Il metodo funziona anche quando il cliente ATM copre il pannello di input con la mano.
Ricercatori in Italia e nei Paesi Bassi hanno sviluppato un metodo di apprendimento automatico in grado di rilevare un codice PIN inserito dall’uomo presso un bancomat. Il nuovo metodo funziona anche quando il cliente ATM copre il pannello di input con la mano.
Il metodo sviluppato include l’addestramento di una rete neurale convoluzionale (CNN) e di un modulo di memoria a breve termine a lungo termine (LSTM) sulle registrazioni video dell’inserimento di un codice PIN coperto da una mano. Un sistema che monitora i movimenti e il posizionamento delle mani durante l’inserimento del PIN può prevedere il 41% dei PIN a 4 cifre e il 30% dei codici PIN a 5 cifre in tre tentativi (il numero massimo di tentativi consentiti dalla banca prima di bloccare il conto di un cliente). I test hanno coinvolto 58 volontari che hanno utilizzato codici PIN casuali.
Poiché è improbabile che la schermata dell’ATM venga nascosta durante l’immissione del PIN, il tempo di battitura può essere impostato sincronizzando i movimenti della mano con la comparsa di numeri “mascherati” (di solito asterischi) che appaiono sulla schermata dell’ATM in risposta a un utente richiesta. La sincronizzazione mostra l’esatta posizione delle mani nello script “nascosto” al momento della digitazione.
La raccolta dei dati è stata effettuata in due sessioni utilizzando volontari destrimani per lo studio. Ogni partecipante ha digitato 100 codici PIN a 5 cifre generati casualmente, assicurando che tutte e dieci le possibili sequenze di tasti fossero coperte in modo uniforme. Pertanto, i ricercatori hanno raccolto 5.800 singole voci PIN.
I set di dati sono stati suddivisi in set di formazione, convalida e test, con formazione condotta su un processore Intel Xeon in esecuzione su un E5-2670 a 2,60 GHz e dotato di 128 GB di RAM. I dati sono stati implementati in Keras2.3.0-tf (TensorFlow 2.2.0) e Python 3.8.6 su tre GPU Tesla K20m con 5 GB di memoria video ciascuna.
Considerando le contromisure ai sistemi esistenti, i ricercatori ritengono che non esistano mezzi di protezione realmente efficaci contro tali attacchi. L’aumento del numero minimo di cifre richieste in un PIN renderà difficile la memorizzazione dei numeri, l’ordine casuale dei tasti numerici sulla tastiera virtuale del touchscreen causerà anche problemi di usabilità e le protezioni dello schermo non saranno solo costose da installare su esistenti ATM, ma forse renderà il metodo di attacco ancora più semplice da implementare. I ricercatori affermano che il loro attacco è praticabile anche quando il 75% della tastiera è nascosto (chiudere di più rende difficile per l’utente l’inserimento del testo).