الأمن السيبراني
طريقة ذكاء اصطناعي لتحديد مدخلات الرقم السري المحمية في صرافات الأتماتيكية
قام باحثون في إيطاليا وهولندا بتطوير طريقة تعلم الآلة قادرة على استنتاج رقم التعريف الشخصي الذي يدخله العميل في صراف آلي، بناءً على مقاطع الفيديو المسجلة – حتى في الحالات التي يغطي فيها العميل يده لحماية نفسه من التنصت.
تتضمن الطريقة تدريب شبكة عصبونية تلافية ووحدة ذاكرة قصيرة الأمد على مقاطع فيديو لمدخلات الرقم السري للمحمي – في “صندوق ظل” تم تثبيت لوحة المفاتيح نفسها مثل الصراف الآلي المستهدف – المعدات التي يمكن شراؤها، كما فعل الباحثون من أجل المشروع، وإنشاء “صندوق مرآة” لجمع البيانات.
يمكن تدريب الصراف الآلي الزائف في مكان خاص، كما فعل الباحثون، مما يلغي خطر التثبيت العام لصرفيات زائفة، وهي طريقة شائعة في هذا النوع من الجرائم.
على اليسار، نماذج لوحات المفاتيح المستخدمة في البحث الإيطالي. على اليمين، الصراف الآلي “الظل” الذي بناه الباحثون في ظروف معملية. مصدر: https://arxiv.org/pdf/2110.08113.pdf
النظام، الذي يركز على حركات اليد ووضعها أثناء إدخال الرقم السري، يمكنه حاليًا توقع 41٪ من أرقام التعريف الشخصي الأربعة أرقام و 30٪ من أرقام التعريف الشخصي الخمس أرقام في ثلاث محاولات (عادةً ما يكون هذا هو الحد الأقصى لعدد المحاولات التي يسمح بها البنك قبل قفل حساب العميل). شارك في الاختبار 58 متطوعًا باستخدام أرقام التعريف الشخصي العشوائية.
البحث، الذي يتم توفير البيانات منه بشكل عام، يجد أن النظام المقترح يقدم تحسنًا أربع مرات على قدرة الإنسان على تخمين الرقم السري عن طريق التنصت على ضحية.
الورقة، التي تحمل عنوان اعطني رقمك السري! استنتاج أرقام التعريف الشخصي للمستخدمين الذين يدخلون بأيديهم المغطاة، تأتي من خمسة باحثين من جامعة بادوفا، وواحد من جامعة ديلفت للتكنولوجيا.
استثنى الباحثون اللقطات التي لم يغط فيها الأشخاص لوحة المفاتيح بشكل كافٍ (على اليسار).
يزعم الباحثون أن نظامهم يحقق نتائج أفضل من الأعمال السابقة التي تركز على التوقيت والصوت والتعليمات الحرارية، دون مكون تحليل الفيديو.
يلاحظون أيضًا أن الوعي المتزايد بأجهزة “الاستيلاء” يركز حول فتحة إدخال البطاقة، منذ أن这是 طريقة تقليدية للهجوم، وأن العملاء لا يعتقدون أن هناك أي كاميرات مخفية يمكن أن “ترى من خلال” أيديهم المغطاة، أو أن صوت الكلاب والصوت المتطابق لجميع الضغطات يمكن أن يفصح عن أي معلومات.
لذلك، فإن “المعدات الإضافية” للصراف الآلي ستظهر في مكان لا يتوقع فيه أحد ذلك، تحت السطح الداخلي للصندوق، كمغلف مصمم يخفي معدات الكاميرا – أو حتى خارج سطح الصراف الآلي، متصلًا بمبنى أو عمود قريب.
أموال الرقم السري
على الرغم من العواقب الشديدة لانتهاك أمان النظام، فإن أرقام التعريف الشخصي هي من بين أقصر كلمات المرور وأسهلها في التخمين؛ فمن المقدر أن المهاجم لديه فرصة 1 من 10 لتحديد الرقم السري بشكل صحيح. لا يلزم دائمًا استخدام الهندسة الاجتماعية كإضافة إلى الهجمات القائمة على الذكاء الاصطناعي، منذ أن تم تقدير أن 1234 يمثل 11٪ من جميع أرقام التعريف الشخصي، بينما يمثل 19 (كجزء من سنة الميلاد) يمثل الأرقام الأولى في أكثر من 80٪ من أرقام التعريف الشخصي.
مع ذلك، لم يمنح مؤلفو الورقة الجديدة أنفسهم هذه الميزة، بل سعوا إلى تحديد ما إذا كانت حركات اليد عند إدخال الرقم السري المغطى لها نمط يمكن فك شفرته لتحديد الأرقام التي يتم ضغطها.
لتحديد قيمة أساسية، بنى الباحثون صرافًا آليًا زائفًا لغرض جمع البيانات (انظر الصورة الأولى أعلاه). هذا يمثل طريقة الهجوم المقترحة، حيث يقوم المخادع بتحليل سمات إدخال الرقم السري بشكل سلبي على مدار فترة زمنية طويلة لتحضير هجوم لاحق على الحسابات.
على الرغم من أن شاشة الصراف الآلي غير محتملة أن تكون مخفية أثناء إدخال الرقم السري، يمكن تحديد وقت ضغط المفتاح من خلال مزامنة حركات اليد مع ظهور الأرقام “المخفية” (عادةً ما تكون نجمات) التي تظهر على شاشة الصراف الآلي استجابةً للمدخلات التي يقوم بها المستخدم، وأيضًا إلى الأصوات المرتدة العامة (مثل الأصوات) التي تزامن مع الإدخال.
تظهر هذه المزامنة وضع اليد الدقيق في سيناريو “مغطى” في لحظة الإدخال.
استهداف لوحات المفاتيح المحددة
أولاً، يجب تطوير نموذج من خلال الملاحظة والتسجيل لمدخلات الرقم السري المغطى. ينبغي أن تكون لوحة المفاتيح نموذجًا معيارًا للصناعة، على الرغم من أن بعض التباين في المليمترات لن يمنع الطريقة من العمل. يمكن الحصول على أوقات الضغط من الإشارات السمعية والبصرية (أي الأصوات المرتدة، وضجيج المفاتيح، وتنبيهات النجوم).
باستخدام هذه النقاط الفاصلة، يمكن للمهاجم تلقائيًا استخراج مجموعة تدريب وتمكين نموذج قادرة على تحديد تكوينات اليد الممثلة لضغط مفتاح معين. هذا سوف ينتج قائمة مصنفة من الاحتمالات للرقم السري للبطاقة، وسيتم اختيار أفضل ثلاثة منها للهجوم عند تحديد بيانات العملاء الحقيقية من قبل النظام في سيناريو حقيقي.
منهجية البحث
تم إجراء جمع البيانات على مدار جلستين، باستخدام متطوعين أيمنيين للدراسة. كل مشارك أدخل 100 رقم تعريف شخصي عشوائي من خمس أرقام، لضمان تغطية متساوية لجميع ضغطات لوحة المفاتيح العشرة الممكنة. بهذه الطريقة، جمع الباحثون 5800 إدخال رقم سري فردي.
استخدمت لوحات المفاتيح في الاختبارات هي DAVO LIN Model D-8201F و DAVO LIN Model D-8203 B. إنها نماذج تجارية تستخدم في الصرافات الآلية، وتتوفر على التوالي هنا و هنا (من بين بائعي العديد).
تم تحويل مقاطع الفيديو إلى لون رمادي وتم تطبيقهما وتقليصهما، قبل تحجيمهما إلى 250×250 بكسل للاستخدام في جلسات تدريب التعلم الآلي. تم تقسيم المقاطع إلى مقاطع فرعية لتحصل على تسلسلات إطار تتعلق بأحداث الضغط.
استخدمت الإشارات الصوتية (كما ذكر أعلاه) كعلامات زمنية لأحداث الضغط.
التدريب
تم تقسيم مجموعات البيانات إلى مجموعات تدريب وتصديق واختبار، مع إجراء التدريب على وحدة المعالجة المركزية Xeon(R) Intel التي تعمل عند 2.60 جيجاهرتز، ومزودة بذاكرة وصول عشوائي 128 جيجابايت. تم تطبيق البيانات على Keras2.3.0-tf (TensorFlow 2.2.0) و Python 3.8.6 على ثلاث وحدات معالجة رسومات Tesla K20m مع 5 جيجابايت من ذاكرة الوصول العشوائي لكل منها.
لتحديد التباين في بيئات التقاط، تم إنشاء أمثلة اصطناعية وتأثيرات (مثل الدوران وتغيير المنظر)، وذكروا أن هذا النوع من تعزيز البيانات يساعد كثيرًا في تحسين فعالية النموذج.
النتائج
تم اختبار النموذج على ثلاث سيناريوهات: “لوحة مفاتيح واحدة”، حيث يعرف المهاجم نموذج لوحة المفاتيح، ويتدرب خصيصًا لها؛ “لوحة مفاتيح مستقلة”، حيث يتم تدريب النموذج على لوحة مشابهة (ولكن ليست متطابقة) مع لوحة المفاتيح المستهدفة؛ وسيناريو “مختلط”، حيث يمتلك المهاجم نسخة من كلا لوحتي المفاتيح.
النتائج العامة عبر السيناريوهات الثلاث، حيث يشير Top-N إلى تخمين الرقم في N محاولات.
هناك فرق ملحوظ في الدقة لاستنتاج أرقام التعريف الشخصي الخمس أرقام مقابل الأربعة أرقام:
إجراءات وقائية
فيما يتعلق بإجراءات الوقاية من الأنظمة الحالية (أي بدون إعادة التفكير الكاملة في بنية أمان الرقم السري / الصراف الآلي)، يعتبر الباحثون أن هناك لا يوجد أي دفاعات فعّالة ضد هذا النوع من الهجوم.
سوف يزيد طول الأرقام الدنيا المطلوبة في الرقم السري من صعوبة تذكرها؛ جعل ترتيب الأرقام على لوحة المفاتيح عشوائيًا مع لوحة مفاتيح برمجية تعمل باللمس، على الرغم من أن هذا يحدث بشكل متزايد في تطبيقات الصراف الآلي، ينتج أيضًا مشاكل في استخدامها؛ وسوف تمنع واقي الشاشة، التي لن تكون فقط باهظة التكلفة للتثبيت على الصرافات الآلية الحالية، ولكنها سوف تجعل طريقة الهجوم المذكورة في الورقة أسهل في التنفيذ، اعتمادًا على مقدار التغطية التي قد توفرها. يؤكد الباحثون أن هجومهم يسري حتى عند تغطية 75٪ من لوحة المفاتيح (وأن تغطية المزيد سوف تجعل من الصعب على العميل إدخال الرقم السري).
في ابتكار مكافئ بشري لاستخراج الرقم السري الآلي، كان الناس الحقيقيون، من خلال النظر إلى نفس المعلومات، قادرين فقط على تحقيق جزء من دقة نظام الذكاء الاصطناعي في تخمين أرقام التعريف الشخصي.
في تطوير العمل في المستقبل، يعتزم الباحثون تحقيق نتائج من الأشخاص الأيمنيين وغير الأيمنيين، ودراسة استراتيجيات تغطية اليد التي قد تقلل من الهجوم. كما يعتزمون تكرار التجارب مع تنوع أكبر في الأعمار والعرق، لأنهم يلاحظون أن الأشخاص الأكبر سنًا يؤدون حركات يد أكثر إظهارًا عند إدخال الرقم السري، وأن الهجوم “سوف يواجه صعوبات في العمل للأشخاص من عرقيات أخرى” (من غير العرق الكوكاسي).
