Vad är axelsurfing?

Inom datorsäkerhet finns det många risker och många former som dessa risker kan ta. Axelsurfing är en form av social ingenjörskonst. Det hänvisar till en klass av attack där en angripare får information genom att titta på offrets enhet. Detta innebar historiskt sett att fysiskt titta sig över axeln men omfattar också tekniker som involverar dolda kameror och liknande.

Det klassiska exemplet på axelsurfning är när en angripare tittar sig över offrets axel medan han skriver in sin PIN-kod för betalkort. Medvetenhet om denna typ av attack har lett till beteendeförändringar, inklusive att aktivt täcka handen och skriva in PIN-koden med den andra handen. Vissa betalterminaler har även ett inbyggt sekretessskydd över PIN-koden. Vissa uttagsautomater påminner också användarna om att kolla över axeln. De kan också ha en liten spegel så att du kan kolla över axeln.

Obs: ATM-spegeln är ofta liten och något dimmig. Detta är medvetet. Det är tillräckligt bra för att du ska kunna kolla över axeln. Det är inte heller tillräckligt bra för att en välplacerad angripare ska kunna se din PIN-kod.

Dessa motåtgärder har lett till mer avancerade tekniker i den verkliga världen. Många kriminella företag har använt dolda kameror för att spionera på PIN-koden. Vissa har placerat sig längre bort och använt en kikare eller ett teleskop för att se PIN-koden på säkert avstånd. Värmekameror har också använts för att identifiera PIN-koden på grund av den kvarvarande värmen som lämnats kvar på knapparna när de berördes. I vissa fall har skummarenheter placerats över enhetens framsida, som täcker de riktiga knapparna. Även om det här sista fallet fortfarande leder till att PIN-koder och kortdetaljer stjäls, räknas de strikt inte som axelsurfning, eftersom ingen faktisk observation behövdes.

Andra situationer

Självklart kan axelsurfning också vara en risk i andra scenarier. Alla system med en kort hemlighet – särskilt på en numrerad PIN-kod – är öppen för denna risk. En angripare kan se en kod som matas in i en säkerhetsdörr, se tumlarens positioner när man öppnar ett kassaskåp eller observera att ett lösenord matas in.

Obs: När en enda PIN-kod används på en knappsats under en längre period, kan knapparna bli slitna eller smutsiga bara av användning. Detta liknar – om en mer extrem variant av – termisk bildkoncept. Det gäller vanligtvis bara säkerhetsdörrar eftersom de tenderar att ha en PIN-kod känd av alla auktoriserade, som inte ofta ändras.

Scenariot med en angripare som observerar att ett lösenord matas in är särskilt intressant inom datorsäkerhet. Även om du kanske inte gärna berättar för andra ett lösenord, finns det andra sätt att få det. Nätfiske är en relativt välkänd och ofta underskattad risk. Axelsurfing är också en annan risk. Denna risk gäller särskilt i offentliga miljöer där du inte har någon kontroll över människorna omkring dig. I en hem- eller arbetsmiljö finns det mer en förväntning om pålitlighet, hur felplacerad det än kan vara.

Till exempel kan en angripare se ditt lösenord över din axel om du är på ett kafé och loggar in på din telefon. En angripare kan också göra samma sak om du använder en bärbar dator. Det är enklare eftersom nycklarna är mer framträdande och lättare att särskilja om du snabbt skriver ditt lösenord.

Annat innehåll

Ofta är det största målet för axelsurfare något litet av högt värde. PIN-koder och lösenord är idealiska för detta eftersom de är korta, relativt lätta att identifiera och komma ihåg och ger ytterligare tillgång till till exempel pengar eller ett konto eller en enhet. I andra fall kan attacken vara rent opportunistisk eller resultatet av särskilda målinriktningar, såsom spionage.

En opportunistisk attack tenderar att vara observationen av något känsligt men inte något användbart för angriparen. En del företagare arbetar till exempel med kollektivtrafiken. De kan arbeta med känsliga dokument som involverar finansiella prognoser eller någon annan form av känslig, intern och icke-offentlig information. Någon som sitter i närheten kanske kan se sin skärm och samla information.

I det här fallet kanske angriparen inte ens är en verklig angripare. De kanske är nyfikna men har ingen avsikt att göra något med det de lär sig. Detta är dock inte alltid fallet, och det finns inget sätt att säga, så försiktighet bör iakttas när man hanterar känslig information på offentliga platser. Detta koncept gäller även för känsligt personligt innehåll, särskilt fotografiskt eller video. Återigen kan någon annan titta på din skärm. Även om de inte delar det vidare kan det fortfarande vara ett oönskat intrång.

I spionage och social ingenjörskontext kan en angripare medvetet rikta in sig på ett offer eller en plats för att se känslig information på en skärm. Detta kanske inte nödvändigtvis ger angriparen direkt åtkomst som ett lösenord skulle göra. Liksom föregående exempel kan även annan känslig information vara värdefull för angriparen.

Slutsats

Axelsurfing är en klass av social ingenjörsattack. Det innebär att en angripare skaffar information genom att titta på offrets handlingar eller skärm. Axelsurfning omfattar i första hand försök att identifiera lösenord eller PIN-koder. Det täcker också försök att se privat information på skärmar, såsom företags- eller regeringshemligheter eller kompromitterande information. Axelsurfning är i grunden den visuella motsvarigheten till att avlyssna eller lyssna på konversationer som du inte skulle kunna höra.