Bezpečnostní experti se zasloužili o noční můru uživatelů, kteří vybírají hotovost z bankomatů, anebo jejich prostřednictvím provádějí i další bankovní transakce. Vytvořili program, který zkoumal zadávání údajů do bankomatů u mnoha zákazníků. Píše o tom server Bleeping Computer ve svém příspěvku "Credit card PINs can be guessed even when covering the ATM pad". Algoritmus se dokázal naučit zpracovat získaná data tak, že zvládl vypočítat pravděpodobnost PIN kódu pro další vstupy. Čtyřmístný PIN kód bankovních klientů se podařilo uhodnout ve 41% případů. Zajímavá na tom všem je také skutečnost, že se to podařilo i v případě, kdy uživatelé při zadávání PIN zakryli číselnou klávesnici.
V rámci experimentu experti vložili do programu celkem 5800 video záznamů při vkládání PIN kódů od 58 různých osob. V průběhu experimentu střídavě zadávali čtyřmístný a pětimístný PIN kód. V rámci tolerance počtu pokusů při zadávání kódu PIN program poté odhadl správnou kombinaci. Ve většině případů jsou možné tři pokusy.
Model dokáže vyloučit nepoužitá tlačítka na základě umístění ruky, kterou uživatel nezadává a použije ji k zakrytí klávesnice, a z pohybů prstů druhé ruky odhadne stisknuté klávesy na základě délky jednotlivých prstů, jejich sklonu a vzdálenosti kláves na vstupní matici.
Zadávání PIN: měli by se uživatelé začít obávat?
Výběr hotovosti z bankomatu: popisovaná metoda podvodu je pravděpodobně ještě otázkou budoucnosti. | Zdroj: Nick Pampoukidis/Unsplash
K provedení experimentu bylo potřeba použít výkonný hardware: procesor Intel Xeon E5-2670, 128 GB RAM a tři karty nVidia Tesla K20m. Nejde o nijak levný systém, zejména i proto, že je potřeba postavit repliku bankomatu, která by útočníkům posloužila ke sběru potřebného množství dat. Naučit algoritmus různé vzdálenosti a velikosti tlačítek na klávesnicích pro zadávání PIN je pro úspěšnost výsledků klíčové. Vzhledem k potenciálnímu zisku pro podvodníky může i tak být investice lákavá. Přesto zůstává otázkou, zda vzhledem ke komplikovanosti rentabilní. Zloději by museli ovládat práci s umělou inteligencí a poskytovat jí data.
Bezpečnostní experti nenechali PIN hádat pouze umělou inteligencí. Tipovat PIN na základě poskytnutých videí mohlo i 78 testerů, a poté porovnat své výsledky se strojovým odhadem. Jejich výsledky ale byly mnohem slabší, než při strojovém zpracování. Lidem se podařilo tipnout správný PIN pouze v necelých osmi procentech případů.
5 foto