Forskere har vist at det er mulig å trene en deep learning-algoritme til å gjenkjenne firesifrede PIN-koder riktig i 41 prosent av tilfellene, selv om du dekker til tastaturet på minibanken med hendene.
Deep learning gjenkjenner koden din selv om du skjuler hånden
Et slikt angrep krever at det først settes opp en kopi av minibanken for å trene opp algoritmen til å lese håndbevegelsene i relasjon til dimensjonene på tastene og evaluere dem i forhold til den topologiske avstanden mellom tastene på minibank-tastaturet.
Deretter trenes maskinlæringsmodellen ved hjelp av videoopptak av folk som taster inn PIN-koder på minibanken, til å gjenkjenne tastetrykk og tildele spesifikke sannsynligheter innenfor et sett med gjetninger.
5800 videoer av 58 forskjellige mennesker
Til eksperimentet brukte forskerne 5800 videoer av 58 forskjellige mennesker med forskjellig demografisk bakgrunn som skrev inn fire- og femsifrede PIN-koder.
Annonse
Maskinen som kjørte forutsigelsesmodellen var en Xeon E5-2670 med 128 GB RAM og tre Tesla K20m med 5 GB RAM hver. Ikke et system man finner hjemme hos folk flest, men godt innenfor en økonomisk ramme for velorganiserte svindlere.
Klarte 41 prosent på tre forsøk
Forskerne ga algoritmen tre forsøk på å finne koden som var brukt og tillot tre forsøk, altså samme ramme som bankene setter før maskinen spiser kortet. AI’en rekonstruerte riktig sekvens for femsifrede PIN-koder 30 prosent av gangene og for firesifrede PIN-koder klarte den 41 prosent.
Plasseringen av kameraet som gjør opptak av hendene, er viktig. Forskerne kom frem til at den beste fremgangsmåten for angriperen var å skjule et pinhole-kamera på toppen av minibanken.
Hvis kameraet også er utstyrt med mikrofon kan AI’en i tillegg høre hårfine nyanser i klikkene fra tastene, hvilket gjør forutsigelsene langt mer presise.
Motforanstaltninger
Dette eksperimentet viser at å dekke PIN-tastaturet med den ene hånden ikke er tilstrekkelig til å forsvare seg mot deep learning-baserte angrep, men du kan gjøre noen mottrekk.
For det første skal du velge en femsifret kode istedenfor en firesifret om banken tilbyr det. Den er vanskeligere å huske, men mye tryggere mot denne typen svindel.
For det andre er den prosentvise dekningen av taste-hånden av betydning. En dekningsgrad på 75 prosent gir en nøyaktighet på 0,55 for hvert forsøk, mens total dekning (100 prosent) tar nøyaktigheten ned til 0,33.
Utstyr minibankene med virtuelt, randomisert tastatur
Et tredje mottiltak vil kunne være å utstyre minibankene med et virtuelt og randomisert tastatur istedenfor et standardisert mekanisk. Dette er forbundet med ulemper for brukervennligheten, men som sikkerhetstiltak er det utmerket.
Mennesker klarer det ikke
Forskerne lot mennesker se videoklippene for å undersøke om også vi kan lære å fange opp de skjulte PIN-kodene og i hvilken grad. De 78 deltagerne i denne delen av studien klarte i gjennomsnitt en nøyaktighet på 7,92 prosent, hvilket er for ineffektivt for angrep av denne typen.
Annonse
