Плечевой серфинг — недооцененная угроза?

Когда мы думаем о киберпреступниках, мы обычно представляем себе технически подкованных ботаников, которые программируют вредоносные программы или иным образом получают несанкционированный доступ к удаленным компьютерным системам, чтобы украсть конфиденциальные данные. Однако зачастую существует гораздо более простой способ получения личных данных и паролей. Плечевой серфинг — это простой метод шпионажа за ничего не подозревающими жертвами с целью сбора персональных данных, таких как пароли, PIN-коды и другая информация для входа в систему. Ниже мы объясним, что такое плечевой серфинг и как защитить себя от этой формы публичного шпионажа.

Плечевой серфинг — это способ воров украсть личные данные, наблюдая за тем, как их жертвы используют электронные устройства, такие как банкоматы, платежные терминалы на кассе и даже ноутбуки или смартфоны. Преступники буквально заглядывают «через плечо» своей жертвы во время этих действий.

Похищение данных происходит публично, если посмотреть на поведение каждого пользователя. Мы регулярно пользуемся смартфонами, планшетами и ноутбуками в общественных местах. При этом мы набираем пароли, PIN-коды, имена пользователей и другие личные данные на своих устройствах, не проявляя особой осторожности. Однако многолюдные общественные места облегчают наблюдение за человеком без его ведома. Например, работая на ноутбуке в оживленном кафе во время обеда, вы можете даже не заметить, что человек, сидящий за столиком позади вас, хорошо видит ваш экран. В этом случае вы не заметите, если он будет внимательно наблюдать за вами, когда вы вводите пароли для своих учетных записей в Интернете.

Посторонние лица могут легко получить доступ к данным, защищенным щитом публичной анонимности. Например, если вы вводите информацию о своей кредитной карте в интернет-магазине, преступник может увидеть цифры напрямую или вычислить их, наблюдая за движениями ваших пальцев.

Плечевой серфинг — это вид социальной инженерии, направленный на получение личной информации через межличностный контакт. Существует два типа плечевого серфинга.

Первый тип атаки — это когда для получения доступа к данным используется прямое наблюдение. Это когда человек смотрит прямо через плечо жертвы, чтобы наблюдать за тем, как она вводит данные, например, PIN-код на кассовом терминале.

Во втором случае действия жертвы сначала записываются на видео. Впоследствии преступники могут детально проанализировать эти видеозаписи и получить нужную информацию. Сегодня с помощью видеозаписей можно определить PIN-код для разблокировки мобильных устройств, даже если дисплей не виден на видео. Движения пальцев пользователя достаточно для определения кода доступа.

Как только вор завладевает личной информацией своей жертвы, возникает риск мошенничества. Вор может совершать покупки, снимать деньги или выполнять другие операции, выдавая себя за жертву. В США кража личных данных и мошенничество являются уголовно наказуемыми преступлениями, за которые предусмотрено тюремное заключение сроком до 15 лет.

Помимо нанесения ущерба частным лицам, плечевой серфинг может нанести серьезный вред компаниям. Любой, кто работает в публичной сфере и по наивности вводит свои данные для входа в инструменты, логины серверов или учетные записи электронной почты, открывает дверь преступникам и ставит под угрозу конфиденциальность данных клиентов, коллег и сотрудников.

В принципе, вы должны быть предельно осторожны при выполнении любой частной или деловой цифровой деятельности на публике. Вы можете значительно повысить безопасность своих данных, прислушавшись к нескольким важным советам.

Ниже приведены некоторые меры, которые доказали свою эффективность в прошлом при вводе PIN-кода при оплате дебетовыми или кредитными картами.

Совет 1: Обычно рекомендуется прикрывать устройство ввода другой рукой при вводе PIN-кода.

Совет 2: В банкоматах следует обращать внимание на плохо закрепленные или подозрительно выглядящие детали. Например, на самом устройстве считывания карт может быть установлен второй считыватель карт, который используется для считывания магнитной полосы, чтобы получить доступ к данным карты.

Совет 3: Еще один вариант — использовать бесконтактные методы оплаты. Поскольку эти методы не требуют ввода PIN-кода, традиционный плечевой серфинг не может быть использован для получения ваших конфиденциальных данных.

Если вы не можете избежать ввода конфиденциальных данных на вашем ноутбуке, планшете или смартфоне в общественном месте, вам следует принять контрмеры, перечисленные ниже:

Совет 1: Прежде чем вводить конфиденциальные данные, найдите безопасное место. Убедитесь, что вы сидите спиной к стене. Это лучший способ защитить себя от посторонних глаз.

Совет 2: Рекомендуется также использовать фильтр конфиденциальности. Это лист, который помещается на экран. Он делает экран черным для тех, кто смотрит на него под углом. Это значительно затруднит неавторизованным лицам просмотр вашей информации.

Совет 3: Двухфакторная аутентификация требует, чтобы пользователь подтвердил свою личность с помощью двух различных компонентов аутентификации, которые не зависят друг от друга. Поскольку этот тип аутентификации проходит только в том случае, если оба фактора используются правильно и в сочетании друг с другом, эта мера безопасности особенно эффективна. Например, этот метод часто используется в интернет-банкинге. В этом случае идентификация обычно осуществляется с помощью комбинации пароля (первый фактор) и пин-кода (второй фактор), который генерируется заново для каждого отдельного процесса аутентификации.

Совет 4: Еще одно решение — использовать менеджер паролей. При этом вы больше не будете вводить каждый пароль отдельно на своем компьютере. Менеджер паролей сделает это за вас после того, как вы введете свой главный пароль. Это предотвратит использование неавторизованными лицами клавиатурного ввода для определения фактического пароля, если вы правильно защитите свой мастер-пароль.