Shoulder Surfing

Shoulder Surfing — метод социальной инженерии, при котором злоумышленник визуально перехватывает конфиденциальную информацию, наблюдая (обычно из-за плеча жертвы) за процессом ввода данных на устройствах или заполнения бумажных документов.

Ключевые характеристики:

• Прямое визуальное наблюдение за вводом конфиденциальных данных
• Не требует технических средств в базовой форме
• Может осуществляться как с близкого расстояния, так и дистанционно с помощью оптических устройств
• Эксплуатирует физические аспекты безопасности, а не технические уязвимости
• Может быть частью многоступенчатой атаки для получения учетных данных

1. Классическое подглядывание: Непосредственное наблюдение из-за плеча жертвы
2. Дистанционное наблюдение: Использование оптических устройств (бинокли, камеры с зумом)
3. Тепловое подглядывание: Анализ остаточного тепла на клавиатуре после ввода
4. Рефлективное наблюдение: Отслеживание отражений экрана в очках, окнах, глянцевых поверхностях
5. Видеозахват: Скрытая запись процесса ввода для последующего анализа

• Миниатюрные камеры: Скрытые устройства видеозаписи высокого разрешения
• Тепловизоры: Для фиксации тепловых следов на клавиатуре
• Телеобъективы: Для наблюдения с большого расстояния
• Мини-дроны с камерами: Для труднодоступных точек наблюдения
• Программы анализа видео: Для автоматического распознавания нажатий клавиш

• Социальная адаптация: Нежелание людей замечать нарушение личного пространства
• Невнимательность в общественных местах: Концентрация на задаче без контроля окружения
• Доверие к окружающим: Пониженная бдительность в привычной среде
• Когнитивная перегрузка: Снижение внимания к безопасности при решении сложных задач
• Социальное давление: Неудобство просить отойти человека, стоящего слишком близко

• Маскировка внимания: Имитация занятости другими делами
• Легитимное присутствие: Создание видимости принадлежности к окружению
• Отвлекающие маневры: Использование коллег для создания отвлекающих ситуаций
• Постепенное сближение: Незаметное уменьшение дистанции до цели
• Социальная мимикрия: Подражание поведению легитимных сотрудников или посетителей

# Тактика "Коллега по работе"

Подготовительная фаза:
1. Изучение корпоративной культуры (дресс-код, бейджи, жаргон)
2. Получение или подделка идентификационных карт
3. Определение периодов повышенной активности (снижение бдительности)

Фаза реализации:
1. Проникновение в офисное пространство под видом сотрудника/посетителя
2. Занятие позиции рядом с целевыми сотрудниками (финансовый отдел, IT)
3. Наблюдение за вводом учетных данных, особенно при утреннем входе в систему
4. Документирование информации с помощью скрытой камеры или запоминания
5. При необходимости - инициирование разговора для создания ложного доверия

Результат: Получение учетных данных для последующего несанкционированного доступа к системам

# Тактика "Очередь"

Подготовительная фаза:
1. Выбор банкомата в оживленном, но недостаточно защищенном месте
2. Определение оптимального времени (час пик, высокая загруженность)
3. Подготовка средств скрытой записи (миниатюрная камера в одежде)

Фаза реализации:
1. Занятие позиции в очереди непосредственно за жертвой
2. Сокращение дистанции под предлогом загруженности помещения
3. Фокусировка внимания на клавиатуре и экране при вводе PIN-кода
4. Запоминание или фиксация PIN-кода и данных карты
5. Опционально: создание отвлекающего фактора для увеличения времени наблюдения

Результат: Получение PIN-кода и номера карты для последующих фрод-операций

# Тактика "Попутчик"

Подготовительная фаза:
1. Выбор маршрутов с длительным временем в пути и высокой загруженностью
2. Подготовка мобильного устройства с возможностью незаметной записи видео
3. Создание ненавязчивого образа (деловая одежда, наушники и т.д.)

Фаза реализации:
1. Занятие места рядом с целью, использующей мобильное устройство или ноутбук
2. Позиционирование для оптимального угла обзора экрана жертвы
3. Терпеливое наблюдение за действиями, особенно за процессами аутентификации
4. Фиксация учетных данных (пароли, пин-коды, шаблоны разблокировки)
5. Смена места при проявлении подозрений со стороны жертвы

Результат: Сбор аутентификационных данных для различных сервисов и приложений

• Необоснованное нарушение личного пространства
• Неестественное положение тела соседних людей (наклон, вытягивание шеи)
• Фокусировка взгляда на вашем устройстве, а не на собственном
• Неоправданно долгое пребывание поблизости без видимой цели
• Странные объекты на одежде или аксессуарах (возможно скрытые камеры)
• Подозрительная активность за спиной при работе с конфиденциальной информацией

• Отсутствие приватных зон при работе с чувствительной информацией
• Высокая плотность людей в зонах ввода конфиденциальных данных
• Расположение экранов, видимых из общественных мест
• Отсутствие физических барьеров между пользователями устройств
• Ограниченное пространство в местах ввода PIN-кодов и паролей

• Приватные фильтры: Специальные накладки на экран, ограничивающие угол обзора
• Технологии аутентификации: Биометрические методы вместо визуально наблюдаемых
• Виртуальные клавиатуры: С произвольным расположением клавиш
• Защитные экраны: Физические барьеры вокруг банкоматов и платежных терминалов
• Анализ окружения: Системы, предупреждающие о наблюдении со стороны

• Политика чистого экрана: Обязательная блокировка устройств при отсутствии
• Проектирование пространства: Расположение мониторов вне зон общего доступа
• Обучение персонала: Тренинги по обнаружению попыток подглядывания
• Регламенты безопасности: Правила работы с конфиденциальной информацией
• Зонирование помещений: Разделение на публичные и приватные области

• Прикрытие ввода: Использование руки или тела для скрытия клавиатуры
• Позиционирование: Размещение спиной к стене при работе с конфиденциальными данными
• Сканирование окружения: Регулярная проверка окружающего пространства
• Минимизация воздействия: Сокращение времени отображения чувствительной информации
• Использование менеджеров паролей: Автозаполнение вместо ручного ввода

• Автоматизированный анализ: Использование AI для распознавания вводимых данных по видеозаписи
• Дистанционное подглядывание: Применение высокотехнологичных средств наблюдения с большого расстояния
• Распознавание звуков клавиатуры: Анализ акустических сигналов при нажатии клавиш
• Комбинированные атаки: Интеграция с другими методами социальной инженерии
• Атаки на мобильные устройства: Адаптация методов для смартфонов и планшетов

• Развитие систем видеоаналитики для автоматического извлечения данных из записей
• Использование миниатюрных беспилотных систем для скрытого наблюдения
• Совершенствование методов обработки тепловых изображений клавиатур
• Интеграция с киберфизическими системами для комплексных атак
• Эксплуатация расширенной (AR) и виртуальной (VR) реальности для новых форм наблюдения

Shoulder Surfing остается одной из наиболее доступных и эффективных техник социальной инженерии, несмотря на растущую цифровизацию и технологическое развитие средств защиты. Его эффективность основана на эксплуатации фундаментальных аспектов человеческого поведения и физических ограничений защиты информации в общественных пространствах.

Особую опасность представляет комбинирование этого метода с другими техниками социальной инженерии и техническими средствами, что создает многовекторные атаки, сложные для обнаружения и предотвращения. В современных условиях уязвимость к Shoulder Surfing усиливается из-за растущей мобильности работы и размытия границ между рабочим и общественным пространством.

Эффективная защита требует комплексного подхода, сочетающего технические средства, организационные политики и, что наиболее важно, развитие постоянной бдительности и пространственного осознания при работе с конфиденциальной информацией. Понимание психологических механизмов и физических аспектов этой угрозы является ключевым фактором построения эффективной стратегии защиты от визуального шпионажа в цифровую эпоху.