एक एआई विधि जो एटीएम पर ‘शील्डेड’ पिन प्रविष्टियों को प्रकट करती है

इटली और नीदरलैंड्स के शोधकर्ताओं ने एक मशीन लर्निंग विधि विकसित की है जो एक बैंक ग्राहक द्वारा एटीएम में डाले गए पिन नंबर का अनुमान लगा सकती है, कैप्चर किए गए वीडियो के आधार पर – यहां तक कि उन मामलों में जहां ग्राहक अपने हाथ को शोल्डर-सर्फिंग से बचाने के लिए ढकता है।

इस विधि में एक कॉनवोल्यूशनल न्यूरल नेटवर्क (सीएनएन) और एक लॉन्ग शॉर्ट-टर्म मेमोरी (एलएसटीएम) मॉड्यूल को ‘कवर्ड हैंड’ पिन प्रविष्टियों के वीडियो पर प्रशिक्षित करना शामिल है, जो एक ‘शैडो’ एटीएम पर होता है जिसमें लक्ष्य एटीएम के समान कीपैड होता है – यह उपकरण खरीदा जा सकता है, जैसा कि शोधकर्ताओं ने परियोजना के लिए किया था, एक ‘मिरर’ एटीएम बनाने के लिए डेटा इकट्ठा करने के लिए।

नकली एटीएम को निजी तौर पर प्रशिक्षित किया जा सकता है, जैसा कि शोधकर्ताओं ने किया है, सार्वजनिक स्थापना के जोखिम को दूर करते हुए नकली एटीएम, इस प्रकार के अपराध में एक सामान्य मोडस ऑपरेंडी।

बाएं, इतालवी शोध के लिए दो पिन पैड मॉडल। दाएं, शोधकर्ताओं द्वारा प्रयोगशाला स्थितियों में निर्मित ‘शैडो’ एटीएम। स्रोत: https://arxiv.org/pdf/2110.08113.pdf

सिस्टम, जो पिन इनपुट के दौरान हाथ की गति और स्थिति पर केंद्रित है, वर्तमान में 41% 4-डिजिट पिन और 30% 5-डिजिट पिन नंबरों का अनुमान लगा सकता है तीन प्रयासों के भीतर (आम तौर पर एक बैंक द्वारा ग्राहक के खाते को लॉक करने से पहले अनुमत अधिकतम प्रयासों की संख्या)। परीक्षणों में 58 स्वयंसेवकों ने यादृच्छिक पिन नंबरों का उपयोग किया।

शोध, जिसका डेटा सार्वजनिक रूप से उपलब्ध है, यह पाता है कि प्रस्तावित सिस्टम एक मानव की पिन अनुमान लगाने की क्षमता में चार गुना सुधार प्रदान करता है जो कि शोल्डर-सर्फिंग द्वारा एक पीड़ित का अनुमान लगाता है।

पेपर का शीर्षक हैंड मी योर पिन! यूजर्स टाइपिंग के साथ एटीएम पिन्स का अनुमान लगाना है, और पांच शोधकर्ताओं से आता है पडुआ विश्वविद्यालय में, और एक डेल्फ्ट यूनिवर्सिटी ऑफ टेक्नोलॉजी से।

शोधकर्ताओं ने उन कैप्चर्स को बाहर कर दिया जहां विषयों ने पिन पैड को पर्याप्त रूप से ढका नहीं था (बाएं).

शोधकर्ता तर्क देते हैं कि उनकी प्रणाली समय, ध्वनि और ताप संकेतों पर आधारित पिछले कार्यों की तुलना में बेहतर परिणाम प्राप्त करती है, जिसमें वीडियो विश्लेषण घटक नहीं होता है।

वे यह भी ध्यान देते हैं कि ‘स्किमिंग’ डिवाइस के बारे में बढ़ती जागरूकता कार्ड इनपुट स्लॉट के आसपास केंद्रित है, क्योंकि यह एक पारंपरिक हमले की विधि है, और ग्राहकों को यह विश्वास नहीं है कि किसी भी छिपे हुए माइक्रो-कैमरे से उनके ढके हुए हाथों के माध्यम से देखा जा सकता है, या कि कीस्ट्रोक्स और प्रत्येक कीप्रेस के लिए समान फीडबैक ध्वनि किसी भी जानकारी का खुलासा कर सकती है।

एटीएम का ‘अद्धितीय’ उपकरण इसलिए एक ऐसे स्थान पर दिखाई देगा जहां कोई भी इसकी अपेक्षा नहीं कर रहा है, एटीएम रिकेस के ऊपरी आंतरिक सतह के नीचे, एक मोल्डेड एनक्लोजर के रूप में कैमरा उपकरण को छिपाते हुए – या यहां तक कि एटीएम की सतह से बाहर, एक निकटतम इमारत या पोस्ट से जुड़ा हुआ।

पिन मनी

इसके गंभीर परिणामों के बावजूद, पिन नंबर हमारे द्वारा उपयोग किए जाने वाले सबसे छोटे और सबसे आसानी से अनुमानित पासवर्ड हैं; अनुमान लगाया गया है कि एक हमलावर के पास पहले से ही एक पिन का 1-में-से -10 मौका है। सामाजिक इंजीनियरिंग हमेशा अधिक जटिल एआई-आधारित हमलों के लिए एक आवश्यक अनुपूरक नहीं है, क्योंकि 1234 का अनुमान लगाया गया है कि यह सभी पिन्स का 11% प्रतिनिधित्व करता है, जबकि 19 (एक जन्म वर्ष के रूप में) 80% से अधिक पिन नंबरों में पहले दो अंकों का प्रतिनिधित्व करता है।

फिर भी, नए पेपर के लेखकों ने खुद को इस लाभ को नहीं दिया है, बल्कि यह जांचने के लिए निकले हैं कि ‘शील्डेड’ पिन प्रविष्टियों की हाथ की गति में एक व्याख्यात्मक पैटर्न है या नहीं जो यह इंगित कर सकता है कि कौन से नंबर दबाए जा रहे हैं।

एक बेसलाइन स्थापित करने के लिए, शोधकर्ताओं ने डेटा संग्रह के उद्देश्य से एक नकली एटीएम का निर्माण किया (ऊपर पहली छवि देखें)। यह प्रस्तावित हाइपोथेटिकल हमले की विधि का प्रतिनिधित्व करता है, जहां एक दुर्भाग्यपूर्ण व्यक्ति लंबे समय तक पिन इनपुट की विशिष्ट विशेषताओं का विश्लेषण करेगा और बाद में खातों पर ‘स्वीप’ करने के लिए तैयारी करेगा।

हालांकि यह बहुत ‘अध्ययन’ दृष्टिकोण सामान्य है जटिल एटीएम धोखाधड़ी अपराध में, जहां कई नकली एटीएम ग्राहक डेटा को लंबे समय तक निकालते हैं, इस मामले में हमलावर अपने स्थान पर नकली एटीएम सेट कर सकता है और इसे सार्वजनिक इनपुट के बिना प्रशिक्षित कर सकता है।

चूंकि एटीएम की स्क्रीन पिन इनपुट के दौरान छिपी होने की संभावना नहीं है, कुंजी प्रेस का समय एटीएम स्क्रीन में दिखाई देने वाले ‘मास्क्ड’ अंकों (आमतौर पर तारांकित) की उपस्थिति के साथ हाथ की गति को सिंक्रोनाइज़ करके स्थापित किया जा सकता है, और स्ट्रोक्स के साथ मेल खाने वाले सामान्य फीडबैक शोर (जैसे बीप) के साथ। यह सिंक्रोनाइजेशन ‘शील्डेड’ दृश्य में इनपुट के क्षण में हाथ की सटीक स्थिति का खुलासा करता है।

विशिष्ट कीपैड्स पर लक्ष्य

पहले, एक मॉडल को अवलोकन और ‘शील्डेड’ पिन प्रविष्टियों की रिकॉर्डिंग द्वारा विकसित किया जाना चाहिए। आदर्श रूप से, कीपैड एक विशिष्ट उद्योग मानक मॉडल होना चाहिए, हालांकि कुछ मिलीमीटर का भिन्नता विधि को काम करने से नहीं रोकेगी। कुंजी प्रेस समय ऑडियो और दृश्य संकेतों (जैसे फीडबैक बीप, कुंजी क्लैटर, और तारांकित फीडबैक) द्वारा प्राप्त किया जा सकता है।

इन ब्रेकपॉइंट्स के साथ, हमलावर एक प्रशिक्षण सेट को स्वचालित रूप से निकाल सकता है और एक मॉडल को प्रशिक्षित कर सकता है जो एक विशिष्ट कुंजी दबाने के लिए प्रतिनिधित्वात्मक हाथ कॉन्फ़िगरेशन की पहचान करने में सक्षम हो। यह कार्ड के पिन के लिए संभावनाओं की एक रैंक्ड सूची उत्पन्न करेगा, जिसमें से शीर्ष तीन का चयन हमले के लिए किया जाएगा जब प्रणाली द्वारा वास्तविक दुनिया के दृश्य में वास्तविक ग्राहक डेटा की पहचान की जाती है।

विधि

डेटा संग्रह दो सत्रों में आयोजित किया गया था, जिसमें अध्ययन के लिए दाहिने हाथ वाले स्वयंसेवकों का उपयोग किया गया था। प्रत्येक प्रतिभागी ने 100 यादृच्छिक रूप से उत्पन्न 5-डिजिट पिन नंबर टाइप किए, जिससे सभी दस संभावित कीपैड प्रेस को समान रूप से कवर किया जा सके। इस तरह, शोधकर्ताओं ने 5,800 व्यक्तिगत पिन प्रविष्टियां एकत्र कीं।

परीक्षणों में उपयोग किए गए पिन पैड डीएवीओ एलआईएन मॉडल डी-8201एफ और डीएवीओ एलआईएन मॉडल डी-8203 बी मॉडल थे। वे व्यावसायिक मॉडल हैं जो एटीएम में उपयोग किए जाते हैं, और क्रमशः यहां और यहां (साथ ही कई अन्य विक्रेताओं पर) उपलब्ध हैं।

एकत्रित वीडियो सेगमेंट को ग्रेस्केल में परिवर्तित किया गया, सामान्यीकृत और फसल दिया गया, और फिर 250×250 पिक्सेल तक आकार दिया गया और मशीन लर्निंग प्रशिक्षण सत्र में शामिल किया गया। क्लिप को कुंजी प्रेस से संबंधित फ्रेम की उप-क्रमों को प्राप्त करने के लिए खंडित किया गया था। ऑडियो संकेत (जैसा कि ऊपर उल्लेख किया गया है) का उपयोग प्रेस इवेंट के लिए टाइमस्टांप मार्कर के रूप में किया गया था।

प्रशिक्षण

डेटासेट को प्रशिक्षण, सत्यापन और परीक्षण सेट में विभाजित किया गया था, और प्रशिक्षण एक एक्सियोन (आर) इंटेल सीपीयू पर हुआ, जो 2.60 गीगाहर्ट्ज पर चल रहा था और 128 जीबी रैम से सुसज्जित था। डेटा को केरास 2.3.0-टीएफ (टेंसोरफ्लो 2.2.0) और पाइथन 3.8.6 पर लागू किया गया था, जिसमें तीन टेस्ला के 20 मी जीपीयू थे, प्रत्येक में 5 जीबी वीआरएएम थी।

परिवर्तनशीलता को ध्यान में रखने के लिए (प्रकाश, थोड़ा कैमरा कोणों में अंतर, आदि), सिंथेटिक उदाहरण और विकृतियां (जैसे घुमाव और दृश्य बदलाव) उत्पन्न की गईं, और लेखकों का उल्लेख है कि इस प्रकार का डेटा संवर्द्धन मॉडल की प्रभावशीलता में सुधार करने में बहुत मददगार है।

परिणाम

मॉडल का परीक्षण तीन परिदृश्यों में किया गया था: ‘एकल पिन पैड’, जहां हमलावर पिन पैड के मॉडल को जानता है, और विशेष रूप से इसके लिए प्रशिक्षित होता है; ‘पिन पैड स्वतंत्र’, जहां मॉडल एक पैड पर प्रशिक्षित होता है जो लक्ष्य पिन पैड के समान है (लेकिन समान नहीं); और एक ‘मिश्रित परिदृश्य’, जहां हमलावर के पास दोनों पिन पैड्स की एक प्रति है।

तीन परिदृश्यों में सामान्य परिणाम, जहां टॉप-एन एक प्रयास के भीतर अंक का अनुमान लगाता है।

5-डिजिट पिन की तुलना में 4-डिजिट पिन के अनुमान के लिए सटीकता में एक उल्लिखित अंतर है:

प्रतिरक्षा

मौजूदा प्रणालियों (बिना पूरे पिन/एटीएम सुरक्षा बुनियादी ढांचे को फिर से डिज़ाइन किए) के खिलाफ सुरक्षा उपायों पर विचार करते हुए, शोधकर्ता यह मानते हैं कि इस प्रकार के हमले के खिलाफ कोई वास्तविक रूप से कार्यशील रक्षा नहीं है।

पिन नंबरों में न्यूनतम आवश्यक संख्याओं को लंबा करने से उन्हें याद रखना अधिक कठिन हो जाएगा; टच-स्क्रीन सॉफ्टवेयर कीबोर्ड के साथ कीपैड के नंबरों को यादृच्छिक करना, हालांकि एटीएम तैनाती में बढ़ती जा रही है, भी उपयोगिता समस्याएं पैदा करती है; और स्क्रीन प्रोटेक्टर न केवल मौजूदा एटीएम पर तैनात करने के लिए महंगे होंगे, बल्कि तर्कसंगत रूप से पेपर के हमले को और अधिक कार्यान्वित करने में मदद करेंगे, यह इस बात पर निर्भर करता है कि यह कितना कवरेज प्रदान करेगा। शोधकर्ता दावा करते हैं कि उनका हमला तब भी काम करता है जब पिन पैड का 75% हिस्सा ढका होता है (और अधिक कवर करने से ग्राहक के लिए टाइप करना मुश्किल हो जाएगा)।

एक मानव-आधारित समकक्ष को स्वचालित पिन निष्कर्षण का निर्माण करने में, वास्तविक लोगों ने उसी जानकारी के आधार पर एआई सिस्टम की सटीकता का केवल एक अंश हासिल किया।

काम के भविष्य के विकास में, शोधकर्ता गैर-दाहिने हाथ वाले लोगों से परिणामों की जांच करने और हाथ-कवरिंग रणनीतियों की जांच करने का इरादा रखते हैं जो हमले को कम कर सकते हैं। वे बड़ी आयु और नस्लों के विविधता के साथ प्रयोगों को दोहराने का भी इरादा रखते हैं, क्योंकि वे देखते हैं कि बड़े लोग पिन दर्ज करते समय अधिक महत्वपूर्ण और बताने वाली हाथ की गति करते हैं, और यह हमला ‘दूसरी नस्लों’ (कॉकेशियन के अलावा) के लोगों के लिए काम करने में कठिनाइयों का सामना करेगा।