PIN kartice može se pogoditi čak i ako rukom krijete tastaturu bankomata
Vesti, 19.10.2021, 11:00 AM
Kada podižete ili uplaćujete novac na bankomatu, ili samo proveravate stanje na računu, trebalo bi da se pobrinete da niko ne gleda kada kucate PIN kartice. Ali izgleda da to nije dovoljno.
Istraživači sa Univerziteta u Padovi, u Italiji, pokazali su da je moguće obučiti algoritam dubokog učenja za posebne namene, tako da može da pogodi PIN kodove kartica sa video snimaka ljudi koji su koristili bankomat. Na taj način istraživačima je uspelo da u 41% slučajeva pogode PIN, čak i onda kada je na snimku tastatura bila pokrivena rukom.
Duboko učenje (deep learning) je funkcija veštačke inteligencije (AI) koja oponaša funkcionisanje ljudskog mozga u obradi podataka i kreiranju obrazaca u donošenju odluka, što je idealna tehnologija za algoritam koji treba da pogodi lozinke.
Eksperiment je izveden na računaru sa Xeon E5-2670 procesorom sa 128 GB RAM-a i tri Tesla K20m sa po 5 GB RAM-a, skupim komponentama koje se obično koriste u centrima podataka.
Prva faza studije bila je izrada replike ciljanog bankomata koja je korišćena u laboratoriji, budući da su specifične dimenzije i razmak između tastera različitih bankomata od presudne važnosti u obuci algoritma. Model dubokog učenja obučen je sa 5800 video snimaka 58 različitih ljudi koji su unosili svoje četvorocifrene i petocifrene PIN-ove za kartice. Algoritam je pokazivao niz kombinacija i verovatnoću tačnosti.
Istraživači su analizirali tri pokušaja pogađanja algoritma po testu, što je uobičajeni broj grešaka koje bi ljudi mogli da naprave pre blokiranja kartice. Tokom ovih pokušaja, algoritam je u 30% slučajeva uspeo da rekonstruiše ispravan niz za petocifrene PIN-ove i 41% za četvorocifrene PIN-ove.
Obuka za algoritam, osim što je na osnovu pokreta subjekata mogla da predvidi koji su tasteri pritisnuti, takođe je naučila model dubokog učenja da izuzme tastere na osnovu položaja ruke snimljene osobe.
Položaj kamere se takođe pokazao važnim u studiji - postavljanje uređaja za snimanje u malu rupu na vrhu bankomata bila je idealna pozicija za ovu metodu. Ako uređaj za snimanje može da snimi zvuk, algoritam se može obučiti da identifikuje taster i prema zvuku, koji se neznatno razlikuje za svaki taster, pa su predviđanja mnogo preciznija.
Studija je pokazala da samo pokrivanje tastatura na bankomatima nije dovoljno efikasna zaštita, s obzirom na budućnost u kojoj bi kriminalci mogli koristiti ove algoritme za krađu podataka, ali može pomoći u smanjenju rizika. Procenat pokrivenosti značajno smanjuje tačnost predviđanja - procenat pokrivenosti od 75% daje tačnost od 0,55 od maksimalnih 1 za svaki pokušaj, dok potpuna pokrivenost (100%) smanjuje tačnost na 0,33.
Istraživači kažu da ako banka nudi mogućnost izbora petocifrenog PIN-a umesto četvorocifrenog, treba izabrati duži. Možda je teže zapamtiti, ali je mnogo sigurnije.
Predlog istraživača za smanjenje rizika je upotreba virtuelnih i nasumičnih tastatura na bankomatima umesto standardne mehaničke. Iako je ovo rešenje logistička noćna mora za banke, uz troškove koje podrazumeva promena, to je najbolji način da se izbegne da u budućnosti ovakvi algoritmi postanu velika opasnost.
Zanimljivo je da su istraživači sproveli istu studiju sa 78 ljudi kako bi utvrdili da li ljudi mogu pogoditi sakriveni PIN. U proseku, učesnici studije odgovorili su sa tačnošću od samo 7,92%, što je nedovoljno za izvođenje napada ove vrste.
Izdvojeno
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Piramidalna šema prevare na Telegramu
Istraživači kompanije Kasperski upozorili su na prevarante koji koriste sofisticiranu taktiku da ukradu Toncoine (TON) od korisnika Telegrama širom... Dalje
Od početka godine ransomware grupa Akira napala 250 organizacija od kojih je pokušala da naplati 42 miliona dolara
Da posao sa ransomwareom cveta pokazuju i podaci o ransomware grupi Akira koja je za manje od godinu dana rada iznudila milione od na stotine pogođen... Dalje
Microsoft je i dalje brend koji se najviše zloupotrebljava u phishing napadima
Prema podacima kompanije Check Point, Microsoft je brend koji se najviše zloupotrebljavao, u čak 38% svih phishing napada u prvom kvartalu 2024. Ovo... Dalje
Pratite nas
Nagrade