1. Einführung
Auch komplexe (schwer zu knackende) Passwörter entfalten ihre Wirksamkeit nur dann, wenn der Mensch diese Informationen auch sicher aufbewahrt. In der Praxis haben sich ausgeklügelte Methoden zum Passwortdiebstahl etabliert, die sich aus den der Psychologie entstammenden Erkenntnissen über das menschliche Verhalten ableiten. Während einige solcher Social Engineering Angriffe eine längere Vorlaufzeit benötigen (z.B. zum Aufbau von Vertrauen oder Autoritätsetablierung), kommen andere wiederum fast ohne Vorbereitung aus. Hierzu zählt das Shoulder Surfing („Schulter-Surfen“), das vermutlich jeder schon einmal bewusst oder unbewusst durchgeführt hat. In diesem Artikel klären wir, wie dieser Angriff funktioniert und welche Gegenmaßnahmen man ergreifen kann.
2. Wie funktioniert ein Shoulder-Surfing Angriff?
Wie der Name bereits vermuten lässt, erfolgt der Angriff durch einen Blick über die Schulter des Opfers auf z.B. dessen Smartphone. Es handelt sich um eine triviale Technik, mit der noch so komplexe Informationssicherheitsvorkehrungen ausgehebelt werden können. Durch neu aufkommende Technologien wie Datenbrillen (Google Glass) könnte dieser Angriff zukünftig weiter optimiert werden und das Gefahrenpotential weiter steigen. Sollten diese Brillen standardmäßig mit einer Videoaufnahmefunktion ausgestattet sein, könnte man das mitgeschnittene Material dazu nutzen, um fernab des „Tatorts“ aus den Fingerbewegungen oder Gesten der Opfer Passwortkombinationen zu errechnen. Ich beobachte an der Kasse immer wieder, dass Menschen während einer Kartenzahlung bei der Eingabe ihrer Geheimzahl weder hinter sich schauen, noch ihre Gestik einzuschränken versuchen, sodass man mit ein wenig Übung leicht erraten kann, welche Zahlen eingegeben wurden.
3. Was erhoffen sich die Angreifer?
Erspäht werden sollen dabei
- PINs (z.B. von Bankkonten),
- Kontostände (um z.B. wertvolle Angriffsziele zu ermitteln),
- Passwörter, die den Zugang zu diversen Social Media Plattformen gewähren,
- Telefon-/Handynummern,
- Adressdaten oder
- andere sensitive Informationen,
von denen man nicht möchte, dass sie in fremde Hände gelangen oder von fremden Augen gesehen werden.
4. Wo finden Shoulder-Surfing Angriffe statt?
Im Prinzip kann es einen überall treffen. Beliebte Orte für diesen Angriff sind z. B.
- Flughäfen,
- Restaurants,
- Internetcafés,
- öffentliche Verkehrsmittel oder
- Festivals,
da sich dort üblicherweise viele Leute auf engem Raum aufhalten und hier eine erhöhte Wahrscheinlichkeit für die Interaktion mit IT-Systemen (Smartphone, Tablet, ...) besteht. Durch die großen Menschenmengen und die sich daraus ergebenden Möglichkeit der Tarnung verdächtiger Blicke, bleibt man als Angreifer zudem weitestgehend anonym.
Shoulder-Surfing kann auch zur Vorbereitung eines größer angelegten Angriffs genutzt werden, bei dem der Social Engineer in ein Unternehmen eingeschleust werden soll, um dort Geschäftsgeheimnisse zu stehlen. Weiß man z.B., wo sich die Geschäftsleitung regelmäßig zum Mittagessen trifft, kann man sich selbst in den „Monitor Mode“ versetzen und so Informationen ausspähen, die zum Aufbau von Vertrauen genutzt werden können (Whatsapp-Kontaktnamen, Urlaubsziele, ...).
5. Wie kann man sich schützen?
Mögliche Sicherheitsmaßnahmen können sein:
- Mit dem Rücken zur Wand stehen/sitzen.
- Verwendung von Bildschirmfiltern (ähnlich wie bei Bankautomaten), mit denen man das seitliche Sichtfeld einschränken kann. Ein Nachteil hierbei ist jedoch, dass man sich dadurch evtl. noch attraktiver für einen Angreifer macht, da dieser die damit verbundene Intention erkennt und annimmt, dass es hier „etwas zu holen“ gibt.
- Bei Verdacht, dass man beobachtet wird: Laptop zuklappen/Smartphone wegpacken. Dies darf auch etwas auffälliger geschehen, da der Angreifer dadurch bemerkt, dass er entdeckt wurde. Im Unterschied zum Verwenden des Bildschirmfilters, der grundsätzlich alle Personen sichtfeldtechnisch aussperrt, richtet sich diese Aktion meist direkt gegen den Social Engineer, was eine unauffällige Informationsgewinnung unmöglich macht.
Am effektivsten schützt man sich jedoch, indem man keine privaten oder geschäftlichen Aktivitäten im öffentlichen Raum für alle sichtbar erledigt! Das hilft dabei, seine privaten Informationen auch tatsächlich privat zu halten!
Autor: Florian André Dalwigk
Das Mitglied hat durch den Artikel 50 Bonuspunkte erhalten. Schreib auch du einen Artikel.
