Këtë e demonstron një studim i Universitetit të Padovës, i cili ka zhvilluar një sistem të aftë për të analizuar lëvizjet e gishtërinjve, edhe nëse janë të mbuluar, dhe të gjurmojë deri te kodi.
Makinat e automatizuara të llogarive (ATM) janë ndër pajisjet që përdorim çdo ditë, të cilat janë veçanërisht të ndjeshme ndaj sulmeve me qëllim të keq për arsye të dukshme. Edhe pse prej vitesh flitet (me rezultate të përziera) për uljen e përdorimit të parave të gatshme, raporti më i fundit statistikor mbi mashtrimin me kartat e pagesave i publikuar nga Departamenti i Thesarit i Shteteve të Bashkuara raporton se vlera e mashtrimit me ATM është rritur me 44% midis 2019-ës dhe 2020. Siguria e këtyre pajisjeve, për ata që i përdorin dhe për vetë bankat, garantohet nga një sërë masash paraprake të zbatuara pjesërisht nga përdoruesi dhe pjesërisht nga prodhuesi.
Baza e këtyre masave është PIN, një kod numerik 4 ose 5-shifror që duhet futur përpara çdo operacioni, në mënyrë ideale duke u siguruar që të mos vëzhgohet dhe duke e mbuluar dorën që shtyp me atë të lirë. Për më tepër, në ekran figurat përfaqësohen të gjitha me të njëjtin simbol, zakonisht një pikë, dhe të shoqëruara nga një tingull që është gjithmonë i njëjtë në kohëzgjatje dhe tonalitet.
Por a mjaftojnë këto masa paraprake? Studiuesit e grupit Spritz (Security and Privacy Through Zeal) në Universitetin e Padovës të udhëhequr nga profesori Mauro Conti ka publikuar së fundmi një studim të titulluar Hand me your pin!, i cili propozon një lloj të ri sulmi keqdashës ndaj ATM-ve me synimin për të gjurmuar PIN-in e përdoruesve edhe kur ata fshehin mirë procesin e shtypjes së kodit.
Sulmi ndodh përmes përdorimit të (të paktën) një kamere dhe një procesi të thellë mësimi (deep learning). Kjo e fundit kërkon një fazë përgatitore në të cilën sulmuesi krijon një kopje të ATM-së së synuar dhe simulon sjelljen e viktimave që fusin kodin duke e mbuluar atë me dorën e tyre të lirë. Në këtë fazë është thelbësore që krimineli të marrë një pinpad sa më të ngjashëm në hapësirën midis sustave dhe në reagimin që ata kthejnë në atë referencë, idealisht të njëjtin model. Studiuesit theksojnë se ky skenar nuk është aq jorealist sa mund të duket, por përkundrazi do të ishte mjaft e lehtë për të gjurmuar një model specifik dhe për të blerë një kopje.
Simulimi rifillon nga një kamerë e vendosur në pjesën e sipërme të derës, në qendër për të shmangur dallimet mes të majtës dhe të djathtës, ndërsa tastet e shtypur regjistrohen nga një ndërfaqe USB. Pasi të krijohet një koleksion videosh, ato ndahen në segmente të vogla duke i përshtatur minutat me tastet e shtypura për të ndërtuar një model parashikues bazuar në këto të dhëna. Studiuesit morën 58 persona midis moshës 24 dhe 50 vjeç, secili prej të cilëve duhej të fuste 100 PIN të krijuara rastësisht për një total prej 5,800 regjistrimesh, duke përjashtuar ato në të cilat pjesëmarrësit nuk e mbuluan saktë dorën gjatë shtypjes së kodit.
Rezultatet tregojnë një shkallë të konsiderueshme suksesi: me tre përpjekje, ato të dhëna normalisht përpara se karta të bllokohej, algoritmi ishte në gjendje të gjurmonte pinin e saktë në 30% të rasteve për kodet 5-shifrore dhe në 41% të rasteve për kodet 4-shifrore. ato. Në përfundimet e tyre, studiuesit nxorën në pah disa nga kufizimet e studimit që: për shkak të natyrës vullnetare të projektit dhe kufizimeve për pandeminë Covid-19, ai përfshinte vetëm njerëz të djathtë, të përkatësisë etnike Kaukaziane dhe në një gamë të kufizuar moshe. Grupi i profesor Conti beson se një prani më e madhe e njerëzve mëngjarashë mund ta vërë në vështirësi algoritmin, ndërsa njerëzit e moshuar mund ta lehtësojnë atë pasi priren të bëjnë lëvizje më të mëdha kur futin kodet.
Studiuesit pyetën gjithashtu se cilat do të ishin kundërmasat më efektive për të marrë. Rezultatet tregojnë se PIN-et më të gjatë janë gjithashtu më të vështirë për t’u rindërtuar, për rrjedhojë rritja e numrit të shifrave do t’i bënte ato më pak të cenueshme. Akoma më i dobishëm do të ishte përdorimi i tastierave virtuale të rastësishme, në të cilat numrat që do të shtypen shfaqen në mënyrë të rastësishme, si dhe zbatimi i mbrojtjeve në ATM që mbulojnë fizikisht tastierat. Megjithatë, të gjitha këto zgjidhje komprometojnë në një masë të caktuar lehtësinë e përdorimit të pajisjeve, duke çuar në pyetjen se cili është kompromisi i duhur midis sigurisë dhe komoditetit.
