Tra le fila dei criminali informatici si annoverano frequentemente nerd esperti di tecnologia, che programmano malware o ottengono in altro modo l’accesso non autorizzato a sistemi informatici di terze parti, per rubare dati sensibili. Tuttavia, è spesso molto più facile ottenere dati personali e password: lo shoulder surfing è un modo semplice per spiare vittime ignare e procurarsi così, ad esempio, password, PIN o altri dati di accesso. In questo articolo vi spieghiamo cos’è esattamente lo shoulder surfing e come proteggersi da questo metodo di spionaggio in pubblico.
Tramite lo shoulder surfing i ladri rubano i dati personali, osservando le loro vittime durante l’utilizzo quotidiano di dispositivi elettronici come ad esempio bancomat, terminali di pagamento alle casse o anche computer portatili o smartphone. Durante queste attività vi osservano letteralmente “da dietro le spalle”.
Quanto sia facile il furto di dati in pubblico diventa evidente osservando più da vicino il nostro comportamento: usiamo regolarmente smartphone, tablet o computer portatili in pubblico. Infatti, solitamente, digitiamo password, PIN, nomi utente e altri dati personali nei nostri dispositivi senza prestare particolare attenzione all’azione compiuta. In spazi pubblici affollati, tuttavia, è sempre possibile essere inconsapevolmente osservati. Ad esempio, mentre state lavorando pensierosi sul vostro portatile in un bar affollato, all’ora di pranzo, potreste non notare che la persona al tavolo dietro di voi non solo vede chiaramente il vostro schermo ma osserva anche da vicino quando inserite le password per i vostri account online.
In molte situazioni gli shoulder surfer, come vengono chiamati, possono intercettare i dati indisturbati, rimanendo protetti dall’anonimato pubblico. Ad esempio, se inserite i dati della vostra carta di credito in un negozio online, un hacker può vedere le cifre direttamente sullo schermo o persino dedurle dal movimento delle vostre dita. Appare chiaro come tecniche di questo tipo vadano quindi prese in considerazione, quando si parla di sicurezza dei dati.
Lo shoulder surfing fa parte dei metodi del social engineering, che mira esclusivamente a ottenere informazioni confidenziali attraverso l’influenza interpersonale. Si possono distinguere due tipi di shoulder surfing:
innanzitutto ci sono gli attacchi in cui si tenta di intercettare i dati attraverso l’osservazione diretta. In questo caso una persona, che guarda la sua vittima standole alle spalle, osserva quando questa, ad esempio, digita il PIN personale in un terminale del registratore di cassa.
Nella seconda variante le vittime vengono prima di tutto registrate su video durante le loro azioni. Gli hacker possono quindi analizzare con precisione, in un secondo momento, i video registrati e ottenere così le informazioni desiderate. Utilizzando le registrazioni video, oggi è già possibile desumere il PIN per sbloccare i dispositivi mobili, anche se il display non è visibile sulla registrazione video. I soli movimenti delle dita sono sufficienti per determinare il codice di accesso.
La truffa del furto di dati osservando la vittima da dietro le spalle esisteva già da tempo, prima della comparsa di Internet e degli smartphone: già negli anni 80 gli hacker spiavano i numeri delle carte telefoniche nei telefoni pubblici, per telefonare in seguito a spese delle vittime o rivendere le carte al di sotto del valore di mercato.
Non appena un ladro viene a conoscenza dei dati personali della vittima, esiste il rischio di frode da parte del criminale che acquista per conto della vittima, preleva contante o effettua altre operazioni. In Italia lo spionaggio o l’intercettazione dei dati costituisce reato ed è punito con una multa ouna pena detentiva.
Oltre a danni personali, lo shoulder surfing può anche causare gravi danni alle aziende: chi lavora in pubblico e digita inavvertitamente le credenziali di accesso per i dispositivi, per il login del server o per l’account e-mail, spalanca le porte agli hacker e mette così in pericolo anche la protezione dei dati di clienti e colleghi o collaboratori.
In linea di principio si dovrebbe prestare particolare attenzione a tutte le attività digitali private e aziendali che si svolgono in pubblico. È possibile aumentare in modo significativo la sicurezza dei propri dati seguendo alcuni importanti suggerimenti.
In passato, le seguenti misure, ad esempio, si sono dimostrate particolarmente efficaci per l’inserimento del PIN quando si paga con bancomat o carta di credito:
Consiglio 1: è generalmente consigliabile coprire il dispositivo di input con l’altra mano durante l’immissione del PIN.
Consiglio 2: agli sportelli automatici, prima di prelevare denaro, è utile verificarela presenza dicomponenti mal collegati o sospetti. Potrebbe ad esempio essere stata collocata davanti al lettore di carte effettivo una seconda unità di lettura, utilizzata per leggere la banda magnetica e quindi intercettare i dati della carta.
Consiglio 3: un’altra opzione è quella di utilizzare metodi di pagamento contactless, che non richiedono l’immissione del PIN e non consentono pertanto lo spionaggio dei dati sensibili tramite il classico shoulder surfing.
Se non si può fare a meno di inserire dati sensibili su PC, tablet o smartphone in pubblico, si raccomanda di prendere le seguenti misure di sicurezza:
Consiglio 1: trovate un posto adatto prima di inserire i dati sensibili. Sedendosi direttamente con le spalle al muro ci si protegge da sguardi indesiderati.
Consiglio 2: è consigliabile anche l’utilizzo di un filtro per la privacy. Si tratta di una pellicola attaccata allo schermo, grazie alla quale lo schermo appare nero per tutti coloro che guardano il display da un’angolazione obliqua. Ciò rende significativamente più difficile per le persone non autorizzate leggere le informazioni.
Consiglio 3: l’utente con un‘autenticazione a due fattori dimostra la propria identità, usando due diversi componenti indipendenti l’uno dall’altro. Poiché questa autenticazione ha successo solo se entrambi i fattori vengono inseriti insieme e in maniera corretta, si godrà in questo caso di una protezioneparticolarmente elevata. Questo metodo, ad esempio, viene spesso utilizzato nell’online banking. Qui l’identificazione viene solitamente eseguita combinando una password (1° fattore) con un TAN (2° fattore), che viene generato nuovamente per ogni processo di autenticazione.
Consiglio 4: un’altra misura preventiva consiste nell’utilizzare un password manager, ovvero un programma per la gestione sicura delle password. Ciò significa che non è più necessario inserire ciascuna password singolarmente sul PC, ma che il password manager lo fa per voi dopo aver inserito una password principale. In questo modo una persona non autorizzata non può trarre alcuna conclusione sulla password effettiva in base all'immissione da tastiera, a condizione che proteggiate questa password principale di conseguenza.
A volte bastano solo pochi secondi affinché un hacker abbia accesso a dati privati, senza che ve ne accorgiate. Il motivo? Il più delle volte la password personale è l’unico meccanismo di protezione per il login di servizi online e troppo spesso si utilizzano password facilmente intuibili, che non comportano affatto una grande sfida per i criminali. Pertanto ci sono numerose possibilità per...
Fino a pochi anni fa i metodi di pagamento online offerti, erano ancora piuttosto semplici per tutti. Le modalità di pagamento più comuni del commercio elettronico non erano sempre presenti su tutti gli e-commerce, ma oggi altri prestatori di servizi online stanno prendendo piede. Ma quali di questi non dovrebbero assolutamente mancare sul vostro sito?
L’e-mail è uno dei mezzi di comunicazione più diffusi: si adopera per iscriversi a molti portali web, per scambiarsi informazioni private o di lavoro, come organizer o rubrica digitale. Per questo è fondamentale proteggere al meglio il proprio account. Che fare, però, quando la propria e-mail è stata hackerata? La nostra guida illustra i metodi più usati dai criminali informatici per accedere agli...
Ci sono miliardi di dati di accesso rubati in circolazione sulle darknet. Gli hacker utilizzano queste combinazioni di nome utente e password per accedere agli account utente e rubare dati sensibili. Per fare ciò, usano una tecnica chiamata “credential stuffing”. Per proteggersi dal furto di dati, è necessario capire come funziona il credential stuffing e quali sono le contromisure esistenti.
Quando alla fine del 2021 è stata rivelata la vulnerabilità Log4Shell, che ha permesso ai criminali informatici di prendere facilmente il controllo di interi sistemi remoti, la notizia ha fatto il giro del mondo. Quasi tutte le grandi aziende e molti dei servizi più utilizzati sono stati colpiti. Scoprite perché la falla di sicurezza Log4Shell è stata così devastante, come funzionano gli exploit e...
Offri ai tuoi clienti servizi professionali e affidabili con l'hosting di IONOS.
Scopri i pacchetti
Dominio omaggio per un anno