· 

Shoulder Surfing Angriff

1. Einführung

Auch komplexe (schwer zu knackende) Passwörter entfalten ihre Wirksamkeit nur dann, wenn der Mensch diese Informationen auch sicher aufbewahrt. In der Praxis haben sich ausgeklügelte Methoden zum Passwortdiebstahl etabliert, die aus der Psychologie stammen und sich aus dem menschlichen Verhalten ableiten. Diese menschlich manipulative Angriffsklasse nennt man auch Social Engineering. Während einige solcher Social Engineering Angriffe eine längere Vorlaufzeit benötigen (z. B. zum Aufbau von Vertrauen oder Autoritätsetablierung), kommen andere wiederum fast ohne Vorbereitung aus. Hierzu zählt das Shoulder Surfing („Schulter-Surfen“), das vermutlich auch du schon einmal bewusst oder unbewusst durchgeführt hast. In diesem Artikel erfährst du, wie dieser Angriff funktioniert und welche Gegenmaßnahmen du ergreifen kannst.


2. Wie funktioniert ein Shoulder Surfing Angriff?

Wie der Name bereits vermuten lässt, erfolgt der Angriff durch einen Blick über die Schulter des Opfers auf z. B. dessen Smartphone. Es handelt sich um eine triviale Technik, mit der noch so komplexe Informationssicherheitsvorkehrungen ausgehebelt werden können. Durch neu aufkommende Technologien wie Datenbrillen (Google Glass) könnte dieser Angriff zukünftig weiter optimiert werden und das Gefahrenpotential weiter steigen. Sollten diese Brillen standardmäßig mit einer Videoaufnahmefunktion ausgestattet sein, könnte man das mitgeschnittene Material dazu nutzen, um fernab des „Tatorts“ aus den Fingerbewegungen oder Gesten der Opfer Passwortkombinationen zu errechnen. Ich beobachte an der Kasse immer wieder, dass Menschen während einer Kartenzahlung bei der Eingabe ihrer Geheimzahl weder hinter sich schauen, noch ihre Gestik einzuschränken versuchen, sodass man mit ein wenig Übung leicht erraten kann, welche Zahlen eingegeben wurden.


3. Was erhoffen sich die Angreifer?

Erspäht werden sollen dabei

  • PINs (z. B. von Bankkonten),
  • Kontostände (um z. B. wertvolle Angriffsziele zu ermitteln),
  • Passwörter, die den Zugang zu diversen Social Media Plattformen gewähren,
  • Telefon-/Handynummern,
  • Adressdaten oder andere sensitive Informationen,

von denen du nicht möchtest, dass sie in fremde Hände gelangen oder von fremden Augen gesehen werden.


4. Wo finden Shoulder Surfing Angriffe statt?

Im Prinzip kann es dich überall treffen. Beliebte Orte für diesen Angriff sind z. B.

  • Flughäfen,
  • Restaurants,
  • Internetcafés,
  • öffentliche Verkehrsmittel oder
  • Festivals,

da sich dort üblicherweise viele Leute auf engem Raum aufhalten und hier eine erhöhte Wahrscheinlichkeit für die Interaktion mit IT-Systemen (Smartphone, Tablet, ...) besteht. Durch die großen Menschenmengen und die sich daraus ergebenden Möglichkeit der Tarnung verdächtiger Blicke, bleibt man als Angreifer zudem weitestgehend anonym.

Shoulder Surfing kann auch zur Vorbereitung eines größer angelegten Angriffs genutzt werden, bei dem der Social Engineer in ein Unternehmen eingeschleust werden soll, um dort Geschäftsgeheimnisse zu stehlen. Weiß man z. B., wo sich die Geschäftsleitung regelmäßig zum Mittagessen trifft, kann man sich selbst in den „Monitor Mode“ versetzen und so Informationen ausspähen, die zum Aufbau von Vertrauen genutzt werden können (Whatsapp-Kontaktnamen, Urlaubsziele, ...).


5. Wie kannst du dich schützen?

Mögliche Sicherheitsmaßnahmen können sein:

  • Mit dem Rücken zur Wand stehen/sitzen.
  • Die Verwendung von Bildschirmfiltern (ähnlich wie bei Bankautomaten), mit denen du das seitliche Sichtfeld einschränken kannst. Ein Nachteil hierbei ist jedoch, dass du dich dadurch evtl. noch attraktiver für einen Angreifer macht, da nicht viele solche Filter haben und er annehmen kann, dass es bei dir „etwas zu holen“ gibt.
  • Und wenn du den Verdacht hast beobachtet zu werden? Dann ist es das beste, den Laptop zuklappen bzw. Smartphone wegzupacken. Das darf auch etwas auffälliger geschehen, da der Angreifer dadurch bemerkt, dass er entdeckt wurde. Im Unterschied zum Verwenden des Bildschirmfilters, der grundsätzlich alle Personen sichtfeldtechnisch aussperrt, richtet sich diese Aktion meist direkt gegen den Social Engineer.

Am effektivsten schützt du dich jedoch, indem du keine privaten oder geschäftlichen Aktivitäten im öffentlichen Raum für alle sichtbar erledigst! Das hilft dabei, deine privaten Informationen auch tatsächlich privat zu halten!

Kommentar schreiben

Kommentare: 0