Tim istraživača sa Univerziteta u Padovi (Italija) i Univerziteta u Delftu (Holandija) objavio je metodu za korištenje strojnog učenja za rekonstrukciju unesenog PIN koda iz video zapisa ručno prekrivene ulazne površine bankomata. . Prilikom unosa 4-cifrenog PIN koda, vjerovatnoća predviđanja ispravnog koda se procjenjuje na 41%, uzimajući u obzir mogućnost tri pokušaja prije blokiranja. Za 5-cifrene PIN kodove, vjerovatnoća predviđanja je bila 30%. Proveden je poseban eksperiment u kojem je 78 volontera pokušalo predvidjeti PIN kod iz sličnih snimljenih video zapisa. U ovom slučaju, vjerovatnoća uspješnog predviđanja bila je 7.92% nakon tri pokušaja.
Kada dlanom pokrijete digitalni panel bankomata, dio ruke kojim se vrši unos ostaje nepokriven, što je dovoljno da se predvidi klikove promjenom položaja ruke i pomjeranjem nepotpuno pokrivenih prstiju. Prilikom analize unosa svake cifre, sistem eliminiše tastere koji se ne mogu pritisnuti uzimajući u obzir položaj ruke koja pokriva, a takođe izračunava najverovatnije opcije za pritiskanje na osnovu položaja ruke koja pritiska u odnosu na lokaciju tastera. . Da bi se povećala vjerovatnoća detekcije unosa, može se dodatno snimiti zvuk pritiska na tipku, koji se za svaku tipku malo razlikuje.
Eksperiment je koristio sistem mašinskog učenja zasnovan na upotrebi konvolucione neuronske mreže (CNN) i rekurentne neuronske mreže zasnovane na LSTM (Long Short Term Memory) arhitekturi. CNN mreža je bila odgovorna za izdvajanje prostornih podataka za svaki okvir, a LSTM mreža je koristila ove podatke za izdvajanje vremenski promjenjivih obrazaca. Model je obučen na video snimcima 58 različitih ljudi koji unose PIN kodove koristeći metode pokrivanja unosa koje je odabrao učesnik (svaki učesnik je unio 100 različitih kodova, tj. 5800 primjera unosa korišteno je za obuku). Tokom obuke je otkriveno da većina korisnika koristi jednu od tri glavne metode pokrivanja inputa.
Za obuku modela mašinskog učenja korišćen je server baziran na Xeon E5-2670 procesoru sa 128 GB RAM-a i tri Tesla K20m kartice sa po 5 GB memorije. Softverski dio je napisan na Pythonu koristeći Keras biblioteku i Tensorflow platformu. Pošto su ATM ulazni paneli različiti i rezultat predviđanja zavisi od karakteristika kao što su veličina ključa i topologija, potrebna je posebna obuka za svaki tip panela.
Kao mjere zaštite od predloženog metoda napada, preporučuje se, ako je moguće, korištenje PIN kodova od 5 cifara umjesto 4, te pokušajte da pokrijete što veći dio ulaznog prostora rukom (metoda ostaje djelotvorna ako oko 75% površine za unos je pokriveno vašom rukom). Proizvođačima bankomata se preporučuje upotreba posebnih zaštitnih ekrana koji skrivaju unos, kao i ne mehaničkih, već dodirnih panela za unos, položaj brojeva na kojima se nasumično mijenja.
izvor: opennet.ru