitas empresas criminais utilizaron cámaras ocultas para espiar o teclado PIN. Algúns colocáronse máis lonxe e utilizaron prismáticos ou telescopios para ver o teclado PIN desde unha distancia segura. Tamén se utilizaron cámaras térmicas para identificar o PIN debido á calor remanente que queda nos botóns cando se tocaban. Nalgúns casos, os dispositivos skimmer colocáronse sobre a parte frontal do dispositivo, cubrindo os botóns reais. Aínda que este último caso aínda provoca o roubo de PIN e detalles da tarxeta, non se contan estrictamente como navegación ao ombreiro, xa que non foi necesaria unha observación real.

Outras Situacións

Por suposto, o surf do ombreiro tamén pode ser un risco noutros escenarios. Calquera sistema cun pequeno segredo, especialmente nun teclado PIN numerado, está aberto a este risco. Un atacante podería ver un código introducido nunha porta de seguridade, ver as posicións do vaso ao abrir unha caixa forte ou observar que se introduce un contrasinal.

Nota: Cando se usa un único PIN nun teclado durante un período prolongado, os botóns poden estar desgastados ou sucios só ao usar. Isto é semellante ao concepto de imaxe térmica, aínda que é unha variante máis extrema. Normalmente só se aplica ás portas de seguridade, xa que adoitan ter un PIN coñecido por todos os autorizados, que non se cambia a miúdo.

O escenario dun atacante observando que se introduce un contrasinal é particularmente interesante na seguridade informática. Aínda que poida que non lle digas un contrasinal ás persoas, hai outras formas de obtelo. O phishing é un risco relativamente coñecido e moitas veces subestimado. O surf de ombreiro tamén é outro risco. Este risco aplícase especialmente en escenarios públicos nos que non tes control sobre as persoas que te rodean. Nun ambiente doméstico ou de traballo, hai máis unha expectativa de fiabilidade, por mal colocada que sexa.

Por exemplo, un atacante pode ver o teu contrasinal por riba do teu ombreiro se estás nunha cafetería e inicia sesión no teu teléfono. Un atacante tamén pode facer o mesmo se estás usando un portátil. É máis doado xa que as teclas son máis destacadas e máis fáciles de distinguir se escribes rapidamente o teu contrasinal.

Outros Contidos

Moitas veces o maior obxectivo dos surfistas de hombros é algo pequeno de alto valor. Os PIN e os contrasinais son ideais para iso, xa que son curtos, relativamente fáciles de identificar e lembrar e ofrecen máis acceso a fondos ou a unha conta ou dispositivo, por exemplo. Noutros casos, o ataque pode ser puramente oportunista ou o resultado de determinados obxectivos, como a espionaxe.

Un ataque oportunista adoita ser a observación de algo sensible pero non útil para o atacante. Por exemplo, algúns empresarios traballan no transporte público. Poden traballar en documentos confidenciais que impliquen previsións financeiras ou calquera outro tipo de información confidencial, interna e non pública. É posible que alguén sentado preto poida ver a súa pantalla e recompilar información.

Neste caso, o atacante pode nin sequera ser un atacante real. Poden ser curiosos pero non teñen intención de facer nada co que aprenden. Non obstante, non sempre é así e non hai forma de saberlo, polo que hai que ter coidado ao tratar con información confidencial en lugares públicos. Este concepto tamén se aplica ao contido persoal sensible, especialmente fotográfico ou de vídeo. De novo, pode que outra persoa mire a túa pantalla. Aínda que non o compartan máis, aínda pode ser unha intrusión non desexada.

En contextos de espionaxe e enxeñería social, un atacante pode apuntar deliberadamente a unha vítima ou a unha localización para ver información confidencial nunha pantalla. Isto pode non proporcionar necesariamente ao atacante acceso directo como o faría un contrasinal. Como o exemplo anterior, outra información sensible tamén pode ser valiosa para o atacante.

Conclusión

O hombro surf é unha clase de ataque de enxeñería social. Implica que un atacante recompile información mirando as accións ou a pantalla da vítima. A navegación por hombros abrangue principalmente os intentos de identificar contrasinais ou PIN. Tamén abrangue os intentos de ver información privada nas pantallas, como segredos corporativos ou gobernamentais ou información comprometedora. A navegación por hombros é esencialmente o equivalente visual de escoitar ou escoitar conversacións que se supón que non podías escoitar.