Исследователи доказали, что алгоритм глубокого обучения может угадывать 4-значные PIN-коды карт, даже если жертва при вводе цифр в банкомате прикрывает их руками. Алгоритм правильно сработал в 41 % случаев.
Однако атака с применением этого алгоритма требует получения точной копии целевого банкомата, так как его обучение требует конкретные размеры устройства и расстояние между клавишами.
Затем модель машинного обучения обучается распознавать нажатия и назначать определенные вероятности набора с использованием видео, на котором люди вводят PIN-коды. Для эксперимента исследователи собрали 5800 видеороликов 58 представителей разных демографических групп, которые вводили 4- и 5-значные PIN-коды.
Модель прогнозирования запустили на Xeon E5-2670 с 128 ГБ ОЗУ и трех Tesla K20m с 5 ГБ ОЗУ каждая.
Используя три попытки ввода, которые обычно предоставляют банкоматы, исследователи восстановили правильную последовательность для 5-значных PIN-кодов в 30 % случаев и для 4-значных — в 41 % случаев.
Модель угадывает комбинацию, оценивая топологическое расстояние между двумя клавишами. Размещение камеры, которая фиксирует попытки ввода, играет ключевую роль, особенно при съемке левшей или правшей. Скрытие камеры-обскуры в верхней части банкомата оказалось самым эффективным.
Если камера также способна записывать звук, модель может использовать звуковую обратную связь при нажатии, которая немного отличается для каждой цифры, что делает прогнозы намного более точными.
Этот эксперимент доказывает, что прикрыть панель банкомата рукой при вводе недостаточно для защиты от атак, основанных на глубоком обучении, но можно принять некоторые контрмеры. Исследователи советуют пользователям выбирать пятизначный PIN-код вместо четырехзначного, если банки дают такую возможность.
Еще одной мерой противодействия мошенникам может стать обслуживание пользователей с помощью виртуальной и рандомизированной клавиатуры.
Кстати, исследователи провели аналогичный эксперимент с видео на людях. Только 7,92 % смогли угадать набранную последовательность.
Ранее «Сбер» начал выдавать необеспеченные кредиты до 5 млн рублей для зарплатных клиентов прямо через банкоматы с сенсорным экраном. Для получения кредита необходимо авторизоваться в банкомате с помощью банковской карты, проверить личные данные, ознакомиться с правилами и условиями кредитного предложения и подтвердить заявку, введя PIN-код карты. Однако банк не уточнил, можно ли отказаться от такого кредита, если его будет брать злоумышленник, или заблокировать эту опцию.
