Algoritmo treinado por pesquisadores consegue adivinhar senhas bancárias

Todo caixa eletrônico tem um aviso pedindo para que seus usuários se certifiquem que ninguém está olhando para eles quando forem digitar a senha de suas contas bancárias, porém uma pesquisa demonstrou que o aviso, no futuro, também terá que alertar sobre riscos virtuais.

• Acer admite vazamento de informações de vendedores e distribuidores
• Maior botnet do mundo rouba milhões de dólares com um simples golpe
• Accenture confirma roubo de dados em ataque ransomware realizado em agosto

Um algoritmo de aprendizado profundo foi treinado por pesquisadores da Universidade de Pádua, na Itália, para adivinhar a senha de cartões bancários a partir de vídeos de pessoas usando caixas eletrônicos. Ele conseguiu acertar a combinação 41% das vezes, mesmo em casos onde a filmagem mostrava o teclado escondido por mãos. 

A aprendizagem profunda (deep learning) é uma função de inteligência artificial (IA) que tem como objetivo imitar o funcionamento do cérebro humano no processamento de dados e na criação de padrões para uso na tomada de decisões, sendo a tecnologia ideal para um algoritmo adivinhador de senhas. 

O experimento foi realizado em um computador com processador Xeon E5-2670 com 128 GB de RAM e três GPUs Tesla K20m com 5 GB de RAM cada, componentes caros usados normalmente em data centers.

Como ocorreu o estudo 

O primeiro passo do estudo foi a confecção de uma réplica do caixa eletrônico usado pelas cobaias no laboratório, já que as dimensões específicas e o espaçamento de cada uma das teclas são fatores importantes no treinamento do algoritmo. Depois, o modelo de aprendizado profundo foi treinado com 5,800 vídeos de 58 pessoas diferentes digitando as senhas de quatro e cinco dígitos de seus cartões. O algoritmo, por fim, mostrava uma série de combinações, e a probabilidade delas serem as corretas. 

Os pesquisadores analisaram três tentativas de adivinhação do algoritmo por teste, tomando como base o número comum de erros que as pessoas podem cometer antes de bloquear seus cartões. Durante essas tentativas, o algoritmo conseguiu reconstruir a sequência correta 30% das vezes, em casos de cinco dígitos, e 41%, em quatro dígitos.

O treinamento do algoritmo, além de tornar ele capaz de prever quais botões foram apertadas a partir dos movimentos das cobaias, também ensinou o modelo de aprendizagem profunda a excluir teclas a partir da posição da mão da pessoa filmada.

A posição da câmera também se provou importante no estudo, com os pesquisadores colocando um dispositivo de captura em um pequeno buraco no topo do caixa eletrônico sendo o procedimento ideal para esse método. Se o aparelho for um modelo capaz de captar áudio, o algoritmo pode ser treinado para identificar a tecla pelos sons emitidos, que contam com pequenas diferenças. 

Como se proteger

O estudo mostrou que somente cobrir os teclados dos caixas eletrônicos não é uma proteção suficientemente efetiva, considerando um futuro onde esses algoritmos possam ser usados por criminosos para o roubo de dados, mas pode ajudar a mitigar os riscos, com os dados da pesquisa indicando que um teclado 75% coberto, deixava a precisão do modelo de aprendizagem profunda em 0,55 de um máximo de 1, e se totalmente coberto, o mesmo número caia para 0,33. 

Os responsáveis pelo estudo recomendam que clientes de bancos que oferecem a opção de senhas com mais de quatro dígitos, usem-na, já que a pesquisa também descobriu que, em casos onde a senha do cartão é composta por cinco dígitos, a efetividade do algoritmo era afetada.

Por fim, uma última sugestão dos pesquisadores para a diminuição dos riscos é o uso de teclados virtuais e randomizados em caixas eletrônicos. Embora essa solução seja um pesadelo logístico para as instituições financeiras, com os custos envolvidos com a mudança, ela é a melhor forma de evitar que, no futuro, algoritmos como esses possam apresentar perigos críticos. 

Vale frisar que os pesquisadores realizaram o mesmo estudo com 78 participantes humanos, e eles só conseguiram acertar as senhas em 7.92% das tentativas, taxa considerada ineficiente para o uso dessa tática por pessoas.  

Fonte: BleepingComputer