Shoulder surfing – un pericolo sottovalutato?

Tra le fila dei criminali informatici si annoverano frequentemente nerd esperti di tecnologia, che programmano malware o ottengono in altro modo l’accesso non autorizzato a sistemi informatici di terze parti, per rubare dati sensibili. Tuttavia, è spesso molto più facile ottenere dati personali e password: lo shoulder surfing è un modo semplice per spiare vittime ignare e procurarsi così, ad esempio, password, PIN o altri dati di accesso. In questo articolo vi spieghiamo cos’è esattamente lo shoulder surfing e come proteggersi da questo metodo di spionaggio in pubblico.

Cos’è lo shoulder surfing?

Tramite lo shoulder surfing i ladri rubano i dati personali, osservando le loro vittime durante l’utilizzo quotidiano di dispositivi elettronici come ad esempio bancomat, terminali di pagamento alle casse o anche computer portatili o smartphone. Durante queste attività vi osservano letteralmente “da dietro le spalle”.

Quanto sia facile il furto di dati in pubblico diventa evidente osservando più da vicino il nostro comportamento: usiamo regolarmente smartphone, tablet o computer portatili in pubblico. Infatti, solitamente, digitiamo password, PIN, nomi utente e altri dati personali nei nostri dispositivi senza prestare particolare attenzione all’azione compiuta. In spazi pubblici affollati, tuttavia, è sempre possibile essere inconsapevolmente osservati. Ad esempio, mentre state lavorando pensierosi sul vostro portatile in un bar affollato, all’ora di pranzo, potreste non notare che la persona al tavolo dietro di voi non solo vede chiaramente il vostro schermo ma osserva anche da vicino quando inserite le password per i vostri account online.

In molte situazioni gli shoulder surfer, come vengono chiamati, possono intercettare i dati indisturbati, rimanendo protetti dall’anonimato pubblico. Ad esempio, se inserite i dati della vostra carta di credito in un negozio online, un hacker può vedere le cifre direttamente sullo schermo o persino dedurle dal movimento delle vostre dita. Appare chiaro come tecniche di questo tipo vadano quindi prese in considerazione, quando si parla di sicurezza dei dati.

Classificazione e caratteristiche dello shoulder surfing

Lo shoulder surfing fa parte dei metodi del social engineering, che mira esclusivamente a ottenere informazioni confidenziali attraverso l’influenza interpersonale. Si possono distinguere due tipi di shoulder surfing:

innanzitutto ci sono gli attacchi in cui si tenta di intercettare i dati attraverso l’osservazione diretta. In questo caso una persona, che guarda la sua vittima standole alle spalle, osserva quando questa, ad esempio, digita il PIN personale in un terminale del registratore di cassa.

Nella seconda variante le vittime vengono prima di tutto registrate su video durante le loro azioni. Gli hacker possono quindi analizzare con precisione, in un secondo momento, i video registrati e ottenere così le informazioni desiderate. Utilizzando le registrazioni video, oggi è già possibile desumere il PIN per sbloccare i dispositivi mobili, anche se il display non è visibile sulla registrazione video. I soli movimenti delle dita sono sufficienti per determinare il codice di accesso.

N.B.

La truffa del furto di dati osservando la vittima da dietro le spalle esisteva già da tempo, prima della comparsa di Internet e degli smartphone: già negli anni 80 gli hacker spiavano i numeri delle carte telefoniche nei telefoni pubblici, per telefonare in seguito a spese delle vittime o rivendere le carte al di sotto del valore di mercato.

Quali conseguenze può avere lo shoulder surfing?

Non appena un ladro viene a conoscenza dei dati personali della vittima, esiste il rischio di frode da parte del criminale che acquista per conto della vittima, preleva contante o effettua altre operazioni. In Italia lo spionaggio o l’intercettazione dei dati costituisce reato ed è punito con una multa o una pena detentiva.

Oltre a danni personali, lo shoulder surfing può anche causare gravi danni alle aziende: chi lavora in pubblico e digita inavvertitamente le credenziali di accesso per i dispositivi, per il login del server o per l’account e-mail, spalanca le porte agli hacker e mette così in pericolo anche la protezione dei dati di clienti e colleghi o collaboratori.

Contromisure: cosa si può fare contro lo shoulder surfing

In linea di principio si dovrebbe prestare particolare attenzione a tutte le attività digitali private e aziendali che si svolgono in pubblico. È possibile aumentare in modo significativo la sicurezza dei propri dati seguendo alcuni importanti suggerimenti.

Protezione dallo shoulder surfing: consigli per l’inserimento del PIN

In passato, le seguenti misure, ad esempio, si sono dimostrate particolarmente efficaci per l’inserimento del PIN quando si paga con bancomat o carta di credito:

Consiglio 1: è generalmente consigliabile coprire il dispositivo di input con l’altra mano durante l’immissione del PIN.

Consiglio 2: agli sportelli automatici, prima di prelevare denaro, è utile verificare la presenza di componenti mal collegati o sospetti. Potrebbe ad esempio essere stata collocata davanti al lettore di carte effettivo una seconda unità di lettura, utilizzata per leggere la banda magnetica e quindi intercettare i dati della carta.

Consiglio 3: un’altra opzione è quella di utilizzare metodi di pagamento contactless, che non richiedono l’immissione del PIN e non consentono pertanto lo spionaggio dei dati sensibili tramite il classico shoulder surfing.

Protezione dallo shoulder surfing durante l’inserimento generale di dati sensibili

Se non si può fare a meno di inserire dati sensibili su PC, tablet o smartphone in pubblico, si raccomanda di prendere le seguenti misure di sicurezza:

Consiglio 1: trovate un posto adatto prima di inserire i dati sensibili. Sedendosi direttamente con le spalle al muro ci si protegge da sguardi indesiderati.

Consiglio 2: è consigliabile anche l’utilizzo di un filtro per la privacy. Si tratta di una pellicola attaccata allo schermo, grazie alla quale lo schermo appare nero per tutti coloro che guardano il display da un’angolazione obliqua. Ciò rende significativamente più difficile per le persone non autorizzate leggere le informazioni.

Consiglio 3: l’utente con un‘autenticazione a due fattori dimostra la propria identità, usando due diversi componenti indipendenti l’uno dall’altro. Poiché questa autenticazione ha successo solo se entrambi i fattori vengono inseriti insieme e in maniera corretta, si godrà in questo caso di una protezione particolarmente elevata. Questo metodo, ad esempio, viene spesso utilizzato nell’online banking. Qui l’identificazione viene solitamente eseguita combinando una password (1° fattore) con un TAN (2° fattore), che viene generato nuovamente per ogni processo di autenticazione.

Consiglio 4: un’altra misura preventiva consiste nell’utilizzare un password manager, ovvero un programma per la gestione sicura delle password. Ciò significa che non è più necessario inserire ciascuna password singolarmente sul PC, ma che il password manager lo fa per voi dopo aver inserito una password principale. In questo modo una persona non autorizzata non può trarre alcuna conclusione sulla password effettiva in base all'immissione da tastiera, a condizione che proteggiate questa password principale di conseguenza.

Per offrirti una migliore esperienza di navigazione online questo sito web usa dei cookie, propri e di terze parti. Continuando a navigare sul sito acconsenti all’utilizzo dei cookie. Scopri di più sull’uso dei cookie e sulla possibilità di modificarne le impostazioni o negare il consenso.