Mentre la cybersicurezza si concentra su firewall impenetrabili e crittografie quantistiche, il punto debole della catena rimane un gesto antico quanto la scrittura: qualcuno che guarda sopra la tua spalla.
Lo Shoulder Surfing non è un attacco informatico complesso, ma una tecnica di ingegneria sociale basata sull’osservazione diretta. In un caffè affollato, in metropolitana o alla fila del supermercato, un malintenzionato osserva il PIN che digitate o la sequenza di sblocco dello smartphone. Pochi secondi dopo, il dispositivo vi viene sottratto con un furto con destrezza.
A quel punto, il danno non è più limitato al valore dell’hardware. Con il codice di sblocco e il dispositivo fisico in mano, un ladro ha le chiavi del vostro intero ecosistema digitale. Può cambiare la password dell’ID Apple o dell’account Google, escludendovi per sempre dai vostri backup, e accedere alle app bancarie dove l’autenticazione a due fattori arriva, ironia della sorte, proprio su quel telefono che non avete più.
Cos’è lo Shoulder Surfing
L’efficacia dello Shoulder Surfing risiede nella nostra fiducia verso l’ambiente circostante. Gli aggressori spesso lavorano in coppia: uno “punta” la vittima, memorizzando i movimenti delle dita sullo schermo, mentre l’altro si occupa della sottrazione fisica. Non servono binocoli sofisticati; bastano telecamere miniaturizzate o, più semplicemente, la capacità di interpretare i riflessi sulle lenti degli occhiali della vittima.
Cos’è lo Shoulder Surfing – e4a.it
Un dettaglio che spesso sfugge è l’uso di micro-telecamere installate sopra gli sportelli ATM o i POS dei negozi, che registrano h24 migliaia di combinazioni. Curiosamente, alcuni test di sicurezza hanno dimostrato che le persone tendono a proteggere meglio il PIN del bancomat rispetto alla sequenza di sblocco dello smartphone, nonostante quest’ultimo contenga spesso informazioni molto più sensibili, come l’accesso alle email di recupero password o le foto dei documenti d’identità salvate in galleria.
Siamo portati a pensare che il FaceID o l’impronta digitale ci rendano immuni. In realtà, proprio l’uso della biometria può abbassare la guardia: quando il sensore fallisce (magari per il vapore o per un’angolazione errata) e il telefono ci chiede il “codice di riserva”, lo digitiamo con fastidio e fretta, spesso senza coprire lo schermo. È in quel momento di frustrazione che avviene il furto dei dati. Forse, la vera sicurezza non sta nel nascondere il codice, ma nel rendere l’atto di digitarlo socialmente sgradevole, un tabù visivo che costringa chi ci sta intorno a distogliere lo sguardo per etichetta.
Come neutralizzare l’occhio indiscreto
Per difendersi, oltre all’ovvia attenzione fisica, esistono soluzioni tecniche e comportamentali. Le pellicole “privacy” per lo schermo, che oscurano la visuale a chiunque non sia perfettamente frontale al display, sono uno strumento efficace ma ancora poco diffuso. È fondamentale attivare funzioni come la “Protezione del dispositivo rubato” su iOS, che introduce ritardi di sicurezza per le modifiche critiche agli account se non ci si trova in luoghi familiari.
La rapidità di reazione è l’unico argine al furto d’identità. Se il telefono sparisce, la prima chiamata non deve essere al fornitore di servizi, ma alla banca per bloccare le credenziali. Ricordate che, in questo scenario, il vostro numero di telefono è il vostro peggior nemico: chi ha il dispositivo riceverà gli SMS di conferma per ogni tentativo di reset delle password.
Sarebbe utile configurare una “eSIM” protetta da PIN, così che il ladro non possa semplicemente estrarre la scheda e inserirla in un altro dispositivo per intercettare i vostri messaggi di sicurezza.
