حجب تقنية تحديد الهوية بموجات الراديو: ما الذي تحميه فعلياً (وما الذي لا تحميه)

إذا كنت قد اشتريت محفظة مانعة لتقنية RFID أو إحدى البطاقات الرقيقة المانعة لهذه التقنية التي تُوضع في فتحة البطاقة خلال السنوات الثلاث أو الأربع الماضية، فتهانينا: أنت محمي من أسلوب احتيال البطاقات الذي توقف عن العمل تقريبًا مع انتشار استخدام الشريحة الإلكترونية في البطاقات. تُخبرك الحملات التسويقية أن اللصوص يستطيعون سرقة أموالك عبر القماش. كانت هذه الحملات صحيحة فيما يتعلق بفيزياء الموجات اللاسلكية، لكنها أخطأت فيما يتعلق بالبطاقات نفسها. الفكرة تبدو بديهية: بطاقتك اللاتلامسية تُرسل البيانات عبر الهواء، ويمكن لشخص غريب يحمل قارئًا مخفيًا أن يلتقط هذه البيانات، فتختفي أموالك. إنه نموذج تهديد يتقبله العقل بسهولة لأنه يتماشى مع قواعد السرقة المادية التي نفهمها. لكن المشكلة تكمن في أن بطاقة الدفع الحديثة الموجودة على الطرف الآخر من هذا الاتصال اللاسلكي لا تعمل بالطريقة التي تفترضها الحملات التسويقية.

تتناول هذه المقالة ماهية سرقة بيانات بطاقات RFID، وما أحدثه بروتوكول EMV للدفع اللاتلامسي، وما يتزايد حاليًا في عمليات الاحتيال عبر تقنية NFC. تنبيه: هذا النوع من الاحتيال لا يمكن لأي محفظة إلكترونية إيقافه.

كيف كان من المفترض أن تعمل عملية سرقة بيانات بطاقات RFID

جرت جميع العروض التوضيحية الشهيرة تقريبًا بين عامي 2009 و2013. صعد باحثون مثل بابلو هولمان وكريستين باجيت إلى منصات مؤتمري ديفكون وتيد، وأمسكوا بصندوق أسود بالقرب من جيب أحدهم، ثم أخرجوا منه نسخة طبق الأصل من بطاقة ائتمان. انتشرت مقاطع الفيديو الخاصة بالمؤتمرات انتشارًا واسعًا. وفي تلك الدقائق، انطلقت حملة تسويقية استمرت عقدًا كاملًا للمحافظ وأغلفة الحقائب وأغلفة جوازات السفر.

كانت البطاقات التي تم نسخ بياناتها في تلك العروض التوضيحية تُعرف في مجال المدفوعات باسم تقنية RFID المكافئة للشريط المغناطيسي. وقد ظهرت هذه التقنية بعد الجيل الأول من البطاقات اللاتلامسية، مثل برنامج Chase Blink الأصلي في الولايات المتحدة بين عامي 2005 و2013 تقريبًا. كانت البطاقة تُرسل، عبر وصلة لاسلكية قصيرة المدى، نفس البيانات المُشفّرة على شريطها المغناطيسي: رقم الحساب الرئيسي، وتاريخ انتهاء الصلاحية، واسم حامل البطاقة في كثير من الحالات، وقيمة التحقق الثابتة للبطاقة. وكان بإمكان جهاز نسخ البيانات المزود بهوائي كبير الحجم قراءة كل هذه البيانات من خلال القماش أو الجلد الرقيق من مسافة بضعة سنتيمترات. وكانت البيانات التي تم جمعها كافية لتشفير نسخة عاملة على شريط مغناطيسي فارغ، ثم إدخالها إلى أي تاجر لا يزال يقبل معاملات تمرير البطاقة.

يكمن السبب التقني لنجاح هذه التقنية في استخدام البطاقات لمعيار ISO 14443، وهو فرع قصير المدى من تقنية تحديد الهوية بترددات الراديو، والمصمم للعمل على مسافة تقارب عشرة سنتيمترات. وقد تمكن الباحثون من توسيع نطاق هذه المسافة باستخدام هوائيات أكبر ومصادر طاقة نظيفة. ويمكن قراءة علامات تحديد الموقع الجغرافي التي تستخدم معيار ISO 15693، وهي النوع الموجود في كتب المكتبات وعلامات جرد المستودعات، من مسافة تصل إلى سبعين سنتيمترًا. لم تكن بطاقات الدفع متوافقة مع هذا المعيار أبدًا. لكن الانطباع الذي ترسخ لدى العامة كان رقمًا واحدًا: إمكانية قراءة البطاقات من مسافة بعيدة جدًا. كان هذا الانطباع خاطئًا حتى في عام 2010، وهو الآن أكثر خطأً بكثير.

ما زلت أفكر في مدى رسوخ هذا الخوف. البطاقات التي ظهرت في تلك العروض التوضيحية الشهيرة لم تعد موجودة فعلياً. لقد تطورت صناعة المدفوعات، بينما بقيت فئة المنتجات المصممة للحماية من تلك البطاقات على حالها.

لماذا قضت تقنية EMV على التهديد الذي تم تسويق تقنية حجب RFID لإيقافه؟

لم يكن السبب في إنهاء هجوم سرقة البيانات عبر الشريط المغناطيسي هو استخدام محافظ أفضل، بل شريحة EMV، وتحديداً النسخة اللاتلامسية منها، الموجودة في جميع بطاقات Visa وMastercard وAmerican Express وDiscover الصادرة خلال السنوات القليلة الماضية.

إليك ما يحدث عند تمرير بطاقة حديثة لا تلامسية على قارئ. تتفق البطاقة والجهاز على عداد معاملات فريد خاص بتلك المعاملة. تستخدم الشريحة الموجودة على البطاقة مفتاحًا سريًا، مُدمجًا أثناء التصنيع ولا يُرسل أبدًا، لتشغيل عملية تشفير تُحسب رمزًا مشفرًا لمرة واحدة يُسمى ARQC، وهو اختصار لرمز طلب التفويض. يرسل القارئ رمز ARQC بالإضافة إلى بعض الحقول الأخرى إلى بنك الجهة المُصدرة للموافقة. إذا كان هناك جهاز نسخ بيانات البطاقات بجوار جيبك وقام بنسخ نفس العملية، فسيحصل الجهاز على رمز ARQC، ورقم الحساب الرئيسي، وتاريخ انتهاء الصلاحية، ولا شيء آخر تقريبًا. لا يوجد رمز CVV2، وهو الرمز المكون من ثلاثة أرقام الموجود على ظهر البطاقة. لا يوجد رقم تعريف شخصي (PIN). لا توجد بيانات المسار الثاني للشريط المغناطيسي. لا توجد قيمة تحقق للبطاقة قابلة لإعادة الاستخدام.

ما المشكلة في استخدام رمز ARQC المُستخلص مرة أخرى؟ لقد تغير العداد. تتطلب المعاملة التالية رمز تشفير جديد بقيمة العداد التالية. سيرفض نظام المصادقة الخاص بالجهة المُصدرة إعادة الإرسال. البيانات المسروقة، لغرض استنساخ البطاقة أو استخدامها في عملية بيع عادية وجهاً لوجه، غير مجدية.

ولجعل عدم التماثل ملموسًا، إليك ما يمكن أن يلتقطه ماسح RFID السلبي من بطاقة EMV بدون تلامس خلال نقرة واحدة، مقارنة بما يحتاجه جهاز استنساخ عامل في الواقع.

تستحق الأرقام التي تقف وراء هذا الأمر التوقف عندها. فقد أفادت EMVCo، الهيئة الصناعية المسؤولة عن معيار EMV، أن 96.20% من جميع معاملات البطاقات المباشرة عالميًا استخدمت الشريحة الإلكترونية حتى الربع الأخير من عام 2024. ونحو 72% من جميع البطاقات المصدرة تدعم تقنية EMV. وفي الولايات المتحدة، أفادت فيزا أن التجار الذين أكملوا ترقية شرائحهم الإلكترونية شهدوا انخفاضًا بنسبة 76% في قيمة عمليات الاحتيال بالبطاقات المزيفة بين ديسمبر 2015 وديسمبر 2017. وهذا ليس مجرد اتجاه عابر، بل إن الشريحة الإلكترونية تقضي تمامًا على جدوى استنساخ البطاقات المباشر.

هناك استثناءٌ محدودٌ جديرٌ بالذكر. إذ يُمكن أحيانًا اختبار رقم الحساب الأساسي وتاريخ انتهاء صلاحيته المُسجَّلين لدى تجارٍ لا يُطبِّقون نظام التحقق الإلكتروني (بدون وجود البطاقة) والذين لا يُفعِّلون مصادقة 3DS أو لا يتحققون من رمز CVV2. هذه مشكلةٌ حقيقية. وهي ليست مشكلةً متعلقةً بتقنية RFID، إذ تتسرب هذه الأرقام باستمرارٍ عبر اختراقات التجار، وصفحات التصيُّد الاحتيالي، وعمليات الدفع الإلكتروني المُسروقة. ولا يُجدي استخدام محفظةٍ مانعةٍ نفعًا في هذه الحالات.

لا تُظهر لك منتجات حجب تقنية RFID أرقام الاحتيال التي لا تتطلب التلامس.

الأشخاص الذين يتسوقون لشراء محافظ مانعة لتقنية RFID نادراً ما يرون أرقام الاحتيال الفعلية، لأن فئة الاحتيال التي يتم تسويق المحافظ ضدها ليست هي التي تتسبب في خسارة الأموال.

اقرأ السطر الأخير مرتين. السبب وراء عدم وجود رقم مُعلن على نطاق واسع لخسائر سرقة بيانات بطاقات الائتمان بتقنية RFID في الولايات المتحدة هو أن القائمين على إحصاء عمليات الاحتيال بالبطاقات لا يستطيعون إيجاد رقم ذي دلالة للإبلاغ عنه. فهم يُركزون على سرقة بيانات أجهزة الصراف الآلي ومضخات الوقود لأنها تُخلّف جهازًا ماديًا. أما سرقة بيانات بطاقات الائتمان بتقنية RFID، بالشكل الذي يُباع للمستهلكين في مقاطع فيديو Defcon، فلا تظهر في هذه الإحصائيات.

باختصار، فإن الخسائر الموثقة الناتجة عن سرقة بيانات بطاقات EMV الحديثة بتقنية RFID السلبية تكاد تكون معدومة إحصائياً. وقد أكدت تقارير المستهلك، وجمعية المتقاعدين الأمريكية (AARP)، والعديد من خبراء الأمن المعروفين، بمن فيهم روجر غرايمز من KnowBe4، ومركز موارد مكافحة سرقة الهوية، وبنك تشيس، وفيزا، جميعها، على هذا الأمر في منشوراتها.

أجرى بنك الاحتياطي الفيدرالي في مدينة كانساس سيتي دراسةً حول تطبيق تقنية الشرائح الإلكترونية في الولايات المتحدة خلال جلسة إحاطة حول أنظمة الدفع عام 2018، وخلص إلى أن عمليات الاحتيال التي تتم باستخدام البطاقات في المتاجر التي تدعم هذه التقنية انخفضت بشكل حاد بعد اكتمال عملية التحول، حيث تراجعت معدلات التزوير بينما ارتفعت معدلات الاحتيال التي تتم بدون استخدام البطاقات كتعويض، إذ اتجه المجرمون إلى القنوات الإلكترونية لسهولة الوصول إليها. ويُعد هذا التحول العامل الرئيسي في عمليات الاحتيال بالبطاقات في العقد الحالي. وقد أصبح الاحتيال عبر نسخ بيانات البطاقات، بجميع أنواعه، يشكل نسبة ضئيلة ومتناقصة من فئة الخسائر التي تتناقص أصلاً في عمليات الدفع بالبطاقات. ويُعد الاحتيال عبر نسخ بيانات البطاقات بدون تلامس من بين هذه النسبة الضئيلة.

هناك معلومة أخرى جديرة بالذكر. رُفع الحد الأقصى للمعاملات اللاتلامسية في المملكة المتحدة من 25 جنيهًا إسترلينيًا إلى 100 جنيه إسترليني في عام 2021، ثم أشارت هيئة السلوك المالي في عام 2025 إلى أنه سيتم إلغاء هذا الحد اعتبارًا من مارس 2020، وسيُحدد كل مُصدر حدوده الخاصة. لو كان الاحتيال السلبي عبر البطاقات اللاتلامسية يُشكل مصدرًا رئيسيًا للخسارة، لكانت زيادة التعرض لكل عملية دفع بمقدار خمسة أضعاف قد أثرت على الأرقام. لكن هذا لم يحدث. انخفضت عمليات الاحتيال اللاتلامسية سنويًا في عام 2024 على الرغم من ارتفاع الحدود وعدد المعاملات. يبدو أن البروتوكول يؤدي وظيفته على أكمل وجه.

التهديد الحقيقي لتقنية الاتصال قريب المدى (NFC) الذي لا تستطيع محفظتك صدّه

بينما كانت صناعة حجب تقنية تحديد الهوية بموجات الراديو (RFID) تجيب على سؤال عام 2012، انتقل المهاجمون إلى أساليب أخرى. إن أسرع أنواع الاحتيال نموًا باستخدام تقنية الاتصال قريب المدى (NFC) حاليًا لا يتضمن وجود شخص غريب بالقرب من جيبك على الإطلاق.

في أغسطس 2024، نشرت شركة الأمن السيبراني ESET بحثًا حول برمجية خبيثة تستهدف نظام أندرويد تُدعى NGate. تتلخص سلسلة الهجوم فيما يلي: يتعرض الضحية لعملية تصيد احتيالي، عادةً عبر رسالة نصية تدّعي أنها من البنك الذي يتعامل معه. يقوم الضحية بتثبيت ما يعتقد أنه تحديث أمني للبنك. يطلب التطبيق المزيف من الضحية التحقق من بطاقته الفعلية عن طريق تمريرها لفترة وجيزة على ظهر هاتفه. تقرأ البرمجية الخبيثة البطاقة عبر شريحة NFC الخاصة بالهاتف، ثم تُرسل البيانات، في الوقت الفعلي، إلى هاتف المهاجم في بلد آخر. يتوجه المهاجم إلى جهاز الصراف الآلي حاملًا هاتفه، ويسحب النقود كما لو أن بطاقة الضحية قد تم تمريرها على الجهاز. وثّقت ESET عملية اعتقال لمشتبه به وبحوزته حوالي ستة آلاف وخمسمائة يورو مسروقة من ثلاثة ضحايا خلال فترة وجيزة.

كانت تلك أول حالة تم الإبلاغ عنها على نطاق واسع. وبحلول النصف الأول من عام 2025، أظهرت بيانات ESET عن بُعد ارتفاعًا في اكتشافات هجمات إعادة توجيه NFC بنحو 35 ضعفًا مقارنةً بالنصف الثاني من عام 2024. وتُستخدم هذه التقنية حاليًا على نطاق واسع. وهي فعّالة ضد بطاقات EMV الحديثة اللاتلامسية، لأن البروتوكول يعمل كما هو مُصمم له: يتم تمرير البطاقة، والرمز المشفر حديث، ويرى بنك المُصدر معاملة تبدو طبيعية.

لا يوفر الغلاف الواقي من تقنية تحديد الهوية بموجات الراديو (RFID) أي حماية ضد هذه الهجمات. يقوم الضحية بتمرير البطاقة طواعيةً على هاتفه بعد تثبيت التطبيق الخبيث. ولا علاقة للحماية اللاسلكية المحيطة بالمحفظة بسطح الهجوم.

إنّ ما يحمي فعلياً من هذا الهجوم يصعب تسويقه كمنتج مادي. عليك أن تتعرف على رسالة التصيّد الاحتيالي، وأن تتجنب تثبيت التطبيقات من الروابط، وأن تتعامل مع أي طلب لتمرير بطاقتك للتحقق على أنه إنذار حقيقي. كل هذا لا يمكن وضعه في محفظة سعرها خمسة وعشرون دولاراً على أمازون.

حيث لا تزال تقنية حجب RFID تحتفظ بمكانتها

الحقيقة الصادقة ليست أن تقنية حجب الترددات اللاسلكية عديمة الفائدة، بل إن ضعفها يكمن في تصميمها لبطاقات الدفع. أما الأشياء المعرضة لخطر الاختراق بتقنية الترددات اللاسلكية في العديد من المحافظ، فهي كل شيء عدا بطاقات البنوك.

قائمة مختصرة. لا تزال بطاقات مفاتيح الفنادق القديمة تُستخدم في العديد من الفنادق، وتعتمد على عائلات HID iClass وMIFARE Classic بتردد 13.56 ميجاهرتز، وكلاهما تم اختراقهما في أبحاث عامة، ويمكن لأي شخص استنساخهما باستخدام قارئ رخيص. غالبًا ما تستخدم بطاقات دخول المباني، وخاصة أنظمة الشركات القديمة، نفس هذه البطاقات المخترقة. تتبع بطاقات المكتبات معيار ISO 15693، وهو المعيار ذو نطاق القراءة الأوسع، وتُسرب بياناتها التعريفية بسهولة. بعض جوازات السفر البيومترية القديمة كانت تعاني من ضعف في التحكم الأساسي بالوصول، وكان من الممكن سرقتها للحصول على محتويات صفحة البيانات. عادةً ما يكون استنساخ أو إعادة توجيه بطاقات الولاء، وبطاقات دخول الصالات الرياضية، وبطاقات المواصلات ذات الرصيد المدفوع أمرًا سهلاً.

إذا كنت تحمل عدة بطاقات من هذا النوع إلى جانب بطاقاتك المصرفية، فإن غلاف الحماية الأساسي له وظيفة محددة وفعّالة. فهو لا يُستخدم لحماية بطاقة فيزا اللاتلامسية الخاصة بك.

يكمن التناقض في الجانب الذي تتجنبه حملات التسويق للمحافظ. إذ يتم دمج مشكلتين مختلفتين في عرض المنتج نفسه، والمشكلة الأسهل شرحاً هي تلك التي اختفت تقريباً منذ عقد من الزمان.

طريقة عملية للتفكير في الأمر: دوّن محتويات محفظتك. لكل غرض، اسأل عن معيار الترددات اللاسلكية المستخدم، وما إذا كان هذا المعيار مزودًا بطبقة تشفير إضافية. بطاقات البنوك، منذ اكتمال تطبيق شريحة EMV، مزودة بهذه الطبقة. أما معظم بطاقات تعريف المباني، ومفاتيح الفنادق، وبطاقات المكتبات، فلا. يحمي الغلاف الخارجي أي شيء لا يحتوي على طبقة التشفير، ولا يمكنه تحسين ما يحتوي عليها بالفعل. هذه هي القصة الكاملة لحجب تقنية RFID، دون أي ترويج تسويقي.

Jordan Morris

Jordan Morris is an AI expert with over a decade of experience and the author of a widely-read blog focused on artificial intelligence. His content spans a range of topics—from the ethics of machine learning to real-world applications of neural networks in business. Known for his clear writing and deep insights, Jordan has become a trusted voice in the AI community, appealing to both newcomers and seasoned professionals alike.