Gli esperti di cyber security di Sicurezza.net hanno analizzato lo shoulder surfing, una tecnica di social engineering che consente ad attori malevoli di rubare informazioni alle vittime tramite l’osservazione delle loro azioni e dello spazio che le circonda. Nel seguente articolo gli esperti spiegano il fenomeno e le misure da adottare per proteggersi.
Cos’è lo shoulder surfing?
«Lo shoulder surfing è una particolare tecnica di social engineering che consente agli hacker di rubare dati e informazioni alle vittime mediante l’arte dell’osservazione.
Lo shoulder surfing può essere messo in atto da chiunque, in quanto non servono particolari skill tecniche o conoscenze informatiche.
Il furto di dati in pubblico è diventato un fenomeno molto diffuso e pericoloso. Quotidianamente utilizziamo smartphone, tablet e computer e digitiamo password, PIN e credenziali di accesso senza prestare particolare attenzione alle nostre azioni. Soprattutto negli spazi pubblici e affollati, è possibile che veniamo inconsapevolmente osservati. Nella maggior parte dei casi gli shoulder surfer intercettano i nostri dati indisturbati, rimanendo nel completo anonimato.
Tipi di shoulder surfing
Possiamo distinguere diversi tipi di attacchi di shoulder surfing.
Nel primo caso, la minaccia si basa sull’osservazione diretta delle azioni della vittima. Il shoulder surfer, stando alle spalle del suo obiettivo, capta le sue informazioni personali digitate sulla tastiera.
Nella seconda variante, il shoulder surfer registra su supporti audio e video tutto quello che vede. Microfoni, nano-amplificatori e microcamere sono strumenti che permettono di superare i limiti della capacità percettiva umana, estendendo il raggio di incidenza e il tasso di successo della truffa.
Grazie alle nuovetecnologie e a buone capacità di recitazione, un criminale può fingere di essere un dipendente di un’impresa di pulizie.
In questo modo può entrare in un ufficio con una microcamera posizionata dietro le lenti degli occhiali o sotto il berretto e osservare desktop, scrivanie, lavagne o archivi senza destare sospetti.
Attacco di Stanley Mark Rifkin
Per capire meglio come viene messo in atto lo shoulder surfing analizziamo un caso reale.
Uno dei più redditizi attacchi di social engineering è stato compiuto da Stanley Mark Rifkin nel 1978. Il criminale lavorava a contratto per lo sviluppo di un sistema di backup commissionato dalla Banca Nazionale del Pacifico, situata in un grattacielo sicuro nel cuore di Los Angeles. Inizialmente, si è limitato ad osservare le procedure per trasferire denaro svolte dagli operatori. Dopo aver scoperto che utilizzavano un codice segreto, variabile giorno per giorno, scritto su una lavagna, entrò nella stanza del trasferimento e, iniziando una conversazione amichevole osservò il codice sul muro.
Subito dopo, gli impiegati ricevettero una telefonata da un impiegato della divisione internazionale della banca, che disse di chiamarsi Mark Hansen. L’uomo ordinò, grazie al codice scoperto in precedenza, un trasferimento di 10,2 milioni di dollari verso un account della Irvin Trust Company. Ovviamente, Mark Hansen era in realtà Stanley Rifkin.
Come difendersi
Esistono alcune misure preventive utili per proteggersi dallo shoulder surfing. È necessario:
- Ridurre la superficie di rischio mediante azioni che minimizzano le informazioni condivise all’esterno e massimizzano il livello di consapevolezza delle risorse umane;
- Ridurre il perimetro di attacco tramite operazioni di prevenzione come:
- evitare di condividere informazioni riservate in luoghi pubblici;
- utilizzare protezioni per oscurare la visibilità del display;
- utilizzare un tipo di autenticazione a due fattori;
- trovare un luogo sicuro prima di inserire dati sensibili».
https://sicurezza.net/cyber-security/shoulder-surfing-cosa-e-come-proteggersi/
