Sebuah tim peneliti dari Universitas Padua (Italia) dan Universitas Delft (Belanda) telah menerbitkan metode penggunaan pembelajaran mesin untuk merekonstruksi kode PIN yang dimasukkan dari rekaman video area input ATM yang ditutupi tangan . Saat memasukkan kode PIN 4 digit, kemungkinan memprediksi kode yang benar diperkirakan 41%, dengan mempertimbangkan kemungkinan melakukan tiga upaya sebelum pemblokiran. Untuk kode PIN 5 digit, kemungkinan prediksinya adalah 30%. Eksperimen terpisah dilakukan di mana 78 relawan mencoba memprediksi kode PIN dari rekaman video serupa. Dalam hal ini, kemungkinan keberhasilan prediksi adalah 7.92% setelah tiga kali percobaan.
Saat menutupi panel digital ATM dengan telapak tangan, bagian tangan yang melakukan input tetap terbuka, yang cukup untuk memprediksi bunyi klik dengan mengubah posisi tangan dan menggeser jari yang tidak tertutup seluruhnya. Saat menganalisis input setiap digit, sistem menghilangkan tombol yang tidak dapat ditekan dengan mempertimbangkan posisi tangan yang menutupi, dan juga menghitung opsi penekanan yang paling mungkin berdasarkan posisi tangan yang menekan relatif terhadap lokasi tombol. . Untuk meningkatkan kemungkinan deteksi input, suara penekanan tombol juga dapat direkam, yang sedikit berbeda untuk setiap tombol.
Percobaan menggunakan sistem pembelajaran mesin berdasarkan penggunaan jaringan saraf konvolusional (CNN) dan jaringan saraf berulang berdasarkan arsitektur LSTM (Long Short Term Memory). Jaringan CNN bertanggung jawab untuk mengekstraksi data spasial untuk setiap frame, dan jaringan LSTM menggunakan data ini untuk mengekstraksi pola yang bervariasi terhadap waktu. Model ini dilatih pada video 58 orang berbeda yang memasukkan kode PIN menggunakan metode sampul masukan yang dipilih peserta (setiap peserta memasukkan 100 kode berbeda, yaitu 5800 contoh masukan digunakan untuk pelatihan). Selama pelatihan, terungkap bahwa sebagian besar pengguna menggunakan salah satu dari tiga metode utama untuk menutupi masukan.
Untuk melatih model pembelajaran mesin, digunakan server berbasis prosesor Xeon E5-2670 dengan RAM 128 GB dan tiga kartu Tesla K20m dengan memori masing-masing 5 GB. Bagian perangkat lunak ditulis dengan Python menggunakan perpustakaan Keras dan platform Tensorflow. Karena panel masukan ATM berbeda dan hasil prediksi bergantung pada karakteristik seperti ukuran kunci dan topologi, pelatihan terpisah diperlukan untuk setiap jenis panel.
Sebagai tindakan untuk melindungi terhadap metode serangan yang diusulkan, disarankan, jika memungkinkan, untuk menggunakan kode PIN yang terdiri dari 5 digit, bukan 4, dan juga mencoba untuk menutupi sebanyak mungkin ruang input dengan tangan Anda (metode ini tetap efektif jika sekitar 75% area masukan ditutupi oleh tangan Anda). Produsen ATM merekomendasikan penggunaan layar pelindung khusus yang menyembunyikan input, serta panel input sentuh bukan mekanis, yang posisi nomornya berubah secara acak.
Sumber: opennet.ru