Hva er skuldersurfing?

Innen datasikkerhet er det mange risikoer og mange former som disse risikoene kan ta. Skuldersurfing er en form for sosial ingeniørkunst. Det refererer til en klasse av angrep der en angriper får informasjon ved å se på offerets enhet. Dette har historisk sett involvert fysisk å se over skulderen, men omfatter også teknikker som involverer skjulte kameraer og lignende.

Det klassiske eksemplet på skuldersurfing er når en angriper ser over skulderen til offeret mens han skriver inn PIN-koden til betalingskortet. Bevissthet om denne typen angrep har ført til endringer i atferd, inkludert aktivt dekke til hånden og taste inn PIN-koden med den andre hånden. Noen betalingsterminaler har også et innebygd personverndeksel over PIN-koden. Noen minibanker minner også brukere om å sjekke over skuldrene. De kan også ha et lite speil som lar deg sjekke over skulderen.

Merk: Minibankspeilet er ofte lite og noe tåkete. Dette er bevisst. Den er god nok til å la deg sjekke over skulderen. Det er heller ikke godt nok til å la en velplassert angriper se PIN-koden din.

Disse mottiltakene har ført til mer avanserte teknikker i den virkelige verden. Mange kriminelle virksomheter har brukt skjulte kameraer for å spionere på PIN-koden. Noen har plassert seg lenger unna og brukt kikkert eller teleskop for å se PIN-blokken på trygg avstand. Termiske kameraer har også blitt brukt til å identifisere PIN-koden på grunn av restvarmen som ble etterlatt på knappene når de ble berørt. I noen tilfeller har skimmer-enheter blitt plassert over fronten av enheten, og dekker de virkelige knappene. Selv om dette siste tilfellet fortsatt resulterer i at PIN-koder og kortdetaljer blir stjålet, regnes de strengt tatt ikke som skuldersurfing, da ingen faktisk observasjon var nødvendig.

Andre situasjoner

Selvfølgelig kan skuldersurfing også være en risiko i andre scenarier. Ethvert system med en kort hemmelighet – spesielt på en nummerert PIN-kode – er åpen for denne risikoen. En angriper kan se en kode som legges inn i en sikkerhetsdør, se vannglassposisjonene når du åpner en safe, eller observere at et passord skrives inn.

Merk: Når en enkelt PIN-kode brukes på et tastatur i en lengre periode, kan knappene bli nedslitte eller skitne bare ved bruk. Dette ligner – om en mer ekstrem variant av – termisk bildekonseptet. Det gjelder vanligvis bare sikkerhetsdører, da de pleier å ha én PIN-kode kjent av alle autoriserte, som ikke ofte endres.

Scenariet med en angriper som observerer at et passord skrives inn er spesielt interessant innen datasikkerhet. Selv om du kanskje ikke villig forteller folk et passord, er det andre måter å få det på. Phishing er en relativt kjent og ofte undervurdert risiko. Skuldersurfing er også en annen risiko. Denne risikoen gjelder spesielt i offentlige omgivelser der du ikke har kontroll over menneskene rundt deg. I et hjemme- eller arbeidsmiljø er det mer en forventning om pålitelighet, så feilplassert som det kan være.

For eksempel kan en angriper se passordet ditt over skulderen din hvis du er på en kaffebar og logger på telefonen. En angriper kan også gjøre det samme hvis du bruker en bærbar datamaskin. Det er enklere siden tastene er mer fremtredende og lettere å skille hvis du raskt skriver inn passordet.

Annet innhold

Ofte er det største målet for skuldersurfere noe lite av høy verdi. PIN-koder og passord er ideelle for dette siden de er korte, relativt enkle å identifisere og huske og gir ytterligere tilgang til midler eller en konto eller enhet, for eksempel. I andre tilfeller kan angrepet være rent opportunistisk eller et resultat av bestemte målrettinger, for eksempel spionasje.

Et opportunistisk angrep har en tendens til å være observasjon av noe sensitivt, men ikke noe nyttig for angriperen. For eksempel jobber noen forretningsfolk med kollektivtransport. De kan arbeide med sensitive dokumenter som involverer økonomiske prognoser eller annen form for sensitiv, intern og ikke-offentlig informasjon. Noen som sitter i nærheten kan kanskje se skjermen deres og samle informasjon.

I dette tilfellet er angriperen kanskje ikke engang en faktisk angriper. De kan være nysgjerrige, men har ingen intensjon om å gjøre noe med det de lærer. Dette er imidlertid ikke alltid tilfelle, og det er ingen måte å si det, så forsiktighet bør utvises når du håndterer sensitiv informasjon på offentlige steder. Dette konseptet gjelder også for sensitivt personlig innhold, spesielt fotografisk eller video. Igjen, noen andre kan se på skjermen din. Selv om de ikke deler det videre, kan det fortsatt være et uønsket inntrenging.

I spionasje- og sosialteknikksammenheng kan en angriper bevisst målrette et offer eller et sted for å se sensitiv informasjon på en skjerm. Dette gir ikke nødvendigvis angriperen direkte tilgang slik et passord ville gjort. I likhet med forrige eksempel kan også annen sensitiv informasjon være verdifull for angriperen.

Konklusjon

Skuldersurfing er en klasse av sosialt ingeniørangrep. Det innebærer at en angriper henter informasjon ved å se på offerets handlinger eller skjerm. Skuldersurfing dekker først og fremst forsøk på å identifisere passord eller PIN-koder. Den dekker også forsøk på å se privat informasjon på skjermer, for eksempel bedrifts- eller regjeringshemmeligheter eller kompromitterende informasjon. Skuldersurfing er egentlig den visuelle ekvivalenten til avlytting eller å lytte til samtaler du ikke skulle kunne høre.