Un equip d'investigadors de les universitats de Pàdua (Itàlia) i Delft (Països Baixos) ha publicat un mètode per utilitzar l'aprenentatge automàtic per recrear un PIN introduït a partir d'un metratge de vídeo d'una àrea d'entrada coberta a mà en un caixer automàtic. En introduir un PIN de 4 dígits, la probabilitat de predir el codi correcte s'estima en un 41%, donada la possibilitat de fer tres intents abans de bloquejar. Per als codis PIN de 5 dígits, la probabilitat de predicció era del 30%. Per separat, es va dur a terme un experiment durant el qual 78 voluntaris van intentar predir el codi PIN a partir de vídeos gravats de manera similar. En aquest cas, la probabilitat d'una predicció reeixida era del 7.92% en presència de tres intents.
Quan es cobreix el panell digital del caixer automàtic amb el palmell de la mà, la part de la mà que s'utilitza per a l'entrada roman descoberta, cosa que és suficient per predir la pressió canviant la posició de la mà i movent els dits incompletament coberts. Quan s'analitza l'entrada de cada dígit, el sistema exclou les tecles que no es poden prémer, tenint en compte la posició de la mà que cobreix, i també calcula les opcions més probables per prémer en funció de la posició de la mà que prem, en relació amb la ubicació de la mà. les tecles. Per augmentar la probabilitat de determinar l'entrada, es pot gravar addicionalment el so de prémer, que és lleugerament diferent per a cada tecla.
L'experiment va utilitzar un sistema d'aprenentatge automàtic basat en l'ús d'una xarxa neuronal convolucional (CNN) i una xarxa neuronal recurrent basada en l'arquitectura LSTM (Long Short Term Memory). La CNN va ser l'encarregada d'extreure les dades espacials de cada fotograma, i la xarxa LSTM va utilitzar aquestes dades per extreure els patrons que variaven en el temps. El model es va formar amb vídeos de 58 persones diferents que introduïen un codi PIN mitjançant mètodes de coberta d'entrada escollits pels participants (cada participant va introduir 100 codis diferents, és a dir, es van utilitzar 5800 exemples d'entrada per a la formació). Durant la formació, es va trobar que la majoria dels usuaris utilitzen un dels tres mètodes principals per cobrir l'entrada.
Per entrenar el model d'aprenentatge automàtic, es va utilitzar un servidor basat en un processador Xeon E5-2670 amb 128 GB de RAM i tres targetes Tesla K20m amb 5 GB de memòria cadascuna. La part del programari està escrita en Python mitjançant la biblioteca Keras i la plataforma Tensorflow. Com que els panells d'entrada de caixers automàtics són diferents i el resultat de la predicció depèn de característiques com ara la mida i la disposició de les tecles, es requereix una formació independent per a cada tipus de panell.
Com a mesures de protecció contra el mètode d'atac proposat, es recomana, si és possible, utilitzar codis PIN de 5 dígits en lloc de 4, i també intentar cobrir el màxim d'espai d'entrada possible amb la mà (el mètode continua sent efectiu si aproximadament 75 dígits). % de l'àrea d'entrada està coberta amb la mà). Es recomana als fabricants de caixers automàtics que utilitzin pantalles de protecció especials que ocultin l'entrada, així com panells d'entrada no mecànics, sinó tàctils, la posició dels números en què canvia aleatòriament.
Font: opennet.ru