Una delle forme più semplici, ma più pericolose di attacco alla privacy personale e aziendale e ai dati correlati è lo shoulder surfing. Vediamo cos’è, come si caratterizza e come ci si può difendere
È questo il momento d’oro per essere vittima di shoulder surfing: si lavora all’aperto col pc e non ci si accorge che proprio dietro le spalle ci può essere qualcuno che sta spiando le nostre mosse e, peggio, prende nota dei nostri user e password. Il fenomeno è più ampio e possibile di quanto si creda: si pensi a quanti posti ci sono in cui essere osservati mentre digitiamo il pin al bancomat oppure facciamo il login da smartphone al nostro conto corrente online.
Capita più spesso di quanto si pensi: uno studio condotto dalla NYU Tandon School of Engineering ha rilevato che il 73% degli intervistati ha indicato di aver visto il PIN confidenziale di qualcun altro a sua insaputa. Stando a uno studio sulla consapevolezza del shoulder surfing presentato alla ACM Conference on Human Factors in Computing Systems, il 97% degli intervistati ha dichiarato di essere spettatore consapevole di un atto collegabile nella vita quotidiana, e che nella maggioranza dei casi, le vittime non erano consapevoli di essere state osservate.
Anche il Dipartimento della Giustizia statunitense mette in guardia contro questo fenomeno: nei luoghi pubblici i criminali possono fare shoulder surfing – osservando il malcapitato da un luogo vicino mentre digita il numero della propria carta di credito – o ascoltare la conversazione se si forniscono dati sensibili al telefono.
La questione forse più preoccupante è che non servono strumenti tecnologici sofisticati o capacità tecniche speciali per rubare i dati in questo modo: basta davvero poco. Ma i danni che crea questa tecnica di social engineering sono potenzialmente elevati.
Cos’è lo shoulder surfing
“Navigare alle spalle” è la traduzione letterale di shoulder surfing, una tecnica di social engineering finalizzata a raccogliere informazioni guardando “sopra” o “alle” spalle di qualcuno per ottenere dati riservati utili. Come ogni tecnica di social engineering, sfrutta la psicologia della vittima (usi, abitudini ecc.) per carpire informazioni che possono essere i dati di accesso all’home banking o ad altre informazioni strettamente private per farne un uso criminale.
L’obiettivo è ottenere dati personali, come nomi utente, password o numeri di identificazione personale (PIN), numeri di conti bancari o numeri di carte di credito.
Anche se tradizionalmente questo tipo di atti vengono eseguiti a distanza più o meno ravvicinata, ci sono anche episodi più sofisticati e a più lunga distanza. In questo caso i cyber-delinquenti utilizzano binocoli, microspie o micro telecamere o videocamere. I criminali possono poi analizzare videocamere per usufruire delle informazioni desiderate. Oggi è possibile utilizzare le registrazioni video per determinare il PIN di sblocco dei dispositivi mobili anche se il display non è visibile nel video. I movimenti delle dita di un utente sono sufficienti per determinare il codice di accesso.
Che sia da distanza ravvicinata o a lungo raggio, shoulder surfing può avvenire sul posto di lavoro o in luoghi pubblici come caffè, bar, ristoranti, hotel, sale d’attesa degli aeroporti o ai bancomat.
Sempre in tema “balneare”, oltre allo shoulder surfing c’è anche la pratica del dumpster diving (“immergersi nella spazzatura”) una pratica messa in atto dai malintenzionati che rovistano nella raccolta differenziata di una persona o di un’organizzazione commerciale alla caccia di informazioni che possono essere utilizzate per un attacco informatico a una rete.
Come funziona e i rischi correlati
Nella maniera più semplice e più frequente, un attacco di shoulder surfing avviene con l’aggressore che si posiziona in modo da poter vedere lo schermo del dispositivo della vittima e la tastiera o il tastierino se necessario. Mentre la vittima inserisce e visualizza informazioni o password sul dispositivo, il malvivente registra questi dati.
Da qui in poi, cominciano i problemi per il mal capitato: dall’accesso ai suoi dati bancari e alle carte di credito con perdite di denaro anche ingenti.
Il rischio di dati personali in mano a un criminale potrebbe significare una perdita finanziaria totale, ma anche l’uso illecito dei dati catturati per attività criminali, la perdita di identità e altro ancora.
Come proteggersi dallo shoulder surfing
Per prevenire lo shoulder surfing, si possono mettere in atto alcuni accorgimenti. Il primo è di posizionarsi, quando si inseriscono password sul pc, tablet o smartphone in un luogo pubblico, in modo da avere le spalle al muro. Quando si inserisce il PIN sul bancomat è sempre bene coprire con una mano la tastiera. Occorre anche evitare di ripetere a voce i codici di accesso.
A livello tecnologico, è consigliabile dotarsi di una buona protezione della privacy per lo smartphone, il tablet o il portatile per evitare che altri vedano l’account a cui si sta accedendo.
Un altro consiglio utile è di evitare di usare la stessa password per accedere a diversi strumenti (email, social network, siti web con informazioni delicate ecc.) o usare una protezione per lo schermo dei computer pubblici o dei portatili.
Si può usare un generatore di password casuali o una password grafica per evitare il shoulder surfing e scoraggiare i truffatori. Oggi si fa uso del riconoscimento biometrico (identificazione viso, scansione della retina ecc.) per accedere in spazi virtuali.
Una delle migliori difese contro questo tipo di ingegneria sociale è uno schermo per la privacy, che aiuta a prevenire la vista laterale. Questo sistema utilizza la tecnologia “black out” che oscura la vista laterale, così lo schermo appare nero se visto da un angolo.
È possibile anche attivare l’autenticazione a 2 fattori (2FA) su qualsiasi account che la offre. 2FA impedisce a chiunque di usare la password per accedere ai tuoi account, a meno che non abbia anche accesso a un dispositivo personale come lo smartphone. Senza quel dispositivo, la “navigazione alle spalle” diventa completamente inefficace.
È possibile anche utilizzare password manager, ovvero sistemi che archiviano in modo sicuro e crittografato username e password di accesso ai servizi web.
