Padujos universiteto (Italija) ir Delfto universiteto (Nyderlandai) tyrėjų komanda paskelbė mašininio mokymosi metodą, leidžiantį atkurti įvestą PIN kodą iš vaizdo įrašo, kuriame užfiksuota ranka uždengta bankomato įvesties sritis. . Įvedant 4 skaitmenų PIN kodą, tikimybė nuspėti teisingą kodą yra įvertinta 41%, atsižvelgiant į galimybę prieš blokavimą atlikti tris bandymus. 5 skaitmenų PIN kodų numatymo tikimybė buvo 30%. Buvo atliktas atskiras eksperimentas, kurio metu 78 savanoriai bandė nuspėti PIN kodą iš panašių įrašytų vaizdo įrašų. Šiuo atveju sėkmingo prognozavimo tikimybė po trijų bandymų buvo 7.92%.
Delnu uždengus bankomato skaitmeninį skydelį, lieka neuždengta rankos dalis, kuria daroma įvestis, ko užtenka spragtelėjimams nuspėti keičiant rankos padėtį ir perstumiant ne iki galo uždengtus pirštus. Analizuodama kiekvieno skaitmens įvestį, sistema pašalina klavišus, kurių negalima paspausti, atsižvelgiant į dengiančios rankos padėtį, taip pat apskaičiuoja labiausiai tikėtinus paspaudimo variantus pagal spaudžiamos rankos padėtį klavišų padėties atžvilgiu. . Norint padidinti įvesties aptikimo tikimybę, galima papildomai įrašyti klavišų paspaudimų garsą, kuris kiekvienam klavišui šiek tiek skiriasi.
Eksperimente buvo naudojama mašininio mokymosi sistema, pagrįsta konvoliucinio neuroninio tinklo (CNN) ir pasikartojančio neuroninio tinklo, pagrįsto LSTM (Long Short Term Memory) architektūra, naudojimu. CNN tinklas buvo atsakingas už kiekvieno kadro erdvinių duomenų išgavimą, o LSTM tinklas naudojo šiuos duomenis, kad išgautų laikui bėgant besikeičiančius modelius. Modelis buvo apmokytas vaizdo įrašuose, kuriuose 58 skirtingi žmonės įveda PIN kodus, naudodami dalyvio pasirinktus įvesties dangtelio būdus (kiekvienas dalyvis įvedė 100 skirtingų kodų, t. y. mokymams buvo panaudota 5800 įvesties pavyzdžių). Mokymų metu paaiškėjo, kad dauguma vartotojų naudoja vieną iš trijų pagrindinių įvesties padengimo būdų.
Norint išmokyti mašininio mokymosi modelį, buvo naudojamas serveris, pagrįstas Xeon E5-2670 procesoriumi su 128 GB RAM ir trimis Tesla K20m kortelėmis su 5 GB atminties. Programinės įrangos dalis parašyta Python, naudojant Keras biblioteką ir Tensorflow platformą. Kadangi bankomatų įvesties skydeliai yra skirtingi, o numatymo rezultatas priklauso nuo tokių savybių kaip rakto dydis ir topologija, kiekvienam skydelio tipui reikalingas atskiras mokymas.
Kaip priemones apsisaugoti nuo siūlomo puolimo metodo, jei įmanoma, rekomenduojama naudoti 5 skaitmenų PIN kodus, o ne 4, taip pat stengtis ranka uždengti kuo daugiau įvesties vietos (metodas išlieka veiksmingas, jei apie 75% įvesties srities yra padengta ranka). Bankomatų gamintojams rekomenduojama naudoti specialius apsauginius ekranus, kurie paslepia įvestį, taip pat ne mechanines, o liečiamas įvesties plokštes, ant kurių skaičių padėtis keičiasi atsitiktinai.
Šaltinis: opennet.ru