shoulder surfing

Tra le pratiche di hacking più semplici e maggiormente diffuse negli ultimi anni esiste proprio il shoulder surfing.
Questa tecnica risulta estremamente efficace per quegli individui che sviluppano costantemente nuove tecniche di spionaggio o sniffing con lo scopo di ottenere l’accesso ai sistemi informatici per rubare dati. Non è necessario possedere particolari skill tecniche o conoscenze informatiche.

Gli attacchi di shoulder surfing rientrano certamente nella categoria di attacchi di social engineering.

Tra le informazioni che è possibile ottenere tramite la tecnica del shoulder surfing ritroviamo ad esempio: password, PIN o altre informazioni come credenziali di accesso.

In quest’articolo, definiamo in dettaglio il shoulder surfing e discutiamo dei modi per evitare di caderne vittima.

Una definizione dello shoulder surfing

Lo shoulder surfing è una tecnica d’ingegneria sociale che può essere effettuata a distanza ravvicinata, in prossimità della vittima o da una distanza maggiore, ad esempio utilizzando un binocolo o dispositivi simili.

I truffatori non hanno bisogno di alcuna competenza tecnica per utilizzare questa strategia; è sufficiente prestare semplicemente attenzione all’ambiente circostante e al modello di battitura delle vittime.

Shoulder surfing o navigazione a spalla veniva utilizzata vicino ai telefoni pubblici a pagamento, all’inizio degli anni ’80, per rubare le cifre delle schede telefoniche.

L’introduzione della tecnologia attuale come telecamere nascoste e microfoni segreti ha facilitato lo shoulder surfing ampliando notevolmente il perimetro d’attacco. Infatti, una telecamera nascosta consente al truffatore di registrare l’intera procedura di accesso della vittima, nonché altri dati personali, con potenziali conseguenti perdite finanziarie o furto d’identità.

Tipologie d’attacco shoulder surfing

La tecnica di spionaggio tramite shoulder surfing è più diffusa nelle aree trafficate poiché è più semplice visualizzare le informazioni senza attirare l’attenzione della vittima su di sé.

Gli attacchi di shoulder surfing sono classificati in due tipi:

  1. attacchi di osservazione diretta, in cui le informazioni di autenticazione vengono ottenute monitorando direttamente la sequenza di autenticazione

  2. attacchi di registrazione, in cui le informazioni di autenticazione vengono ottenute registrando la sequenza di autenticazione per un’analisi successiva.

La tecnica shoulder surfing avviene negli scenari quotidiani per scoprire contenuti privati su dispositivi personali, oltre ai pericoli per l’inserimento di password o PIN.

Skimmer per ATM, cosa sono e come evitarli

Lo skimmer è un apparecchio elettronico con lettore di banda magnetica che può salvare i dati in una memoria EPROM o EEPROM contenuta in una minuscola card e collegarsi a qualsiasi computer.

Gli skimmer sono frequentemente impiegati in operazioni fraudolente volte a ottenere i dati delle carte di credito degli utenti.
L’attività fraudolenta legata agli skimmer, però, va oltre la semplice lettura delle informazioni dall’ATM; per poter riutilizzare i dati ottenuti con lo skimmer è inoltre indispensabile conoscere il codice PIN della carta.

Per questo scopo viene in genere utilizzata una minuscola fotocamera con un obiettivo puntato verso la tastiera. Confrontando i tempi dei dati raccolti con lo skimmer con i tempi delle riprese è possibile ricostruire l’intera transazione.

Ecco alcuni suggerimenti per rilevare gli skimmer.
Sebbene sia impossibile trovare tutti gli skimmer, dovresti assolutamente controllare.

  • Lettore di carte a scorrimento: se il lettore di carte si muove quando si tenta di farlo scorrere con la mano, è probabile che qualcosa non va.

    Un lettore di carte originale dovrebbe essere collegato al terminale in modo che non si muova. Uno skimmer dovrebbe spostarsi sopra il lettore di carte.

  • Esamina le telecamere: considera dove un ladro può nascondere una telecamera, ad esempio sopra lo schermo o la tastiera.

  • Utilizzo di Skimmer Scanner su Android: se hai un telefono Android, puoi utilizzare Skimmer Scanner per cercare i dispositivi Bluetooth nelle vicinanze e rilevare gli skimmer più diffusi sul mercato. Non è infallibile, ma è uno strumento eccellente per rilevare gli attuali skimmer che trasferiscono dati tramite Bluetooth.

Quali sono le conseguenze di un attacco shoulder surfing?

Un esempio del danno che i surfisti possono provocare è usare i dati della tua carta di credito per effettuare transazioni fraudolente.

Più informazioni personali ottengono su di te, più gravi potrebbero essere le ripercussioni.

Ad esempio, se utilizzi la tua carta di debito presso un bancomat su cui è installato uno skimmer per carte, i truffatori potrebbero essere in grado di registrare sia il PIN che le informazioni del tuo account e ottenere l’accesso al tuo conto bancario. Dunque, se un truffatore acquisisce il PIN del tuo smartphone e ottiene il tuo telefono, avrà accesso a tutte le informazioni sul tuo account, ai dettagli della carta di credito e alle password.

Uno o due acquisti fraudolenti possono essere identificati rapidamente e facilmente fornendo una nuova carta di credito.

Tuttavia, se la frode non viene rilevata presto, potrebbe avere gravi conseguenze a lungo termine.
Gli attaccanti possono anche vendere le tue informazioni personali sul dark web.

Lo shoulder surfing, nel peggiore dei casi, potrebbe esporvi al furto d’identità. Le informazioni personali sottratte potrebbero essere utilizzate da un truffatore per aprire nuovi conti di credito, richiedere prestiti, affittare appartamenti o fare domanda per un impiego a tuo nome.

Misure di prevenzione

Di seguito, alcune misure per prevenire e mitigare il rischio dello shoulder surfing.

  • Le password non devono essere riutilizzate su più account.

    Molti utenti ammettono di utilizzare la stessa password per più di un account. Ciò aumenta la probabilità di frode in caso di furto della password. Se un attaccante entra in possesso di una password che hai utilizzato oltre al tuo indirizzo e-mail, può testarlo su centinaia di siti Web e servizi. Ciò potrebbe consentire loro di accedere a ulteriori dei tuoi account. Per evitare di riutilizzare le password, utilizzare i programmi di gestione delle password per generare password e archiviarle in modo sicuro.

  • Usa la tecnologia a tuo vantaggio. Se qualcuno può vederti digitare le tue password, non fa differenza quanto siano sicure. Utilizza il riconoscimento facciale o gli accessi tramite impronte digitali forniti da alcune app e dispositivi mobili per accedere ai tuoi dati senza inserire PIN o password. Effettuare operazioni di pagamento senza inserire i PIN utilizzando le applicazioni contactless.
  • Non utilizzare Wi-Fi pubblicoo dispositivi di condivisione per accedere ad account sensibili.
    Non è mai una buona idea accedere agli account personali o acquistare online utilizzando Wi-Fi pubblico o dispositivi.
    Gli hacker possono utilizzare le reti Wi-Fi pubbliche per attingere alla connessione e rubare i tuoi dati.
  • Utilizzare l’autenticazione a due fattori.
    Oltre alla password, l’autenticazione a due fattori richiede una seconda forma di verifica dell’identità. Ad esempio, la tua banca potrebbe emetterti un codice di accesso una tantum valido solo per pochi minuti. Anche se hanno la tua password o PIN, non possono accedere al tuo conto bancario a meno che non inseriscano il codice.

Concludendo, prima rilevi gli indicatori di frode o furto d’identità, prima potrai intervenire per porvi rimedio.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.