Шта је сурфовање раменима?

У рачунарској безбедности постоји много ризика и много облика које ти ризици могу имати. Сурфовање раменима је облик друштвеног инжењеринга. Односи се на класу напада где нападач добија информације гледајући у уређај жртве. Ово је историјски подразумевало физичко гледање преко рамена, али такође обухвата технике које укључују скривене камере и слично.

Класичан пример сурфовања преко рамена је када нападач гледа преко рамена жртве док укуцава ПИН своје платне картице. Свест о овој врсти напада довела је до промена у понашању, укључујући активно покривање руке и куцање ПИН-а другом руком. Неки терминали за плаћање такође имају уграђену маску за приватност преко ПИН табле. Неки банкомати такође подсећају кориснике да провере преко рамена. Такође могу имати мало огледало које вам омогућава да проверите преко рамена.

Напомена: Огледало банкомата је често сићушно и помало замагљено. Ово је намерно. Довољно је добро да вам омогући да проверите преко рамена. Такође није довољно добро да дозволите добро постављеном нападачу да види ваш ПИН.

Ове контрамере су довеле до напреднијих техника у стварном свету. Многа криминална предузећа су користила скривене камере за шпијунирање ПИН-а. Неки су се сместили даље и користили двоглед или телескоп да виде ПИН пад са безбедне удаљености. Термалне камере су такође коришћене за идентификацију ПИН-а због преостале топлоте која је остала на дугмадима када су их додирнули. У неким случајевима, скимер уређаји су постављени преко предње стране уређаја, покривајући праве дугмад. Иако овај последњи случај и даље доводи до крађе ПИН-ова и података о картици, они се стриктно не рачунају као сурфовање по рамену, јер није било потребно стварно посматрање.

Друге ситуације

Наравно, сурфовање раменима такође може бити ризик у другим сценаријима. Сваки систем са кратком тајном – посебно на нумерисаном ПИН-у – подложан је овом ризику. Нападач је могао да гледа шифру која је унета у сигурносна врата, да види положаје чаша приликом отварања сефа или да посматра уношење лозинке.

Напомена: Када се један ПИН користи на тастатури дужи период, дугмад се могу истрошити или запрљати само од употребе. Ово је слично – ако је екстремнија варијанта – концепту термичког снимања. Обично се односи само на сигурносна врата јер обично имају један ПИН који знају сви овлашћени, који се не мења често.

Сценарио нападача који посматра уношење лозинке посебно је занимљив у рачунарској безбедности. Иако можда нећете својевољно рећи људима лозинку, постоје други начини да је добијете. Пецање је релативно добро познат и често недовољно цењен ризик. Сурфовање на раменима је такође још један ризик. Овај ризик се посебно односи на јавна окружења где немате контролу над људима око себе. У кућном или радном окружењу, постоји више очекивања од поверења, колико год то било погрешно.

На пример, нападач може да види ваш приступни код преко вашег рамена ако сте у кафићу и пријавите се на телефон. Нападач такође може да уради исто ако користите лаптоп. Лакше је јер су кључеви истакнутији и лакше их је разликовати ако брзо унесете лозинку.

Други садржај

Често је највећа мета сурфера нешто мало од велике вредности. ПИН-ови и лозинке су идеални за ово јер су кратки, релативно лаки за идентификацију и памћење и обезбеђују даљи приступ средствима или налогу или уређају, на пример. У другим случајевима, напад може бити чисто опортунистички или резултат одређених циљева, као што је шпијунажа.

Опортунистички напад обично представља посматрање нечега осетљивог, али не и нечег корисног за нападача. На пример, неки пословни људи раде у јавном превозу. Они могу да раде на осетљивим документима који укључују финансијске прогнозе или било коју другу врсту осетљивих, интерних и информација које нису јавне. Неко ко седи у близини можда ће моћи да види свој екран и прикупи информације.

У овом случају, нападач можда чак и није стварни нападач. Можда су радознали, али немају намеру да ураде било шта са оним што науче. Међутим, то није увек случај и нема начина да се то каже, тако да треба бити опрезан када радите са осетљивим информацијама на јавним местима. Овај концепт се такође односи на осетљиве личне садржаје, посебно фотографије или видео записе. Опет, неко други може да погледа у ваш екран. Чак и ако га не поделе даље, то може бити нежељени упад.

У контексту шпијунаже и друштвеног инжењеринга, нападач може намерно да циља жртву или локацију да би видео осетљиве информације на екрану. Ово можда неће нужно омогућити нападачу директан приступ као што би то била лозинка. Као у претходном примеру, друге осетљиве информације такође могу бити вредне за нападача.

Закључак

Сурфовање раменима је класа напада социјалног инжењеринга. То укључује нападач који прикупља информације гледајући радње жртве или екран. Сурфовање преко рамена првенствено покрива покушаје да се идентификују лозинке или ПИН-ови. Такође покрива покушаје да се на екранима виде приватне информације, као што су корпоративне или државне тајне или компромитујуће информације. Сурфовање преко рамена је у суштини визуелни еквивалент прислушкивања или слушања разговора које не бисте требали да чујете.