Il surf sulla spalla è una pratica che implica l’osservazione di un individuo e la raccolta di informazioni senza la conoscenza o il consenso dell’individuo che viene osservato. Il nome di questo processo si riferisce alla pratica di guardare oltre la spalla di un’altra persona per accertare cosa sta facendo. Nonostante il nome, le persone impegnate nell’atto di fare surf in spalla non devono necessariamente essere fisicamente vicine o guardare alle spalle di un’altra persona per raccogliere segretamente informazioni.
Nella maggior parte dei casi, lo shoulder surfing si riferisce a un’attività connessa alla protezione di informazioni proprietarie che l’osservatore può successivamente utilizzare a proprio vantaggio. Ad esempio, un artista della truffa può trovarsi nella posizione ideale per osservare un individuo mentre inserisce un numero di identificazione personale (PIN) in un bancomat. Osservando la sequenza di tasti, il ladro può determinare la sequenza del codice e annotarla per un uso futuro. Supponendo che il ladro possa in seguito ottenere l’accesso alla carta di debito associata a quel PIN, sarà in grado di prelevare fondi dal conto collegato a piacimento.
Nelle file di cassa affollate, la navigazione a spalla può essere utilizzata anche come mezzo per leggere rapidamente i numeri di conto e acquisire codici PIN per un uso successivo. L’avvento di piccole telecamere che possono essere azionate senza preavviso può effettivamente creare una registrazione visiva di una transazione. In un secondo momento, quel video può essere utilizzato per identificare le informazioni finanziarie necessarie e consentire ai ladri di utilizzare i dati per effettuare acquisti online non autorizzati.
Una versione elettronica della navigazione a spalla consente di acquisire i tasti premuti mentre gli acquirenti inseriscono i dati finanziari come mezzo per effettuare un acquisto online. Il software dannoso che viola i protocolli di sicurezza del sito Web acquisisce ogni battitura eseguita dall’acquirente, quindi la registra per un uso futuro. Il risultato finale è l’uso non autorizzato di carte di debito e di credito per effettuare acquisti di cui il proprietario dell’account non è a conoscenza fino a quando non arriva l’estratto conto della carta o l’emittente della carta nota qualcosa di insolito e blocca ulteriori acquisti, in attesa di un’indagine.
Con il crescente utilizzo di carte di debito e di credito al posto di contanti o assegni, l’opportunità di diventare una vittima dello shoulder surfing è più grande che mai. Alcuni commercianti hanno adottato misure per fornire schermatura sui terminali delle carte per rendere più difficile per gli altri leggere le informazioni sulla carta o vedere quali tasti vengono premuti dall’utente finale. Molti commercianti incoraggeranno inoltre gli acquirenti a posizionare la parte superiore del corpo in un’angolazione che impedisca la vista di chiunque si trovi nelle vicinanze, rendendo più difficile per chiunque vedere esattamente quali dati l’acquirente sta inserendo nel terminale del punto di servizio (POS).