На симпозиуме по безопасности USENIX исследователи Университета Калифорнии представили отчет по работе «Горячий момент: исследование эффективности атак с помощью термо-сканеров».

Вдохновленные публикациями Майкла Залевски, они предположили, что преступникам будет намного проще заниматься кражей ПИН-кодов банковских карт, используя технологию теплого (инфракрасного) сканирования, нежели с помощью традиционных видеокамер.

Данный способ имеет множество преимуществ. В отличие от использования обычных камер, система остается незамеченной, а возможность автоматизировать процесс с помощью программного обеспечения намного упрощает задачу.

Исследователи с 21 добровольцами изучили качество считываемости тепловой картины при условиях: кнопки ПИН-пада выполнены из пластика и из полированного метала. Выяснилось, что атака почти невозможна в том случае, если кнопки ПИН-пада выполнены из металла, в случае, когда кнопки выполнены из пластика удавалось даже легко считывать последовательность ввода кода.
С помощью специально разработанного программного обеспечения получилось достигнуть 80% успеха при сканировании теплового рисунка в течение первых десяти секунд. В том случае, если рисунок был сканирован в течение 45 секунд, успех распознавания ПИН-кода был все еще велик — 60%.

В работе остаются нераскрытыми вопросы, каков успех распознавания в случае наличия повторяющихся цифр в последовательности; возможно ли распознавание кода, если пользователь вводит дополнительную информацию, такую как сумма трансакции, получатель и т.д.

На сегодняшний день не имеется данных об атаках с использованием тепловых сканеров, но эксперты предполагают, что в будущем подобные схемы кражи ПИН-кодов возможны, несмотря на высокую стоимость оборудования.