حمله Shoulder Surfing یا نگاه از روی شانه یکی از ساده‌ترین و رایج‌ترین روش‌های مهندسی اجتماعی برای دسترسی به اطلاعات حساس افراد است. این حمله زمانی رخ می‌دهد که مهاجم با نگاه مستقیم یا غیرمستقیم، اطلاعات مهمی مثل رمز عبور، پین‌کد کارت بانکی یا داده‌های شخصی را از روی صفحه‌نمایش یا حرکات دست قربانی به دست می‌آورد.

در این مطلب به معرفی حمله Shoulder Surfing روش‌های انجام آن، خطرات مرتبط و راهکارهای موثر برای پیشگیری از این نوع حمله خواهیم پرداخت.

حمله Shoulder Surfing چیست؟

حمله Shoulder Surfing یا نگاه از روی شانه یکی از روش‌های ساده و موثر مهندسی اجتماعی است که مهاجم در آن با استفاده از تکنیک‌های مشاهده مستقیم یا غیرمستقیم تلاش می‌کند اطلاعات حساسی مانند رمز عبور، شماره کارت اعتباری یا داده‌های محرمانه دیگر را به دست آورد. در این حمله مهاجم معمولاً در مکان‌های شلوغ و عمومی مانند دستگاه‌های خودپرداز (ATM)، صندوق‌های فروشگاهی یا هنگام پر کردن فرم‌ها از نزدیک به قربانی نگاه می‌کند و اطلاعات موردنظر را جمع‌آوری می‌کند.

یکی از دلایل اثربخشی حملات Shoulder Surfing سادگی اجرای آن در محیط‌های پرازدحام است. در چنین مکان‌هایی، مهاجم به‌راحتی می‌تواند در نزدیکی قربانی بایستد و رفتار او را مشاهده کند. همچنین این حملات محدود به مشاهده نزدیک نیستند و با استفاده از ابزارهایی مانند دوربین، دوربین‌های دوچشمی یا دستگاه‌های پیشرفته‌تر می‌توان از فاصله دور نیز اطلاعات را سرقت کرد. تنوع در روش‌های اجرا حملات Shoulder Surfing را به یک تهدید جدی برای امنیت اطلاعات تبدیل کرده است.

نمونه‌هایی از حملات Shoulder Surfing

حملات Shoulder Surfing می‌توانند در موقعیت‌های مختلفی رخ دهند، به‌ویژه در محیط‌های عمومی یا کاری که افراد معمولاً در حال انجام فعالیت‌های روزمره خود هستند. در یکی از این نمونه‌ها، فرض کنید کارمندی در حال صحبت درباره مسائل محرمانه تجاری از طریق تلفن همراه خود است، در حالی که همکارش درست در کنارش نشسته است. این همکار به‌راحتی می‌تواند صفحه تلفن همراه او را ببیند و حتی یادداشت‌برداری کند. این وضعیت زمانی ممکن است که فرد نشسته باشد و زاویه دید مناسبی برای مهاجم فراهم کند.

نمونه‌هایی دیگر از حملات Shoulder Surfing:

1. پرداخت صورتحساب:

اگر فردی در یک مکان عمومی مشغول پرداخت هزینه یا وارد کردن رمز عبور باشد، یک مهاجم می‌تواند با نگاه کردن از پشت سر یا کنار او، اطلاعات حساس مانند شماره کارت یا رمز عبور را مشاهده کند.

2. خواندن اطلاعات حساس به‌صورت بلند:

در مواقعی که افراد رمز کارت بانکی، کدهای امنیتی یا اطلاعات حساس دیگر را با صدای بلند می‌خوانند، مهاجم می‌تواند با شنیدن این اطلاعات، آن‌ها را یادداشت کند و برای مقاصد مخرب استفاده کند.

3. نشستن در یک کافی‌شاپ یا مکان عمومی و استفاده از Wi-Fi عمومی:

اگر فردی از Wi-Fi عمومی بدون استفاده از VPN استفاده کند، مهاجم می‌تواند علاوه بر نگاه کردن به صفحه، اطلاعاتی که از طریق شبکه انتقال داده می‌شوند را نیز رهگیری کند.

4. پر کردن فرم‌های محرمانه در محل کار:

وقتی فردی اطلاعات محرمانه‌ای مانند فرم‌های مربوط به مزایای کارمندی یا شماره تامین اجتماعی را از طریق کامپیوتر عمومی پر می‌کند، افرادی که از کنار او عبور می‌کنند می‌توانند این اطلاعات را مشاهده کرده و سرقت کنند.

این مثال‌ها نشان می‌دهند که حملات Shoulder Surfing می‌توانند به‌سادگی و در موقعیت‌های روزمره رخ دهند و عواقب جدی‌ای مانند سرقت هویت یا سوءاستفاده از اطلاعات شخصی داشته باشند.

چگونه از حملات Shoulder Surfing جلوگیری کنیم؟

برای جلوگیری از حملات Shoulder Surfing کارشناسان توصیه می‌کنند که افراد در هنگام وارد کردن اطلاعات حساس، صفحه‌کلید یا مدارک خود را از دید دیگران پنهان کنند. در ادامه، چند نکته مفید دیگر برای پیشگیری از این نوع حملات ذکر شده است:

• پوشاندن صفحه‌کلید دستگاه‌های ATM:

هنگام وارد کردن رمز عبور کارت بانکی، حتماً صفحه‌کلید را با دست خود بپوشانید تا کسی نتواند از زوایای مختلف به رمز شما دسترسی پیدا کند.

• استفاده از روش‌های امنیتی قوی:

از رمزهای عبور قوی، مدیریت رمز عبور (Password Manager) و احراز هویت دومرحله‌ای یا بیومتریک برای افزایش امنیت استفاده کنید. این اقدامات لایه‌ای اضافی از حفاظت را در برابر مهاجمان فراهم می‌کند.

• عدم بیان اطلاعات حساس در اماکن عمومی:

هرگز اطلاعات حساس، مانند شماره کارت بانکی یا کلمات عبور، را از طریق موبایل یا به‌صورت بلند در مکان‌های عمومی بیان نکنید.

• استفاده از محافظ صفحه نمایش:

برای لپ‌تاپ‌ها یا کامپیوترهای عمومی، از محافظ صفحه نمایش استفاده کنید تا زاویه دید به صفحه محدود شود و دیگران نتوانند از اطراف اطلاعات را مشاهده کنند.

• قفل کردن دستگاه‌ها:

هر زمانی که دستگاه خود را ترک می‌کنید، حتماً آن را قفل کنید. این کار مانع دسترسی دیگران به اطلاعات شما در غیاب‌تان می‌شود.

• قرارگیری مناسب در اماکن عمومی:

هنگام وارد کردن اطلاعات روی تلفن همراه در مکان‌های عمومی، طوری بنشینید که پشت شما به دیوار باشد و کسی از پشت نتواند اطلاعات را مشاهده کند.

چه اطلاعاتی در حملات Shoulder Surfing هدف قرار می‌گیرند؟

در حملات Shoulder Surfing اطلاعات کوتاه، سریع و قابل مشاهده بیشترین هدف را دارند. این اطلاعات شامل رمزهای عبور، شماره‌های کارت بانکی، کدهای احراز هویت، پیامک‌های شخصی و حتی اطلاعات حساس وارد شده در فرم‌های آنلاین است. از آنجا که مهاجم تنها نیاز به مشاهده لحظه‌ای صفحه یا حرکات انگشت شما دارد، این نوع داده‌ها به‌راحتی قابل دستیابی هستند.

در عین حال داده‌هایی مانند عکس‌ها و ویدئوهای شخصی که روی صفحه نمایش نشان داده می‌شوند، اگرچه قابل مشاهده هستند، اما سرقت نمی‌شوند، مگر اینکه مهاجم از ابزارهایی مانند دوربین یا نرم‌افزارهای ضبط صفحه استفاده کند. به همین دلیل در این نوع حملات بیشتر تمرکز روی داده‌هایی است که بتوانند در زمان کوتاه و بدون نیاز به ابزار اضافی، مورد سوءاستفاده قرار گیرند.

جمع‌بندی…

حملات Shoulder Surfing یا نگاه از روی شانه یکی از روش‌های ساده اما مؤثر در مهندسی اجتماعی است که هدف آن دستیابی به اطلاعات حساس از طریق مشاهده مستقیم یا ابزارهای کمکی مانند دوربین است. این حملات می‌توانند رمزهای عبور، شماره‌های کارت بانکی، پیامک‌های شخصی و دیگر اطلاعات محرمانه را به خطر بیندازند.