Lavorare in luoghi pubblici come aeroporti, ristoranti e bar, grandi uffici e spazi dedicati al lavoro intelligente presenta una serie di rischi per la sicurezza. Richiede l’adozione di alcune misure per prevenire il furto di dati o identità, il compromesso di dispositivi, credenziali e altro ancora. Uno di questi rischi è ciò che viene chiamato “shoulder surfing” o spionaggio da vicino. Si tratta di una tecnica di ingegneria sociale utilizzata per ottenere informazioni come codici PIN, password e altri dati confidenziali osservando la vittima dietro le spalle.

Come funziona il “shoulder surfing”?

Questa tecnica non richiede alcuna conoscenza tecnica. Il malintenzionato si limita a spiare chi sta eseguendo determinate operazioni. Ad esempio, può osservare qualcuno inserire la propria password, il PIN in un bancomat, il codice per chiudere il lucchetto dell’armadietto in palestra o la password per accedere a un’area riservata tramite tastierino numerico.

Si tratta di una delle tecniche di ingegneria sociale più antiche, ma non meno efficaci. Potremmo menzionare diversi esempi di attacchi che l’hanno sfruttata con successo. C’è un caso interessante descritto nel libro “L’Arte dell’Inganno” di Kevin Mitnick. Kevin è un programmatore, phreaker, cracker ed imprenditore americano. Si è distinto per le sue notevoli abilità nell’ingegneria sociale, avendo effettuato alcune delle incursioni più audaci nei computer del governo degli Stati Uniti. Nel libro racconta del suo personaggio, Eric, che proprio partendo dalle tecniche di shoulder surfing è riuscito ad ottenere l’accesso alla rete del DMV (Ufficio delle Patenti di Guida) attraverso una serie di passaggi. Ha utilizzato questo accesso per diversi mesi per rubare dati sulle patenti di guida, che ha ovviamente venduto, facendo enormi profitti e spesso causando guai a persone innocenti.

Oltre all’attacco classico, quando qualcuno sbircia il tuo monitor o la tastiera (tramite shoulder surfing), esistono numerose evoluzioni tecnologiche. Queste coinvolgono l’uso di dispositivi come microfoni, nano-amplificatori, microcamere e altri oggetti, spesso disponibili su Internet a costi molto bassi.

Come proteggersi

Ora sai quanto sia facile persino per un ingegnere sociale meno esperto acquisire informazioni fondamentali sui tuoi sistemi di sicurezza. Come possiamo difenderci dal shoulder surfing? Ecco alcune semplici regole:

1. Quando inserisci password, codici, PIN e altre credenziali, proteggi sempre la tastiera in modo che sia invisibile alle persone e alle telecamere intorno a te.
2. Durante l’inserimento di password o credenziali, non recitarle ad alta voce.
3. Se lavori in luoghi pubblici, installa una protezione sul tuo dispositivo per oscurare la visibilità dello schermo.
4. Non annotare mai le password. Leggere appunti del genere in luoghi pubblici, ad esempio per inserire un PIN di accesso, aumenta la tua superficie di attacco.
5. Quando disponibile, utilizza l’autenticazione a più fattori, in modo che il compromesso di un singolo fattore, come un PIN, non comprometta automaticamente il tuo account.
6. Utilizza sempre password e PIN diversi per ogni servizio. I criminali spesso utilizzano le credenziali compromesse di un singolo account per cercare di accedere ad altri account in tuo possesso. Ad esempio, un criminale potrebbe vedere te inserire la password per accedere a un servizio web e tentare di utilizzare la stessa password per il tuo account aziendale o il portale bancario domestico.
7. Cambia le tue credenziali frequentemente.

Tu e i tuoi colleghi dei team non IT potete imparare di più con il corso di formazione sulla security awareness Sababa Awareness.