לפני כמה ימים קבוצת חוקרים מאוניברסיטאות פדובה (איטליה) ודלפט (הולנד) הודיע על כך על ידי פרסום מידע על שיטה לשימוש בלמידת מכונה כדי ליצור מחדש קוד PIN נכנס מתוך הקלטת וידאו של אזור כניסה בכספומט מכוסה ביד.
בעת הזנת PIN בן 4 ספרות, ההסתברות לחזות את הקוד הנכון מוערכת ב-41%, בהינתן האפשרות לבצע שלושה ניסיונות לפני החסימה. עבור קודי PIN בני 5 ספרות, הסתברות החיזוי הייתה 30%.
בנוסף, נערך ניסוי נוסף בו ניסו 78 מתנדבים לחזות את קוד ה-PIN מסרטונים מוקלטים דומים. במקרה זה, ההסתברות לתחזית מוצלחת הייתה 7,92% עם שלושה ניסיונות.
בתיאור השיטה בה נעשה שימוש מוזכר כי כאשר הפאנל הדיגיטלי של הכספומט מכוסה בכף היד, החלק של היד הנכנס נשאר חשוף, כמו מספיק כדי לחזות קליקים שינוי מיקום היד ותזוזה של האצבעות לא מכוסות לחלוטין.
כספומטים מייצגים את המשמשים ביותר במערכת משיכת מזומנים. הבנק המרכזי האירופי דיווח על יותר מ-11 מיליארד משיכות מזומנים ועסקאות העלאה/הורדה בכספומטים באירופה ב-2019.
למרות שכספומטים עברו אבולוציות טכנולוגיות שונות, מספרי זיהוי אישיים (PIN) הם עדיין שיטות האימות הנפוצות ביותר עבור מכשירים אלו.לרוע המזל, מנגנון ה-PIN פגיע להתקפות שנעשות באמצעות מצלמות נסתרות המותקנות ליד הכספומט כדי ללכוד את לוח המקשים.
בעת ניתוח הקלט של כל ספרה, המערכת לא כוללת מקשים שלא ניתן ללחוץ עליהם, תוך התחשבות במיקום היד המכסה, והוא גם מחשב את גרסאות הלחץ הסבירות ביותר בהתבסס על מיקום היד הלוחצת, ביחס למיקום המקשים. כדי להגדיל את ההסתברות לזיהוי קלט, ניתן להקליט גם צליל לחיצה, שהוא מעט שונה עבור כל מקש.
הניסוי השתמש במערכת למידת מכונה מבוסס על יישום של רשת עצבית קונבולוציונית (CNN) ורשת עצבית חוזרת המבוססת על ארכיטקטורת LSTM (Long Short Term Memory). CNN הייתה אחראית לחילוץ נתונים מרחביים עבור כל פריים, ו-LSTM השתמש בנתונים אלה כדי לחלץ דפוסים המשתנים לאורך זמן. המודל הוכשר על הקלטות וידאו של הזנת קוד PIN על ידי 58 אנשים שונים תוך שימוש בשיטות כיסוי הכניסה שנבחרו על ידי המשתתפים (כל משתתף הזין 100 קודים שונים, כלומר, 5800 דוגמאות כניסה שימשו להדרכה). במהלך ההדרכה, התברר כי רוב המשתמשים משתמשים באחת משלוש הדרכים העיקריות להסתרת הערך.
כדי להכשיר את מודל למידת המכונה, נעשה שימוש בשרת המבוסס על מעבד Xeon E5-2670 עם זיכרון RAM של 128 ג'יגה-בייט ושלושה כרטיסי Tesla K20m עם זיכרון של 5 ג'יגה-בייט כל אחד. חלק התוכנה נכתב ב-Python באמצעות ספריית Keras ופלטפורמת Tensorflow. מאחר ולוחות כניסת כספומט שונים ותוצאת החיזוי תלויה במאפיינים כגון גודל מפתח וטופולוגיה, נדרשת הכשרה נפרדת לכל סוג של פאנל.
כאמצעי להגן על עצמך נגד שיטת התקיפה המוצעת, מומלץ להשתמש בקודי PIN בני 5 ספרות במקום 4 אם אפשר, וגם לנסות לכסות את רוב חלל הכניסה עם היד (השיטה עדיין יעילה אם כ-75% משטח הכניסה מכוסה ביד). מומלץ ליצרני כספומטים להשתמש במסכי הגנה מיוחדים המסתירים את הכניסה, כמו גם לוחות כניסה לא מכניים אך מישוש, מיקום המספרים בהם הוא משתנה באופן אקראי.
לבסוף, אם אתה מעוניין לדעת יותר על כך, תוכל להתייעץ עם הפרטים בקישור הבא.