Shoulder surfing: attacco silenzioso

Indice dei contenuti

• Cos’è lo shoulder surfing
• Come funziona lo shoulder surfing
• I casi più famosi di shoulder surfing
• Le tecniche per difendersi
• Shoulder surfing è ancora sottovalutato

Molte delle minacce più pericolose non arrivano da sofisticati malware o da hacker che operano nell’ombra tramite codici complessi, ma da attacchi più semplici, subdoli e spesso trascurati. Uno di questi è lo shoulder surfing, una tecnica di social engineering che sfrutta la disattenzione e la curiosità altrui per ottenere accesso a informazioni riservate.

In questo articolo analizzeremo nel dettaglio cos’è lo shoulder surfing, come funziona, alcuni casi celebri e infine scopriremo come difendersi efficacemente da questa minaccia.

Cos’è lo shoulder surfing

Per comprendere davvero cos’è lo shoulder surfing, dobbiamo iniziare dalla sua etimologia: il termine deriva dall’inglese to surf over someone’s shoulder, cioè guardare sopra la spalla di qualcuno.

Nel linguaggio comune, può sembrare un gesto innocuo o accidentale, ma nel contesto della cyber security, assume una connotazione molto più pericolosa.

Lo shoulder surfing è una tecnica di social engineering utilizzata per ottenere informazioni sensibili semplicemente osservando fisicamente un individuo mentre interagisce con un dispositivo digitale. Gli obiettivi principali di questo tipo di attacco includono:

• Password
• Codici PIN
• Dati bancari o carte di credito
• Token di autenticazione
• Messaggi privati o email aziendali

Non si tratta solo di guardare da vicino: l’attaccante può utilizzare strumenti tecnologici avanzati, come:

• Telecamere nascoste
• Microcamere in occhiali o cravatte
• Binocoli ad alta definizione
• Droni con zoom ottico
• Smartwatch con funzione di registrazione video

Questi strumenti ampliano il raggio d’azione dell’attacco, trasformando una tecnica apparentemente semplice in una minaccia molto sofisticata.

Esempio pratico in contesto reale

Immagina di essere allo sportello del bancomat. Stai inserendo il tuo PIN a quattro cifre, convinto di essere al sicuro perché nessuno ti è vicino.

Ma in realtà, una persona a pochi metri di distanza ti osserva da dietro una colonna, usando uno smartphone con una lente zoom o addirittura un paio di smart glasses con registrazione video attiva. Dopo pochi minuti, con la tua carta e il PIN in mano, può prelevare il massimo consentito.

Esempio in ambito aziendale

Un dipendente sta lavorando al portatile in una sala d’attesa dell’aeroporto. Accede al CRM aziendale (Customer Relationship Management) e inserisce username e password per recuperare dei dati su un cliente.

Dietro di lui, un individuo apparentemente innocuo osserva il tutto e annota le credenziali. Bastano pochi minuti per comprometterne l’accesso e — potenzialmente — rubare dati aziendali riservati.

Simulazione in codice: intercettazione tramite keylogger fisico (esempio concettuale)

Sebbene lo shoulder surfing non implichi direttamente l’uso di codice malevolo, può essere associato ad altri strumenti di attacco come i keylogger fisici, che vengono collegati tra tastiera e computer.

from pynput.keyboard import Key, Listener

log_file = "keystrokes.txt"

def on_press(key):

    with open(log_file, "a") as f:

        f.write(str(key) + "\n")

with Listener(on_press=on_press) as listener:

    listener.join()

ATTENZIONE: Questo codice è solo un esempio didattico e non deve essere utilizzato per attività non etiche o illegali. I keylogger software vengono spesso impiegati insieme allo shoulder surfing per amplificare la raccolta di dati.

Come funziona lo shoulder surfing

Osservazione furtiva e inganno visivo

Il funzionamento dello shoulder surfing si basa su un meccanismo tanto semplice quanto insidioso: l’osservazione visiva furtiva. Non servono malware, exploit o vulnerabilità di sistema. Serve solo un occhio attento, un pizzico di audacia e la disattenzione della vittima.

Chi compie shoulder surfing non è sempre un hacker nel senso tecnico del termine. Spesso si tratta di individui comuni, magari nemmeno esperti di tecnologia, ma che sanno sfruttare il contesto ambientale — affollamenti, spazi pubblici, distrazioni — per ottenere dati riservati.

Scenari comuni di shoulder surfing

Vediamo ora alcuni esempi reali che illustrano come funziona lo shoulder surfing nel quotidiano:

• Metropolitana
  Sei seduto con il tuo smartphone e sblocchi il dispositivo digitando un codice. La persona accanto a te osserva attentamente e memorizza la sequenza.
• ATM (bancomat)
  Mentre inserisci il PIN, una persona in coda osserva da dietro. Dopo pochi minuti, ti urta volontariamente e approfitta della confusione per sottrarti il portafoglio.
• Aeroporto
  Mentre consulti documenti riservati sul laptop, un passante che si trova in posizione sopraelevata (es. scala mobile o terrazza) fotografa il tuo schermo con uno smartphone dotato di zoom ottico.
• Bar
  Stai accedendo al tuo conto bancario da un notebook. Una persona dietro di te — magari uno pseudo freelancer con un laptop fittizio — osserva lo schermo o registra tutto con una microcamera nascosta negli occhiali.

Tecnologie di registrazione: la nuova frontiera dello shoulder surfing

Il rischio dello shoulder surfing in computer security è amplificato dall’utilizzo di tecnologie miniaturizzate:

• Microcamere nascoste in orologi, spille, penne o badge aziendali.
• Occhiali smart (es. Ray-Ban Meta, Snap Spectacles) che registrano video senza che l’interlocutore se ne accorga.
• Droni discreti dotati di telecamere che registrano attraverso vetrate o dall’alto.
• Laptop cam remoti o camere di sicurezza compromesse, utilizzate per osservare ambienti aziendali.

In molti casi, la vittima non si accorge minimamente di essere osservata.

Il ruolo del shouldering computing

Il shouldering computing è un’area emergente di studio che si occupa di come gli utenti interagiscono con i dispositivi in spazi condivisi o pubblici, e di come prevenire l’accesso visivo non autorizzato.

Alcuni approcci sperimentati o in uso includono:

• UI adattive, che mostrano solo i dati essenziali in spazi visibili e mascherano gli altri.
• Input vocali o biometrici che evitano la digitazione manuale.
• Timeout visivi, che oscurano lo schermo quando un volto sconosciuto viene rilevato nelle vicinanze (grazie al riconoscimento facciale).
• Layout antishoulder, ad esempio tastiere virtuali randomizzate (come in alcune app bancarie) che cambiano l’ordine dei numeri o delle lettere.

Un esempio concettuale: tastiera virtuale randomizzata

Un’applicazione bancaria può difendere l’utente tramite una tastiera che cambia posizione dei numeri ad ogni accesso. Ecco una simulazione di questo comportamento in Python:

import random

def random_keyboard():

    digits = list("0123456789")

    random.shuffle(digits)

    keyboard = [digits[i:i+3] for i in range(0, 9, 3)]

    keyboard.append([digits[-1]])

    return keyboard

for row in random_keyboard():

    print(" | ".join(row))

Spiegazione: ogni volta che l’utente deve inserire il PIN, l’interfaccia cambia posizione ai numeri, rendendo impossibile per un osservatore memorizzare la posizione dei tasti semplicemente guardando i movimenti delle dita.

I casi più famosi di shoulder surfing

Anche se lo shoulder surfing raramente compare nei report ufficiali dei data breach, la verità è che ha avuto un ruolo chiave in molte violazioni note, proprio perché è difficile da rilevare e ancora più difficile da dimostrare. La sua efficacia si basa proprio sulla furtività e sulla possibilità di passare inosservati.

Analizziamo ora tre casi significativi, in cui questa tecnica ha permesso il furto di dati, soldi o informazioni riservate.

Caso 1: Edward Snowden e l’accesso visivo

Il caso di Edward Snowden, ex analista della NSA (National Security Agency), è uno dei più emblematici per comprendere l’impatto reale dello shoulder surfing in ambienti governativi.

Nelle sue dichiarazioni pubbliche, Snowden ha sottolineato come molti accessi a informazioni classificate non avvenissero tramite hacking remoto, ma semplicemente osservando i colleghi mentre inserivano password o consultavano documenti riservati. Lo stesso Snowden ha affermato:

“Un osservatore attento, in un ambiente sicuro, può ottenere informazioni anche solo guardando le mani di chi digita o leggendo i loro schermi a distanza.”

Come contromisure, l’NSA implementò:

• Privacy screen su ogni monitor
• Barriere fisiche tra le postazioni
• Telecamere interne per rilevare movimenti sospetti

Questo episodio ha dimostrato che lo shoulder surfing è una minaccia concreta anche nei luoghi più protetti al mondo.

Caso 2: Truffe da strada ai bancomat in Europa dell’Est

Un caso ben documentato riguarda una banda criminale dell’Europa dell’Est che ha sfruttato lo shoulder surfing per facilitare furti agli ATM. L’operazione era semplice, ma ben orchestrata:

1. Un complice si posizionava vicino al bancomat e osservava la vittima inserire il PIN.
2. Dopo pochi minuti, un altro membro della banda metteva in atto un furto con destrezza: portafoglio o carta di credito venivano sottratti con tecniche di borseggio.
3. La carta veniva poi utilizzata immediatamente per prelevare grandi somme di denaro, prima che la vittima potesse bloccarla.

Questo schema ha colpito centinaia di turisti in città europee come Praga, Budapest, Varsavia e Bucarest.

In molti casi, le vittime non si accorgevano nemmeno di essere state osservate, confermando quanto possa essere invisibile l’attacco.

Caso 3: Furto di dati in spazi di coworking (Studio 2022)

Nel 2022 è stato pubblicato uno studio su sicurezza fisica e digitale negli spazi di coworking condotto da un team di ricercatori in ambito cyber security. I risultati sono stati preoccupanti:

• Il 62% degli utenti digitava le proprie credenziali in modo completamente visibile da altri presenti nella sala.
• Il 45% accedeva a dati aziendali riservati (es. dashboard, CRM, tool HR) senza alcuna protezione visiva.
• Il 23% lasciava il proprio schermo incustodito, con sessioni attive e documenti aperti.

Alcuni casi documentati parlano di:

• Furto di identità aziendale (con accesso al portale dipendenti)
• Esfiltrazione di contatti clienti da CRM
• Accessi non autorizzati a Google Workspace o Microsoft 365

In un caso specifico, un sedicente freelancer ha fotografato le credenziali visibili sullo schermo di un collega, ottenendo accesso a dati finanziari riservati di una startup fintech.

Le tecniche per difendersi

Come proteggersi dallo shoulder surfing

Difendersi efficacemente dallo shoulder surfing significa adottare una combinazione di comportamenti consapevoli e tecnologie di protezione. Non esiste una sola soluzione, ma un insieme di strategie che, se messe in atto correttamente, possono ridurre drasticamente il rischio di furto di dati visivo.

Di seguito approfondiamo le principali tecniche di difesa, con esempi pratici e – dove possibile – con supporto tecnico.

1. Usa schermi privacy (privacy screen)

Uno dei metodi più efficaci e immediati per proteggerti è l’installazione di filtri privacy sul tuo laptop o monitor. Si tratta di pellicole polarizzate che bloccano la visione da angolazioni laterali, rendendo lo schermo visibile solo frontalmente.

Esempio pratico
In un coworking, stai lavorando su un report finanziario. Un filtro privacy assicura che solo tu possa vedere i dati, anche se qualcuno è seduto al tuo fianco.

Esistono anche versioni rimovibili per lavoratori mobili o smart worker.

2. Posizionati strategicamente

La posizione fisica rispetto all’ambiente circostante è fondamentale. Evita di sederti con lo schermo rivolto verso la stanza o il corridoio. Cerca invece:

• Postazioni con lo schermo rivolto al muro
• Angoli che limitano la visione laterale
• Tavoli contro le pareti nei bar o negli aeroporti

Evita postazioni centrali, panche pubbliche o scrivanie “open” in ambienti molto affollati.

3. Attiva l’autenticazione biometrica

Fingerprint, Face ID o riconoscimento dell’iride sono strumenti di autenticazione sempre più diffusi e sicuri. A differenza di una password o di un PIN, non possono essere copiati con lo sguardo.

Vantaggi:

• Non digitando nulla, non lascia tracce visive.
• Più rapido e sicuro in contesti pubblici.
• Difficile da intercettare anche con dispositivi di registrazione.

4. Usa un password manager

Un password manager (come Bitwarden, 1Password o KeePassXC) consente di:

• Compilare automaticamente le credenziali, evitando digitazioni visibili.
• Generare password uniche e complesse, impossibili da ricordare a mente (e quindi da digitare in pubblico).
• Proteggere le credenziali con un master password + 2FA.

Esempio in codice: accesso automatico simulato con Python e pyautogui (solo concettuale)

import pyautogui

import time

# Simula l'inserimento automatico di una password

time.sleep(3)

pyautogui.write('P@ssw0rdGenerata', interval=0.1)

pyautogui.press('enter')

Questo tipo di automazione può aiutare a evitare l’input manuale, ma va usata solo in ambienti sicuri e consapevoli.

5. Fai attenzione ai movimenti sospetti

A volte, il miglior antivirus è l’intuito. Impara a sviluppare un certo “sesto senso” digitale:

• Se qualcuno si avvicina troppo mentre lavori, interrompi l’attività.
• Se percepisci attenzione eccessiva da parte di qualcuno, cambia postazione.
• Se noti oggetti sospetti (occhiali con lente, badge strani, orologi massicci), potresti essere sotto osservazione.

Anche un’app di rilevamento movimento tramite webcam può essere utile per avvisarti quando c’è qualcuno dietro di te.

6. Crittografia e timeout automatici

Anche se le tue credenziali vengono osservate, se i dispositivi sono protetti da crittografia e timeout automatici, il rischio si riduce drasticamente.

Tecniche consigliate:

• Crittografia a livello di disco (BitLocker, VeraCrypt, FileVault)
• Blocco schermo automatico dopo X minuti di inattività
• Logout automatico da applicazioni riservate

Esempio in Python (concettuale): simulazione di timeout

import time

TIMEOUT = 60  # secondi

print("Sessione attiva. Inattività per 60 secondi chiuderà la sessione...")

time.sleep(TIMEOUT)

print("Sessione terminata per inattività.")

Shoulder surfing è ancora sottovalutato

Una minaccia trascurata, ma ovunque presente

Uno degli aspetti più pericolosi dello shoulder surfing è proprio la sua sottovalutazione. Molti utenti ritengono si tratti di un problema marginale, relegato a contesti estremi — come spie nei film o hacker professionisti. Nulla di più sbagliato.

Oggi, con l’esplosione del lavoro da remoto, degli spazi di coworking e dell’uso massiccio di dispositivi mobile-first, lo shoulder surfing è una minaccia reale, concreta e quotidiana.

Non servono competenze da hacker

A differenza di un attacco informatico complesso, il shoulder surfing non richiede alcuna competenza tecnica. Basta:

• Un telefono con una buona fotocamera
• Una scusa per restare vicino alla vittima
• Un po’ di pazienza e attenzione

Chiunque — anche un adolescente o un collega — può diventare un potenziale shoulder surfer.

Esempio pratico: smartphone + lente zoom

Immagina una persona seduta dietro di te su un treno. Ha in mano un telefono con lente ottica 5x e simula di mandare messaggi. In realtà, sta registrando lo schermo del tuo laptop mentre tu inserisci le credenziali per accedere alla tua webmail aziendale.

Questo non è fantascienza: è una scena comune sui treni, nelle sale d’attesa, nei bar o nei parchi pubblici.

Una minaccia democratica

Lo shoulder surfing è una forma di attacco “democratico”: chiunque può praticarlo, ovunque ci sia interazione tra uomo e macchina in spazi condivisi. È il perfetto esempio di come la cyber security non sia solo una questione tecnologica, ma anche — e soprattutto — comportamentale.

L’accessibilità a smartphone con fotocamere potenti e la diffusione dei dispositivi digitali in ogni contesto rendono questo attacco più probabile di quanto si pensi.

La consapevolezza è la prima difesa

La prima forma di difesa contro lo shoulder surfing è la consapevolezza. Sapere che il pericolo esiste, che può arrivare in silenzio e senza segnali, è fondamentale per adottare comportamenti protettivi.

• Controlla l’ambiente prima di lavorare su dati sensibili
• Osserva chi ti circonda
• Non fidarti del “non c’è nessuno vicino”

Anche un solo sguardo non autorizzato può portare alla compromissione di informazioni personali o aziendali.

Domande e risposte

1. Che cos’è lo shoulder surfing?
   È una tecnica di social engineering che consiste nell’osservare visivamente la vittima mentre inserisce informazioni sensibili.
2. Lo shoulder surfing è un attacco informatico?
   È considerato parte delle minacce informatiche, anche se non implica necessariamente un intervento tecnico.
3. Come si può prevenire lo shoulder surfing?
   Con accorgimenti fisici (come filtri privacy), comportamenti attenti e l’uso di autenticazione biometrica.
4. Esistono casi noti di shoulder surfing?
   Sì, ad esempio in ambienti militari, sportelli bancomat e uffici condivisi.
5. Quali sono i bersagli preferiti del shoulder surfing?
   Utenti che usano dispositivi in pubblico, soprattutto senza protezioni visive.
6. Cosa si intende per shouldering computing?
   Lo studio del comportamento degli utenti e delle vulnerabilità visive nelle interazioni digitali.
7. È legale fare shoulder surfing?
   No, è una violazione della privacy e, in molti casi, un reato.
8. Un hacker può usare lo shoulder surfing?
   Sì, ma spesso lo fanno anche persone comuni per fini fraudolenti.
9. I droni possono essere usati per shoulder surfing?
   Sì, alcuni attacchi documentati hanno impiegato droni per osservare da lontano.
10. Come proteggere le aziende dal shoulder surfing?
    Con politiche aziendali, formazione dei dipendenti e infrastrutture sicure.