Gli attacchi informatici(nuova finestra) non vengono sempre eseguiti con metodi sofisticati come gli attacchi man-in-the-middle (MITM) sul WiFi pubblico(nuova finestra). A volte si basano su qualcosa di semplice come guardare oltre la tua spalla.
Gli attacchi di shoulder surfing avvengono quando qualcuno ti osserva inserire informazioni sensibili sul tuo dispositivo e le usa per ottenere accesso non autorizzato. È un promemoria che nonostante la nostra tecnologia avanzata, abbiamo ancora bisogno di semplici precauzioni per rimanere al sicuro.
Significato di shoulder surfing
Lo shoulder surfing è un tipo di attacco di social engineering in cui l’attaccante spia fisicamente qualcuno per ottenere informazioni riservate come password, PIN o altri dati sensibili. Questo può avvenire osservando qualcuno o ascoltando informazioni riservate (intercettazione).
Un ladro potrebbe osservarti da vicino o usare metodi sofisticati, come binocoli, telecamere nascoste o smartphone, per catturare le tue informazioni da lontano senza essere scoperto.
Come può influenzarti lo shoulder surfing?
Gli attacchi di shoulder surfing possono avere conseguenze serie. Ad esempio, se un ladro vede la tua email e password, può usarle per hackerare i tuoi account, rubare la tua identità o vendere le tue informazioni sul dark web.
Ottenendo il tuo numero di sicurezza sociale, indirizzo di casa e data di nascita, un criminale potrebbe fare acquisti non autorizzati, aprire nuove carte di credito, richiedere prestiti o persino commettere crimini a tuo nome. Dovresti poi affrontare le conseguenze provando che non eri tu.
Esempi di shoulder surfing
Lo shoulder surfing avviene solitamente in luoghi pubblici affollati perché gli aggressori possono facilmente confondersi e osservare discretamente le persone che inseriscono informazioni sensibili senza suscitare sospetti. Ecco alcuni esempi:
- Nei caffè, le persone spesso usano laptop, tablet e smartphone per compiti personali o di lavoro, così un shoulder surfer potrebbe sedersi a un tavolo vicino o passare ripetutamente. Nel 2019, un gruppo di circa 25 giovani donne è stato arrestato(nuova finestra) ad Amsterdam per shoulder surfing in oltre 100 episodi.
- Gli aeroporti sono pieni di viaggiatori che usano frequentemente i loro dispositivi per controllare i dettagli del volo, accedere ai servizi bancari, o rispondere alle email di lavoro. Un shoulder surfer potrebbe stare dietro di te in fila.
- Autobus, treni e metropolitane sono affollati da passeggeri che siedono vicini. Un shoulder surfer potrebbe sedersi o stare accanto a te o dietro di te. Uno studio(nuova finestra) del 2017 condotto dall’Università LMU di Monaco ha scoperto che il 67% del shoulder surfing avviene sui mezzi pubblici.
- Spazi di lavoro condivisi usati da freelance e dipendenti remoti sono rischiosi perché spesso sei circondato da sconosciuti che potrebbero facilmente osservare il tuo schermo fingendo di lavorare sui loro dispositivi.
- I criminali spesso prendono di mira i bancomat per catturare i PIN usando binocoli o microcamere senza essere notati. Ad esempio, un uomo a Los Angeles è stato condannato(nuova finestra) per shoulder surfing ai bancomat nel 2018 per aver ottenuto i PIN di clienti bancari ignari.
- Alle casse, specialmente durante i periodi di punta, i clienti spesso inseriscono i loro PIN o le informazioni della carta di credito. Un osservatore di spalla potrebbe fingersi un altro cliente, osservando attentamente il tastierino mentre qualcuno inserisce i propri dati, o persino usare il proprio smartphone per registrare di nascosto le informazioni.
Come prevenire l’osservazione di spalla?
Rimanere attenti è importante per evitare attacchi di osservazione di spalla, ma ci sono molte modalità specifiche per proteggere la tua privacy e sicurezza.
Sii strategico con l’ambiente circostante
Ogni volta che lavori con dati sensibili in un luogo pubblico, posizionati in modo da minimizzare l’esposizione a occhi indiscreti, ad esempio sedendoti con la schiena al muro. Puoi anche usare una barriera fisica, come una visiera di privacy o uno schermo scudo, per bloccare la vista agli altri.
Proteggi le tue informazioni personali quando inserisci il PIN al bancomat o al supermercato coprendolo con la mano o muovendo il corpo. Evita di usare i tuoi dispositivi o di divulgare informazioni sensibili al telefono fino a quando non raggiungi un’area meno affollata.
Rendi i tuoi dispositivi più privati
Oltre a essere consapevole dell’ambiente circostante, puoi rendere il tuo dispositivo più difficile da guardare. Ruota lo schermo del tuo dispositivo lontano da potenziali osservatori dietro o accanto a te. Diminuisci la luminosità dello schermo per rendere più difficile per altri vedere il tuo display da lontano.
Nelle impostazioni del dispositivo, puoi configurare lo schermo per bloccarsi automaticamente dopo alcuni minuti di inattività. Questo è più sicuro di 15 o 30 minuti, che è l’impostazione predefinita su molti dispositivi. Così, se lasci il telefono incustodito o lo dimentichi, è meno probabile che qualcuno lo violi.
Inoltre, disattiva l’anteprima delle notifiche sulla schermata di blocco per prevenire che informazioni sensibili siano viste da altri intorno a te.
Migliora la sicurezza dei tuoi dati
I tuoi login sono la tua prima linea di difesa contro gli attacchi. Crea password forti e uniche(nuova finestra) dato che sono più difficili da intercettare e annotare per chi ti guarda alle spalle. Evita di riutilizzare le password tra diversi account per ridurre al minimo i danni in caso di fughe di dati(nuova finestra) e prevenire attacchi di credential stuffing(nuova finestra). Se sospetti di essere stato vittima di shoulder surfing, cambia immediatamente le tue password.
Fondamentalmente, dovresti abilitare l’autenticazione a due fattori (2FA)(nuova finestra) su tutti i tuoi account che la supportano. Richiedendo un secondo fattore di identificazione (un codice sulla tua app di autenticazione), garantisci che anche se qualcuno scopre la tua password, non riuscirebbe comunque a superare il secondo metodo di verifica. La 2FA è particolarmente sicura perché il codice cambia frequentemente, rendendo molto più difficile per chiunque rubarlo e usarlo.
Imposta avvisi di frode e controlla regolarmente i tuoi estratti conto bancari e rapporti di credito per qualsiasi attività non autorizzata. Monitora il web per vedere se i tuoi dati sono stati trafugati e prendi provvedimenti se necessario.
Come Proton Pass rende questi passaggi più semplici?
Proton Pass è un gestore di password sicuro che può ricordare tutte le tue password e le inserisce automaticamente su qualsiasi dispositivo, così non correrai mai il rischio di essere osservato da qualcuno mentre digiti.
Genera password casuali e complesse, oltre a chiavi di accesso(nuova finestra) per effettuare il login agli account online senza password.
Proton Pass include anche un autenticatore 2FA integrato(nuova finestra) da usare con tutti i tuoi account che supportano 2FA. Puoi anche usare Pass Monitor(nuova finestra) per verificare la sicurezza di tutti i tuoi account — include Password Health, che controlla account deboli o riutilizzati, e Dark Web Monitoring, che ti avvisa immediatamente se le tue informazioni personali vengono trafugate sul web.
Proteggiamo i tuoi dati con crittografia end-to-end(nuova finestra) per garantire che nessuno possa leggere i tuoi dati, nemmeno noi. Tutte le nostre app sono open source(nuova finestra) e sottoposte a controlli indipendenti.
Migliora la tua privacy e sicurezza online iscrivendoti a un account gratuito di Proton Pass.
Domande frequenti
‘No shoulder surfing’ significa prendere precauzioni per impedire alle persone di guardare oltre la tua spalla per vedere informazioni sensibili che stai inserendo su un dispositivo, come password, PIN o altri dati privati. Significa essere consapevoli del tuo ambiente e assicurarti che nessuno possa guardare facilmente il tuo schermo o tastiera per rubare le tue informazioni personali.
Mentre il semplice atto di guardare qualcuno potrebbe non essere un crimine in sé, usare quelle informazioni per rubare l’identità di qualcuno, commettere frodi o accedere in modo non autorizzato a conti o dati è illegale. Qualsiasi forma di furto di dati o accesso non autorizzato a informazioni personali è considerata un atto criminale.
Lo shoulder surfing implica osservare direttamente qualcuno per ottenere informazioni sensibili guardando oltre la loro spalla, solitamente in luoghi pubblici. Al contrario, il dumpster surfing (o dumpster diving) significa cercare in bidoni della spazzatura o nei cassonetti per trovare informazioni preziose come documenti o dispositivi elettronici.