Lo shoulder surfing è tra le pratiche di hacking più semplici e maggiormente diffuse negli ultimi anni.
Questa tecnica risulta estremamente efficace per quegli individui che sviluppano costantemente nuove tecniche di spionaggio o sniffing con lo scopo di ottenere l’accesso ai sistemi informatici per rubare dati. Non è necessario possedere particolari skill tecniche o conoscenze informatiche.
Gli attacchi di shoulder surfing rientrano certamente nella categoria di attacchi di social engineering.
Tra le informazioni che è possibile ottenere tramite la tecnica dello shoulder surfing ritroviamo ad esempio: password, PIN o altre informazioni come credenziali di accesso.
In quest’articolo, definiamo in dettaglio lo shoulder surfing e discutiamo dei modi per evitare di caderne vittima.

Lo shoulder surfing è una tecnica d’ingegneria sociale che può essere effettuata a distanza ravvicinata, in prossimità della vittima o da una distanza maggiore, ad esempio utilizzando un binocolo o dispositivi simili.
I truffatori non hanno bisogno di alcuna competenza tecnica per utilizzare questa strategia; è sufficiente prestare semplicemente attenzione all’ambiente circostante e al modello di battitura delle vittime.
Lo Shoulder surfing o navigazione a spalla veniva utilizzato vicino ai telefoni pubblici a pagamento, all’inizio degli anni ’80, per rubare le cifre delle schede telefoniche.
L’introduzione della tecnologia attuale come telecamere nascoste e microfoni segreti ha facilitato lo shoulder surfing ampliando notevolmente il perimetro d’attacco. Infatti, una telecamera nascosta consente al truffatore di registrare l’intera procedura di accesso della vittima, nonché altri dati personali, con potenziali conseguenti perdite finanziarie o furto d’identità.
La tecnica di spionaggio tramite shoulder surfing è più diffusa nelle aree trafficate poiché è più semplice visualizzare le informazioni senza attirare l’attenzione della vittima su di sé.
Gli attacchi di shoulder surfing sono classificati in due tipi:
- attacchi di osservazione diretta, in cui le informazioni di autenticazione vengono ottenute monitorando direttamente la sequenza di autenticazione
- attacchi di registrazione, in cui le informazioni di autenticazione vengono ottenute registrando la sequenza di autenticazione per un’analisi successiva.
La tecnica shoulder surfing avviene negli scenari quotidiani per scoprire contenuti privati su dispositivi personali, oltre ai pericoli per l’inserimento di password o PIN.
Lo skimmer è un apparecchio elettronico con lettore di banda magnetica che può salvare i dati in una memoria EPROM o EEPROM contenuta in una minuscola card e collegarsi a qualsiasi computer.
Gli skimmer sono frequentemente impiegati in operazioni fraudolente volte a ottenere i dati delle carte di credito degli utenti.
L’attività fraudolenta legata agli skimmer, però, va oltre la semplice lettura delle informazioni dall’ATM; per poter riutilizzare i dati ottenuti con lo skimmer è inoltre indispensabile conoscere il codice PIN della carta.
Per questo scopo viene in genere utilizzata una minuscola fotocamera con un obiettivo puntato verso la tastiera. Confrontando i tempi dei dati raccolti con lo skimmer con i tempi delle riprese è possibile ricostruire l’intera transazione.
Ecco alcuni suggerimenti per rilevare gli skimmer.
Sebbene sia impossibile trovare tutti gli skimmer, dovresti assolutamente controllare.
-
Lettore di carte a scorrimento: se il lettore di carte si muove quando si tenta di farlo scorrere con la mano, è probabile che qualcosa non va.
Un lettore di carte originale dovrebbe essere collegato al terminale in modo che non si muova. Uno skimmer dovrebbe spostarsi sopra il lettore di carte. - Esamina le telecamere: considera dove un ladro può nascondere una telecamera, ad esempio sopra lo schermo o la tastiera.
- Utilizzo di Skimmer Scanner su Android: se hai un telefono Android, puoi utilizzare Skimmer Scanner per cercare i dispositivi Bluetooth nelle vicinanze e rilevare gli skimmer più diffusi sul mercato. Non è infallibile, ma è uno strumento eccellente per rilevare gli attuali skimmer che trasferiscono dati tramite Bluetooth.
Un esempio del danno che i surfisti possono provocare è usare i dati della tua carta di credito per effettuare transazioni fraudolente.
Più informazioni personali ottengono su di te, più gravi potrebbero essere le ripercussioni.
Ad esempio, se utilizzi la tua carta di debito presso un bancomat su cui è installato uno skimmer per carte, i truffatori potrebbero essere in grado di registrare sia il PIN che le informazioni del tuo account e ottenere l’accesso al tuo conto bancario. Dunque, se un truffatore acquisisce il PIN del tuo smartphone e ottiene il tuo telefono, avrà accesso a tutte le informazioni sul tuo account, ai dettagli della carta di credito e alle password.
Uno o due acquisti fraudolenti possono essere identificati rapidamente e facilmente fornendo una nuova carta di credito.
Tuttavia, se la frode non viene rilevata presto, potrebbe avere gravi conseguenze a lungo termine.
Gli attaccanti possono anche vendere le tue informazioni personali sul dark web.
Lo shoulder surfing, nel peggiore dei casi, potrebbe esporvi al furto d’identità. Le informazioni personali sottratte potrebbero essere utilizzate da un truffatore per aprire nuovi conti di credito, richiedere prestiti, affittare appartamenti o fare domanda per un impiego a tuo nome.
Di seguito, alcune misure per prevenire e mitigare il rischio dello shoulder surfing.
-
Le password non devono essere riutilizzate su più account.
Molti utenti ammettono di utilizzare la stessa password per più di un account. Ciò aumenta la probabilità di frode in caso di furto della password. Se un attaccante entra in possesso di una password che hai utilizzato oltre al tuo indirizzo e-mail, può testarlo su centinaia di siti Web e servizi. Ciò potrebbe consentire loro di accedere a ulteriori dei tuoi account. Per evitare di riutilizzare le password, utilizzare i programmi di gestione delle password per generare password e archiviarle in modo sicuro.
- Usa la tecnologia a tuo vantaggio. Se qualcuno può vederti digitare le tue password, non fa differenza quanto siano sicure. Utilizza il riconoscimento facciale o gli accessi tramite impronte digitali forniti da alcune app e dispositivi mobili per accedere ai tuoi dati senza inserire PIN o password. Effettuare operazioni di pagamento senza inserire i PIN utilizzando le applicazioni contactless.
- Non utilizzare Wi-Fi pubblicoo dispositivi di condivisione per accedere ad account sensibili.
Non è mai una buona idea accedere agli account personali o acquistare online utilizzando Wi-Fi pubblico o dispositivi.
Gli hacker possono utilizzare le reti Wi-Fi pubbliche per attingere alla connessione e rubare i tuoi dati.
- Utilizzare l’autenticazione a due fattori.
Oltre alla password, l’autenticazione a due fattori richiede una seconda forma di verifica dell’identità. Ad esempio, la tua banca potrebbe emetterti un codice di accesso una tantum valido solo per pochi minuti. Anche se hanno la tua password o PIN, non possono accedere al tuo conto bancario a meno che non inseriscano il codice.
Concludendo, prima rilevi gli indicatori di frode o furto d’identità, prima potrai intervenire per porvi rimedio.
Chi è Onorato Informatica?
Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001
Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.
Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001, ISO 27001 e azienda etica.
Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.
- Autore articolo
- Ultimi articoli

Sono CTO, socio della società Onorato Informatica e il Direttore del Security Operations Center.
Aiuto le imprese e i professionisti a progettare e implementare servizi di sicurezza informatica e a difendersi dagli attacchi informatici di hacker e virus.
Da oltre vent’anni mi occupo di linguaggi di programmazione: C, C++, C#, VB.NET, HTML, PHP e JAVA. Dirigo lo sviluppo e la gestione soluzioni di sicurezza informatica per aziende e enti tramite servizi di Web Security, Network Security, Anti-DDoS, Intrusion Prevention Systems, Perimeter Security, Network Segmentation, Security Information and Event Management, Threat and Vulnerability Management.
A differenza delle classiche soluzioni di sicurezza informatica, noi lavoriamo con servizi sviluppati internamente ad alte performance; utilizziamo solo tecnologie esclusive e certificate.
Inoltre, negli ultimi 10 anni ci siamo specializzati nella pianificazione, progettazione e implementazione dei servizi di Vulnerability Assessment e Penetration Test di sistemi e infrastrutture, comprese WebApp, Mobile e IoT.