πριν ΛΙΓΕΣ μερες μια ομάδα ερευνητών από τα πανεπιστήμια της Πάντοβα (Ιταλία) και του Ντελφτ (Ολλανδία) το έκανε γνωστό δημοσιεύοντας πληροφορίες για μια μέθοδος χρήσης μηχανικής εκμάθησης για την αναδημιουργία ενός κωδικού PIN εισήχθη από βιντεοσκόπηση ενός χώρου εισόδου σε ΑΤΜ καλυμμένο με ένα χέρι.
Κατά την εισαγωγή ενός 4ψήφιου PIN, η πιθανότητα πρόβλεψης του σωστού κωδικού υπολογίζεται στο 41%, δεδομένης της πιθανότητας να γίνουν τρεις προσπάθειες πριν το μπλοκάρισμα. Για 5ψήφιους κωδικούς PIN, η πιθανότητα πρόβλεψης ήταν 30%.
Επιπλέον, διεξήχθη ένα άλλο πείραμα στο οποίο 78 εθελοντές προσπάθησαν να προβλέψουν τον κωδικό PIN από παρόμοια ηχογραφημένα βίντεο. Σε αυτή την περίπτωση, η πιθανότητα επιτυχούς πρόβλεψης ήταν 7,92% με τρεις προσπάθειες.
Στην περιγραφή της μεθόδου που χρησιμοποιήθηκε, αναφέρεται ότι Όταν ο ψηφιακός πίνακας του ΑΤΜ καλύπτεται με την παλάμη του χεριού, το μέρος του χεριού που εισάγεται παραμένει ακάλυπτο, ως είναι αρκετό για την πρόβλεψη των κλικ αλλαγή της θέσης του χεριού και η μετατόπιση των δακτύλων που δεν καλύπτονται πλήρως.
Τα ΑΤΜ αντιπροσωπεύουν τα πιο χρησιμοποιούμενα στο σύστημα ανάληψης μετρητών. Η Ευρωπαϊκή Κεντρική Τράπεζα ανέφερε περισσότερες από 11 δισεκατομμύρια αναλήψεις μετρητών και συναλλαγές μεταφόρτωσης / λήψης σε ευρωπαϊκά ΑΤΜ το 2019.
Αν και τα ΑΤΜ έχουν υποστεί διάφορες τεχνολογικές εξελίξεις, οι προσωπικοί αριθμοί αναγνώρισης (PIN) εξακολουθούν να είναι οι πιο συνηθισμένες μέθοδοι ελέγχου ταυτότητας για αυτές τις συσκευές.Δυστυχώς, ο μηχανισμός PIN είναι ευάλωτος σε επιθέσεις που γίνονται μέσω κρυφών καμερών που είναι εγκατεστημένες κοντά στο ATM για να παγιδεύουν το πληκτρολόγιο.
Κατά την ανάλυση της εισαγωγής κάθε ψηφίου, το σύστημα εξαιρεί πλήκτρα που δεν μπορούν να πατηθούν, λαμβάνοντας υπόψη τη θέση του χεριού που καλύπτει, και υπολογίζει επίσης τις πιο πιθανές παραλλαγές πίεσης με βάση τη θέση του χεριού που πιέζει, σε σχέση με τη θέση των πλήκτρων. Για να αυξηθεί η πιθανότητα ανίχνευσης μιας εισόδου, μπορεί επίσης να εγγραφεί ένας ήχος κλικ, ο οποίος είναι ελαφρώς διαφορετικός για κάθε πλήκτρο.
Το πείραμα χρησιμοποίησε ένα σύστημα μηχανικής μάθησης βασισμένο στην εφαρμογή ενός συνελικτικού νευρωνικού δικτύου (CNN) και ενός επαναλαμβανόμενου νευρωνικού δικτύου βασισμένου στην αρχιτεκτονική LSTM (Μακροπρόθεσμη Μνήμη). Το CNN ήταν υπεύθυνο για την εξαγωγή χωρικών δεδομένων για κάθε πλαίσιο και το LSTM χρησιμοποίησε αυτά τα δεδομένα για να εξάγει μοτίβα που ποικίλλουν με την πάροδο του χρόνου. Το μοντέλο εκπαιδεύτηκε σε εγγραφές βίντεο εισαγωγής κωδικού PIN από 58 διαφορετικά άτομα χρησιμοποιώντας τις μεθόδους κάλυψης εισόδου που επέλεξαν οι συμμετέχοντες (κάθε συμμετέχων εισήγαγε 100 διαφορετικούς κωδικούς, δηλαδή χρησιμοποιήθηκαν 5800 παραδείγματα εισόδου για την εκπαίδευση). Κατά τη διάρκεια της εκπαίδευσης, αποκαλύφθηκε ότι οι περισσότεροι χρήστες χρησιμοποιούν έναν από τους τρεις κύριους τρόπους για να κρύψουν την καταχώρηση.
Για την εκπαίδευση του μοντέλου μηχανικής εκμάθησης, χρησιμοποιήθηκε ένας διακομιστής βασισμένος σε επεξεργαστή Xeon E5-2670 με 128 GB μνήμης RAM και τρεις κάρτες Tesla K20m με 5 GB μνήμη η καθεμία. Το τμήμα λογισμικού είναι γραμμένο σε Python χρησιμοποιώντας τη βιβλιοθήκη Keras και την πλατφόρμα Tensorflow. Δεδομένου ότι οι πίνακες εισόδου ATM είναι διαφορετικοί και το αποτέλεσμα πρόβλεψης εξαρτάται από χαρακτηριστικά όπως το μέγεθος του κλειδιού και η τοπολογία, απαιτείται ξεχωριστή εκπαίδευση για κάθε τύπο πίνακα.
Ως μέτρο προστασίας ενάντια στην προτεινόμενη μέθοδο επίθεσης, Συνιστάται η χρήση 5ψήφιων κωδικών PIN αντί για 4 αν είναι δυνατόν, και επίσης προσπαθήστε να καλύψετε το μεγαλύτερο μέρος του χώρου εισόδου με το χέρι σας (Η μέθοδος εξακολουθεί να είναι αποτελεσματική εάν περίπου το 75% της περιοχής εισόδου καλύπτεται με το χέρι). Συνιστάται στους κατασκευαστές ΑΤΜ να χρησιμοποιούν ειδικές προστατευτικές οθόνες που κρύβουν την είσοδο, καθώς και μη μηχανικά, αλλά απτικά πάνελ εισόδου, τη θέση των αριθμών στους οποίους αλλάζει τυχαία.
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα σχετικά, μπορείτε να συμβουλευτείτε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.