Fa pocs dies un grup d'investigadors de les universitats de Pàdua (Itàlia) i Delft (Països Baixos) va donar a conèixer mitjançant una publicació informació sobre un mètode per utilitzar l'aprenentatge automàtic per recrear un codi PIN ingressat a partir d'un enregistrament de vídeo d'una àrea d'entrada a un caixer automàtic cobert per una mà.
Quan introduïu un PIN de 4 dígits, la probabilitat de predir el codi correcte s'estima en un 41%, atesa la possibilitat de realitzar tres intents abans del bloqueig. Pels codis PIN de 5 dígits, la probabilitat de predicció va ser del 30%.
A més, es va realitzar un altre experiment en què 78 voluntaris van intentar predir el codi PIN a partir de vídeos gravats similars. En aquest cas, la probabilitat d‟una predicció reeixida va ser del 7,92% amb tres intents.
A la descripció del mètode emprat, s'esmenta que quan es cobreix el panell digital del caixer automàtic amb el palmell de la mà, la part de la mà que s'està ingressant roman descoberta, el que és suficient per predir els clics canviant la posició de la mà i el desplaçament dels dits no completament coberts.
Els ATM representen els més utilitzats al sistema de jubilació d'efectiu. El Banc Central Europeu va reportar més d'11 mil milions de retirs d'efectiu i transaccions de càrrega/descàrrega als caixers automàtics europeus el 2019.
Tot i que els caixers automàtics han experimentat diverses evolucions tecnològiques, els números d'identificació personal (PIN) continuen sent els mètodes d'autenticació més comú per a aquests dispositius.Desafortunadament, el mecanisme del PIN és vulnerable a atacs realitzats a través de càmeres ocultes instal·lades a prop del caixer automàtic per atrapar el teclat.
En analitzar l'entrada de cada dígit, el sistema exclou les tecles que no es poden pressionar, tenint en compte la posició de la mà que cobreix, i també calcula les variants de pressió més probables en funció de la posició de la mà que pressiona, en relació amb la ubicació de les claus. Per augmentar la probabilitat de detectar una entrada, també es pot gravar un so de clic, que és lleugerament diferent per a cada tecla.
L'experiment va fer servir un sistema d'aprenentatge automàtic basat en l‟aplicació d‟una xarxa neuronal convolucional (CNN) i una xarxa neuronal recurrent basada en l‟arquitectura LSTM (Long Short Term Memory). CNN va ser responsable d'extreure dades espacials per a cada fotograma, i LSTM va utilitzar aquestes dades per extreure patrons que varien en el temps. El model va ser capacitat en enregistraments de vídeo d'entrada de codi PIN per 58 persones diferents utilitzant els mètodes de cobertura d'entrada elegits pels participants (cada participant va ingressar 100 codis diferents, és a dir, es van fer servir 5800 exemples d'entrada per a la capacitació). En el transcurs de la capacitació, es va revelar que la majoria dels usuaris utilitzen una de les tres formes principals damagar lentrada.
Per entrenar el model daprenentatge automàtic es va utilitzar un servidor basat en un processador Xeon E5-2670 amb 128 GB de RAM i tres targetes Tesla K20m amb 5 GB de memòria cadascuna. La part del programari està escrita a Python usant la biblioteca Keras i la plataforma Tensorflow. Atès que els panells d'entrada d'ATM són diferents i el resultat de la predicció depèn de característiques com la mida de la clau i la topologia, cal una capacitació separada per a cada tipus de panell.
Com a mesura per protegir-se contra el mètode d'atac proposat, es recomana utilitzar codis PIN de 5 dígits en lloc de 4 si és possible, i també tractar de cobrir la major part de lespai dentrada amb la mà (el mètode continua sent eficaç si aproximadament el 75% de l'àrea d'entrada es cobreix amb la mà). Es recomana que els fabricants de caixers automàtics facin servir pantalles protectores especials que ocultin l'entrada, així com panells d'entrada no mecànics, sinó tàctils, la posició dels números en què canvia aleatòriament.
Finalment si estàs interessat en poder conèixer més a l'respecte, pots consultar els detalls en el següent enllaç.