Преди няколко дни група изследователи от университетите в Падуа (Италия) и Делфт (Холандия) го направи известен чрез публикуване на информация за метод за използване на машинно обучение за пресъздаване на ПИН код влязъл от видеозапис на входна зона на банкомат, покрит с ръка.
Когато въвеждате 4-цифрен ПИН, вероятността за прогнозиране на правилния код се оценява на 41%, като се има предвид възможността за извършване на три опита преди блокиране. За 5-цифрени ПИН кодове вероятността за прогнозиране е 30%.
Освен това е проведен друг експеримент, в който 78 доброволци се опитват да предскажат ПИН кода от подобни записани видеоклипове. В този случай вероятността за успешна прогноза е 7,92% с три опита.
В описанието на използвания метод се споменава, че Когато цифровият панел на банкомата е покрит с дланта на ръката, частта от ръката, която се въвежда, остава непокрита, като е достатъчно за прогнозиране на кликвания промяна на позицията на ръката и изместване на пръстите, които не са напълно обхванати.
Банкоматите са най-използваните в системата за теглене на пари. Европейската централна банка отчете над 11 милиарда теглени в брой и транзакции за качване/изтегляне на европейски банкомати през 2019 г.
Въпреки че банкоматите са претърпели различни технологични промени, личните идентификационни номера (ПИН) все още са най-често срещаните методи за удостоверяване на тези устройства.За съжаление, ПИН механизмът е уязвим за атаки, направени чрез скрити камери, инсталирани в близост до банкомата, за да задържат клавиатурата.
Когато анализирате въвеждането на всяка цифра, системата изключва клавиши, които не могат да бъдат натиснати, като се вземе предвид позицията на покриващата ръка, и също така изчислява най-вероятните варианти на натиск въз основа на позицията на натискащата ръка спрямо местоположението на клавишите. За да се увеличи вероятността за откриване на вход, може да се запише и щракащ звук, който е малко по-различен за всеки клавиш.
Експериментът използва система за машинно обучение на базата на приложението на конволюционна невронна мрежа (CNN) и повтаряща се невронна мрежа, базирана на архитектурата LSTM (Long Short Term Memory). CNN беше отговорен за извличането на пространствени данни за всеки кадър, а LSTM използва тези данни за извличане на модели, които варират във времето. Моделът беше обучен на видеозаписи за въвеждане на ПИН код от 58 различни хора, използвайки избраните от участниците методи за покритие на влизане (всеки участник въведе 100 различни кода, тоест за обучението бяха използвани 5800 примера за въвеждане). В хода на обучението беше разкрито, че повечето потребители използват един от трите основни начина за скриване на записа.
За обучение на модела за машинно обучение бяха използвани сървър, базиран на процесор Xeon E5-2670 със 128 GB RAM и три карти Tesla K20m с по 5 GB памет всяка. Софтуерната част е написана на Python с помощта на библиотеката Keras и платформата Tensorflow. Тъй като панелите за вход на банкомати са различни и резултатът от прогнозирането зависи от характеристики като размер на ключа и топология, се изисква отделно обучение за всеки тип панел.
Като мярка за защита срещу предложения метод за атака, препоръчително е да използвате 5-цифрени ПИН кодове вместо 4 ако е възможно, и също така се опитайте да покриете по-голямата част от входното пространство с ръката си (Методът все още е ефективен, ако приблизително 75% от входната площ е покрита на ръка). Препоръчително е производителите на банкомати да използват специални защитни екрани, които скриват входа, както и немеханични, но тактилни входни панели, позицията на числата, в които се променя произволно.
И накрая, ако имате интерес да научите повече за него, можете да се консултирате с подробностите В следващия линк.