За последний год с пластиковых карт и банковских счетов россиян злоумышленники украли 13,5 миллиардов рублей - такие данные приводит Центральный банк России. Почему это происходит? Только потому, что жулики не читают научные журналы и не очень-то дружат с наукой. Если бы они следили за последними веяниями, то вынесли бы с ваших счетов все без остатка. Во всяком случае, технические возможности для этого существуют.
Большинство схем мошенничества строятся на том, чтобы во время разговора задурить голову жертве так, чтобы она сама назвала реквизиты банковской карты, пароль, PIN-код и CVV-код. Но прибегать к дедовским лайфхакам вовсе не обязательно.
Недавно исследование ученых из Университета Глазго опубликованное в журнале ACM Transactions on Privacy and Security продемонстрировало, что система безопасности, основанная на PIN-кодах и паролях, устарела и не является надежной. Чтобы не быть голословными ученые разработали систему ThermoSecure, она управляется искусственным интеллектом и взламывает 6-значные пароли с вероятностью 92 процента. А 8-значные вычисляет с точностью 80 процентов.
Как это работает? Ученые применили очень простую физику. Когда вы вводите цифры пароля на клавиатуре компьютера, банкомата или на экране смартфона, то ваши пальцы оставляют тепловые следы. Следовательно, тепло, которые передают клавишам подушечки пальцев, можно обнаружить и использовать для взлома паролей. Для этого экспериментаторы использовали тепловизор. С его помощью делали тепловые снимки поверхности сенсорного экрана смартфона или компьютерной клавиатуры. Затем полученные изображения обрабатывались алгоритмами искусственного интеллекта.
- Тепловые следы со временем растворяются в поверхности, поэтому самой горячей будет клавиша, которую вы нажимали последней, - рассказывает доцент Университета Мохамед Хамис. - Используя это нехитрое наблюдение, злоумышленники легко могут определить порядок ввода данных. Успешную попытку взлома можно выполнить, изучив тепловое изображение даже визуально. Однако если аферисты воспользуются технологиями искусственного интеллекта (вроде тех, что работали в системе ThermoSecure), то с высокой точностью смогут взламывать коды даже спустя длительное время после их ввода законным владельцем.
Ученые вычисляли пароли спустя 30-60 секунд с момента ввода. Этого времени вполне хватит, чтобы вор, например, прочитал PIN-код вашей карты после того, как вы извлекли ее из банкомата. В этом случае дальнейшая утрата карты может быть уже фатальной для вашего банковского счета.
Сами же ученые, обнаружившие изъян в системе, тут же предложили метод его исправления. Например, использовать для клавиатуры типы пластика, которые сохраняют тепловые следы очень непродолжительное время.
Конечно, на пути проходимцев существует еще барьер в виде двухфакторной идентификации. Это когда для перевода денег или совершения платежа помимо пароля необходимо ввести код, он приходит вам в сообщении от банка. Но, имея на руках пароль, жуликам гораздо проще залезть к вам в карман.
А В ЭТО ВРЕМЯ...
В МФТИ придумали чехол, который защитит карту от схемы жульничества с мобильным терминалом
Среди современных способов отъема денег у населения, которым пользуются пройдохи, широкую известность получила схема кражи с мобильным платежным терминалом. Для списывания суммы до 1000 рублей в большинстве случаев не надо вводить PIN-код, достаточно приложить карту к терминалу и деньги уходят автоматически. Этим и пользуются прохиндеи: если пройтись с таким устройством в час пик в переполненном общественном транспорте, то можно собрать неплохую дань с граждан.
Для защиты платежных карт выпускают специальные металлизированные чехлы с RFID-защитой. Метки RFID (радиочастотная идентификация) как раз дают возможность бесконтактной оплаты. Считывающее устройство посылает СВЧ-сигнал, а метка RFID «надевает» на него информацию, которая хранится в карточном чипе - по такой схеме и происходит оплата. Металлические чехлы полностью блокируют электромагнитный контакт, поэтому без ведома владельца карты ничего списать невозможно. Но у такого метода защиты есть и обратная сторона. Каждый раз для оплаты необходимо извлекать карту из чехла, а это не всегда удобно.
- Для повышения мобильности мы разработали умную металлическую обложку, которая полностью защищает карту, когда она лежит у вас в кармане. Но если взять чехол в руки, то бесконтактная оплата будет проходит, - объяснил Дмитрий Филонов, руководитель лаборатории радиофотоники Центра фотоники и двумерных материалов МФТИ.
Этот фокус оказался возможен благодаря интересному физическому явлению. Специалисты Физтеха оставили в металлическом чехле небольшое отверстие, через него RFID-метка излучает слишком слабый сигнал, чтобы он был считан мобильным терминалом. Но усилить сигнал можно простым движением руки! Дело в том, что человеческая рука примерно на 50-60% состоит из воды, которая является диэлектриком. Контакт с диэлектриком усиливает сигнал, и метка может быть «опрошена» считывателем.
Без контакта с рукой информация с карты не передаётся и снять деньги невозможно. Такой подход решает проблему несанкционированной дистанционной атаки. Кстати, типичное расстояние считывания RFID-меток обычно меньше метра. Но ученые МФТИ доказали, что данные с карты могут сниматься с расстояния до 20 метров!
