ALLERTA PERICOLI INFORMATICI

Scoprire i pin allo sportello della banca anche se nascosti è più facile del previsto

Scoprire i pin allo sportello della banca anche se nascosti è più facile del previsto
Scritto da gestore

Condividiamo un interessante articolo di WIRED sulla sicurezza del PIN. Scoprire i pin allo sportello della banca anche se nascosti è più facile del previsto. Lo dimostra uno studio dell’Università di Padova, che ha messo a punto un sistema in grado di analizzare i movimenti delle dita, anche se coperte, e risalire al codice.

La cybersecurity è sempre più sulla bocca di tutti. Le notizie legate al tema sono all’ordine del giorno ma sembrano spesso lontane dalla nostra quotidianità, da ransomware che mettono in ginocchio interi sistemi sanitari a spyware acquistati da governi autoritari per tenere d’occhio oppositori e giornalisti. Ma la sicurezza informatica ci coinvolge anche sul personale, e non solo per quanto riguarda device connessi come smartphone e notebook.

Intermezzo promozionale ... continua la lettura dopo il box:

Tra i dispositivi che usiamo quotidianamente rientrano anche gli sportelli bancari automatici (Automated teller machine, Atm), particolarmente sensibili ad attacchi malevoli per ovvie ragioni. Nonostante da anni si parli – con risultati alterni – di riduzione dell’uso del contante, l’ultimo rapporto statistico sulle frodi con le carte di pagamento pubblicato dal dipartimento del Tesoro degli Stati Uniti segnala come il valore delle frodi compiute sugli Atm sia cresciuto del 44% tra 2019 e 2020. La sicurezza di questi dispositivi, per chi ne fruisce e per le banche stesse, è garantita da una serie di precauzioni messe in atto in parte dall’utente e in parte dal costruttore.

Alla base di queste misure c’è il pin, un codice numerico di 4 o 5 cifre da inserire prima di ogni operazione, idealmente assicurandosi di non essere osservati e coprendo la mano che lo digita con quella libera. Inoltre, sullo schermo le cifre vengono tutte rappresentate dallo stesso simbolo, di norma un punto, e accompagnate da un suono sempre uguale per durata e tonalità.

Ma le nostre precauzioni bastano?
Ma queste precauzioni sono sufficienti? Si sono posti questa domanda all’Università di Padova i ricercatori del gruppo Spritz (Security and Privacy Through Zeal). Il gruppo guidato dal Professor Mauro Conti ha di recente pubblicato uno studio, dal titolo Hand me your pin!, che propone un nuovo tipo di attacco malevolo agli Atm con l’obiettivo di risalire ai pin degli utenti anche quando questi nascondono con la mano libera quella che lo sta digitando.

L’attacco avviene tramite l’utilizzo di (almeno) una telecamera e un processo di deep learning. Quest’ultimo necessita di una fase preparatoria in cui l’attaccante crea una replica dell’Atm preso di mira e simula il comportamento delle vittime che inseriscono il pin coprendolo con la mano libera. In questa fase è fondamentale per il criminale procurarsi un pinpad il più possibile simile nella spaziatura tra i tasti e nel feedback che questi restituiscono a quello di riferimento, idealmente lo stesso modello. I ricercatori sottolineano come questo scenario non sia irrealistico come potrebbe sembrare, ma anzi sarebbe piuttosto facile risalire a uno specifico modello e acquistarne una copia.

La simulazione è ripresa da una camera posizionata nella parte superiore dello sportello, al centro per evitare differenze tra mancini e destrimani, mentre i tasti premuti vengono registrati da un’interfaccia usb. Una volta creata una raccolta di video, questi vengono suddivisi in piccoli segmenti facendo corrispondere i minutaggi ai tasti premuti per costruire un modello predittivo basato su questi dati. I ricercatori hanno coinvolto 58 persone tra i 24 e i 50 anni, ognuna delle quali ha dovuto inserire 100 pin generati casualmente per un totale di 5800 registrazioni, da cui sono state escluse quelle in cui i partecipanti non avevano coperto correttamente la mano mentre digitavano il pin.

I risultati dello studio
I risultati mostrano un tasso di successo significativo: con tre tentativi, quelli normalmente concessi prima che la carta venga bloccata, l’algoritmo è stato in grado di risalire al pin corretto nel 30% dei casi per i codici a 5 cifre e nel 41% dei casi per quelli a 4 cifre. Nelle loro conclusioni, i ricercatori mettono in luce alcuni dei limiti dello studio: a causa della natura volontaria del progetto e delle limitazioni per la pandemia da Covid-19, questo ha coinvolto solo persone destrimani, di etnia caucasica e in un range di età limitato. Il gruppo del professor Conti ritiene che una maggiore presenza di mancini potrebbe mettere in difficoltà l’algoritmo, mentre persone più anziane potrebbero facilitarlo in quanto tendono a fare movimenti più ampi nell’inserire i pin.

I ricercatori si sono anche chiesti quali sarebbero le contromisure più efficaci da adottare. I risultati mostrano come i pin più lunghi siano anche più difficili da ricostruire, di conseguenza aumentarne il numero di cifre li renderebbe meno vulnerabili. Ancora più utile sarebbe l’utilizzo di tastiere virtuali randomizzate, in cui i numeri da premere appaiono in ordine casuale, così come implementare negli Atm delle protezioni che coprano fisicamente i tastierini. Tutte queste soluzioni però compromettono in una certa misura la facilità di utilizzo dei dispositivi, portando a chiedersi quale sia il giusto compromesso tra sicurezza e comodità.

Intermezzo promozionale ... continua la lettura dopo il box:

Fonte : https://www.wired.it/