giovedì, Novembre 14, 2024

I PIN della carta di credito a rischio anche coprendo la tastiera del bancomat

I ricercatori hanno dimostrato che è possibile addestrare uno speciale algoritmo di deep learning in grado di indovinare i PIN delle carte a 4 cifre il 41% delle volte, anche se la vittima sta coprendo il pad con le mani.

L’attacco richiede la creazione di una replica dell’ATM target perché l’addestramento dell’algoritmo per le dimensioni specifiche e la spaziatura dei tasti dei diversi PIN pad è di fondamentale importanza.

Successivamente, il modello di apprendimento automatico viene addestrato a riconoscere le pressioni dei pad e assegnare probabilità specifiche su una serie di ipotesi, utilizzando il video di persone che digitano i PIN sul pad dell’ATM.

L'intera catena dell'attacco
L’intera catena dell’attacco
Fonte: Arxiv.org

Per l’esperimento, i ricercatori hanno raccolto 5.800 video di 58 persone diverse di diverse fasce demografiche, inserendo PIN a 4 e 5 cifre.

La macchina che ha eseguito il modello di previsione era una Xeon E5-2670 con 128 GB di RAM e tre Tesla K20m con 5 GB di RAM ciascuna. Certamente non il tuo sistema medio, ma ben all’interno di uno spettro economico pratico.

Utilizzando tre tentativi, che in genere è il numero massimo consentito di tentativi prima che la carta venga trattenuta, i ricercatori hanno ricostruito la sequenza corretta per i PIN a 5 cifre il 30% delle volte e hanno raggiunto il 41% per i PIN a 4 cifre.

Il modello può escludere i tasti in base alla copertura della mano non digitante e deduce le cifre premute dai movimenti dell’altra mano valutando la distanza topologica tra due tasti.

Heatmap di previsione
Mappa termica predittiva per tre scenari di attacco
Fonte: Arxiv.org

Il posizionamento della telecamera che cattura i tentativi gioca un ruolo chiave, soprattutto se si registrano individui mancini o destrimani. Nascondere una telecamera stenopeica nella parte superiore del bancomat è stato determinato per essere l’approccio migliore per l’attaccante.

Se la fotocamera è in grado di catturare anche l’audio, il modello potrebbe anche utilizzare il feedback del suono della pressione che è leggermente diverso per ogni cifra, rendendo così le previsioni molto più accurate.

Indovinare il PIN e le probabilità per ogni cifra
Ipotesi PIN e probabilità per ogni cifra Fonte: Arxiv.org

Contromisure

Questo esperimento dimostra che coprire il PIN pad con l’altra mano non è sufficiente per difendersi dagli attacchi basati sul deep learning, ma per fortuna ci sono alcune contromisure che puoi implementare.

  • Innanzitutto, se la tua banca ti dà la possibilità di scegliere un PIN a 5 cifre anziché a 4 cifre, scegli quello più lungo. Potrebbe essere più difficile da ricordare, ma è molto più sicuro contro attacchi di questo tipo.
  • In secondo luogo, la percentuale di copertura della mano riduce significativamente l’accuratezza della previsione. Una percentuale di copertura del 75% fornisce una precisione di 0,55 per ogni tentativo, mentre una copertura totale (100%) riduce la precisione a 0,33.
  • Una terza contromisura sarebbe quella di fornire agli utenti una tastiera virtuale e randomizzata invece di quella meccanica standardizzata. Questo comporta inevitabilmente degli svantaggi di usabilità, ma è un’eccellente misura di sicurezza.

È interessante notare che i ricercatori hanno utilizzato i videoclip dell’esperimento in un sondaggio con 78 partecipanti per determinare se anche gli umani potevano indovinare i PIN nascosti e fino a che punto.

In media, i partecipanti al sondaggio hanno risposto con una precisione del solo 7,92%, che è inefficiente per eseguire attacchi di questo tipo.

ARTICOLI COLLEGATI:

ULTIMI ARTICOLI: