*PINs de cartão de crédito podem ser adivinhados mesmo ao cobrir o teclado do caixa eletrônico

Os pesquisadores provaram que é possível treinar um algoritmo de aprendizado profundo para fins especiais que pode adivinhar os PINs de cartão de 4 dígitos 41% do tempo, mesmo se a vítima estiver cobrindo o bloco com as mãos. 

O ataque requer a configuração de uma réplica do ATM alvo porque treinar o algoritmo para as dimensões específicas e espaçamento de chave dos diferentes PIN pads é crucialmente importante. 

Em seguida, o modelo de aprendizado de máquina é treinado para reconhecer pressionamentos de teclado e atribuir probabilidades específicas em um conjunto de suposições, usando vídeo de pessoas digitando PINs no teclado do caixa eletrônico.

 


Para o experimento, os pesquisadores coletaram 5.800 vídeos de 58 pessoas diferentes de diversos grupos demográficos, inserindo PINs de 4 e 5 dígitos. 

A máquina que executou o modelo de predição foi um Xeon E5-2670 com 128 GB de RAM e três Tesla K20m com 5 GB de RAM cada. Certamente não é o seu sistema médio, mas bem dentro de um espectro econômico prático. 

Usando três tentativas, que normalmente é o número máximo permitido de tentativas antes que o cartão seja retido, os pesquisadores reconstruíram a sequência correta para PINs de 5 dígitos em 30% do tempo e chegaram a 41% para PINs de 4 dígitos. 

O modelo pode excluir teclas com base na cobertura da mão sem digitação e deduz os dígitos pressionados dos movimentos da outra mão avaliando a distância topológica entre duas teclas.


O posicionamento da câmera que captura as tentativas desempenha um papel fundamental, especialmente se estiver gravando indivíduos destros ou canhotos. Ocultar uma câmera pinhole na parte superior do caixa eletrônico foi determinado como a melhor abordagem para o invasor. 

Se a câmera for capaz de capturar áudio também, o modelo também pode usar feedback de som ao pressionar, que é ligeiramente diferente para cada dígito, tornando as previsões muito mais precisas.


 

Contramedidas

Este experimento prova que cobrir o PIN pad com a outra mão não é suficiente para se defender contra ataques baseados em aprendizado profundo, mas, felizmente, existem algumas contramedidas que você pode implantar. 

  • Primeiro, se o seu banco oferece a opção de escolher um PIN de 5 dígitos em vez de 4, escolha o mais longo. Pode ser mais difícil de lembrar, mas é muito mais seguro contra ataques desse tipo. 

  • Em segundo lugar, a porcentagem de cobertura da mão está diminuindo significativamente a precisão da previsão. Uma porcentagem de cobertura de 75% fornece uma precisão de 0,55 para cada tentativa, enquanto uma cobertura total (100%) reduz a precisão para 0,33. 
  • Uma terceira contramedida seria servir aos usuários com um teclado virtual e aleatório em vez do teclado mecânico padronizado. Isso inevitavelmente traz desvantagens de usabilidade, mas é uma excelente medida de segurança. 

Curiosamente, os pesquisadores usaram os videoclipes do experimento em uma pesquisa com 78 participantes para determinar se os humanos também poderiam adivinhar os PINs ocultos e até que ponto. 

Em média, os participantes da pesquisa responderam com uma precisão de apenas 7,92%, o que é ineficiente para a realização de ataques desse tipo

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

Post a Comment