Imagine que você está em uma cafeteria, digitando sua senha bancária ou respondendo a um e-mail. Atrás de você, alguém está fazendo shoulder surfing, ou seja, roubando silenciosamente cada pressionamento de tecla. Você não precisa de ferramentas de hacking, apenas olhos atentos e más intenções. Em poucos minutos, seus dados privados serão deles.
Em um mundo em que uma senha roubada pode drenar contas e sequestrar identidades, o shoulder surfing é uma das ameaças mais fáceis, porém mais negligenciadas. O pior de tudo? Você nem mesmo saberá que foi comprometido, até que seja tarde demais.
Neste guia, abordaremos tudo o que você precisa saber sobre o shoulder surfing, inclusive:
- o que é de fato o shoulder surfing;
- como identificar e evitar ataques de shoulder surfing;
- o que você pode fazer para proteger seus dispositivos.
Vamos explorar.
Mailfence - Obtenha seu e-mail seguro e gratuito.
4.1 baseado em 177 avaliações de usuários
O que é o Shoulder Surfing?
Antes de mais nada, vamos definir o shoulder surfing.
Como o nome sugere, shoulder surfing é a prática de roubar informações confidenciais olhando por cima do ombro de outra pessoa.
Isso pode ocorrer, por exemplo, enquanto você estiver:
- digitando o PIN do iPhone no ônibus para verificar seus e-mails;
- digitando o número do cartão de crédito no trem para fazer uma compra on-line;
- digitando o PIN do seu cartão de débito em um caixa eletrônico para sacar dinheiro.
Tecnicamente falando, o shoulder surfing não é ilegal. No entanto, é o primeiro passo para o roubo de identidade e a fraude financeira. É por isso que é fundamental entender os cenários em que isso pode acontecer e como você pode se proteger.
Uma das principais diferenças entre o shoulder surfing e o phishing ou baiting é que o shoulder surfing acontece no mundo físico.
Os métodos de defesa serão, portanto, muito diferentes do phishing, por exemplo, em que você pode precisar de um filtro anti-spam forte.
Exemplos de Shoulder Surfing
Infelizmente, não há muitos casos documentados e de alto perfil de shoulder surfing. Isso ocorre porque os ataques de shoulder surfing não deixam um rastro digital, como os ataques de scareware.
O principal estudo sobre o assunto é intitulado “Understanding Shoulder Surfing in the Wild: Stories from Users and Observers” (Entendendo o shoulder surfing na natureza: histórias de usuários e observadores) e foi conduzido pela Universidade Ludwig Maximilian de Munique, na Alemanha.
Neste estudo, uma pesquisa com 174 usuários analisou cenários reais de shoulder surfing. Os resultados concluíram que a maioria dos casos de shoulder surging é oportunista (ou seja, não planejada), mas que houve casos em que informações confidenciais foram observadas sem consentimento.
É importante observar que o shoulder surfing não é apenas uma questão de segurança: é também uma questão de privacidade.
Além da senha e do PIN, um observador pode estar vendo informações particulares, como compromissos, fotos de família etc. E aqui no Mailfence, sempre defendemos uma forte privacidade, seja on-line ou off-line.
Em nossa opinião, proteções sólidas de privacidade são fundamentais para uma sociedade livre e democrática. A privacidade é um direito humano básico, e devemos protegê-la a todo custo. E isso inclui nos protegermos contra o shoulder surfing.
Agora vamos ver alguns dos casos mais comuns em que o shoulder surfing deve acontecer.
Saque em caixa eletrônico
Os caixas eletrônicos são um dos locais mais comuns onde podem ocorrer ataques de shoulder surfing. Os golpistas podem estar por perto, esperando ver você digitar o PIN.
Como alternativa, eles podem estar usando pequenas câmeras ocultas ou até mesmo binóculos.
Para se proteger contra isso, fique sempre o mais próximo possível do caixa eletrônico ao digitar o PIN. Use sua segunda mão para ocultar seu PIN. E se você vir alguma pessoa suspeita por perto, escolha outro caixa eletrônico.
Transporte público
Se você tem um longo trajeto diário de trem ou ônibus, talvez tenha o hábito de abrir o laptop e trabalhar.
No entanto, usar seu laptop ou smartphone em ônibus ou trens lotados geralmente expõe sua tela a estranhos próximos.
Os invasores podem olhar discretamente por cima do seu ombro para capturar credenciais de login, detalhes de pagamento ou até mesmo mensagens privadas. Na pior das hipóteses, um criminoso cibernético em um trem poderia memorizar seu PIN bancário e usá-lo posteriormente para sacar dinheiro.
Espaços de trabalho conjunto
Por fim, com o aumento do trabalho remoto, os espaços de trabalho conjunto se tornaram o novo normal para muitas pessoas.
No entanto, há riscos ao trabalhar com documentos confidenciais ou acessar contas sensíveis em espaços de trabalho compartilhados.
Em espaços abertos de trabalho em equipe, você nunca sabe quem pode estar observando de longe. Além disso, alguns espaços de trabalho compartilhado nem sequer têm controles de segurança na entrada, o que significa que qualquer pessoa pode simplesmente entrar.
Além disso, o Wi-Fi pode não estar devidamente protegido. A transmissão de dados pode não estar criptografada, o que torna vulneráveis dados como arquivos e senhas. A senha também pode ser muito fraca, permitindo o acesso não autorizado. É por isso que sempre recomendamos que você use sua rede celular quando possível.
No entanto, talvez você nem sempre tenha essa opção. Da mesma forma, você pode ser forçado a trabalhar durante o trajeto de trem. Então, como evitar o shoulder surfing nesses casos em que você não tem escolha? É isso que exploraremos na próxima seção.
Como evitar o Shoulder Surfing?
Há muitas estratégias de atenuação que você pode usar para evitar o shoulder surfing.
- A primeira e mais óbvia estratégia é estar ciente do que está ao seu redor. Certifique-se de olhar ao redor antes de digitar seu PIN em um caixa eletrônico: esse pequeno ato geralmente desencoraja um possível ataque de shoulder surfing.
- Enquanto estiver em um caixa eletrônico, certifique-se de selecionar “Sair” quando você terminar. Alguns caixas eletrônicos não exigem que o cartão esteja no caixa eletrônico ao fazer uma transação adicional, de modo que o surfista pode simplesmente entrar atrás de você e digitar novamente o PIN para sacar dinheiro.
- Você gosta de trabalhar em cafeterias? Então, certifique-se de escolher um assento com as costas voltadas para a parede. Isso reduzirá drasticamente os riscos de um ataque de shoulder surfing.
- Você precisa compartilhar informações confidenciais pelo telefone? Certifique-se de abaixar a voz e cobrir a boca. O ideal é que você envie as informações por mensagem de texto ou por e-mail criptografado.
- Nunca, NUNCA, deixe seu laptop sem supervisão. Sempre bloqueie a tela e feche o laptop se você precisar sair do seu espaço. E se você estiver em um local público, simplesmente mantenha o laptop com você o tempo todo para evitar roubos.
- Use a autenticação biométrica em vez de PINs e senhas. Isso significa reconhecimento facial (Face ID) ou usar o polegar (Touch ID) para desbloquear o iPhone, por exemplo.
- Sempre ative a 2FA nas contas que a suportam, como o Mailfence para seus e-mails. A 2FA adiciona outra camada de segurança à sua conta. Mesmo que um invasor tenha acesso às suas credenciais de login, ele não conseguirá se conectar às suas contas.
- Use o pagamento sem contato. Em vez de digitar um PIN, use aplicativos de pagamento sem contato sempre que possível. Muitos terminais de pagamento também permitirão que você toque no seu cartão para pequenas quantias sem digitar o PIN.
Shoulder Surfing: Técnicas avançadas de prevenção
A seção anterior abordou alguns hábitos básicos que todos podem usar para evitar o shoulder surfing. Entretanto, se você trabalha regularmente em espaços de trabalho compartilhado ou no trem, talvez queira aumentar sua segurança.
Nesse caso, aqui estão algumas técnicas adicionais de prevenção que você pode colocar em prática:
- Use um protetor de tela de privacidade. Os protetores de tela não servem apenas para evitar que a tela seja arranhada, alguns também impedem que você veja o que está na tela quando está olhando de um ângulo:
- O Eyeprint ID é uma tecnologia totalmente nova desenvolvida pela EyeVerify. Esse sistema autentica os usuários por meio da análise de padrões exclusivos dos vasos sanguíneos do olho. Empresas como a Wells Fargo já o integraram em seus aplicativos bancários móveis, permitindo que os clientes acessem suas contas com segurança usando padrões de veias oculares.
- Desativar notificações. As notificações representam um grande risco à privacidade, pois podem exibir informações confidenciais de aplicativos ou e-mails, mesmo quando o telefone está bloqueado.
- Autenticação baseada no olhar: em vez de digitar senhas, alguns sistemas de segurança avançados usam a tecnologia de rastreamento ocular para autenticar os usuários com base em seus padrões exclusivos de olhar. Isso elimina o risco de as senhas serem roubadas por meio de hacking visual. Esse método ainda está em desenvolvimento, mas deve ver a luz do dia nos próximos anos.
- Embora ainda não estejam disponíveis, os aplicativos de privacidade com tecnologia de IA logo entrarão no mercado. Atualmente, estão em andamento pesquisas para permitir o uso da câmera frontal de um smartphone para detectar visualizadores não autorizados. Se alguém que não seja o usuário for detectado olhando para a tela, o visor ficará embaçado ou enviará um alerta. Você pode conferir esta patente do Google para saber mais.
Shoulder Surfing: Considerações finais
E assim concluímos este guia sobre shoulder surfing! Esperamos que agora você tenha uma melhor compreensão dessa ameaça e de como mitigá-la.
Em resumo, é importante lembrar que nem todo ataque de engenharia social requer um ardil elaborado para fazer com que você revele seus dados confidenciais. Às vezes, basta que você não preste atenção suficiente no ambiente ao seu redor, um momento de distração ou forneça verbalmente o PIN a alguém pelo telefone.
Se você deseja levar sua segurança on-line para o próximo nível, não deixe de conferir nosso conjunto de ferramentas privadas e seguras, que inclui e-mails, armazenamento on-line, calendário e muito mais!
