Mi az a Shoulder Surfing?

A számítógépes biztonságban számos kockázat létezik, és ezeknek a kockázatoknak számos formája lehet. A vállszörfözés a szociális tervezés egyik formája. A támadások egy osztályára utal, amikor a támadó az áldozat eszközére nézve információhoz jut. Ez történelmileg magában foglalta a vállukon való fizikai átnézést, de magában foglalja a rejtett kamerákat és hasonlókat magában foglaló technikákat is.

A vállas szörfözés klasszikus példája, amikor a támadó átnéz az áldozat válla fölött, miközben beírja a bankkártya PIN-kódját. Az ilyen típusú támadások tudatában a viselkedés megváltozott, beleértve a kéz aktív letakarását és a PIN-kód beírását a másik kézzel. Egyes fizetési terminálok beépített biztonsági fedelet is tartalmaznak a PIN-kód felett. Egyes ATM-ek arra is emlékeztetik a felhasználókat, hogy a vállukon keresztül ellenőrizzenek. Kis tükröt is tartalmazhatnak, amely lehetővé teszi a váll feletti ellenőrzést.

Megjegyzés: Az ATM tükör gyakran apró és kissé ködös. Ez szándékos. Ez elég jó ahhoz, hogy a válla fölött ellenőrizze. Nem elég jó ahhoz, hogy egy jó pozícióban lévő támadó lássa a PIN-kódját.

Ezek az ellenintézkedések fejlettebb technikákhoz vezettek a való világban. Sok bûnözõ vállalkozás használt rejtett kamerákat a PIN-kód kifürkészésére. Néhányan távolabb helyezték el magukat, és távcsövet vagy távcsövet használtak, hogy biztonságos távolságból lássák a PIN-kódot. Hőkamerákat is használnak a PIN-kód azonosítására a gombokon a megérintéskor visszamaradt hő miatt. Egyes esetekben szkimmer eszközöket helyeztek el az eszköz eleje felett, eltakarva a valódi gombokat. Bár ez utóbbi esetben továbbra is ellopják a PIN-kódokat és a kártyaadatokat, ezek nem számítanak szigorúan váll-szörfözésnek, mivel tényleges megfigyelésre nem volt szükség.

Egyéb helyzetek

Természetesen a váll-szörfözés más forgatókönyvekben is kockázatot jelenthet. Bármely rendszer, amelynek rövid titka van – különösen számozott PIN kóddal – nyitott ennek a kockázatnak. A támadó figyelheti a biztonsági ajtóba beírt kódot, láthatja a pohár helyzetét a széf kinyitásakor, vagy megfigyelheti a jelszó beírását.

Megjegyzés: Ha huzamosabb ideig egyetlen PIN kódot használ a billentyűzeten, a gombok elhasználódhatnak vagy bepiszkolódhatnak a használattól. Ez hasonló – ha extrémebb változata – a hőképalkotási koncepcióhoz. Jellemzően csak a biztonsági ajtókra vonatkozik, mivel ezek általában egy PIN-kóddal rendelkeznek, amelyet mindenki ismer, amelyet nem gyakran változtatnak meg.

Az a forgatókönyv, amikor egy támadó megfigyel egy jelszót, különösen érdekes a számítógépes biztonságban. Bár lehet, hogy nem akarja megmondani az embereknek a jelszót, vannak más módok is a beszerzésére. Az adathalászat viszonylag jól ismert és gyakran alulértékelt kockázat. A vállszörfözés is egy másik kockázat. Ez a kockázat különösen nyilvános helyeken érvényes, ahol nincs befolyása a körülötte lévő emberekre. Otthoni vagy munkahelyi környezetben inkább elvárás a megbízhatóság, bármilyen rossz is legyen.

Például egy támadó láthatja a jelszót a válla fölött, ha Ön egy kávézóban van, és bejelentkezik a telefonjába. A támadó is megteheti ugyanezt, ha laptopot használ. Könnyebb, mivel a billentyűk feltűnőbbek és könnyebben megkülönböztethetők, ha gyorsan beírja jelszavát.

Egyéb tartalom

A váll-szörfösök legnagyobb célpontja gyakran valami kicsi, nagy értékű dolog. A PIN-kódok és jelszavak ideálisak erre, mivel rövidek, viszonylag könnyen azonosíthatók és megjegyezhetők, és további hozzáférést biztosítanak például a pénzeszközökhöz vagy egy számlához vagy eszközhöz. Más esetekben a támadás lehet tisztán opportunista vagy bizonyos célpontok, például kémkedés eredménye.

Az opportunista támadás általában valami érzékeny dolog megfigyelése, de nem valami hasznos a támadó számára. Például néhány üzletember tömegközlekedési eszközökön dolgozik. Dolgozhatnak olyan bizalmas dokumentumokon, amelyek pénzügyi előrejelzéseket vagy bármilyen más érzékeny, belső és nem nyilvános információt tartalmaznak. Valaki, aki a közelben ül, láthatja a képernyőjét, és információkat gyűjthet.

Ebben az esetben előfordulhat, hogy a támadó nem is tényleges támadó. Lehet, hogy kíváncsiak, de nem szándékoznak bármit is kezdeni azzal, amit tanulnak. Ez azonban nem mindig van így, és ezt nem is lehet megmondani, ezért óvatosan kell eljárni, amikor érzékeny információkat kezelnek nyilvános helyeken. Ez a fogalom az érzékeny személyes tartalmakra is vonatkozik, különösen fényképekre vagy videókra. Ismét valaki más nézheti meg a képernyőt. Még ha nem is osztják meg tovább, ez továbbra is nem kívánt behatolás lehet.

Kémkedéssel és szociális tervezéssel összefüggésben a támadó szándékosan megcélozhat egy áldozatot vagy helyet, hogy érzékeny információkat lásson a képernyőn. Ez nem feltétlenül biztosít közvetlen hozzáférést a támadó számára, mint egy jelszó. Az előző példához hasonlóan más érzékeny információk is értékesek lehetnek a támadó számára.

Következtetés

A vállszörfözés a social engineering támadás egy osztálya. Ez azt jelenti, hogy a támadó az áldozat cselekedeteiből vagy képernyőjéből gyűjt információkat. A vállszörfözés elsősorban a jelszavak vagy PIN-kódok azonosítására tett kísérleteket takarja. Ez magában foglalja a személyes adatok képernyőkön való megtekintésére irányuló kísérleteket is, például vállalati vagy kormányzati titkokat vagy kompromittáló információkat. A vállszörfözés lényegében a lehallgatás vagy olyan beszélgetések meghallgatásának vizuális megfelelője, amelyeket nem kellett volna hallania.