Shoulder surfing

Nella sicurezza informatica, il shoulder surfing (letteralmente "fare surf sulle spalle") è una tecnica di ingegneria sociale usata per ottenere informazioni come codici PIN, password ed altri dati confidenziali osservando la vittima standole alle spalle^[1]. L'attacco può venire effettuato sia da vicino (osservando direttamente la vittima) o da più lontano, usando ad esempio riprese di telecamere a circuito chiuso, binocoli o dispositivi simili^[2]. Attaccare usando questa tecnica non richiede nessuna abilità particolare; l'attenta osservazione di ciò che sta intorno alla vittima e dei movimenti da lei effettuati con la mano mentre digita un PIN sono sufficienti. I posti affollati sono quelli in cui è più facile che una vittima venga attaccata tramite shoulder surfing. Negli Stati Uniti, all'inizio del 1980, il shoulder surfing era praticato per rubare il numero identificativo delle tessere per i telefoni pubblici, al fine di rivenderlo a prezzi più bassi o effettuare chiamate interurbane. L'avvento di moderne tecnologie quali telecamere e microfoni nascosti fa sì che gli attacchi di shoulder surfing siano più facili da effettuare da lontano. Una telecamera nascosta consente all'attaccante di registrare l'intero processo di login ed altri dati confidenziali della vittima, la quale subisce una perdita di denaro o un furto d'identità^[3].