Мы живем в эпоху повсеместной связи. Но наша постоянная жизнь, ориентированная на мобильные устройства, также подвергает нас риску. Для многих людей именно перспектива фишинга, удаленно развернутого вредоносного ПО и других онлайн-рисков представляет наибольшую угрозу для их личных и профессиональных данных. Но преступная деятельность – это не только биты и байты. Иногда старые методы, такие как сёрфинг через плечо или даже рытье в мусоре, дают лучшую отдачу, и вокруг достаточно oportunidade-мошенников, готовых попробовать.

Сёрфинг через плечо существует гораздо дольше смартфонов и очень портативных ноутбуков. Спросите любого, у кого недобросовестные прохожие украли PIN-код кредитной карты или цифры телефонной карты. Но сегодня возможностей заработать гораздо больше.

Наш спешный образ жизни с множеством устройств – это магнит для сёрферов через плечо. Но всего несколько небольших поведенческих изменений может быть достаточно, чтобы обезопасить вас.

Предупреждающая история (или две)

Большинство из нас пренебрегают сёрфингом через плечо. Мы думаем, что сможем заметить кого-то, кто прячется за нами и приклеился глазами к нашему экрану. Но злоумышленникам достаточно повезти один раз. А мы даем им множество возможностей в течение рабочего дня, особенно сейчас, когда общество снова открывается.

Джейк Мур из ESET недавно рассказал о двух случаях, когда ему удалось получить учетные данные для входа в онлайн-аккаунты друзей с их предварительного согласия. Его исследование очень хорошо показывает, насколько многие из нас уязвимы перед опытными злоумышленниками, особенно в неформальной обстановке, такой как бары, кафе и рестораны.

1. Сёрфинг Snapchat

В своем первом эксперименте Джейк поспорил с другом, что сможет взломать ее аккаунт Snapchat, даже защищенный двухфакторной аутентификацией. Используя функцию сброса пароля, он ввел ее номер телефона и выбрал опцию получения SMS с кодом подтверждения. Просто подсмотрев через плечо сообщение подтверждения, когда оно появилось на ее главном экране, он смог полностью завладеть аккаунтом. Даже второй SMS-код, отправленный для подтверждения, был проигнорирован владелицей аккаунта, но замечен и введен Джейком.

Конечно, злоумышленник обычно не знает номер телефона своей жертвы, но он может найти его онлайн в ранее взломанных базах данных или с помощью разведки на основе открытых источников, в том числе в социальных сетях. Позвонив пользователю и притворившись сотрудником указанной компании в социальной сети, злоумышленник теоретически может обмануть пользователя, заставив его передать SMS-код.

Конечно, это не совсем сёрфинг через плечо. Но представьте себе офисную или учебную обстановку, где коллеги или дети могут находиться рядом с пользователями, чьи номера телефонов они знают. Это делает «сброс пароля через плечо» более реальным риском.

2. Проблемы с PayPal

Во втором похожем эксперименте Джейк поспорил с другом, что сможет взломать один из его онлайн-аккаунтов. На этот раз он зашел на страницу входа в PayPal, чтобы запросить сброс пароля. Зная электронную почту пользователя, он ввел ее и выбрал опцию проверки безопасности в виде SMS-кода, отправленного на его телефон. Подобно предыдущему примеру, Джейк смог незаметно подсмотреть в устройство своего приятеля, когда код появился на экране. Таким образом, он получил доступ ко всему аккаунту PayPal друга.

Опять же, злоумышленнику здесь нужно получить доступ к электронной почте жертвы, будь то подсмотрев ее через плечо, найдя ранее взломанную на сайте даркнета или другими способами. Затем им нужно будет приблизиться к пользователю, чтобы заметить этот код подтверждения, когда он появится на экране. Опять же, офис или школа были бы идеальным местом. Однако, если сёрфер через плечо достаточно долго следил бы за целью, работающей в общественном месте, велика вероятность, что он в конечном итоге заметил бы их адрес электронной почты.

Что может означать сёрфинг через плечо для вас?

Аргумент здесь в том, что планка безопасности во многих случаях все еще слишком низка для злоумышленников – особенно если они нацелены на ваш ноутбук или устройство. Слишком многие из нас позволяют уведомлениям появляться на наших экранах. Мы могли так привыкнуть, что игнорируем их. Но те, кто смотрит через наше плечо, – нет.

Особенно важно то, что жертвой в приведенном выше примере с PayPal был ветеран кибербезопасности с 20-летним стажем. Если он может быть обманут таким образом, то многие другие тоже могут, и как только злоумышленник получит доступ к вашему аккаунту, он может:

  • Изменить логины, а затем вымогать у жертв деньги, чтобы последние могли восстановить доступ
  • Использовать методы перебора, чтобы попробовать те же логины/пароли для доступа к другим аккаунтам
  • Украсть вашу личную информацию для использования в попытках мошенничества с личностью или последующего фишинга
  • Получать и переводить средства на свои счета
  • Троллить и издеваться над жертвами, публикуя неуместный контент с их аккаунтов

Что вы можете сделать, чтобы предотвратить сёрфинг через плечо?

Последствия такого угона аккаунта могут длиться много месяцев. Если злоумышленникам удалось украсть средства и личную информацию, вы можете столкнуться с шквалом фишинговых атак в течение последующих месяцев. Восстановление потерянных средств и сброс кредитных рейтингов может занять еще больше времени. С учетом этого, вот несколько стратегий смягчения последствий:

  1. Никогда не используйте одни и те же пароли для разных аккаунтов и используйте менеджер паролей для хранения уникальных, надежных учетных данных. Включите многофакторную аутентификацию (MFA). Но выбирайте приложение для аутентификации (например, Google Authenticator, Microsoft Authenticator), а не опцию SMS-кода.
  2. Всегда будьте бдительны при входе в свои аккаунты в общественных местах. Это может означать полное прекращение работы в переполненных самолетах, поездах, аэропортах, вестибюлях отелей и т.п. Или, по крайней мере, работайте спиной к стене.
  3. Используйте защитный экран для ноутбуков, чтобы гарантировать, что никто, пытающийся шпионить за вашим экраном под углом, не сможет этого сделать.
  4. Отключите экранные уведомления для сообщений, электронных писем и оповещений, чтобы предотвратить атаки, подобные тем, которые продемонстрировал Джейк. Если пришло уведомление, и это были не вы, немедленно расследуйте.
  5. Само собой разумеется, но никогда не оставляйте устройства без присмотра в общественном месте. И убедитесь, что они заблокированы надежными паролями.

Сёрфинг через плечо по-прежнему является в значительной степени недооцененной угрозой. Это не значит, что он более вероятен для вас, чем фишинговая атака. Но применяются те же правила. Будьте бдительны. Будьте готовы. И практикуйте «безопасность прежде всего».

Читать полный анализ на WeLiveSecurity →