Connect with us

En AI-metode til at afsløre ‘skjulte’ PIN-indtastninger ved hæveautomater

Cybersikkerhed

En AI-metode til at afsløre ‘skjulte’ PIN-indtastninger ved hæveautomater

mm
Published
Updated

Forskere i Italien og Holland har udviklet en maskinel læringsmetode, der kan slutte sig til PIN-koden, som en bankkunde indtaster i en hæveautomat, baseret på optaget video – selv i tilfælde, hvor kunden dækker sin hånd for at beskytte sig mod skulder-surfing.

Metoden indebærer træning af et Convolutional Neural Network (CNN) og et Long Short-Term Memory (LSTM)-modul på videoer af ‘dækkede hånd’ PIN-indtastninger på en ‘skygge’ hæveautomat, der er udstyret med samme tastatur som målhæveautomaten – udstyr, der kan købes, som forskerne har gjort for projektet, og genskabt en ‘spejl’ hæveautomat for at indsamle data.

Den falske hæveautomat kan trænes i privat, som forskerne har gjort, og eliminerer risikoen for offentlige installationer af falske hæveautomater, en almindelig modus operandi i denne specifikke type kriminalitet.

To pin pad-modeller brugt til den italienske forskning. Højre, den 'skygge' hæveautomat. Kilde: https://arxiv.org/pdf/2110.08113.pdf

Venstre, to pin pad-modeller brugt til den italienske forskning. Afbildet højre, den ‘skygge’ hæveautomat, som forskerne konstruerede under laboratorieforhold. Kilde: https://arxiv.org/pdf/2110.08113.pdf

Systemet, der fokuserer på håndbevægelser og placering under PIN-indtastning, kan for nuværende forudsige 41% af 4-cifrede PIN-koder og 30% af 5-cifrede PIN-numre inden for tre forsøg (generelt det maksimale antal forsøg, en bank tillader, før kundens konto låses).

Testene involverede 58 frivillige, der brugte tilfældige PIN-numre.

Forskningen, hvis data er offentligt tilgængelig, viser, at den foreslåede metode tilbyder en firefold forbedring af en menneskes evne til at gætte en PIN ved skulder-surfing af et offer.

Artiklen har titlen Hand Me Your PIN! Inferring ATM PINs of Users Typing with a Covered Hand og kommer fra fem forskere ved Universitetet i Padua og en fra Delft University of Technology.

Forskerne udelukkede optagelser, hvor subjekterne ikke dækkede PIN-paden tilstrækkeligt (venstre).

Forskerne udelukkede optagelser, hvor subjekterne ikke dækkede PIN-paden tilstrækkeligt (venstre).

Forskerne hævder, at deres metode opnår bedre resultater end tidligere arbejde, der fokuserer på timing, lyd og termiske signaturer, uden en videoanalysekomponent.

De bemærker også, at den øgede opmærksomhed på ‘skimming’-enheder omkring kortindstikket, da dette er en traditionel metode til angreb, og at kunder ikke har nogen grund til at tro, at lignende skjulte mikrokameraer kunne ‘se gennem’ deres dækkede hænder, eller at den generelle klirren af taster og den identiske feedback-lyd for hver tastetryk kunne afsløre nogen information.

Den ‘ekstra’ udstyr på hæveautomaten ville derfor synes at være på et sted, hvor ingen forventer det, under den øverste indre overflade af hæveautomatens recess, som en formet indkapsling, der skjuler kameraudstyret – eller endda helt uden for hæveautomatens overflade, fastgjort til en nærliggende bygning eller stolpe.

PIN-penge

Trods de alvorlige konsekvenser af et brud, er PIN-koder blandt de korteste og lettest gættelige adgangskoder, vi bruger; det er blevet estimeret, at en angriber allerede har en chance på 1 til 10 for at gætte en PIN korrekt. Social engineering er ikke altid nødvendig som en tilføjelse til mere avancerede AI-baserede angreb, da 1234 er blevet estimeret til at repræsentere 11% af alle PIN-koder, mens 19 (som den første del af et fødselsår) repræsenterer de første to cifre i over 80% af PIN-koderne.

Alligevel har forfatterne af den nye artikel ikke givet sig selv denne fordel, men har i stedet sat sig for at undersøge, om håndbevægelserne under ‘skjulte’ PIN-indtastninger har en tydelig mønster, der kan indikere, hvilke numre der trykkes.

For at etablere en baseline konstruerede forskerne en falsk hæveautomat til formålet med dataindsamling (se første billede ovenfor). Dette repræsenterer den foreslåede hypotetiske angrebsmetode, hvor en malafaktor vil passivt analysere typiske PIN-indtastningskarakteristika over en lang periode for at forberede sig på et senere ‘swoop’ på konti.

Selvom denne meget ‘studerede’ tilgang er almindelig i sofistikeret hæveautomat-svindel, med mange tilfælde af falske hæveautomater, der eksfiltrerer kundedata over en lang periode, kan angriberen i dette tilfælde sætte op den falske hæveautomat i deres eget rum og træne den uden offentlig indput.

Da hæveautomatens skærm ikke sandsynligvis vil være skjult under PIN-indtastning, kan tidsrummet for en tastetryk etableres ved at synkronisere håndbevægelser med fremkomsten af ‘maskerede’ cifre (som regel asterisker) på hæveautomatens skærm som svar på brugerindput, og også til generiske feedback-lyde (såsom bip-lyde), der sammenfald med stregerne. Denne synkronisering afslører den præcise håndplacering i en ‘skjult’ situation på tidspunktet for indtastning.

Målretning af bestemte tastaturer

Først skal en model udvikles gennem observation og optagelse af skjulte PIN-indtastninger. Ideelt set skal tastaturet være en specifik industri-standardmodel, selvom nogen variation i millimeter ikke vil stoppe metoden. Tastetrykningstider kan erhverves gennem audio- og visuelle signaler (dvs. feedback-bip, tasteklirren og asterisk-feedback).

Med disse knækkpunkter kan angriberen automatisere udtrækket af en træningsmængde og gå videre til at træne en model, der kan identificere repræsentative håndkonfigurationer for trykning af en bestemt tast. Dette vil producere en rangeret liste over sandsynligheder for kortets PIN, ud af hvilken de tre øverste vil blive valgt til angrebet, når ægte kundedata identificeres af systemet i en virkelig situation.

Metodologi

Dataindsamlingen blev gennemført over to sessioner, med brug af højrehåndede frivillige til studiet. Hver deltager tastede 100 tilfældigt genererede 5-cifrede PIN-numre for at sikre jævn dækning af alle ti mulige tastetryk. På denne måde indsamlede forskerne 5.800 enkeltstående PIN-indtastninger.

PIN-pads, der blev brugt i testene, var DAVO LIN Model D-8201F og DAVO LIN Model D-8203 B-modellerne. De er kommercielle modeller, der bruges i hæveautomater, og er tilgængelige, henholdsvis, her og her (blandt mange andre forhandlere).

De indsamlede videosekvenser blev konverteret til gråtone og normaliseret og beskåret, før de blev omskaleret til 250×250 pixel for at blive inkluderet i maskinel læringstræningssessioner. Klip blev segmenteret for at få undersekvenser af rammer, der vedrører tastetryk.

Audio-signaler (som nævnt ovenfor) blev brugt som tidsstempel-markører for trykkevents.

Træning

Datasættene blev delt op i trænings-, validerings- og testmængder, med træning, der fandt sted på en Xeon(R) Intel CPU, der kører på E5-2670 2,60 GHz, og er udstyret med 128 GB RAM. Data blev implementeret på Keras2.3.0-tf (TensorFlow 2.2.0) og Python 3.8.6 på tre Tesla K20m GPU’er med 5 GB VRAM hver.

For at tage højde for variationer i optageforhold (belysning, små forskelle i kamera-vinkler osv.) blev syntetiske eksempler og perturbationer (såsom rotation og visningsskift) genereret, og forfatterne rapporterer, at denne type dataforstærkning er en stor hjælp til at forbedre modellens effektivitet.

Resultater

Modellen blev testet mod tre scenarier: ‘enkel PIN-pad’, hvor angriberen kender modellen af PIN-paden og træner specifikt for den; ‘PIN-pad-uafhængig’, hvor modellen trænes på en pad, der ligner (men ikke er identisk med) mål-PIN-paden; og en ‘blandet scenario’, hvor angriberen har en kopi af begge PIN-pads.

Generelle resultater over de tre scenarier, hvor Top-N betyder en gæt på cifret inden for N forsøg.

Generelle resultater over de tre scenarier, hvor Top-N betyder en gæt på cifret inden for N forsøg.

Der er en bemærket forskel i nøjagtighed for slutning af 5-cifrede versus 4-cifrede PIN-koder:

Modforanstaltninger

Ved at overveje modforanstaltninger til eksisterende systemer (dvs. uden en radikal genovervejelse af hele PIN/hæveautomat-sikkerhedsinfrastrukturen) mener forskerne, at der ikke er nogen virkelig fungerende forsvar mod denne type angreb.

At forlænge det minimumkrav til antal cifre i en PIN-kode vil gøre koderne sværere at huske; at tilfældiggøre rækkefølgen af cifre på tastaturet med en touchscreen-softwaretastatur, selvom det sker mere og mere i hæveautomat-udrulninger, producerer også brugervenlighedsproblemer; og skærmskærmere ville ikke kun være dyre at udrulle på eksisterende hæveautomater, men ville måske også gøre artiklens angrebsmetode endnu lettere at implementere, afhængigt af, hvor meget dækning det giver. Forskerne påstår, at deres angreb er gennemførbart, selv hvor 75% af PIN-paden er dækket (og dækning af mere ville gøre det svært for kunden at taste).

I udviklingen af et menneskebaseret ekvivalent til den automatiserede PIN-udtrækning var rigtige mennesker, til gengæld, kun i stand til at opnå en brøkdel af AI-systemets nøjagtighed i gætning af PIN-koder, baseret på samme information.

I fremtidig udvikling af arbejdet har forskerne til hensigt at undersøge resultater fra ikke-højrehåndede personer og at undersøge hånddækningsstrategier, der måske kan mildne angrebet. De har også til hensigt at gentage eksperimenterne med en større diversitet af aldre og racer, da de observerer, at ældre mennesker laver mere betydningsfulde og afslørende håndbevægelser, når de indtaster en PIN-kode, og at angrebet ‘vil have svært ved at fungere for mennesker fra andre racer’ (end kaukasiske).

mm

Forfatter til maskinlæring, domæne-specialist i menneskesynthese af billeder. Tidligere leder af forskningsindhold på Metaphysic.ai.