Используя функцию сброса пароля, злоумышленник может ввести номер телефона жертвы и выбрать вариант отправки кода для подтверждения. После этого, подсмотрев сообщение, когда оно появилось на экране жертвы, преступник может получить полный контроль над ее аккаунтом. Если злоумышленник не знает номер телефона, он может найти его в Интернете среди данных, которые были похищены ранее, или поискать информацию в открытых источникам, в частности соцсетях. Позвонив пользователю и представившись сотрудником соцсети, злоумышленник может обманом заставить его передать SMS-код для подтверждения.
Большинство пользователей не воспринимают плечевой серфинг как серьезную угрозу. Все уверены, что смогут вовремя заметить человека, не сводящего глаз с экрана смартфона или ноутбука. Однако злоумышленникам необходим только один удачный момент, чтобы увидеть нужное сообщение и получить доступ к данным пользователя. В современных условиях удаленной работы, когда многие сотрудники работают в общественных местах, например, в кафе или специальных рабочих пространствах, шансы на похищение данных путем плечевого серфинга значительно возрастают.
В случае получения доступа к аккаунту жертвы киберпреступники смогут:
изменить учетные данные и требовать деньги для восстановления доступа к аккаунту;
попробовать войти в другие аккаунты, используя те же учетные данные;
украсть личную информацию для использования в мошеннических или фишинговых схемах;
получить доступ в Интернет-банкинг и перенаправлять денежные средства на собственные счета;
публиковать неприемлемый контент из учетной записи жертвы.
Как предотвратить плечевой серфинг?
После похищения злоумышленниками личной информации и денежных средств, жертва может столкнуться с большим количеством попыток фишинга. Чтобы избежать неприятных последствий в случае похищения данных путем плечевого серфинга, важно помнить следующие правила по кибербезопасности:
создавать разные пароли для всех учетных записей, так как похитив один ключ для входа, злоумышленники смогут получить доступ к другим аккаунтам. Для облегчения запоминания большого количества различных комбинаций для входа используйте менеджер паролей;
включать многофакторную аутентификацию. Для этого лучше использовать специальные приложения, например, Google Authenticator или Microsoft Authenticator, а не метод генерирования кода через SMS;
быть осторожными при входе в аккаунты в общественных местах, в том числе в транспорте.