We leven in een tijdperk van alomtegenwoordige connectiviteit. Maar onze altijd actieve, op mobiel gerichte levens stellen ons ook bloot aan risico's. Voor veel mensen is het vooruitzicht van phishing, op afstand geïmplementeerde malware en andere online risico's die de grootste bedreiging vormen voor hun persoonlijke en professionele gegevens. Maar criminele activiteiten gaan over meer dan bits en bytes. Soms zijn de oude manieren zoals schoudersurfen of zelfs dumpster duiken bieden de beste ROI, en er zijn genoeg opportunistische fraudeurs die het proberen.

Schoudersurfen bestaat al veel langer dan smartphones en zeer draagbare laptops. Vraag het maar aan iedereen die zijn creditcard-pincode of zijn telefoonkaartcijfers heeft laten stelen door gewetenloze voorbijgangers. Maar vandaag zijn er veel meer mogelijkheden om geld te verzilveren.

Onze gehaaste levensstijl met meerdere apparaten is een magneet voor schoudersurfers. Maar slechts een paar kleine gedragsveranderingen kunnen al voldoende zijn om u veilig te houden.

Een waarschuwend verhaal (of twee)

De meesten van ons wijzen schoudersurfen af. We denken dat we iemand achter ons op de loer kunnen zien met hun ogen op ons scherm gericht. Maar de slechteriken hoeven maar één keer geluk te hebben. En we geven ze volop kansen door de werkdag heen, zeker nu de samenleving weer opengaat.

Jake Moore van ESET onthulde onlangs twee gelegenheden waarbij hij erin slaagde de inloggegevens van de online accounts van vrienden te verkrijgen, met hun voorafgaande toestemming. Zijn onderzoek laat goed zien hoe kwetsbaar velen van ons zijn voor slimme aanvallers, vooral in informele omgevingen zoals bars, cafés en restaurants.

1. Snapchat-surfen

In zijn eerste experiment, Jake wed een vriend hij zou haar Snapchat-account kunnen kapen, zelfs een die is beveiligd met tweefactorauthenticatie. Met behulp van de wachtwoordresetfunctie voerde hij haar telefoonnummer in en selecteerde de optie om een ​​bevestigingscode te ontvangen. Door simpelweg op het bevestigingsbericht te surfen toen het op haar startscherm verscheen, kon hij de volledige controle over het account overnemen. Zelfs een tweede sms-code die ter bevestiging werd verzonden, werd door de accounthouder genegeerd, maar waargenomen en ingevoerd door Jake.

Nu weet een aanvaller normaal gesproken niet het telefoonnummer van zijn slachtoffer, maar hij kan het wel online vinden via: eerder geschonden databanken of gebruik maken van open-source intelligence, ook op sociale media. Door de gebruiker op te bellen en zich voor te doen als medewerker van dat socialemediabedrijf, zou een aanvaller de gebruiker theoretisch kunnen misleiden om zijn sms-code te overhandigen.

Dat is natuurlijk niet strikt schoudersurfen. Maar stel je een kantoor- of onderwijsomgeving voor waar collega's of kinderen zich in de buurt kunnen bevinden van gebruikers van wie ze het telefoonnummer wel kennen. Dat maakt de "schoudersurfen met wachtwoordherstel" een reëler risico.

2. PayPal-problemen

In een soortgelijke tweede experiment, wedde Jake met een vriend dat hij een van zijn online accounts kon kapen. Deze keer ging hij naar de PayPal-inlogpagina om een ​​wachtwoordreset aan te vragen. Hij kende het e-mailadres van de gebruiker, typte dit in en selecteerde de beveiligingscontrole van een sms-code die naar zijn telefoon werd gestuurd. Op een vergelijkbare manier als in het bovenstaande voorbeeld, was Jake in staat om heimelijk op het apparaat van zijn partner te snuffelen terwijl de code flitste. Zo had hij toegang tot de hele PayPal-rekening van de vriend.

Nogmaals, een aanvaller moet de e-mail van een slachtoffer in handen krijgen, of het nu is door er op de schouder te surfen, door een eerder gehackt e-mailadres op een donkere website te vinden of op een andere manier. Dan zouden ze in de buurt van de gebruiker moeten komen om die bevestigingscode te zien terwijl deze flitste. Nogmaals, een kantoor of school zou de perfecte plek zijn. Als een schoudersurfer echter lang genoeg zijn ogen op een doelwit had gericht dat op een openbare plaats werkte, is de kans groot dat hij zijn e-mailadres uiteindelijk zou ontdekken.

Wat kan schoudersurfen voor jou betekenen?

Het argument hier is dat de beveiligingsbalk in veel gevallen nog te gemakkelijk is voor kwaadwillende actoren om te springen – vooral als ze ogen op je laptop of apparaat hebben. Te veel van ons laten meldingen op onze schermen flitsen. We zijn misschien zo ongevoelig geworden dat we ze negeren. Maar degenen die over onze schouder meekijken doen dat niet.

Het is met name relevant dat het slachtoffer in het bovenstaande PayPal-voorbeeld een veteraan op het gebied van cyberbeveiliging was van meer dan 20 jaar. Als hij op deze manier kan worden opgelicht, kunnen vele anderen dat, en zodra een slechte acteur toegang heeft tot uw account, kunnen ze:

• Wijzig de aanmeldingen en pers u vervolgens af zodat ze weer toegang kunnen krijgen
• Gebruik brute force-technieken om dezelfde e-mail/log-ins te proberen voor toegang tot andere accounts
• Uw persoonlijke gegevens stelen voor gebruik bij pogingen tot identiteitsfraude of daaropvolgende phishing
• Toegang krijgen tot en geld overmaken naar hun eigen rekeningen
• Troll en pest je door ongepaste inhoud van hun account te plaatsen

Wat kunt u doen om schoudersurfen te voorkomen?

De impact van een dergelijke accountkaping kan vele maanden aanhouden. Als slechte acteurs erin zijn geslaagd om geld en persoonlijke informatie te stelen, kunt u de komende maanden een spervuur ​​​​van phishing-pogingen krijgen. Het terugkrijgen van verloren geld en het opnieuw instellen van kredietscores kan zelfs nog langer duren. Met dat, hier zijn een paar mitigatiestrategieën:

1. Gebruik wachtwoorden nooit opnieuw voor meerdere accounts en gebruik een wachtwoordbeheerder om unieke, sterke inloggegevens op te slaan. Schakel multi-factor authenticatie (MFA) in. Maar kies een authenticatie-app (bijv. Google Authenticator, Microsoft Authenticator) in plaats van een sms-codeoptie.
2. Wees altijd alert wanneer u in het openbaar inlogt op uw accounts. Dat zou kunnen betekenen dat u helemaal niet meer werkt in overvolle vliegtuigen, treinen, luchthavens, hotellobby's en dergelijke. Of werk in ieder geval met je rug tegen een muur.
3. Gebruik een privacyscherm op laptops om ervoor te zorgen dat iedereen die uw scherm vanuit een hoek probeert te bespioneren, dit niet kan doen.
4. Schakel meldingen op het scherm uit voor berichten, e-mails en waarschuwingen om het soort aanval te stoppen dat Jake hierboven demonstreerde. Als er een binnenkomt, en jij was het niet, onderzoek het dan onmiddellijk.
5. Het spreekt voor zich, maar laat nooit apparaten onbeheerd achter in een openbare ruimte. En zorg ervoor dat ze zijn vergrendeld met een sterke toegangscode.

Schoudersurfen is nog steeds een grotendeels onderschatte bedreiging. Dat betekent niet dat de kans groter is dat u iets overkomt dan een phishing-aanval. Maar daarvoor gelden dezelfde regels. Wees alert. Wees voorbereid. En oefen veiligheid eerst.

• Coinsmart. Europa's beste Bitcoin- en crypto-uitwisseling.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. GRATIS TOEGANG.
• CryptoHawk. Altcoin-radar. Gratis proefversie.
• Bron: https://www.welivesecurity.com/2022/02/02/shoulder-surfing-watch-out-eagle-eyed-snoopers-peeking-phone/