Prikaži glavni meni

PIN kartice može se pogoditi čak i ako rukom krijete tastaturu bankomata

Vesti, 19.10.2021, 11:00 AM

Kada podižete ili uplaćujete novac na bankomatu, ili samo proveravate stanje na računu, trebalo bi da se pobrinete da niko ne gleda kada kucate PIN kartice. Ali izgleda da to nije dovoljno.

Istraživači sa Univerziteta u Padovi, u Italiji, pokazali su da je moguće obučiti algoritam dubokog učenja za posebne namene, tako da može da pogodi PIN kodove kartica sa video snimaka ljudi koji su koristili bankomat. Na taj način istraživačima je uspelo da u 41% slučajeva pogode PIN, čak i onda kada je na snimku tastatura bila pokrivena rukom.

Duboko učenje (deep learning) je funkcija veštačke inteligencije (AI) koja oponaša funkcionisanje ljudskog mozga u obradi podataka i kreiranju obrazaca u donošenju odluka, što je idealna tehnologija za algoritam koji treba da pogodi lozinke.

Eksperiment je izveden na računaru sa Xeon E5-2670 procesorom sa 128 GB RAM-a i tri Tesla K20m sa po 5 GB RAM-a, skupim komponentama koje se obično koriste u centrima podataka.

Prva faza studije bila je izrada replike ciljanog bankomata koja je korišćena u laboratoriji, budući da su specifične dimenzije i razmak između tastera različitih bankomata od presudne važnosti u obuci algoritma. Model dubokog učenja obučen je sa 5800 video snimaka 58 različitih ljudi koji su unosili svoje četvorocifrene i petocifrene PIN-ove za kartice. Algoritam je pokazivao niz kombinacija i verovatnoću tačnosti.

Istraživači su analizirali tri pokušaja pogađanja algoritma po testu, što je uobičajeni broj grešaka koje bi ljudi mogli da naprave pre blokiranja kartice. Tokom ovih pokušaja, algoritam je u 30% slučajeva uspeo da rekonstruiše ispravan niz za petocifrene PIN-ove i 41% za četvorocifrene PIN-ove.

Obuka za algoritam, osim što je na osnovu pokreta subjekata mogla da predvidi koji su tasteri pritisnuti, takođe je naučila model dubokog učenja da izuzme tastere na osnovu položaja ruke snimljene osobe.

Položaj kamere se takođe pokazao važnim u studiji - postavljanje uređaja za snimanje u malu rupu na vrhu bankomata bila je idealna pozicija za ovu metodu. Ako uređaj za snimanje može da snimi zvuk, algoritam se može obučiti da identifikuje taster i prema zvuku, koji se neznatno razlikuje za svaki taster, pa su predviđanja mnogo preciznija.

Studija je pokazala da samo pokrivanje tastatura na bankomatima nije dovoljno efikasna zaštita, s obzirom na budućnost u kojoj bi kriminalci mogli koristiti ove algoritme za krađu podataka, ali može pomoći u smanjenju rizika. Procenat pokrivenosti značajno smanjuje tačnost predviđanja - procenat pokrivenosti od 75% daje tačnost od 0,55 od maksimalnih 1 za svaki pokušaj, dok potpuna pokrivenost (100%) smanjuje tačnost na 0,33.

Istraživači kažu da ako banka nudi mogućnost izbora petocifrenog PIN-a umesto četvorocifrenog, treba izabrati duži. Možda je teže zapamtiti, ali je mnogo sigurnije.

Predlog istraživača za smanjenje rizika je upotreba virtuelnih i nasumičnih tastatura na bankomatima umesto standardne mehaničke. Iako je ovo rešenje logistička noćna mora za banke, uz troškove koje podrazumeva promena, to je najbolji način da se izbegne da u budućnosti ovakvi algoritmi postanu velika opasnost.

Zanimljivo je da su istraživači sproveli istu studiju sa 78 ljudi kako bi utvrdili da li ljudi mogu pogoditi sakriveni PIN. U proseku, učesnici studije odgovorili su sa tačnošću od samo 7,92%, što je nedovoljno za izvođenje napada ove vrste.