Autore: Raffaella Loprete
•
16 febbraio 2022
Lavorare in luoghi pubblici, come aeroporti, ristoranti e bar, ma anche grandi uffici e locali dedicati allo smart working presenta una serie di rischi, e richiede di adattare alcune misure per prevenire furti di dati o identità, compromissione del dispositivo e delle credenziali e altro . Uno di questi rischi è rappresentato da quello che in inglese viene definito “shoulder-surfing”, letteralmente “fare surf sulle spalle”, una tecnica di ingegneria sociale usata per ottenere informazioni come codici PIN, password ed altri dati confidenziali osservando la vittima standole alle spalle. Questa tecnica non richiede nessuna conoscenza tecnica, si attua semplicemente sbirciando chi fa operazioni come inserire una password, un pin in uno sportello bancomat, il codice per la chiusura del lucchetto dell’armadietto della palestra, o la password per accedere ad un’area riservata tramite codice su tastierino numerico. Si tratta di una delle tecniche di social engineering più antiche, ma non per questo meno efficaci, potremmo citare diversi esempi di attacchi che hanno sfruttato questa tecnica con successo. Un caso molto interessante è descritto nel libro “l’arte dell’inganno” di Kevin Mitnick , un programmatore, phreaker, cracker e imprenditore statunitense, che si è distinto per le sue notevoli capacità nel social engineering, avendo eseguito alcune tra le più ardite incursioni nei computer del governo degli Stati Uniti. Nel libro, racconta del suo personaggio, Eric, che proprio partendo da tecniche di shoulder-surfing, è riuscito attraverso una serie di passaggi, ad ottenere accesso alla rete dell’equivalente americano della motorizzazione civile, e per diversi mesi a rubare dati su patenti di guida, dati che rivendeva traendo ovviamente ingenti profitti, e facendo finire spesso nei guai persone innocenti. Oltre al classico attacco dove qualcuno sbircia il vostro monitor, o tastiera, esistono una serie di evoluzioni tecnologie che prevedono l’utilizzo di dispositivi come microfoni, nano-amplificatori, microcamere e altri oggetti, per altro spesso reperibili su internet a costi molto contenuti. Ci è chiaro con quanta facilità un ingegnere sociale, anche meno esperto, può acquisire informazioni fondamentali per la sicurezza dei sistemi, come possiamo difenderci dallo shoulder surfing? Quando inserite credenziali come password, codici, pin ecc, proteggete sempre la tastiera in modo che non sia visibile da persone e telecamere intorno a voi. Mentre inserite password o credenziali non pronunciatele mai a voce . Se lavorate in luoghi pubblici installate sul vostro dispositivo una protezione per oscurare la visibilità del display . Non scrivete ma le password su biglietti o appunti , consultare questi appunti in luoghi pubblici, ad esempio per inserire un pin di accesso, aumenta la vostra superficie di attacco. Quando disponibile, utilizzate sempre autenticazione a più fattori , in modo che la compromissione di un singolo fattore, come ad esempio un codice PIN, non comprometta in automatico il vostro account. Utilizzate sempre password e pin diversi per ogni servizio . Spesso i criminali utilizzano le credenziali compromesse di un singolo account, per tentare di accedere anche ad altri account in vostro possesso. Per esempio, un criminale potrebbe vedervi digitare la password per accedere ad un servizio web, e tentare di utilizzare quella stessa password per il vostro account aziendale, o del portale di home banking. Cambiate spesso le credenziali.