Що таке плечовий серфінг?

У комп’ютерній безпеці є багато ризиків і різноманітні форми цих ризиків. Плечовий серфінг – це форма соціальної інженерії. Це відноситься до класу атак, коли зловмисник отримує інформацію, дивлячись на пристрій жертви. Історично це передбачало фізичний огляд через плече, але також охоплює методи, пов’язані з прихованими камерами тощо.

Класичний приклад плечового серфінгу – коли зловмисник дивиться через плече жертви, вводячи PIN-код своєї платіжної картки. Усвідомлення цього типу атаки призвело до змін у поведінці, зокрема до активного прикриття рукою та введення PIN-коду іншою рукою. Деякі платіжні термінали також мають вбудовану кришку конфіденційності над панеллю PIN-коду. Деякі банкомати також нагадують користувачам перевірити через плече. Вони також можуть мати невелике дзеркало, щоб ви могли перевірити через плече.

Примітка. Дзеркало банкомату часто буває крихітним і дещо туманним. Це навмисно. Це досить добре, щоб ви могли перевірити через плече. Це також недостатньо добре, щоб дозволити зловмиснику побачити ваш PIN-код.

Ці контрзаходи призвели до більш прогресивних методів у реальному світі. Багато злочинних організацій використовували приховані камери, щоб стежити за PIN-кодом. Деякі розташувалися далі й використовували бінокль або телескоп, щоб побачити PIN-код із безпечної відстані. Теплові камери також використовувалися для ідентифікації PIN-коду через залишкове тепло, яке залишалося на кнопках, коли їх торкалися. У деяких випадках скиммери розміщуються на передній частині пристрою, закриваючи справжні кнопки. Хоча цей останній випадок все ще призводить до викрадення PIN-кодів і даних картки, вони суворо не вважаються серфінгом на плечі, оскільки фактичне спостереження не було потрібно.

Інші ситуації

Звичайно, серфінг на плечі також може бути ризикованим за інших сценаріїв. Будь-яка система з коротким секретом, особливо на панелі з цифровим PIN-кодом, піддається цьому ризику. Зловмисник може спостерігати за кодом, введеним у двері безпеки, бачити положення стакана під час відкриття сейфа або спостерігати за введенням пароля.

Примітка: якщо один PIN-код використовується на клавіатурі протягом тривалого періоду, кнопки можуть стати зношеними або брудними просто від використання. Це схоже на концепцію тепловізору, якщо це більш екстремальний варіант. Зазвичай це стосується лише захисних дверей, оскільки вони, як правило, мають один PIN-код, відомий усім авторизованим особам, який не часто змінюють.

Сценарій, коли зловмисник спостерігає за введенням пароля, особливо цікавий у сфері комп’ютерної безпеки. Хоча ви можете не охоче повідомляти людям пароль, є інші способи отримати його. Фішинг є відносно добре відомим ризиком, який часто недооцінюють. Серфінг на плечах також є ще одним ризиком. Цей ризик особливо стосується громадських місць, де ви не можете контролювати людей навколо вас. У домашньому чи робочому середовищі більше сподівань на надійність, як би недоречно це не було.

Наприклад, зловмисник може побачити ваш пароль через плече, якщо ви перебуваєте в кав’ярні та входите у свій телефон. Зловмисник також може зробити те саме, якщо ви використовуєте ноутбук. Це легше, оскільки ключі помітніші, і їх легше розрізнити, якщо швидко ввести пароль.

Інший вміст

Часто найбільшою ціллю серфінгістів на плечі є щось дрібне високої вартості. PIN-коди та паролі ідеально підходять для цього, оскільки вони короткі, їх відносно легко ідентифікувати та запам’ятати та забезпечують подальший доступ до коштів, облікового запису чи пристрою, наприклад. В інших випадках напад може бути суто опортуністичним або результатом певних цілей, наприклад, шпигунства.

Опортуністична атака – це, як правило, спостереження за чимось чутливим, але не корисним для зловмисника. Наприклад, деякі бізнесмени працюють у громадському транспорті. Вони можуть працювати з конфіденційними документами, пов’язаними з фінансовими прогнозами чи будь-якою іншою конфіденційною, внутрішньою та закритою інформацією. Хтось, хто сидить поруч, може побачити їхній екран і зібрати інформацію.

У цьому випадку зловмисник може навіть не бути справжнім зловмисником. Їм може бути цікаво, але вони не мають наміру щось робити з тим, що вони дізналися. Однак це не завжди так, і неможливо сказати, тому слід бути обережним, коли маєте справу з конфіденційною інформацією в громадських місцях. Ця концепція також стосується конфіденційного особистого вмісту, особливо фото чи відео. Знову хтось інший може дивитися на ваш екран. Навіть якщо вони більше не діляться цим, це може бути небажаним вторгненням.

У контексті шпигунства та соціальної інженерії зловмисник може навмисно націлитися на жертву або місце, щоб побачити конфіденційну інформацію на екрані. Це може не обов’язково надати зловмиснику прямий доступ, як пароль. Як і в попередньому прикладі, інша конфіденційна інформація також може бути цінною для зловмисника.

Висновок

Плечовий серфінг – це клас соціальної інженерної атаки. Зловмисник збирає інформацію, дивлячись на дії або екран жертви. Перегляд на плечі в основному охоплює спроби ідентифікувати паролі або PIN-коди. Це також охоплює спроби побачити приватну інформацію на екранах, таку як корпоративна чи державна таємниця або компрометуюча інформація. Серфінг на плечі – це, по суті, візуальний еквівалент підслуховування або прослуховування розмов, які ви не повинні були чути.