Искусственный интеллект научился подбирать пин-код карты по видео

Искусственный интеллект научился по видео подбирать четырехзначный пин-код от банковской карты, который граждане вводят в банкомате. Метод работает, даже если клиент на 75% прикрывает клавиатуру рукой. Об этом говорится в статье ученых из Университета Падуи и Делфтского университета, опубликованной на портале Корнеллского университета США. По словам ученых, сейчас не существует защиты от таких атак.

Исследователи создали алгоритм, который использует две нейронные сети. Одна отвечает за распознание положения незакрытой части кисти в пространстве для каждого кадра. Вторая опирается на полученные данные для извлечения изменяющихся шаблонов. Время нажатия клавиш определяется с помощью синхронизации движений руки с заполнением звездочек на экране банкомата. Таким образом удается установить точное расположение рук. Для обучения модели записали 5800 видео, на которых 58 добровольцев-правшей вводили пятизначный пин-код.

Обученный искусственный интеллект смог угадать четырехзначный пароль с точностью 41%, пятизначный – 30%. Точность можно повысить с помощью использования большого набора данных для обучения модели, считают исследователи. Они также утверждают, что частичное закрытие клавиатуры – недостаточная мера защиты, потому что метод работал даже при закрытии ее на 75%. Впрочем, чем большую часть ладони удастся прикрыть, тем меньше шанс, что злоумышленники с помощью видео смогут завладеть пин-кодом карты. Увеличение длины пин-кода и случайный порядок расположения цифр на клавиатуре также затруднит его распознавание, считают ученые.

Во II квартале 2021 г. мошенники украли у граждан 3 млрд руб., через банкоматы – 435 млн руб., говорится в статистике ЦБ.

Сейчас злоумышленники могут получить пин-код следующими способами, перечисляет заместитель начальника департамента защиты информации Газпромбанка Алексей Плешков: подсмотреть в очереди, с помощью специальной накладки на клавиатуру или камеры, своровать записанный на бумажке, из записей в мобильном телефоне, путем обмана с помощью фишинговых сайтов и социальной инженерии, путем установки вредоносного программного обеспечения на банкомат, которое перехватывает пин-код при его вводе на клавиатуре до шифрования.

Если злоумышленники любым способом завладеют пин-кодом, то им останется только получить второй фактор – карту или ее копию, рассказал главный эксперт «Лаборатории Касперского» Сергей Голованов. Злоумышленники используют для копирования карт специальные технические устройства или устанавливают вредоносные программы на терминалы оплаты, объясняет он. Цель устройств – скопировать информацию либо с магнитной ленты карты (скиммеры), либо с чипа (шиммеры). Получив информацию, мошенники могут продать ее в даркнете или самостоятельно записать на чистую карту, чтобы впоследствии снять деньги в банкомате.

Еще в 2018 г. в Бразилии научились воровать данные о картах с чипом и клонировать их, об этом рассказывали исследователи «Лаборатории Касперского». Группировка Prilex использовала для этого зловредное программное обеспечение, которым заражались платежные терминалы. Злоумышленники могли перехватывать данные, получаемые от карты и отправляемые в банк. Стоило один раз заплатить через зараженный терминал – и данные карты попадали к преступникам.

Пока подбор пин-кода с помощью искусственного интеллекта осуществили в лабораторных ­условиях, говорит Голованов, но это может стать серьезной ­угрозой в странах, где распространен скимминг – воровство и копирование банковских карт. Впрочем, по словам эксперта, в России последний скиммер (устройство для клонирования карты) встречался на реальном банкомате в 2018 г. Теоретически концепт можно реализовать, но это затратно либо технологически, либо физически, а у мошенников есть более простые и реализуемые решения для кражи денег, считает начальник отдела информационной безопасности «Сёрчинформа» Алексей Дрозд: «Злоумышленники не смогут воспользоваться новой технологией, поэтому угроза не актуальная для банков и их клиентов».