Un equipo de investigadores da Universidade de Padua (Italia) e da Universidade de Delft (Países Baixos) publicaron un método para utilizar a aprendizaxe automática para reconstruír un código PIN introducido a partir dunha gravación de vídeo da área de entrada cuberta a man dun caixeiro automático. . Ao introducir un código PIN de 4 díxitos, a probabilidade de predicir o código correcto estímase nun 41%, tendo en conta a posibilidade de realizar tres intentos antes do bloqueo. Para códigos PIN de 5 díxitos, a probabilidade de predición era do 30%. Realizouse un experimento separado no que 78 voluntarios intentaron predecir o código PIN a partir de vídeos gravados similares. Neste caso, a probabilidade de éxito da predición foi do 7.92% despois de tres intentos.
Ao cubrir o panel dixital dun caixeiro automático coa palma da man, a parte da man coa que se realiza a entrada permanece descuberta, o que abonda para prever os clics cambiando a posición da man e movendo os dedos non completamente cubertos. Ao analizar a entrada de cada díxito, o sistema elimina as teclas que non se poden presionar tendo en conta a posición da man de cobertura e tamén calcula as opcións máis probables para presionar en función da posición da man que preme en relación á localización das teclas. . Para aumentar a probabilidade de detección de entrada, pódese gravar adicionalmente o son das pulsacións de teclas, que é lixeiramente diferente para cada tecla.
O experimento utilizou un sistema de aprendizaxe automática baseado no uso dunha rede neuronal convolucional (CNN) e unha rede neuronal recorrente baseada na arquitectura LSTM (Long Short Term Memory). A rede CNN foi a encargada de extraer datos espaciais para cada fotograma, e a rede LSTM utilizou estes datos para extraer patróns variables no tempo. O modelo foi adestrado en vídeos de 58 persoas diferentes que introducían códigos PIN utilizando métodos de portada de entrada seleccionados polo participante (cada participante introduciu 100 códigos diferentes, é dicir, utilizáronse 5800 exemplos de entrada para a formación). Durante a formación, revelouse que a maioría dos usuarios usan un dos tres métodos principais para cubrir a entrada.
Para adestrar o modelo de aprendizaxe automática utilizouse un servidor baseado nun procesador Xeon E5-2670 con 128 GB de RAM e tres tarxetas Tesla K20m con 5 GB de memoria cada unha. A parte do software está escrita en Python usando a biblioteca Keras e a plataforma Tensorflow. Dado que os paneis de entrada de ATM son diferentes e o resultado da predición depende de características como o tamaño da clave e a topoloxía, é necesario un adestramento separado para cada tipo de panel.
Como medidas de protección contra o método de ataque proposto, recoméndase, se é posible, utilizar códigos PIN de 5 díxitos en lugar de 4, e tentar tamén cubrir coa man o máximo de espazo de entrada posible (o método segue sendo efectivo se preto do 75% da área de entrada está cuberta coa man). Recoméndase aos fabricantes de caixeiros automáticos usar pantallas protectoras especiais que ocultan a entrada, así como os paneis de entrada non mecánicos, senón táctiles, a posición dos números cambia aleatoriamente.
Fonte: opennet.ru