Tra le fila dei criminali in­for­ma­ti­ci si an­no­ve­ra­no fre­quen­te­men­te nerd esperti di tec­no­lo­gia, che pro­gram­ma­no malware o ottengono in altro modo l’accesso non au­to­riz­za­to a sistemi in­for­ma­ti­ci di terze parti, per rubare dati sensibili. Tuttavia, è spesso molto più facile ottenere dati personali e password: lo shoulder surfing è un modo semplice per spiare vittime ignare e pro­cu­rar­si così, ad esempio, password, PIN o altri dati di accesso. In questo articolo vi spie­ghia­mo cos’è esat­ta­men­te lo shoulder surfing e come pro­teg­ger­si da questo metodo di spio­nag­gio in pubblico.

Cos’è lo shoulder surfing?

Tramite lo shoulder surfing i ladri rubano i dati personali, os­ser­van­do le loro vittime durante l’utilizzo quo­ti­dia­no di di­spo­si­ti­vi elet­tro­ni­ci come ad esempio bancomat, terminali di pagamento alle casse o anche computer portatili o smart­pho­ne. Durante queste attività vi osservano let­te­ral­men­te “da dietro le spalle”.

Quanto sia facile il furto di dati in pubblico diventa evidente os­ser­van­do più da vicino il nostro com­por­ta­men­to: usiamo re­go­lar­men­te smart­pho­ne, tablet o computer portatili in pubblico. Infatti, so­li­ta­men­te, digitiamo password, PIN, nomi utente e altri dati personali nei nostri di­spo­si­ti­vi senza prestare par­ti­co­la­re at­ten­zio­ne all’azione compiuta. In spazi pubblici affollati, tuttavia, è sempre possibile essere in­con­sa­pe­vol­men­te osservati. Ad esempio, mentre state lavorando pen­sie­ro­si sul vostro portatile in un bar affollato, all’ora di pranzo, potreste non notare che la persona al tavolo dietro di voi non solo vede chia­ra­men­te il vostro schermo ma osserva anche da vicino quando inserite le password per i vostri account online.

In molte si­tua­zio­ni gli shoulder surfer, come vengono chiamati, possono in­ter­cet­ta­re i dati in­di­stur­ba­ti, rimanendo protetti dall’anonimato pubblico. Ad esempio, se inserite i dati della vostra carta di credito in un negozio online, un hacker può vedere le cifre di­ret­ta­men­te sullo schermo o persino dedurle dal movimento delle vostre dita. Appare chiaro come tecniche di questo tipo vadano quindi prese in con­si­de­ra­zio­ne, quando si parla di sicurezza dei dati.

Clas­si­fi­ca­zio­ne e ca­rat­te­ri­sti­che dello shoulder surfing

Lo shoulder surfing fa parte dei metodi del social en­gi­nee­ring, che mira esclu­si­va­men­te a ottenere in­for­ma­zio­ni con­fi­den­zia­li at­tra­ver­so l’influenza in­ter­per­so­na­le. Si possono di­stin­gue­re due tipi di shoulder surfing:

in­nan­zi­tut­to ci sono gli attacchi in cui si tenta di in­ter­cet­ta­re i dati at­tra­ver­so l’os­ser­va­zio­ne diretta. In questo caso una persona, che guarda la sua vittima standole alle spalle, osserva quando questa, ad esempio, digita il PIN personale in un terminale del re­gi­stra­to­re di cassa.

Nella seconda variante le vittime vengono prima di tutto re­gi­stra­te su video durante le loro azioni. Gli hacker possono quindi ana­liz­za­re con pre­ci­sio­ne, in un secondo momento, i video re­gi­stra­ti e ottenere così le in­for­ma­zio­ni de­si­de­ra­te. Uti­liz­zan­do le re­gi­stra­zio­ni video, oggi è già possibile desumere il PIN per sbloccare i di­spo­si­ti­vi mobili, anche se il display non è visibile sulla re­gi­stra­zio­ne video. I soli movimenti delle dita sono suf­fi­cien­ti per de­ter­mi­na­re il codice di accesso.

N.B.

La truffa del furto di dati os­ser­van­do la vittima da dietro le spalle esisteva già da tempo, prima della comparsa di Internet e degli smart­pho­ne: già negli anni 80 gli hacker spiavano i numeri delle carte te­le­fo­ni­che nei telefoni pubblici, per te­le­fo­na­re in seguito a spese delle vittime o rivendere le carte al di sotto del valore di mercato.

Quali con­se­guen­ze può avere lo shoulder surfing?

Non appena un ladro viene a co­no­scen­za dei dati personali della vittima, esiste il rischio di frode da parte del criminale che acquista per conto della vittima, preleva contante o effettua altre ope­ra­zio­ni. In Italia lo spio­nag­gio o l’in­ter­cet­ta­zio­ne dei dati co­sti­tui­sce reato ed è punito con una multa o una pena detentiva.

Oltre a danni personali, lo shoulder surfing può anche causare gravi danni alle aziende: chi lavora in pubblico e digita inav­ver­ti­ta­men­te le cre­den­zia­li di accesso per i di­spo­si­ti­vi, per il login del server o per l’account e-mail, spalanca le porte agli hacker e mette così in pericolo anche la pro­te­zio­ne dei dati di clienti e colleghi o col­la­bo­ra­to­ri.

Con­tro­mi­su­re: cosa si può fare contro lo shoulder surfing

In linea di principio si dovrebbe prestare par­ti­co­la­re at­ten­zio­ne a tutte le attività digitali private e aziendali che si svolgono in pubblico. È possibile aumentare in modo si­gni­fi­ca­ti­vo la sicurezza dei propri dati seguendo alcuni im­por­tan­ti sug­ge­ri­men­ti.

Pro­te­zio­ne dallo shoulder surfing: consigli per l’in­se­ri­men­to del PIN

In passato, le seguenti misure, ad esempio, si sono di­mo­stra­te par­ti­co­lar­men­te efficaci per l’in­se­ri­men­to del PIN quando si paga con bancomat o carta di credito:

Consiglio 1: è ge­ne­ral­men­te con­si­glia­bi­le coprire il di­spo­si­ti­vo di input con l’altra mano durante l’im­mis­sio­ne del PIN.

Consiglio 2: agli sportelli au­to­ma­ti­ci, prima di prelevare denaro, è utile ve­ri­fi­ca­re la presenza di com­po­nen­ti mal collegati o sospetti. Potrebbe ad esempio essere stata collocata davanti al lettore di carte effettivo una seconda unità di lettura, uti­liz­za­ta per leggere la banda magnetica e quindi in­ter­cet­ta­re i dati della carta.

Consiglio 3: un’altra opzione è quella di uti­liz­za­re metodi di pagamento con­tac­tless, che non ri­chie­do­no l’im­mis­sio­ne del PIN e non con­sen­to­no pertanto lo spio­nag­gio dei dati sensibili tramite il classico shoulder surfing.

Pro­te­zio­ne dallo shoulder surfing durante l’in­se­ri­men­to generale di dati sensibili

Se non si può fare a meno di inserire dati sensibili su PC, tablet o smart­pho­ne in pubblico, si rac­co­man­da di prendere le seguenti misure di sicurezza:

Consiglio 1: trovate un posto adatto prima di inserire i dati sensibili. Sedendosi di­ret­ta­men­te con le spalle al muro ci si protegge da sguardi in­de­si­de­ra­ti.

Consiglio 2: è con­si­glia­bi­le anche l’utilizzo di un filtro per la privacy. Si tratta di una pellicola attaccata allo schermo, grazie alla quale lo schermo appare nero per tutti coloro che guardano il display da un’an­go­la­zio­ne obliqua. Ciò rende si­gni­fi­ca­ti­va­men­te più difficile per le persone non au­to­riz­za­te leggere le in­for­ma­zio­ni.

Consiglio 3: l’utente con un‘au­ten­ti­ca­zio­ne a due fattori dimostra la propria identità, usando due diversi com­po­nen­ti in­di­pen­den­ti l’uno dall’altro. Poiché questa au­ten­ti­ca­zio­ne ha successo solo se entrambi i fattori vengono inseriti insieme e in maniera corretta, si godrà in questo caso di una pro­te­zio­ne par­ti­co­lar­men­te elevata. Questo metodo, ad esempio, viene spesso uti­liz­za­to nell’online banking. Qui l’iden­ti­fi­ca­zio­ne viene so­li­ta­men­te eseguita com­bi­nan­do una password (1° fattore) con un TAN (2° fattore), che viene generato nuo­va­men­te per ogni processo di au­ten­ti­ca­zio­ne.

Consiglio 4: un’altra misura pre­ven­ti­va consiste nell’uti­liz­za­re un password manager, ovvero un programma per la gestione sicura delle password. Ciò significa che non è più ne­ces­sa­rio inserire ciascuna password sin­go­lar­men­te sul PC, ma che il password manager lo fa per voi dopo aver inserito una password prin­ci­pa­le. In questo modo una persona non au­to­riz­za­ta non può trarre alcuna con­clu­sio­ne sulla password effettiva in base al­l'im­mis­sio­ne da tastiera, a con­di­zio­ne che pro­teg­gia­te questa password prin­ci­pa­le di con­se­guen­za.

Vai al menu prin­ci­pa­le