Cosa si intende per shoulder surfing?
Quando si parla di attacchi informatici, si pensa subito a tecniche sofisticate, messe in atto da hacker esperti con strumenti tecnologici all’avanguardia. Ma non sempre serve un alto livello di competenza per rubare dati sensibili: a volte basta solo uno sguardo.
È il caso dello shoulder surfing (in italiano, spiare alle spalle), una tecnica di ingegneria sociale sorprendentemente semplice ma molto efficace. Non servono software complessi, né accessi forzati: basta trovarsi nel posto giusto al momento giusto — o, sarebbe più corretto dire, nel posto e nel momento sbagliati per chi vede compromessa la propria privacy.
Come funziona lo shoulder surfing?
Lo shoulder surfing funziona in modo tanto semplice quanto insidioso: consiste nell’osservare di nascosto lo schermo di un dispositivo — come uno smartphone, un laptop, la tastiera di un bancomat o POS — mentre una persona lo utilizza in pubblico. Chi attua questa tecnica può memorizzare password, PIN, dati bancari o altre informazioni sensibili semplicemente spiando alle spalle della vittima, spesso senza farsi notare. Può avvenire in coda a un bancomat, su un autobus, in aeroporto o anche in un bar affollato.
Le conseguenze dello shoulder surfing possono essere molto gravi: dal furto di identità alla vendita dei tuoi dati sul dark web, dalla violazione dei tuoi account a transazioni bancarie non autorizzate. Nei casi più gravi, gli hacker potrebbero usare le tue informazioni per commettere azioni illecite. Ecco perché è cruciale adottare le misure necessarie per prevenire questi attacchi.
Esempi di shoulder surfing più comuni
Abbiamo detto che un attacco di shoulder surfing può verificarsi ogni volta che si condividono informazioni personali sensibili in un luogo pubblico. Ecco ora alcuni esempi pratici di come uno shoulder surfer potrebbe tentare di rubare i tuoi dati.
Accesso a piattaforme bancarie da dispositivi mobili
Accedere al mobile banking in pubblico può sembrare un gesto innocuo, parte della nostra quotidianità digitale. Ma in realtà, senza le giuste precauzioni, offre un’occasione d’oro a criminali e hacker.
Immagina di essere in treno verso il posto di lavoro. Decidi di controllare il saldo sul conto corrente e apri l’app della tua banca, digitando rapidamente username e password.
Accanto a te, però, c’è qualcuno abbastanza vicino da osservare ogni tuo movimento. Senza che tu te ne accorga, ha memorizzato le tue credenziali. Più tardi, quelle stesse informazioni potrebbero essere usate per accedere al tuo conto, con tutte le conseguenze del caso. Una recente ricerca di NordVPN sulle abitudini digitali dei pendolari ha rivelato che un quarto dei pendolari intervistati (23%) ha notato qualcuno fare shoulder surfing. Un quinto degli italiani ha dichiarato di aver notato questo genere di comportamento sui mezzi pubblici.
Uso di PIN per prelievi e transazioni
Stai pagando alla cassa del supermercato, magari di corsa. Inserisci la carta, digiti il PIN quasi senza pensarci. Dietro di te, qualcuno sembra distratto, con lo sguardo fisso sul telefono. In realtà sta registrando ogni tuo gesto, compreso il momento esatto in cui confermi il pagamento.
Lo stesso può succedere davanti a un bancomat: sei concentrato sullo schermo, ignaro che qualcuno a pochi passi sta osservando — o peggio, riprendendo — i tuoi movimenti.
E non è solo questione di occhi indiscreti. Una ricerca condotta dallo SPRITZ Security and Privacy Research Group dell’Università di Padova, in collaborazione con la Delft University of Technology e GFT Italia, ha dimostrato come gli algoritmi di deep learning possano potenziare in modo significativo lo shoulder surfing. Lo studio ha rivelato che l’intelligenza artificiale è in grado di dedurre i movimenti della mano e ricostruire correttamente il 41% dei PIN da 4 cifre e il 30% di quelli da 5 cifre, il tutto entro appena tre tentativi.
Condivisione di informazioni personali ad alta voce durante una telefonata
Condividere informazioni personali ad alta voce durante una telefonata può rivelarsi pericoloso. Immagina di essere in aeroporto in attesa del tuo volo e, mentre parli al telefono con un amico, gli dici senza pensarci il tuo nome utente e la password di Amazon per aiutarlo a fare un acquisto. Nel frattempo, qualcuno che si trova nelle vicinanze ascolta la conversazione e prende nota dei dettagli. In pochi minuti, quella persona potrebbe entrare nel tuo account Amazon e fare acquisti non autorizzati a tuo nome e, se usi la stessa password per altri servizi, anche accedere ad altri account.
Log in a piattaforme email o social media in luoghi pubblici
Capita spesso di sentire il bisogno di controllare i social o le email, anche quando siamo fuori casa. Tuttavia, effettuare il login a queste piattaforme in luoghi pubblici può mettere seriamente a rischio la tua sicurezza online. Quando accedi ai tuoi account in spazi affollati, come ad esempio un bar o una stazione potresti non accorgerti che qualcuno è in grado di vedere ciò che stai facendo sul tuo laptop o smartphone.
Basterebbe che qualcuno stesse appena dietro di te o a fianco per leggere il tuo nome utente e la tua password. Inoltre, in alcuni casi, è possibile che il tuo traffico dati venga intercettato, mettendo a rischio l’integrità dei tuoi account. In queste situazioni, l’accesso alle tue piattaforme personali può diventare vulnerabile senza che tu te ne renda conto.
Tecniche di prevenzione dello shoulder surfing
La buona notizia è che lo shoulder surfing, come molti attacchi informatici, si può prevenire. Chi utilizza questa tecnica approfitta della distrazione e della scarsa consapevolezza delle persone in contesti pubblici per carpire informazioni riservate. Sapere che può accadere ovunque, è già un primo passo per ridurre il rischio.
Ecco, allora, alcune delle strategie più efficaci per proteggere i tuoi dati sensibili da occhi indiscreti.
Usa password forti
Per creare password sicure usa combinazioni di almeno 12 caratteri diversi, come lettere, numeri e caratteri speciali poiché sono più difficili da osservare e memorizzare per chi tenta lo shoulder surfing. Evita parole comuni o frasi semplici. Inoltre, non riutilizzare le stesse credenziali per account differenti: se una password viene scoperta, limitarla a un solo account riduce i danni. Infine, affidati a un gestore di password, come NordPass che genera e archivia per te password complesse. In questo modo, non dovrai digitarle manualmente, riducendo il rischio che qualcuno le osservi mentre accedi ai tuoi account.
Proteggiti con l'autenticazione a due fattori
L'uso di password complesse è certamente il primo passo per proteggere i tuoi account, ma da solo non basta. L'autenticazione a due fattori (2FA) rappresenta uno dei metodi più efficaci per aumentare la sicurezza.
Con il metodo 2FA, oltre alla password, viene richiesto un secondo passaggio di verifica ogni volta che accedi ai tuoi account: può trattarsi di un codice temporaneo, di una password monouso o dei tuoi dati biometrici, come l’impronta digitale o il riconoscimento facciale.
Questo significa che, anche se qualcuno riesce a intercettare la tua password non potrà accedere al tuo account senza superare anche il secondo livello di autenticazione.
Utilizza pellicole per la privacy
Se hai l’abitudine di utilizzare i tuoi dispositivi in luoghi pubblici, potrebbe valere la pena investire in una pellicola protettiva per la privacy (o privacy shield). Questi schermi, disponibili per smartphone e laptop, limitano l’angolo di visione del display, rendendo il contenuto visibile solo a chi lo guarda frontalmente. Chiunque cerchi di sbirciare di lato vedrà solo uno schermo oscurato, senza riuscire a distinguere il sito che stai visitando o le informazioni che digiti, come nome utente e password.
È vero, chi ti osserva da dietro potrebbe comunque cogliere i movimenti sulla tastiera, ma almeno ciò che appare sullo schermo resterà protetto da occhi indiscreti. In alternativa, puoi anche abbassare la luminosità dello schermo rendendo i contenuti meno visibili a chi ti sta intorno. Non è una soluzione definitiva, ma può aiutare.
Non accedere ai tuoi account usando Wi-Fi pubblici
Connettersi a un Wi-Fi pubblico non significa automaticamente esporsi al furto di dati, ma può aprire la strada a diversi tipi di attacchi informatici. Queste reti, infatti, sono molto spesso poco sicure rappresentando un ambiente ideale per i cybercriminali, che possono sfruttarle per attacchi man-in-the-middle, intercettazioni del traffico o iniezioni di malware.
Inserire credenziali, dati bancari o altre informazioni sensibili mentre si è connessi a una rete pubblica può compromettere seriamente la tua privacy e la tua sicurezza. Per proteggere la tuo connessione e impedire che i tuoi dati vengano violati ti consigliamo di utilizzare una VPN (rete privata virtuale).
Proteggi le informazioni personali usando mani, corpo o allontanandoti
Fai in modo che i tuoi dati sensibili restino davvero solo tuoi, anche quando sei in pubblico. Quando inserisci credenziali o informazioni personali, schermale con il corpo o con la mano per evitare che occhi indiscreti possano sbirciare, oppure cerca un luogo più riservato. Lo stesso vale quando digiti il PIN al bancomat o in cassa: coprilo con la mano in modo discreto. Anche se l'intelligenza artificiale potrebbe essere in grado di rilevare i tuoi movimenti, adottare regolarmente questa precauzione può aiutarti a proteggere i tuoi dati più di quanto immagini.
Tieni d'occhio gli estratti conto bancari
Se un malintenzionato ha rubato i tuoi dati personali e li ha utilizzati per accedere ai tuoi account, individuare tempestivamente eventuali attività sospette può limitare significativamente i danni.
Monitora regolarmente i tuoi conti bancari e verifica i tuoi estratti conto mensili. Se rilevi transazioni anomale, segnala immediatamente l'incidente alla tua banca. Sebbene le banche implementino robuste misure di sicurezza per prevenire le frodi, talvolta alcuni attacchi possono sfuggire ai controlli. Restare vigili e agire prontamente è fondamentale per proteggere i tuoi fondi.
Evita le telefonate private in luoghi affollati
Evita, se possibile, di fare telefonate private in luoghi affollati, dove potresti involontariamente condividere informazioni sensibili con le persone che ti stanno intorno. Potresti non accorgerti che qualcuno sta ascoltando la tua conversazione e raccogliendo dettagli riservati. Se è necessario parlare di questioni personali, cerca un luogo più tranquillo e appartato, dove non rischi che la tua privacy e sicurezza vengano compromesse.
La sicurezza online inizia con un semplice clic.
Resta al sicuro con la VPN leader a livello mondiale
