攻击与威胁
肩窥攻击
别称: 视觉窃听
定义
直接或借助摄像头,从他人身后窥视其屏幕、键盘或 PIN 键盘,以窃取凭据、验证码或敏感信息。
肩窥(shoulder surfing)技术门槛低但影响大,包括飞机上偷瞄同事笔记本、ATM 与 POS 处录制 PIN、在共享办公环境中偷看 MFA 验证码、用长焦或天花板摄像头远距离取数等。由于攻击对象是 "人机界面" 而非技术栈,传统安全控制对此作用有限。缓解措施包括防窥膜、避开他人视线打字、净桌净屏策略、PIN 显示遮蔽、采用不显示验证码的生物识别或推送式 MFA、在私密环境输入凭据,以及合理的物理位置安排。
示例
- 在拥挤的火车上瞥见乘客的邮件内容。
- 在 ATM 附近放置隐藏摄像头,记录 PIN 与卡片信息。