I Ricercatori scientifici hanno dimostrato un nuovo attacco per ricostruire i PIN inseriti dalle vittime, nonostante coprano con la mano il pad, attraverso uno speciale algoritmo di deep learning in grado di indovinarli il 41% delle volte.
Considerata l’impostazione in cui l’attaccante può accedere a un PIN pad ATM della stessa marca/modello di quello bersaglio, successivamente, l’attaccante utilizza quel modello per dedurre le cifre premute dalla vittima durante l’immissione del PIN.
L’architettura di deep learning, accuratamente selezionata, può dedurre il PIN dalla posizione e dai movimenti della mano che digita. L’analisi sperimentale dettagliata dei ricercatori ha incluso 58 utenti e dimostrato che è possibile indovinare il 30% dei PIN a 5 cifre entro tre tentativi, quelli solitamente consentiti dall’ATM prima di bloccare la carta. I ricercatori hanno anche condotto un sondaggio con 78 utenti che sono riusciti a raggiungere una precisione di solo il 7,92% in media per la stessa impostazione.
Il posizionamento della telecamera che cattura i tentativi ricopre un ruolo chiave. Nascondere una telecamera stenopeica nella parte superiore del bancomat è l’approccio migliore per l’attaccante.
L’esperimento dei ricercatori dimostra che coprire il PIN pad con l’altra mano non è sufficiente per difendersi dagli attacchi basati sul deep learning.
“Gli sportelli automatici (ATM) rappresentano il sistema più utilizzato per prelevare contanti. La Banca centrale europea ha registrato oltre 11 miliardi di prelievi di contanti e operazioni di carico/scarico sugli ATM europei nel 2019. Sebbene gli ATM abbiano subito varie evoluzioni tecnologiche, i numeri di identificazione personale (PIN) sono ancora il metodo di autenticazione più comune per questi dispositivi. Sfortunatamente, il meccanismo del PIN è vulnerabile agli attacchi alla spalla eseguiti tramite telecamere nascoste installate vicino al bancomat per catturare il PIN pad. Per superare questo problema, le persone si abituano a coprire la mano che scrive con l’altra. Sebbene tali utenti probabilmente credano che questo comportamento sia abbastanza sicuro da proteggere dagli attacchi menzionati, non esiste una chiara valutazione di questa contromisura nella letteratura scientifica”, comunicato i ricercatori.