تیمی از محققان دانشگاه پادوآ (ایتالیا) و دانشگاه دلفت (هلند) روشی را برای استفاده از یادگیری ماشینی برای بازسازی یک کد پین وارد شده از ضبط ویدئویی ناحیه ورودی دستی یک دستگاه خودپرداز منتشر کردهاند. . هنگام وارد کردن یک کد پین 4 رقمی، با در نظر گرفتن امکان سه بار تلاش قبل از مسدود کردن، احتمال پیشبینی کد صحیح 41 درصد برآورد میشود. برای کدهای پین 5 رقمی، احتمال پیشبینی 30 درصد بود. آزمایش جداگانه ای انجام شد که در آن 78 داوطلب سعی کردند کد پین را از ویدیوهای ضبط شده مشابه پیش بینی کنند. در این مورد، احتمال پیشبینی موفقیتآمیز پس از سه بار تلاش 7.92/XNUMX درصد بود.
هنگام پوشاندن پنل دیجیتال یک دستگاه خودپرداز با کف دست، قسمتی از دست که با آن ورودی انجام می شود، بدون پوشش باقی می ماند که با تغییر موقعیت دست و جابجایی انگشتان کاملاً پوشیده نشده، برای پیش بینی کلیک ها کافی است. هنگام تجزیه و تحلیل ورودی هر رقم، سیستم کلیدهایی را که نمی توان آنها را فشار داد با در نظر گرفتن موقعیت دست پوشاننده حذف می کند و همچنین محتمل ترین گزینه ها را برای فشار دادن بر اساس موقعیت عقربه فشار دهنده نسبت به محل کلیدها محاسبه می کند. . برای افزایش احتمال تشخیص ورودی، میتوان صدای ضربههای کلید را نیز ضبط کرد که برای هر کلید کمی متفاوت است.
این آزمایش از یک سیستم یادگیری ماشین مبتنی بر استفاده از یک شبکه عصبی کانولوشن (CNN) و یک شبکه عصبی تکراری بر اساس معماری LSTM (حافظه کوتاه مدت بلندمدت) استفاده کرد. شبکه CNN مسئول استخراج داده های مکانی برای هر فریم بود و شبکه LSTM از این داده ها برای استخراج الگوهای متغیر با زمان استفاده کرد. این مدل بر روی ویدئوهای 58 نفر مختلف که کدهای پین را با استفاده از روشهای پوشش ورودی انتخاب شده توسط شرکتکنندگان وارد میکردند آموزش داده شد (هر شرکتکننده 100 کد مختلف را وارد کرد، یعنی 5800 نمونه ورودی برای آموزش استفاده شد). در طول آموزش، مشخص شد که اکثر کاربران از یکی از سه روش اصلی پوشش ورودی استفاده می کنند.
برای آموزش مدل یادگیری ماشینی، از یک سرور مبتنی بر پردازنده Xeon E5-2670 با 128 گیگابایت رم و سه کارت Tesla K20m با 5 گیگابایت حافظه استفاده شد. بخش نرم افزار با استفاده از کتابخانه Keras و پلتفرم Tensorflow به زبان پایتون نوشته شده است. از آنجایی که پانل های ورودی ATM متفاوت هستند و نتیجه پیش بینی به ویژگی هایی مانند اندازه کلید و توپولوژی بستگی دارد، برای هر نوع پانل آموزش جداگانه ای لازم است.
به عنوان اقداماتی برای محافظت در برابر روش حمله پیشنهادی، توصیه می شود در صورت امکان از کدهای پین 5 رقمی به جای 4 استفاده کنید و همچنین سعی کنید تا حد امکان فضای ورودی را با دست خود بپوشانید (اگر این روش موثر باقی بماند. حدود 75 درصد از ناحیه ورودی با دست شما پوشیده شده است). به تولید کنندگان دستگاه های خودپرداز توصیه می شود از صفحه های محافظ ویژه ای استفاده کنند که ورودی را پنهان می کند و همچنین پانل های ورودی مکانیکی را پنهان نمی کند، اما موقعیت اعداد را به طور تصادفی تغییر می دهد.
منبع: opennet.ru