Kas yra pečių banglenčių sportas?

Kompiuterių saugos srityje yra daug rizikos ir įvairių formų, kurios gali pasireikšti. Naršymas ant pečių yra socialinės inžinerijos forma. Tai reiškia atakų klasę, kai užpuolikas gauna informaciją žiūrėdamas į aukos įrenginį. Tai istoriškai apėmė fizinį žiūrėjimą per petį, bet taip pat apima metodus, susijusius su paslėptomis kameromis ir panašiai.

Klasikinis naršymo per petį pavyzdys – kai užpuolikas žiūri per aukos petį rinkdamas mokėjimo kortelės PIN kodą. Supratimas apie tokio tipo atakas lėmė elgesio pokyčius, įskaitant aktyvų rankos uždengimą ir PIN kodo įvedimą kita ranka. Kai kuriuose mokėjimo terminaluose taip pat yra įtaisytas privatumo dangtelis virš PIN kodo. Kai kurie bankomatai taip pat primena vartotojams, kad jie patikrintų per petį. Juose taip pat gali būti nedidelis veidrodis, leidžiantis patikrinti per petį.

Pastaba: bankomato veidrodis dažnai yra mažas ir šiek tiek miglotas. Tai tyčia. Tai pakankamai gerai, kad galėtumėte pasitikrinti per petį. Tai taip pat nėra pakankamai gera, kad tinkamoje vietoje esantis užpuolikas matytų jūsų PIN kodą.

Dėl šių atsakomųjų priemonių realiame pasaulyje atsirado pažangesnių technikų. Daugelis nusikalstamų įmonių naudojo paslėptas kameras, kad galėtų šnipinėti PIN kodą. Kai kurie atsidūrė toliau ir naudojo žiūronus ar teleskopą, kad pamatytų PIN kodą iš saugaus atstumo. Šiluminės kameros taip pat buvo naudojamos PIN kodui atpažinti dėl likutinės šilumos, likusios ant mygtukų juos palietus. Kai kuriais atvejais skimerio įtaisai buvo dedami virš įrenginio priekio, uždengdami tikrus mygtukus. Nors šiuo paskutiniu atveju PIN kodai ir kortelės duomenys vis tiek pavogti, jie nėra griežtai laikomi naršymu per petį, nes faktinio stebėjimo nereikėjo.

Kitos situacijos

Žinoma, plaukiojimas ant pečių gali kelti pavojų ir kitais scenarijais. Šiai rizikai kyla bet kuri sistema, turinti trumpą paslaptį, ypač sunumeruotame PIN kodo blokelyje. Užpuolikas galėjo stebėti, kaip kodas įvedamas į apsaugines duris, atidarydamas seifą matyti būgninės padėtis arba stebėti, kaip įvedamas slaptažodis.

Pastaba: kai klaviatūroje ilgą laiką naudojamas vienas PIN kodas, vien nuo naudojimo mygtukai gali susidėvėti arba susitepti. Tai panašu į terminio vaizdavimo koncepciją, jei tai yra ekstremalesnis variantas. Paprastai jis taikomas tik apsauginėms durims, nes jos paprastai turi vieną PIN kodą, kurį žino visi įgalioti asmenys, kuris dažnai nekeičiamas.

Scenarijus, kai užpuolikas stebi įvedamą slaptažodį, yra ypač įdomus kompiuterių saugumo srityje. Nors slaptažodžio žmonėms nenorite pasakyti, yra kitų būdų jį gauti. Sukčiavimas yra gana gerai žinoma ir dažnai neįvertinta rizika. Naršymas ant pečių taip pat yra dar viena rizika. Ši rizika ypač kyla viešose vietose, kur jūs negalite kontroliuoti aplinkinių žmonių. Namų ar darbo aplinkoje labiau tikimasi patikimumo, kad ir kaip netinkamai tai būtų.

Pavyzdžiui, užpuolikas gali matyti jūsų prieigos kodą per petį, jei esate kavinėje ir prisijungiate prie telefono. Užpuolikas taip pat gali padaryti tą patį, jei naudojate nešiojamąjį kompiuterį. Tai lengviau, nes klavišai yra labiau matomi ir lengviau atskiriami, jei greitai įvesite slaptažodį.

Kitas turinys

Dažnai didžiausias banglentininkų taikinys yra kažkas mažo ir vertingo. PIN kodai ir slaptažodžiai yra idealūs tam, nes jie yra trumpi, gana lengvai atpažįstami ir įsimenami ir suteikia tolesnę prieigą prie lėšų, sąskaitos ar įrenginio. Kitais atvejais išpuolis gali būti grynai oportunistinis arba tam tikrų taikinių, pavyzdžiui, šnipinėjimo, rezultatas.

Oportunistinė ataka dažniausiai yra kažko jautraus, bet ne naudingo užpuolikui stebėjimas. Pavyzdžiui, kai kurie verslininkai dirba viešajame transporte. Jie gali dirbti su neskelbtinais dokumentais, susijusiais su finansinėmis prognozėmis ar bet kokia kita neskelbtina, vidine ir nevieša informacija. Netoliese sėdintis asmuo gali matyti savo ekraną ir rinkti informaciją.

Tokiu atveju užpuolikas gali net nebūti tikras užpuolikas. Jie gali būti smalsūs, bet neketina nieko daryti su tuo, ką išmoko. Tačiau taip būna ne visada ir nėra būdo pasakyti, todėl tvarkydami neskelbtiną informaciją viešose vietose turėtumėte būti atsargūs. Ši sąvoka taip pat taikoma jautriam asmeniniam turiniui, ypač fotografijai ar vaizdo įrašams. Vėlgi, kažkas kitas gali pažvelgti į jūsų ekraną. Net jei jie ja nesidalins, tai vis tiek gali būti nepageidaujamas įsibrovimas.

Šnipinėjimo ir socialinės inžinerijos kontekste užpuolikas gali sąmoningai nusitaikyti į auką arba vietą, kad ekrane matytų neskelbtiną informaciją. Tai nebūtinai gali suteikti užpuolikui tiesioginę prieigą, kaip suteiktų slaptažodis. Kaip ir ankstesniame pavyzdyje, kita neskelbtina informacija taip pat gali būti vertinga užpuolikui.

Išvada

Naršymas per pečius yra socialinės inžinerijos atakos klasė. Tai reiškia, kad užpuolikas renka informaciją žiūrėdamas į aukos veiksmus arba ekraną. Naršymas ant pečių pirmiausia apima bandymus atpažinti slaptažodžius ar PIN kodus. Ji taip pat apima bandymus matyti privačią informaciją ekranuose, pvz., įmonės ar vyriausybės paslaptis arba kompromituojančią informaciją. Naršymas ant pečių iš esmės yra vaizdinis pasiklausymo ar pokalbių, kurių neturėjote girdėti, atitikmuo.