Napad na bančne avtomate z IR-kamerami

Matej Huš

4. sep 2011 ob 11:46:28

Ena izmed enostavnih metod za zaščito pred zlorabo na bančnem avtomatu je pazljiv vnos številke PIN. Kadar nepridipravi bančne avtomate opremijo z bralniki zapisa, namestijo tudi kamero, ki snema številčnico, od koder dobijo PIN. Doslej je bilo dovolj, če smo med vpisom PIN-a številčnico prekrili z roko. Raziskovalci s sandiegovske Univerze v Kaliforniji so na avgustovskem USENIX Security Symposiumu prikazali napad, ki stre tudi ta oreh.

Predstavljena zamisel je zelo preprosta. Bančni avtomat lahko opremimo z infrardečo kamero, ki beleži temperaturo posameznih tipk. Pritisnjene tipke ob vnosu PIN-a so toplejše od neuporabljenih, tako da lahko na ta način 'preberemo' kodo tudi, če uporabnik številčnico zakrije z roko.

Če posnetek preberejo takoj po vnosu številke, lahko z 80-odstotno natančnostjo povedo, katere tipke so bile pritisnjene, nato pa odstotek pada. Po minuti pade na polovico, po poldrugi minuti pa na 20 odstotkov, ker tipke oddajo toploto. Pri tem je podatke laže prebrati s plastičnih, saj toploto odvajajo počasneje od kovinskih.

K sreči nam v prid za zdaj še delujejo trije dejavniki, zaradi katerih ni pričakovati takojšnjega razmaha teh napadov. Prvič, težko je ugotoviti vrstni red pritiska tip (brez njega pa je v splošnem 24 štirimestnih kombinacij). Drugič, težavo predstavljajo kovinske tipke, s katerih toplota uide tako hitro, da je posnetek neuporaben, in tretjič, IR-kamere so za zdaj še predrage, da bi se uporaba splačala. Zaščita pa tudi ni pretežka - bodisi tipke pritiskamo s plastičnim predmetom bodisi, kar je še enostavneje, po vnosu pritisnemo še dodatno številko ali dve.