Uważaj przy bankomacie. Termowizja może cię zdradzić

Kamery termowizyjne mogą posłużyć przestępcom do zdobywania poufnych danych związanych z płatnościami. Mimo że temat ten może wydawać się niszowy, w świecie cyberprzestępców metoda ta zyskuje na popularności. Skuteczności tego rozwiązania przyjrzeli się naukowcy z Glasgow.

Nowoczesne kamery termowizyjne bywają mniejsze od przeciętnego smartfona. Z tego względu przestępcy mogą w łatwy sposób z ukrycia obserwować otoczenie, pozyskując informacje na temat temperatury danych obiektów - na przykład przycisków w bankomatach czy terminalach płatniczych.

Dalsza część artykułu pod materiałem wideo

Eksperci z Uniwersytetu w Glasgow pokazali, jak przestępcy mogą wykorzystywać kamery termowizyjne do odczytywania kodów PIN i haseł. W opublikowanym przez nich badaniu opisano połączenie technologii termowizyjnej ze sztuczną inteligencją, co pozwoliło stworzyć system ThermoSecure. Dzięki niemu złodzieje mogą z dużą dokładnością odgadnąć PIN-y do bankomatów, ale także inny hasła, takie jak kody dostępu do smartfonów czy hasła komputerowe.

Technika opisana przez naukowców jest zaskakująco skuteczna. Okazuje się, że złodzieje mogą odszyfrować nawet 86 proc. haseł, jeśli przeprowadzą skan w ciągu 20 sekund od momentu wpisania kodu. Nawet jeśli upłynie 30 sekund, skuteczność pozostaje na poziomie 76 proc., a przy 60 sekundach – 62 proc. Wraz z czasem różnica temperatur ulega zatarciu, przez co przestępcy mają ograniczone pole do popisu.

Co ciekawe, system ThermoSecure pozwala na odczytanie nie tylko prostych PIN-ów, ale również dłuższych haseł. Dla przykładu, przy zachowaniu 20-sekundowego odstępu od momentu wpisania hasła, algorytm ma aż 67 proc. skuteczności w odgadnięciu haseł składających się z 16 znaków, 82 proc. dla haseł o długości 12 znaków, a dla haseł, które składają się z ośmiu znaków, osiąga już 93 proc. skuteczności.

W ciągu 20 sekund przestępcy są w stanie ze stuprocentową skutecznością rozpoznać numery PIN o długości sześciu znaków. W przypadku PIN-ów do kart, które mają cztery znaki, zadanie jest jeszcze łatwiejsze.

Ze względu na niską cenę i poręczność, przestępcy uzyskują łatwy dostęp do kamer termowizyjnych. Urządzenia te są bardzo poręczne – mają zwykle rozmiary około 4 na 4 cm, co umożliwia ich dyskretne schowanie w kieszeni. W połączeniu z laptopem lub smartfonem złodzieje mogą łatwo je wykorzystać do przechwytywania danych.

Ochrona przed tego typu atakami jest trudna, lecz jak pokazują wyniki badań naukowców z Glasgow, kluczowy jest tutaj czas. Im dłużej po wpisaniu kodu pozostajemy przy bankomacie czy innym urządzeniu, tym bardziej obniżamy szanse na odczytanie kodu PIN.

Innym sposobem na ochronę jest wprowadzanie kodów w inny sposób. Przestępcy używają kamer termowizyjnych do śledzenia ciepłych śladów, które zostawiamy na klawiaturze, a kolejność wprowadzanych cyfr można zidentyfikować, analizując zmieniające się temperatury – od najcieplejszych do najchłodniejszych.

W przypadku urządzeń takich jak bankomaty czy tablety, można próbować wprowadzać kod za pomocą przedmiotów o temperaturze niższej niż temperatura ciała, aby pozostawić po sobie słabszy ślad cieplny, który szybciej znika. W przypadku klawiatur fizycznych w bankomacie można też próbować dotykać innych przycisków na tyle lekko, by ich nie uruchamiać, ale wpływać na ich temperaturę.

Przy smartfonach sytuacja jest nieco prostsza. Wystarczy po wpisaniu kodu schować telefon do kieszeni ekranem w stronę ciała lub pod kurtkę. W tym kontekście bezpieczniejszym rozwiązaniem wydaje się korzystanie z metod biometrycznych, takich jak czytnik linii papilarnych lub skanowanie twarzy. Pamiętajmy jednak, że rozwiązanie to nie gwarantuje pełni bezpieczeństwa w każdej sytuacji.