I ricercatori hanno dimostrato che è possibile addestrare uno speciale algoritmo di deep learning in grado di indovinare i PIN delle carte a 4 cifre il 41% delle volte, anche se la vittima sta coprendo il pad con le mani.
L’attacco richiede la creazione di una replica dell’ATM target perché l’addestramento dell’algoritmo per le dimensioni specifiche e la spaziatura dei tasti dei diversi PIN pad è di fondamentale importanza.
Successivamente, il modello di apprendimento automatico viene addestrato a riconoscere le pressioni dei pad e assegnare probabilità specifiche su una serie di ipotesi, utilizzando il video di persone che digitano i PIN sul pad dell’ATM.
Per l’esperimento, i ricercatori hanno raccolto 5.800 video di 58 persone diverse di diverse fasce demografiche, inserendo PIN a 4 e 5 cifre.
La macchina che ha eseguito il modello di previsione era una Xeon E5-2670 con 128 GB di RAM e tre Tesla K20m con 5 GB di RAM ciascuna. Certamente non il tuo sistema medio, ma ben all’interno di uno spettro economico pratico.
Utilizzando tre tentativi, che in genere è il numero massimo consentito di tentativi prima che la carta venga trattenuta, i ricercatori hanno ricostruito la sequenza corretta per i PIN a 5 cifre il 30% delle volte e hanno raggiunto il 41% per i PIN a 4 cifre.
Il modello può escludere i tasti in base alla copertura della mano non digitante e deduce le cifre premute dai movimenti dell’altra mano valutando la distanza topologica tra due tasti.
Il posizionamento della telecamera che cattura i tentativi gioca un ruolo chiave, soprattutto se si registrano individui mancini o destrimani. Nascondere una telecamera stenopeica nella parte superiore del bancomat è stato determinato per essere l’approccio migliore per l’attaccante.
Se la fotocamera è in grado di catturare anche l’audio, il modello potrebbe anche utilizzare il feedback del suono della pressione che è leggermente diverso per ogni cifra, rendendo così le previsioni molto più accurate.
Contromisure
Questo esperimento dimostra che coprire il PIN pad con l’altra mano non è sufficiente per difendersi dagli attacchi basati sul deep learning, ma per fortuna ci sono alcune contromisure che puoi implementare.
- Innanzitutto, se la tua banca ti dà la possibilità di scegliere un PIN a 5 cifre anziché a 4 cifre, scegli quello più lungo. Potrebbe essere più difficile da ricordare, ma è molto più sicuro contro attacchi di questo tipo.
- In secondo luogo, la percentuale di copertura della mano riduce significativamente l’accuratezza della previsione. Una percentuale di copertura del 75% fornisce una precisione di 0,55 per ogni tentativo, mentre una copertura totale (100%) riduce la precisione a 0,33.
- Una terza contromisura sarebbe quella di fornire agli utenti una tastiera virtuale e randomizzata invece di quella meccanica standardizzata. Questo comporta inevitabilmente degli svantaggi di usabilità, ma è un’eccellente misura di sicurezza.
È interessante notare che i ricercatori hanno utilizzato i videoclip dell’esperimento in un sondaggio con 78 partecipanti per determinare se anche gli umani potevano indovinare i PIN nascosti e fino a che punto.
In media, i partecipanti al sondaggio hanno risposto con una precisione del solo 7,92%, che è inefficiente per eseguire attacchi di questo tipo.