anga2023
DIABASTE DWREAN SEC CYP 06
DIGITAL TV 175
18 Ιουλίου 2022 12:05

Shoulder surfing: Προσέξτε τους αδιάκριτους που κρυφοκοιτάζουν το τηλέφωνό σας

admin ajax.php?action=kernel&p=image&src=file%3Dwp content%252Fuploads%252F2022%252F07%252Fshoulder surfing

Οι περισσότεροι από εμάς δεν ανησυχούμε για το shoulder surfing, δηλαδή για αυτούς που κλέβουν τα στοιχεία μας κρυφοκοιτάζοντας πάνω από τον ώμο μας. Θεωρούμε ότι μπορούμε να εντοπίσουμε κάποιον που κρύβεται πίσω μας με τα μάτια του καρφωμένα στην οθόνη μας. Αλλά οι απατεώνες χρειάζεται να σταθούν τυχεροί μόνο μία φορά. Και τους δίνουμε πολλές ευκαιρίες κατά τη διάρκεια της εργάσιμης ημέρας.

Ο JakeMoore, ειδικός σε θέματα κυβερνοασφάλειας από την εταιρεία ESET, αποκάλυψε πρόσφατα δύο περιπτώσεις όπου κατάφερε να αποκτήσει τα στοιχεία σύνδεσης των διαδικτυακών λογαριασμών φίλων του, έχοντας τη συγκατάθεσή τους. Η έρευνά του υπογραμμίζει πόσο εκτεθειμένοι είμαστε σε έμπειρους επιτιθέμενους, ειδικά σε περιβάλλοντα όπως μπαρ, καφετέριες και εστιατόρια.

1. Snapchat surfing

Στο πρώτο του πείραμα, ο Τζέικ έβαλε στοίχημα με έναν φίλο του ότι θα μπορούσε να υποκλέψει τον λογαριασμό του στο Snapchat, ακόμη και αυτόν που προστατεύεται από έλεγχο ταυτότητας δύο παραγόντων. Χρησιμοποιώντας τη λειτουργία επαναφοράς κωδικού πρόσβασης, πληκτρολόγησε τον αριθμό τηλεφώνου του φίλου του και επέλεξε την επιλογή να του σταλεί μήνυμα με κωδικό επιβεβαίωσης. Κρυφοκοιτάζοντας το μήνυμα επιβεβαίωσης όταν αυτό εμφανίστηκε στην αρχική οθόνη του κινητού του φίλου του, μπόρεσε να πάρει τον πλήρη έλεγχο του λογαριασμού του. Ακόμη και ένας δεύτερος κωδικός SMS που στάλθηκε ως επιβεβαίωση αγνοήθηκε από τον κάτοχο του λογαριασμού, αλλά παρατηρήθηκε και χρησιμοποιήθηκε από τον Jake.

Βέβαια, ένας επιτιθέμενος μπορεί να μην γνωρίζει τον αριθμό τηλεφώνου του θύματός του, αλλά μπορεί να είναι σε θέση να τον βρει στο διαδίκτυο από προηγουμένως παραβιασμένα αρχεία δεδομένων ή αξιοποιώντας ανοικτές πηγές πληροφορίων, συμπεριλαμβανομένων των μέσων κοινωνικής δικτύωσης. Καλώντας τον χρήστη και προσποιούμενος τον υπάλληλο της εν λόγω εταιρείας μέσων κοινωνικής δικτύωσης, ένας εισβολέας θα μπορούσε θεωρητικά να ξεγελάσει τον χρήστη και να του παραδώσει τον κωδικό SMS που παρέλαβε.

Φυσικά, αυτό δεν είναι μια αντιπροσωπευτική περίπτωση υποκλοπής στοιχείων από επιτιθέμενους που κοιτάζουν κρυφά πάνω από τον ώμο μας. Φανταστείτε όμως ένα περιβάλλον γραφείου ή σχολείου, όπου συνάδελφοι ή παιδιά μπορεί να βρίσκονται κοντά σε χρήστες των οποίων τους αριθμούς τηλεφώνου γνωρίζουν. Αυτό καθιστά το “shoulder surf με επαναφορά κωδικού πρόσβασης” έναν σημαντικό κίνδυνο.

2. Προβλήματα με το PayPal

Σε ένα παρόμοιο δεύτερο πείραμα, ο Jake έβαλε στοίχημα με έναν φίλο του ότι θα μπορούσε να υποκλέψει έναν από τους διαδικτυακούς λογαριασμούς του. Αυτή τη φορά πήγε στη σελίδα σύνδεσης του PayPal για να ζητήσει επαναφορά του κωδικού πρόσβασης. Γνωρίζοντας το email του χρήστη, το πληκτρολόγησε και επέλεξε την επιλογή ελέγχου ασφαλείας ενός κωδικού SMS που εστάλη στο τηλέφωνό του. Με παρόμοιο τρόπο με το παραπάνω παράδειγμα, ο Jake μπόρεσε να κατασκοπεύσει κρυφά τη συσκευή του φίλου του καθώς αναβόσβηνε ο κωδικός. Έτσι, απέκτησε πρόσβαση στο λογαριασμό PayPal του φίλου του.

Για άλλη μια φορά, ο επιτιθέμενος πρέπει να γνωρίζει το email του θύματος, είτε μέσω του shoulder surfing, είτε βρίσκοντας ένα email που έχει παραβιαστεί προηγουμένως σε μια σκοτεινή ιστοσελίδα, είτε με άλλα μέσα. Στη συνέχεια, θα πρέπει να βρεθεί κοντά στον χρήστη για να εντοπίσει τον κωδικό επιβεβαίωσης καθώς αναβοσβήνει. Και πάλι, ένα γραφείο ή ένα σχολείο θα ήταν το ιδανικό μέρος. Ωστόσο, αν ένας shoulder surfer είχε επικεντρωθεί σε έναν στόχο που εργάζεται σε δημόσιο χώρο για αρκετή ώρα, οι πιθανότητες είναι ότι τελικά θα εντόπιζε τη διεύθυνση ηλεκτρονικού ταχυδρομείου του.

Τι θα μπορούσε να σημαίνει για εσάς το shoulder surfing;

Το επιχείρημα εδώ είναι ότι σε πολλές περιπτώσεις είναι ακόμα πολύ εύκολο για τους κακόβουλους παράγοντες να υπερπηδήσουν τον πήχη ασφαλείας – ειδικά αν έχουν τη δυνατότητα να βρίσκονται κοντά στον φορητό υπολογιστή ή τη συσκευή σας. Πάρα πολλοί από εμάς επιτρέπουν στις ειδοποιήσεις να αναβοσβήνουν στις οθόνες μας. Μπορεί να έχουμε ευαισθητοποιηθεί τόσο πολύ που τις αγνοούμε. Όμως εκείνοι που κοιτάζουν πάνω από τον ώμο μας δεν το κάνουν.

Είναι ιδιαίτερα σημαντικό ότι το θύμα στο παραπάνω παράδειγμα της PayPal εργαζόταν στον τομέα της κυβερνοασφάλειας για 20 και πλέον χρόνια. Αν μπορεί να πέσει θύμα απάτης με αυτόν τον τρόπο, πολλοί άλλοι θα πάθαιναν το ίδιο.

Μόλις ένας κακόβουλος δράστης αποκτήσει πρόσβαση στο λογαριασμό σας, θα μπορούσε:

  • Να αλλάξει τους κωδικούς και στη συνέχεια να εκβιάσει τα θύματά του για να τους δώσει πρόσβαση στους λογαριασμούς τους.
  • Να χρησιμοποιήσει τεχνικές brute force για να δοκιμάσει τα ίδια email/logins για πρόσβαση σε άλλους λογαριασμούς
  • Να κλέψει τις προσωπικές σας πληροφορίες για να τις χρησιμοποιήσει σε απόπειρες απάτης ταυτότητας ή phishing.
  • Να μεταφέρει χρηματικά ποσά σε δικούς του λογαριασμούς
  • Να προκαλέσουν και να εκφοβίσουν τα θύματα δημοσιεύοντας ακατάλληλο περιεχόμενο από τους λογαριασμούς τους

Τι μπορείτε να κάνετε για να αποτρέψετε το shoulder surfing;

Ο αντίκτυπος μιας τέτοιας πειρατείας λογαριασμού μπορεί να κρατήσει πολλούς μήνες. Οι κυβερνοεγκληματίες μπορεί να καταφέρουν να κλέψουν χρήματα και προσωπικές πληροφορίες, ενώ μπορεί να χρησιμοποιήσουν τον λογαριασμό σε επιθέσεις ηλεκτρονικού ψαρέματος για πολλούς μήνες. Η ανάκτηση των χαμένων χρημάτων και η επαναφορά των πιστωτικών βαθμολογιών μπορεί να διαρκέσει ακόμη περισσότερο.

Με αυτά τα δεδομένα, ακολουθούν μερικές στρατηγικές μετριασμού των κινδύνων:

  1. ΜΗ ΧΡΗΣΙΜΟΠΟΙΕΙΤΕ τους ίδιους κωδικούς πρόσβασης σε διαφορετικούς λογαριασμούς και χρησιμοποιήστε έναν διαχειριστή κωδικών πρόσβασης για την αποθήκευση μοναδικών, ισχυρών κωδικών. Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA). Αλλά επιλέξτε μια εφαρμογή ελέγχου ταυτότητας (π.χ. Google Authenticator, Microsoft Authenticator) και όχι μια επιλογή κωδικού μέσω SMS.
  2. ΝΑ ΕΙΣΤΕ ΠΑΝΤΑ ΣΕ ΕΓΡΗΓΟΡΣΗ όταν συνδέεστε στους λογαριασμούς σας σε δημόσιο χώρο. Αυτό θα μπορούσε να σημαίνει ότι πρέπει να σταματήσετε να εργάζεστε σε αεροπλάνα, τρένα, αεροδρόμια, λόμπι ξενοδοχείων κλπ. Ή τουλάχιστον να εργάζεστε με την πλάτη στον τοίχο.
  3. ΧΡΗΣΙΜΟΠΟΙΗΣΤΕ ΦΙΛΤΡΟ ΠΡΟΣΤΑΣΙΑΣ ΑΠΟΡΡΗΤΟΥ στους φορητούς υπολογιστές για να διασφαλίσετε ότι δεν μπορεί κάποιος να κατασκοπεύσει την οθόνη σας.
  4. ΜΗΝ ΑΦΗΝΕΤΕ ΠΟΤΕ καμία συσκευή χωρίς επιτήρηση σε δημόσιο χώρο. Και βεβαιωθείτε ότι είναι κλειδωμένες με ισχυρούς κωδικούς πρόσβασης.

Το shoulder surfing εξακολουθεί να είναι μια σε μεγάλο βαθμό υποτιμημένη απειλή. Αυτό δεν σημαίνει ότι είναι πιο πιθανό να σας συμβεί από μια επίθεση ηλεκτρονικού ψαρέματος. Αλλά ισχύουν οι ίδιοι κανόνες. Να είστε σε εγρήγορση. Να είστε προετοιμασμένοι. Η ασφάλεια έχει προτεραιότητα.

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

  • Security Report, 137

    Security Report, 137

    Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Μαρτίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχοςθα βρείτε ενδιαφέροντα θέματα και δοκιμές πο...
  • Δυναμικότατη η επιστροφή της Salonica Electronix

    Δυναμικότατη η επιστροφή της Salonica Electronix

    Εντυπωσιακά επανήλθε στο προσκήνιο η Salonica Electronix, μετά την απουσία της κατά τα δύσκολα χρόνια της πανδημίας. Η έκθεση διεξήχθη στην ευρύχωρη αίθουσα Grand Pietra του ξενοδοχείου Porto Pala...
  • Ανάλυση ροής κυκλοφορίας στα εμπορικά καταστήματα

    Ανάλυση ροής κυκλοφορίας στα εμπορικά καταστήματα

    Σήμερα η επιτυχία και η κερδοφορία μίας επιχείρησης, ανεξάρτητα από τα προϊόντα που πουλάει και τις υπηρεσίες που προσφέρει, εξαρτάται σε μεγάλο βαθμό από τα έσοδά των πωλήσεων και από την ικανοπο...
  • Ο ρόλος των συστημάτων φωνητικής αναγγελίας κινδύνου PA/VA και η Απαιτητική σχεδίασή τους

    Ο ρόλος των συστημάτων φωνητικής αναγγελίας κινδύνου PA/VA και η Απαιτητική σχεδίασή τους

    Η εκκένωση ή η μαζική ενημέρωση των ανθρώπων που βρίσκονται σε  ένα κτίριο ή ένα εμπορικό κέντρο, σε διάφορους χώρους εκδηλώσεων όπως θέατρα και συναυλιακούς χώρους, σε σταθμούς μέσων μαζικής...
  • HIKVΙSION eDVRs

    HIKVΙSION eDVRs

    Η HΙKVISION παρουσίασε πρόσφατα το πρώτο καταγραφικό eDVR με ενσωματωμένο δίσκο eSSD σε μορφή chip (μνήμη flash). Στο άμεσο μέλλον αναμένεται οι δίσκοι SSD να αντικαταστήσουν τους κανονικούς σκληρ...

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

  • Κυκλοφορεί το νέο τεύχος του περιοδικού «Security Report Cyprus»

    Κυκλοφορεί το νέο τεύχος του περιοδικού «Security Report Cyprus»

    Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Cyprus! Στο νέο τεύχος θα βρείτε ενδιαφέροντα θέματα και δοκιμές που απευθύνονται σε κάθε τεχνικό, ηλεκτρονικό ή ...
  • <strong>Επιλέγοντας φακούς σε ένα Κλειστό κύκλωμα Τηλεόρασης</strong>

    Επιλέγοντας φακούς σε ένα Κλειστό κύκλωμα Τηλεόρασης

    Στα μάτια των περισσοτέρων όλοι οι φακοί κάμερας είναι ίδιοι και κάθε φακός κρίνεται ικανοποιητικός αρκεί να παρέχει εικόνες υψηλής ευκρίνειας. Στον κόσμο των ειδικών όμως, τα πράγματα είναι αρκετ...
  • <strong>Καλώδια Ethernet σε συστήματα βιντεοεπιτήρησης</strong>

    Καλώδια Ethernet σε συστήματα βιντεοεπιτήρησης

    Ένα καλώδιο Ethernet είναι ένας κοινός τύπος καλωδίου δικτύου που χρησιμοποιείται ευρέως σήμερα για την ενσύρματη σύνδεση πολλών συσκευών, όπως οι υπολογιστές, τα switches, οι κάμερες ασφαλείας, τ...
  • <strong>Internet of Things</strong>

    Internet of Things

    Το Διαδίκτυο των πραγμάτων (IoT) αποτελείται από έξυπνες συσκευές που επικοινωνούν μεταξύ τους. Δίνει τη δυνατότητα σε αυτές τις συσκευές να συλλέγουν και να ανταλλάσσουν δεδομένα. Εκτός αυτού, το...
  • Κάμερες εξωτερικού χώρου

    Κάμερες εξωτερικού χώρου

    Η επιλογή της κατάλληλης κάμερας για τον κατάλληλο χώρο είναι μια δύσκολη απόφαση που αντιμετωπίζουν τόσο οι εγκαταστάτες, όσο και οι τελικοί πελάτες, μιας και η αγορά σήμερα διαθέτει αμέτρητες συ...
  • Ajax Special Event

    Ajax Special Event

    Το 4ο κατά σειρά εικονικό event της Ajax Systems πραγματοποιήθηκε με επιτυχία στις 11 Οκτωβρίου του 2022 και η εταιρία παρουσίασε στο κοινό των integrators νέα προϊόντα, λογισμικά και πολλές ακόμα...
  • Συναγερμοί οικίας vs επιχείρησης

    Συναγερμοί οικίας vs επιχείρησης

    Οι τεχνικές παραβίασης των δραστών διαρκώς εξελίσσονται. Για αυτό άλλωστε η ζήτηση για συστήματα ασφαλείας τόσο σε οικίες όσο και σε επαγγελματικούς χώρους  αυξάνεται ή (τουλάχιστον) σταθεροπ...
  • Συνέντευξη με τον Αλέξανδρο Φείδα

    Συνέντευξη με τον Αλέξανδρο Φείδα

    Η φετινή χρονιά, είναι χρονιά γιορτής για την Sigma Security, καθώς συμπληρώνει 45 χρόνια επιτυχούς δραστηριότητας στο κλάδο της ηλεκτρονικής ασφάλειας! Η Sigma Security δημιουργήθηκε το 1977 και ...
  • VMS: αυτά είναι μερικά από τα βασικότερα κριτήρια αγοράς του

    VMS: αυτά είναι μερικά από τα βασικότερα κριτήρια αγοράς του

    Επιχειρηματική ευφυΐα, βελτιωμένη διαχείριση συμβάντων, πλούσια αναλυτικά στοιχεία και υψηλή ασφάλεια, αυτές είναι μόνο μερικές από τις σύγχρονες δυνατότητες των νέων συστημάτων διαχείρισης βίντεο...
ΤΟ ΑΠΟΛΥΤΟ
ΠΕΡΙΟΔΙΚΟ
ΓΙΑ ΤΑ
ΣΥΣΤΗΜΑΤΑ
ΑΣΦΑΛΕΙΑΣ

ΕΠΙΚΟΙΝΩΝΙΑ
LIBRA PRESS
Καυκάσου 145, Αθήνα, 11364



ΕΝΗΜΕΡΩΤΙΚΑ ΔΕΛΤΙΑ


Securityreport.gr - Το απόλυτο περιοδικό για τα συστήματα ασφαλείας
Libra Press © Copyright 2022 | All Rights Reserved
Dual Design