Использование тепловых сканеров для кражи ПИН-кодов

    На симпозиуме по безопасности USENIX исследователи Университета Калифорнии представили отчет по работе «Горячий момент: исследование эффективности атак с помощью термо-сканеров».

    Вдохновленные публикациями Майкла Залевски, они предположили, что преступникам будет намного проще заниматься кражей ПИН-кодов банковских карт, используя технологию теплого (инфракрасного) сканирования, нежели с помощью традиционных видеокамер.

    Данный способ имеет множество преимуществ. В отличие от использования обычных камер, система остается незамеченной, а возможность автоматизировать процесс с помощью программного обеспечения намного упрощает задачу.

    Исследователи с 21 добровольцами изучили качество считываемости тепловой картины при условиях: кнопки ПИН-пада выполнены из пластика и из полированного метала. Выяснилось, что атака почти невозможна в том случае, если кнопки ПИН-пада выполнены из металла, в случае, когда кнопки выполнены из пластика удавалось даже легко считывать последовательность ввода кода.
    С помощью специально разработанного программного обеспечения получилось достигнуть 80% успеха при сканировании теплового рисунка в течение первых десяти секунд. В том случае, если рисунок был сканирован в течение 45 секунд, успех распознавания ПИН-кода был все еще велик — 60%.

    В работе остаются нераскрытыми вопросы, каков успех распознавания в случае наличия повторяющихся цифр в последовательности; возможно ли распознавание кода, если пользователь вводит дополнительную информацию, такую как сумма трансакции, получатель и т.д.

    На сегодняшний день не имеется данных об атаках с использованием тепловых сканеров, но эксперты предполагают, что в будущем подобные схемы кражи ПИН-кодов возможны, несмотря на высокую стоимость оборудования.

    Текст отчета
    Банки.ру
    0,00
    Компания
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 91

      +6
      Отсюда мораль: пин-код надо вводить быстро.
      А лучше — в перчатках:)
        +6
        А еще лучше в конце подержать пальцы на левых цифрах
        • НЛО прилетело и опубликовало эту надпись здесь
            0
            Сумма обычно содержит только две различные цифры, причем одна из них — наверняка ноль. Лучше после завершения операции просто понажимать на все кнопки случайным образом.
            • НЛО прилетело и опубликовало эту надпись здесь
                +7
                Вам повезло с банком. Мне банкомат в таком случае говорит: «Не могу дать 327, иди лесом. И все.» С тем же успехом можно собачий вальс на клавиатуре сыграть :)
                • НЛО прилетело и опубликовало эту надпись здесь
                +8
                Моя сумма обычно содержит 3 различные цифры, так как я снимаю суммы типа 4900, чтобы получить мелкие купюры :)
                  +5
                  Чего уж мелочиться — лучше сразу обливать банкомат бензином после использования и хорошенько прогревать ;)
                0
                Или подышать на них :)
                  +1
                  а я вначале держу пальцы на левых цифрах, пока банкомат карту считывает. Привычка практически.
                    0
                    А еще по левым цифрам просто провести пальцами, чтобы по отпечаткам пальцев ПИН не определить было.
                  0
                  А еще лучше — сосиски
                    +1
                    Собака, специально натасканная на сосисочный запах, не оставит вам шансов :)
                      +5
                      И вылижет всю клавиатуру…
                  +5
                  У меня в подъезде, кнопки на домофоне протёрты.
                    +2
                    на месте кода.
                    • НЛО прилетело и опубликовало эту надпись здесь
                        +14
                        И добрая половина жильцов, забыв код, останется ночевать на газоне во дворе. А на следующий день код напишут прямо на двери маркером.
                          –1
                          Маркером пишут жители первого этажа, к которым начинают посреди ночи стучаться с просьбами открыть дверь и подсказать код.
                            –1
                            Забавно, у нас в доме первый этаж не жилой, а код все равно написан. Кто-то, видимо, допрыгивает и стучится в окна второго :)
                              –1
                              Ну, ситуации разные бывают =) Может кто-то начал под окнами орать типа «Лююююдииии, подскажите код, домой попасть не могу». И так каждый вечер в течении месяца пока все жильцы (включая пожилых) не запомнят код.
                          +3
                          Пенсионеры будут в восторге!
                        +1
                        Кнопки из стойких к окислению и загрязнению сплавов спасут человечество. На некоторые механические кодовые замки ставят. Правда остаётся проблема в дефолтном коде «38», который стоит чуть ли не на половине таких замков.
                        А вообще, авторизация на домофоне по паролю — это недокументированная фича, так что сами виноваты :)
                        +1
                        т.е. надо после ввода пин-кода продолжать прикрывать рукой кнопки. А по окончании операции с банкоматом потыкать дополнительно в кнопки случайным образом.
                          +2
                          Или нажимать их палочкой.
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • НЛО прилетело и опубликовало эту надпись здесь
                                +12
                                Если уж взяли утюг, подойдите к процессу креативно. Можно греть клавиатуру через трафарет, на котором вырезано ваше послание кардерам-неудачникам.
                                  0
                                  Если вы настолько круты, то можете идти сразу к ним и рассказывать какие они неудачники )
                            +4
                            Ждем ответа производителей банкоматов в виде клавиатур с подогревом.
                              +1
                              В банкоматах как раз все более-менее безопасно — получение денег занимает больше минуты, после ввода кода.
                              А вот при оплате в торговых точках и кнопки пластиковые и снять можно быстро.
                                0
                                на уличных банкоматах уже давно клавиатуры с подогревом, только он включается в мороз, чтоб клавиатура не леденела
                                  +2
                                  А еще и капчу можно добавить: «введите число одна тысяча двести тридцать четыре»
                                  :-)
                                  –4
                                  Можно предположить, что нагрев также идет за счет замыкания/размыкания контакта внутри самих кнопок.
                                    +1
                                    Вряд ли. Там же не десятки ампер коммутируются.
                                      +3
                                      вы еще скажите что из-за трения
                                      +3
                                      Есть гораздо более простая технология кражи кода:
                                      Мажем кнопки краской, которая светится под ультрафиолетом (а в видимом свете, естественно, незаметна), каждую кнопку своим цветом. Ждем жертву. После ее ухода смотрим, на каких кнопках краска смазана, а по смешиванию цветов можно определить последовательность цифр. И не нужно дорогущего тепловизора, только УФ лампочка за корок сопеек.
                                        0
                                        Я лично ввожу код разными пальцами, хотя можно обойтись одним. Идея, предложенная вами, действительно простая и дешевая в реализации, но не представляю, как ее можно поставить на поток — подходит, наверное, для случая кражи пароля от сейфа.
                                          0
                                          Краска же явно ощущается, разве нет? Кто-нибудь аккуратный протрет клавиатуру, а кто-нибудь бдительный сообщит в саппорт.
                                            +1
                                            Это один из тех составов, которыми метят деньги при задержании взяточников, например. Он не липнет, не скользит, и вообще никак не ощущается пальцами. И потом, там же не литр этой краски, достаточно следовых количеств.
                                              0
                                              Так взяточник же один, а банкоматом сотни людей пользуются. После 2-3го уже не различишь, что там набирали.
                                                0
                                                Естественно, этот способ позволяет узнать один пин за раз. В тепловизор на клавиатуру смотреть тоже нужно после каждого «клиента».
                                                  0
                                                  Да, вы ниже тоже пишете про тепловизор
                                                  habrahabr.ru/company/banki/blog/126541/?reply_to=4171662#comment_4171063
                                                  говоря, видимо, об очень непопулярных банкоматах.
                                                    0
                                                    Естественно, когда у банкомата толпа, все обсуждаемые методы ничего не дадут. Да и зачем злоумышленникам лишний раз попадаться кому-то на глаза? А вот если к банкомату подходит пара человек за час, можно спокойно и тепловизор достать из широких штанин, и с краской пошаманить, и клавиатуру фальшивую прилепить… Главное, не светиться в камеры видеонаблюдения.
                                            +2
                                            А еще многие банкоматы предлагают выбрать язык до ввода пин-кода, можно на околодисплейные кнопки помаркать — и потом просто считать следы на номерной клавиатуре :)
                                            0
                                            Прямо как в старые добрые времена:
                                            www.youtube.com/watch?v=MSLqXQIKDqM&feature=player_detailpage#t=475s
                                              0
                                              Помоему в фильме National Treasure герой Cage'а открывал похожим способом какое-то хранилище. И говори после этого про слишком богатую фантазию режисёров.
                                                +2
                                                В этой статье lcamtuf.coredump.cx/tsafe исследование на похожую тему. Но речь идет не о хранилище, а об обычном сейфе.
                                                +1
                                                После ввода пин-кода нужно приложить всю руку на клавиатуру, чтобы смазались тепловые отпечатки.
                                                  0
                                                  Еще радикальное решение:
                                                  Экранная клавиатура, расположение кнопок на которой каждый раз случайное. Угол обзора можно искуственно сделать маленьким, чтобы нельзя было подглядеть со стороны (так сейчас и делается в экранах банкоматов). Даже если злоумышленник узнал (не важно как), в какие места экрана нажимал пользоватль, это не даст ему никакой информации о цифрах кода.
                                                  Минусы — пользователь будет каждый раз долго искать нужную цифру и нельзя будет набирать код вслепую.
                                                    0
                                                    Нельзя. Во всяком случае в банкоматах и терминалах, которые обслуживают банковские карты. Потому что пинпад — это не просто клавиатура. Пинпад шифрует введенный пин-код и отдает банкомату/терминалу пинблок — зашифрованный на ключах пинпада блок данных, где указан пинкод, номер карты и ещё некоторые данные.
                                                      0
                                                      Что мешает сделать пинпад, у которого вместо кнопок — тачскрин? И пусть себе шифрует сколько угодно.
                                                        0
                                                        Ну разве что так.

                                                        Хотя, я подозреваю, что там будет ещё куча требований к безопасности, которые будет тяжело выполнить на таком пинпаде. Но при желании можно всё, не спорю. Просто как всегда встает вопрос экономической целесообразности. Может быть будет дешевле возвратить обокраденным клиентам деньги из своего кармана, чем заменить на всех банкоматах пинпады.

                                                        Дешевле будет сделать подогрев клавиатуры пинпада. Опять же клиентам приятнее :) Особенно зимой.
                                                          +1
                                                          просто семисегментники в каждой клавише.
                                                            0
                                                            Я даже видел такую клавиатуру, правда не для банкомата, а для систем контроля доступа, причем еще в 90-е, на какой-то выставке…
                                                        +2
                                                        Это для многих будет ужасно. Я пин-код не помню, я помню движения пальцев, которыми набирается правильный пин-код. Придется или каждый раз представлять себе нормальную клавиатуру, чтобы вспомнить цифру, или написать пин-код на бумажке (которую однажды, конечно же, потерять).
                                                          0
                                                          Согласен!
                                                          Я однажды вспоминал ПИН по движению пальцев
                                                        +4
                                                        Напомнило древнюю, но очень красивую игрушку — Cyberia :)
                                                          0
                                                          А мне Splinter Cell
                                                          0
                                                          а я просто нажимаю на кнопки ключами/другой карточкой (и грязные кнопки не тыкаю и избавлен от такого «скиммера)
                                                            +2
                                                            Мораль — не забывайте положить 10 рублей на счет телефона при каждом посещении банкомата ;)
                                                              +4
                                                              Сорви планы бандитов — лизни банкомат!
                                                                +6
                                                                На морозе…
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                  0
                                                                  В том-то и плюс, что не нужно мозолить глаза и стоять за спиной у жертвы. Тепловая инерция кнопок дает возможность подойти позже.
                                                                  Выкрасть карту — отдельная история. Хотя зачастую достаточно снять дамп магнитной полосы, есть куча способов сделать это незаметно.
                                                                    +2
                                                                    Наверняка существуют прозрачные материалы, которые можно нанести на кнопки, с нужной тепловой инерцией.
                                                                  +8
                                                                  У Сбербанка самые защищенные банкоматы.
                                                                  В них с момент ввода пинкода до момента завершения операций с банкоматом может пройти больше 5 минут.
                                                                  Какие уж там 45 секунд
                                                                    0
                                                                    И не только у Сбербанка. Надо было этой мыслью закончить пост. :)
                                                                    0
                                                                    Интересно посмотреть на этот способ зимой на банкоматах на улице, когда кнопки будут остывать за пару секунд.
                                                                      0
                                                                      Насколько я помню, «тепловой сканер», способный дать показанную на скриншоте картинку стоит от полумиллиона рублей ^_^".
                                                                        +1
                                                                        Сумма которую можно обналичить с 2х кред карт в течение дня
                                                                        +2
                                                                        А что, сжигать банкомат после использования сейчас уже не модно?
                                                                          0
                                                                          Мистер Норрис, перелогиньтесь, пожалуйста.
                                                                            0
                                                                            батенька, вы что, из прошлого века? сейчас модно подрывать.
                                                                            0
                                                                            Так и представляю себе злоумышленика, пытающегося снять тепловой скан клавиатуры, в течении 10 секунд после ввода пина.
                                                                            Это он меня отталкивать будет от банкомата, чтоб я ему клавиатуру не заслонял?
                                                                            Учитывая что зачастую вначале вводишь пин, а потом выполняется какая-либо длительная операция — выдача денег, печать чека, то шансов у злоумышликиа оооочень мало.
                                                                            +3
                                                                            Блин, а в чем проблема уже собраться решительно и отменить снятие денег/покупку без использования криптографического чипа? Тогда все эти скиммеры станут бесполезным хламом. Если, конечно, у них надежные алгоритмы, в чем я смомневаюсь — почему-то все коммерческие закрытые системы шифрования для массововго пользователя делаются ненадежными (вспомните виндоуз, который делил пароль на 2 половинки по 7 символов и хешировал их отдельно, резко снижая эффективную длину пароля).

                                                                            Ну любители покупать китайский хлам в интернете могут на свой страх и риск разрешить ненадежные транзакции по номеру карты и личным данным (которые можно похитить сотнями способов). Большинству, уверен, это не нужно.

                                                                            Мне кажется это особенно важно, так как правоохранительные органы не борются со скимщиками и кардерами (ну или по крайней мере не ловят), и других способов защититься нет.

                                                                            Я вообще не понимаю. как можно использовать в платежных системах авторизацию без использования криптографии. Я знаю, там вроде еще есть какие-то допотопные системы авторизации, типа передача номера карты по телефону, но это же использвоалось 30 лет назад, и кроме мошенников, сегодня никому не нужно.

                                                                            Я так чуствую, пока гром не грянет и не поизойдет какой-нибудь массовой кражи и банкоротсва визы или мастеркарда, о безопасности никто и не задумается.
                                                                              +1
                                                                              >Я вообще не понимаю. как можно использовать в платежных системах авторизацию без использования криптографии.

                                                                              банки — это не та отрасль, в которой все меняется каждые пять минут, это стабильность блаблабла

                                                                              ну а простым языком: потомучто 1) легаси 2) всем похуй
                                                                                +1
                                                                                Думаю дело в том, что подавляющее большинство банков застраховано от такого воровства в любом случае, поэтому менять систему не имеет смысла с точки зрения финансов.
                                                                                0
                                                                                Выяснилось, что атака почти невозможна в том случае, если кнопки ПИН-пада выполнены из металла
                                                                                даже и не вспомню, видел ли банкоматы с пластиковой клавиатурой…
                                                                                  0
                                                                                  Мне очень нравится сервис OTP-банка (http://otpbank.com.ua/) — otpdirect. При открытии счета, Вам выдают электронный брелок, на котором каждую минуту меняется шестизначный код.
                                                                                    0
                                                                                    Подышать теплом изо рта на все цифры…
                                                                                      0
                                                                                      Чего та я вообще не понимаю. Ну украли у меня пин-код? А карта у меня осталась…
                                                                                      Мой пин-код 5678, что дальше? Украдите у меня деньги)))
                                                                                        +1
                                                                                        Можно тебя на выходе из офиса Филанко подловить :)
                                                                                          0
                                                                                          так нечестно. Я вам отдал пин-код, действуйте.
                                                                                          +1
                                                                                          Кража ПИН-кода — это часть скимминговых/шимминговых атак, т.е. считывают еще и информацию с ленты
                                                                                          0
                                                                                          Проще самому банк открыть — люди сами деньги носить будут
                                                                                            +1
                                                                                            Теперь с мобильным феном буду как… стоять у банкомата (паранойа)
                                                                                              0
                                                                                              И всё это пишут люди на Хабре. image
                                                                                              Статью надо было начать: «Британские учёные выяснили, что .....»

                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                              Самое читаемое