Social Engineering: O que é Shoulder Surfing?
O termo shoulder surfing se refere à prática de espiar por cima do ombro de alguém para roubar dados confidenciais que estão sendo digitados em um dispositivo. A seguir explicamos mais detalhes sobre este tipo de ataque de engenharia social e como evitá-lo.
O que é Shoulder Surfing?
Você está no ônibus, lendo o jornal ou algo no celular, quando sente uma sensação estranha. Ao olhar para trás você percebe alguém recuar rapidamente. Essa pessoa estava observando o que você fazia por cima do seu ombro.
Apesar de ser uma atitude grosseira, isso não é crime. No entanto, se o bisbilhoteiro do exemplo acima aproveitasse a oportunidade para obter as suas informações pessoais ou privadas, a situação poderia ser classificada como um ataque de shoulder surfing.
Este tipo de ataque de engenharia social acontece quando um agente malicioso obtém informações confidenciais ao espiar por cima do ombro da vítima. Daí o nome, shoulder surfing, ou navegação sobre o ombro, em português.
Exemplos de Shoulder Surfing
A maioria dos ataques de shoulder surfing geralmente acontecem em lugares lotados, onde a atitude de espiar por cima do ombro de alguém é menos óbvia e suspeita. No entanto, este golpe de engenharia social também pode acontecer a distância por meio do uso de binóculos.
A seguir detalhamos alguns exemplos de uso do shoulder surfing em engenharia social.
Cenário 1
Você está no aeroporto, com pressa para fazer o check in. Mas antes disso, você lembra que precisa sacar um pouco de dinheiro. Você corre até o caixa eletrônico mais próximo, digita a sua senha, saca $100 e corre para o portão de embarque.
Enquanto espera para entrar no avião, você recebe uma notificação no celular. Outros $500 foram retirados da sua conta bancária.
Seu erro: Na pressa, você não percebeu uma pessoa parada a poucos metros do caixa eletrônico. Você também não pegou o recibo e nem se certificou de que a transação havia sido encerrada com sucesso.
Aqui estão algumas dicas importantes para proteger seus dispositivos e preservar a privacidade dos seus dados durante viagens para fora do país.
Cenário 2
Dessa vez você está em uma cafeteria. A única mesa disponível é a mais próxima do balcão. Após pedir um café, você se senta e abre o notebook para pagar algumas contas. As pessoas esbarram em você no caminho para o caixa, mas você não se importa e continua digitando as informações de login da sua conta bancária.
Enquanto isso, o seu pedido é entregue e você perde o foco momentâneamente para agradecer o atendente. Sem perceber nada de errado, você volta ao que estava fazendo enquanto bebe o seu café.
Seu erro: Novamente, você não prestou atenção aos seus arredores e digitou a sua senha à vista de todo mundo. Foram necessários apenas alguns segundos de distração para que alguém roubasse as informações exibidas na tela do seu computador.
Cenário 3
Você está no ônibus e sua esposa está ligando. Ela precisa comprar algo com o seu cartão de crédito mas não lembra a senha.
Pelo telefone, você diz: “A senha é 3-5-1-6. Conseguiu anotar? Okay, tchau, querida”.
Agora tanto a sua esposa, quanto uma dúzia de estranhos dentro do ônibus, tem a senha do seu cartão de crédito.
Seu erro: O shoulder surfing não acontece apenas visualmente. Muitas vezes, tudo o que o criminoso precisa fazer é se posicionar a uma distância segura e ouvir conversas alheias.
Também é uma má ideia passar informações pessoais pelo telefone sem antes verificar a origem da ligação ou mensagem. Você pode acabar sendo vítima de vishing ou smishing.
Como evitar o Shoulder Surfing?
Mas afinal, como evitar o shoulder surfing? Aqui estão algumas dicas que podem ajudar a prevenir ataques de navegação sobre o ombro:
Fique atento aos seus arredores
Quer você esteja na fila de um caixa eletrônico, em um café ou dentro de um ônibus, esteja sempre atento aos seus arredores. Mesmo que pequena, esta atitude muitas vezes desencoraja o aspirante a shoulder surfer, fazendo com que ele saia do local ou simplesmente desista do golpe.
Tome cuidado ao usar caixas eletrônicos
Ao digitar a sua senha, proteja o teclado com a outra mão, ou incline-se para bloquear a visão de qualquer “bisbilhoteiro” em potencial.
Além disso, não esqueça de pressionar a tecla “Finalizar” ou opção correspondente para retirar o seu recibo e garantir que a transação seja devidamente finalizada.
Alguns caixas eletrônicos não exigem que o cartão permaneça dentro do dispositivo para que outras transações sejam realizadas. O criminosos só precisa esperar você ir embora para reinserir a sua senha e retirar dinheiro da sua conta.
Evite expor informações pessoais em lugares públicos
Se você estiver em um espaço público e precisar digitar senhas ou dados bancários no celular ou notebook, faça isso de costas para a parede. Se precisar passar informações confidenciais por telefone, faça isso em um lugar onde outras pessoas não possam ouvir. Melhor ainda, tente fazer isso apenas via mensagem de texto.
Cuide dos seus pertences
Nunca deixe o seu notebook sozinho. Bloqueie a tela e feche a tampa do dispositivo sempre que precisar dar uma saída rápida (para ir ao banheiro ou até a mesa de um colega). E claro, se você estiver em um lugar público, evite deixar seus pertences dando sopa onde qualquer pessoa pode roubá-los.
Dê preferência a autenticação por biometria
Use autenticação por biometria ao invés de senhas. Boa parte dos smartphones vendidos atualmente possuem um sensor biométrico. Este recurso pode ser usado tanto para desbloquear o dispositivo quanto para acessar apps bancários. É algo que não pode ser explorado pelos shoulder surfers. A autenticação de dois fatores também é uma opção, mesmo que você utilize senhas.
Faça pagamentos por aproximação.
Novamente, ao invés de digitar a sua senha na maquininha de cartão de crédito, tente fazer o pagamento por aproximação sempre que possível. A melhor forma de proteger a sua senha é não precisar usá-la.
Oculte suas senhas
Mantenha a opção ocultar ativada sempre que possível ao digitar senhas em lugares públicos. Para fazer isso, é só clicar naquele olhinho que transforma a senha em vários pontinhos ou asteriscos.
Use uma película protetora.
Muita gente acha que a única função das películas é proteger a tela do celular contra impactos e arranhões. No entanto, existem opções capazes de obscurecer a tela se observada de posições mais distantes.
Conclusão
A ideia por trás do uso de shoulder surfing em engenharia social é se aproveitar da desatenção ou descuido do alvo para roubar informações confidenciais. Ou seja, diferente de outros exemplos de engenharia social, como baiting e do quid pro quo, este tipo de golpe não depende de um plano elaborado para ser bem sucedido.
Os criminosos especializados em shoulder surfing só precisam de um simples momento de distração por parte da vítima para conseguir o que querem. Por este motivo, o bom senso ao lidar com informações pessoais em público é a melhor forma de combater este exemplo de engenharia social.
Existem muitas formas de proteger sua privacidade online. Confira nossos artigos sobre como proteger seus dispositivos e como preservar a privacidade dos seus dados pessoais. Nosso curso de conscientização sobre segurança e confidencialidade de email também é uma ótima escolha para quem quer aprender mais sobre como evitar ataques de engenharia social.
Patrick é um dos co-fundadores do Mailfence. Como um empreendedor em série que investe em startups desde 1994, ele já lançou diversas empresas digitais pioneiras, como a Allmansland, a IP Netvertising e a Express.be. Ele acredita e defende fortemente a criptografia e a privacidade. Você pode segui-lo no Twitter e LinkedIn em @pdeschutter.
