Noua metodă prin care hackerii pot afla codul PIN de la card
Potrivit unui renumit expert în securitate, abundența de senzori încorporați în dispozitivele smartwatch poate permite unui hacker să afle codul PIN tastat pentru folosirea ATM-urilor bancare, doar pe baza mișcărilor mâinii.
În demonstrația făcută cu ocazia conferinței ASIACCS (Association for Computing Machinery Asia Conference on Computer and Communications Security), organizată luna trecută în orașul Xi”an din China, echipa de cercetători condusă de expertul în securitate Yan Wang a reușit să identifice cu acuratețe de 80% codul numeric tastat la consola unui ATM, scrie Go4it.
Fără a avea nevoie de camere video, sistemul bazat exclusiv pe senzorii încorporați într-un smartwatch poate diferenția chiar și cele mai subtile mișcări ale mâinii, gestul de acoperire a palmei în timpul tastării pentru a opri privirile indiscrete devenind practic inutil.
Cercetătorii au testat cu succes noua metodă de interceptare folosind smartwatch-uri din seria LG W150, Moto360 și Invensense MPU-9150, însă numărul dispozitivelor vulnerabile este cu siguranță mult mai mare. Pentru ca metoda să funcționeze, este necesară infiltrarea unei aplicații compromisă pe dispozitivul vizat. Alternativ, coordonatele de mișcare folosite pentru extrapolarea codului tastat pot fi obținute și interceptând conexiunea Bluetooth între dispozitivul smartwatch și telefonul mobil, fără a fi necesară instalarea unei aplicații malware.
Odată depășit acest prim obstacol, o eventuală grupare de hackeri nu trebuie decât să potrivească codurile PIN recepționate de pe dispozitivele compromise cu datele cardurilor bancare înregistrate folosind dispozitive de tip skimmer, comparând data și ora la care au fost obținute, respectiv coordonatele GPS ale bancomatului vizitat (dacă sunt țintite mai multe ATM-uri simultan).
Avantajul pentru atacator este că nu trebuie să se afle în imediata vecinătate a ATM-urilor vizate și nici a victimelor, datele cardurilor de credit și codurile PIN putând fi trimise la distanță folosind conexiunea wireless a dispozitivului purtat la mână, respectiv skimmer-ul prevăzut cu modul GSM și acces la internet mobil.
Momentan, singura soluție sigură pentru a împiedica interceptarea codului PIN este să nu îl tastăm cu mâna la care purtăm dispozitive smart, respectiv să acoperim consola numerică pentru preveni interceptarea acestuia pe cale vizuală.
Sursa: Go4it