مسدود کردن RFID: چه چیزی را واقعاً محافظت می‌کند (و چه چیزی را محافظت نمی‌کند)

اگر در سه یا چهار سال گذشته یک کیف پول مسدودکننده RFID یا یکی از کارت‌های باریک مسدودکننده RFID که در اسلات کارت قرار می‌گیرند، خریداری کرده‌اید، تبریک می‌گویم: شما در برابر یک روش کلاهبرداری کارت محافظت می‌شوید که تقریباً همزمان با استاندارد شدن تراشه روی کارت شما از کار افتاد. تبلیغات به شما می‌گوید که سارقان می‌توانند از طریق پارچه از حساب شما سرقت کنند. تبلیغات در مورد فیزیک رادیو درست و در مورد کارت‌های طرف دیگر اشتباه بود. این نوع تبلیغ بصری است. کارت بدون تماس شما داده‌ها را از طریق هوا ارسال می‌کند، یک غریبه با یک خواننده مخفی می‌تواند آن داده‌ها را بگیرد، پول شما ناپدید می‌شود. این نوع مدل تهدیدی است که مغز با خوشحالی می‌پذیرد زیرا از قوانین سرقت فیزیکی که ما از قبل می‌دانیم پیروی می‌کند. مشکل این است که کارت پرداخت مدرن در انتهای دیگر آن لینک رادیویی آنطور که تبلیغات فرض می‌کنند رفتار نمی‌کند.

این مقاله به بررسی این موضوع می‌پردازد که اسکیمینگ RFID واقعاً چه بود، پروتکل بدون تماس EMV چه چیزی را تغییر داد و چه چیزی در حال حاضر در کلاهبرداری NFC در حال رشد است. نکته: کلاهبرداری که در حال رشد است، از نوعی است که هیچ کیف پولی نمی‌تواند جلوی آن را بگیرد.

نحوه‌ی عملکرد اسکیمینگ RFID

همه این نمایش‌های معروف تقریباً بین سال‌های ۲۰۰۹ تا ۲۰۱۳ اتفاق افتادند. محققانی مانند پابلوس هولمن و کریستین پاجت روی صحنه‌های دفکان و تد رفتند، یک جعبه سیاه را نزدیک جیب کسی نگه داشتند و یک کپی از یک کارت اعتباری را بیرون کشیدند. کلیپ‌های ویدیویی کنفرانس به سرعت پخش شدند. یک دهه بازاریابی با کیف پول، آستین و جلد گذرنامه در آن دقایق متولد شد.

کارت‌هایی که در آن دموها اسکن می‌شدند، چیزی بودند که مردم در حوزه پرداخت به آن RFID معادل نوار مغناطیسی می‌گویند. آن‌ها از نسل اولیه کارت‌های بدون تماس، مانند برنامه اصلی Chase Blink در ایالات متحده بین سال‌های ۲۰۰۵ تا ۲۰۱۳، پیروی می‌کردند. کارت از طریق یک لینک رادیویی کوتاه‌برد، اساساً همان داده‌هایی را که روی نوار مغناطیسی آن کدگذاری شده بود، منتقل می‌کرد: شماره حساب اصلی، تاریخ انقضا، نام دارنده کارت در بسیاری از موارد و مقدار تأیید استاتیک کارت. یک اسکیمر با آنتن کمی بزرگ می‌توانست همه این‌ها را از طریق پارچه یا چرم نازک از فاصله چند سانتی‌متری بخواند. داده‌های جمع‌آوری‌شده برای کدگذاری یک کپی فعال روی یک نوار مغناطیسی خالی و ارائه آن به هر فروشگاهی که هنوز تراکنش‌های کشیدنی را می‌پذیرفت، کافی بود.

دلیل فنی موفقیت این روش این است که کارت‌ها از استاندارد ISO 14443، شاخه کوتاه‌برد شناسایی فرکانس رادیویی، استفاده می‌کردند که برای فواصل نزدیک حدود ده سانتی‌متر ساخته شده است. نمونه‌های آزمایشی این استاندارد را با آنتن‌های بزرگ‌تر و منابع تغذیه پاک گسترش دادند. برچسب‌های مجاورتی با استفاده از ISO 15693، نوعی که در کتاب‌های کتابخانه و برچسب‌های موجودی انبار یافت می‌شود، می‌توانند از فاصله تا هفتاد سانتی‌متر خوانده شوند. کارت‌های پرداخت هرگز مطابق با این استاندارد نبودند. اما تصوری که در ذهن عموم باقی ماند، یک عدد واحد بود: کارت‌ها را می‌توان از آن سوی اتاق خواند. این تصور حتی در سال ۲۰۱۰ هم اشتباه بود. اکنون بسیار اشتباه‌تر است.

مدام به این فکر می‌کنم که آن ترس چقدر پایدار بوده است. کارت‌های موجود در آن دموهای معروف دیگر واقعاً وجود ندارند. صنعت پرداخت به جلو حرکت کرد. دسته‌بندی محصولاتی که برای دفاع در برابر آن کارت‌ها ساخته شده بود، دیگر وجود نداشت.

چرا EMV تهدید مسدود کردن RFID را از بین برد؟

چیزی که به حمله اسکیمینگ معادل نوار مغناطیسی پایان داد، کیف پول‌های بهتر نبودند. بلکه تراشه EMV و به طور خاص‌تر، نسخه بدون تماس EMV بود که روی هر کارت ویزا، مسترکارت، امریکن اکسپرس و دیسکاور صادر شده در چند سال گذشته ارائه می‌شود.

وقتی یک کارت بدون تماس مدرن را به دستگاه کارتخوان وصل می‌کنید، این اتفاق می‌افتد. کارت و ترمینال روی یک شمارنده تراکنش که مختص آن تراکنش واحد است، توافق می‌کنند. تراشه روی کارت از یک کلید مخفی که در زمان تولید تعبیه شده و هرگز منتقل نمی‌شود، برای هدایت یک مرحله رمزگذاری استفاده می‌کند که یک رمزنگاری یکبار مصرف به نام ARQC، رمزنگاری درخواست مجوز، را محاسبه می‌کند. دستگاه کارتخوان ARQC به همراه چند فیلد دیگر را برای تأیید به بانک صادرکننده ارسال می‌کند. اگر یک اسکیمر کنار جیب شما باشد و همان تراکنش را ضبط کند، اسکیمر ARQC، شماره حساب اصلی، تاریخ انقضا و چیز دیگری دریافت نمی‌کند. بدون CVV2، کد سه رقمی پشت کارت. بدون پین. بدون داده نوار مغناطیسی دو طرفه. بدون مقدار تأیید کارت که قابل استفاده مجدد باشد.

چه اشکالی دارد که دوباره از ARQC ضبط‌شده استفاده کنیم؟ شمارنده به کار خود ادامه داده است. تراکنش بعدی به یک رمزنگاری جدید با مقدار شمارنده بعدی نیاز دارد. سیستم مجوز صادرکننده، بازپخش را رد می‌کند. داده‌های اسکن‌شده، برای کپی کردن کارت یا اجرای آن در یک فروش حضوری معمولی، بی‌فایده هستند.

برای ملموس‌تر کردن عدم تقارن، در اینجا آنچه یک اسکنر RFID غیرفعال می‌تواند با یک ضربه از یک کارت بدون تماس EMV دریافت کند، در مقایسه با آنچه یک کپی فعال واقعاً به آن نیاز دارد، آورده شده است.

اعداد و ارقام پشت این موضوع ارزش بررسی دارند. EMVCo، نهاد صنعتی که استاندارد EMV را اجرا می‌کند، گزارش می‌دهد که ۹۶.۲۰ درصد از کل تراکنش‌های کارتی در سطح جهان تا سه‌ماهه چهارم سال ۲۰۲۴ از این تراشه استفاده کرده‌اند. حدود ۷۲ درصد از کل کارت‌های صادر شده دارای قابلیت EMV هستند. در ایالات متحده، ویزا گزارش داد که بازرگانانی که ارتقاء تراشه خود را تکمیل کرده‌اند، بین دسامبر ۲۰۱۵ تا دسامبر ۲۰۱۷ شاهد کاهش ۷۶ درصدی دلارهای تقلبی بوده‌اند. این یک روند ملایم نیست. این تراشه است که کل توجیه اقتصادی برای شبیه‌سازی حضوری کارت را از بین می‌برد.

یک استثنای کوچک وجود دارد که ارزش نام بردن دارد. شماره حساب اصلی و تاریخ انقضای ثبت‌شده گاهی اوقات می‌تواند در برابر فروشگاه‌های ضعیفی که کارت ندارند و احراز هویت 3DS را اعمال نمی‌کنند یا CVV2 را بررسی نمی‌کنند، آزمایش شود. این یک مشکل واقعی است. همچنین مشکل RFID نیست. همین شماره‌ها دائماً از طریق نقض‌های امنیتی فروشگاه‌ها، صفحات فیشینگ و پرداخت‌های تجارت الکترونیک اسکیم‌شده، نشت می‌کنند. یک کیف پول مسدودکننده هیچ کاری در مورد این موارد انجام نمی‌دهد.

شماره‌های کلاهبرداری بدون تماس که محصولات مسدودکننده RFID هرگز به شما نشان نمی‌دهند

افرادی که کیف پول‌های مسدودکننده RFID می‌خرند تقریباً هرگز آمار واقعی کلاهبرداری را نمی‌بینند، زیرا دسته کلاهبرداری که کیف پول‌ها با آن مواجه هستند، دسته‌ای نیست که پول را از دست می‌دهد.

ردیف آخر را دو بار بخوانید. دلیل اینکه هیچ رقم دلاری برای ضررهای ناشی از اسکیمینگ RFID در آمریکا به طور گسترده ذکر نشده است، این است که افرادی که کلاهبرداری کارت را محاسبه می‌کنند، نمی‌توانند عدد معناداری برای گزارش پیدا کنند. آنها اسکیمینگ خودپرداز و اسکیمینگ پمپ بنزین را جدا می‌کنند زیرا این دو مورد یک دستگاه فیزیکی را پشت سر می‌گذارند. اسکیمینگ RFID، به شکلی که در کلیپ‌های Defcon به مصرف‌کنندگان فروخته می‌شود، در این آمار دیده نمی‌شود.

خلاصه‌ی بی‌پرده این است که ضررهای ثبت‌شده‌ی ناشی از اسکیمینگ RFID غیرفعال در مقایسه با کارت‌های بدون تماس EMV مدرن از نظر آماری تقریباً صفر است. گزارش‌های مصرف‌کنندگان، AARP، چندین متخصص امنیتی از جمله راجر گریمز در KnowBe4، مرکز منابع سرقت هویت، چیس و ویزا همگی نسخه‌های چاپی همین موضوع را بیان کرده‌اند.

بانک فدرال رزرو کانزاس سیتی در یک جلسه توجیهی سیستم پرداخت در سال ۲۰۱۸، روند گسترش تراشه در ایالات متحده را بررسی کرد و دریافت که کلاهبرداری با کارت در فروشگاه‌های دارای تراشه پس از تکمیل این گذار به شدت کاهش یافته است، به طوری که نرخ کلاهبرداری‌های جعلی کاهش یافته در حالی که نرخ کلاهبرداری‌های بدون کارت افزایش یافته است، زیرا مجرمان مسیر کمترین مقاومت را به سمت کانال‌های آنلاین دنبال کرده‌اند. این مهاجرت، واقعیت اصلی کلاهبرداری کارتی در دهه ۲۰۲۰ است. اسکیمینگ، به هر شکلی، به بخش کوچک و در حال کاهشی از دسته‌ای از ضررهای کارتی تبدیل شده است که در حال حاضر نیز در حال کاهش است. اسکیمینگ بدون تماس در انتهای کوچک این بخش کوچک قرار دارد.

یک داده دیگر هم ارزش بررسی دارد. سقف تراکنش‌های بدون تماس بریتانیا در سال ۲۰۲۱ از بیست و پنج پوند به صد پوند افزایش یافت، سپس سازمان نظارت بر رفتار مالی در سال ۲۰۲۵ اعلام کرد که این سقف از ماه مارس برداشته خواهد شد و صادرکنندگان هر کدام محدودیت‌های خود را تعیین خواهند کرد. اگر کلاهبرداری بدون تماس غیرفعال یک عامل زیان معنادار بود، افزایش پنج برابری در میزان مواجهه با هر تراکنش می‌توانست اعداد را تغییر دهد. اما این اتفاق نیفتاد. کلاهبرداری بدون تماس در سال ۲۰۲۴ با وجود محدودیت‌های بالاتر و تعداد تراکنش‌های بیشتر، سال به سال کاهش یافت. این پروتکل کار خود را انجام می‌دهد.

تهدید واقعی NFC که کیف پول شما نمی‌تواند آن را مسدود کند

در حالی که صنعت مسدود کردن RFID در حال پاسخ دادن به سوال سال ۲۰۱۲ بود، مهاجمان به راه خود ادامه دادند. سریع‌ترین کلاهبرداری NFC که در حال حاضر در حال رشد است، اصلاً شامل یک غریبه نزدیک جیب شما نمی‌شود.

در آگوست ۲۰۲۴، شرکت امنیتی ESET تحقیقاتی را در مورد یک بدافزار اندرویدی به نام NGate منتشر کرد. زنجیره حمله به این شکل است. قربانی مورد فیشینگ قرار می‌گیرد، معمولاً با یک پیام متنی که ادعا می‌شود از طرف بانک اوست. آنها چیزی را که گمان می‌کنند به‌روزرسانی امنیتی بانک است نصب می‌کنند. برنامه جعلی از آنها می‌خواهد که با نگه داشتن کارت فیزیکی خود در پشت تلفن، آن را تأیید کنند. این بدافزار کارت را از طریق تراشه NFC تلفن می‌خواند و داده‌ها را به صورت بلادرنگ به تلفن مهاجم در کشور دیگری منتقل می‌کند. مهاجم با تلفن خود به سمت دستگاه خودپرداز می‌رود و پول نقد را برداشت می‌کند، گویی کارت قربانی به دستگاه متصل شده است. ESET یک مظنون دستگیر شده را با حدود شش و نیم هزار یورو که در یک بازه زمانی کوتاه از سه قربانی گرفته شده بود، ثبت کرد.

این اولین مورد گزارش‌شده‌ی گسترده بود. تا نیمه‌ی اول سال ۲۰۲۵، تله‌متری ESET نشان داد که تشخیص حمله‌ی رله‌ی NFC در مقایسه با نیمه‌ی دوم سال ۲۰۲۴ تقریباً ۳۵ برابر افزایش یافته است. این تکنیک اکنون در حال استفاده‌ی فعال است. این روش علیه کارت‌های بدون تماس EMV مدرن کار می‌کند، زیرا پروتکل کاری را که قرار است انجام دهد، انجام می‌دهد: کارت در حال شنود است، رمزنگاری تازه است، بانک صادرکننده ظاهراً یک تراکنش عادی را می‌بیند.

یک غلاف مسدودکننده RFID در برابر هیچ یک از این موارد محافظت نمی‌کند. کارت پس از نصب برنامه مخرب، داوطلبانه توسط قربانی و با استفاده از تلفن همراه خودش شنود می‌شود. محافظ رادیویی اطراف کیف پول ارتباطی با سطح حمله ندارد.

چیزی که واقعاً در برابر این حمله از خود دفاع می‌کند، کسب درآمد از آن به عنوان یک محصول فیزیکی بسیار دشوارتر است. شما باید پیام فیشینگ را تشخیص دهید، برنامه‌ها را از طریق لینک‌ها نصب نکنید و هرگونه درخواست برای ضربه زدن به کارت خود برای تأیید را به عنوان زنگ خطر در نظر بگیرید. هیچ‌کدام از این‌ها در یک کیف پول بیست و پنج دلاری در آمازون جا نمی‌شود.

جایی که فناوری مسدود کردن RFID هنوز جایگاه خود را دارد

صادقانه‌ترین روایت این نیست که مسدود کردن RFID بی‌فایده است. بلکه این است که بخش مربوط به کارت‌های پرداخت، ضعیف‌ترین بخش این محصول است. موارد RFID واقعاً آسیب‌پذیر در بسیاری از کیف پول‌ها، همه چیز به جز کارت‌های بانکی هستند.

فهرست کوتاهی. کارت‌های کلید قدیمی هتل‌ها هنوز در بسیاری از هتل‌ها با استفاده از خانواده‌های ۱۳.۵۶ مگاهرتزی HID iClass و MIFARE Classic عرضه می‌شوند که هر دو در تحقیقات عمومی شکسته شده‌اند و هر کسی با یک دستگاه خواننده ارزان می‌تواند آنها را کپی کند. نشان‌های دسترسی ساختمان، به ویژه سیستم‌های شرکتی قدیمی‌تر، اغلب از همان پشته‌های شکسته استفاده می‌کنند. برچسب‌های کتابخانه‌ای از ISO 15693 پیروی می‌کنند که استانداردی با محدوده خواندن بزرگتر است و شناسه‌های خود را آزادانه فاش می‌کنند. برخی از گذرنامه‌های بیومتریک اولیه کنترل دسترسی اولیه ضعیفی داشتند و می‌توانستند برای محتوای صفحه داده اسکن شوند. کارت‌های وفاداری، فب‌های باشگاه ورزشی و کارت‌های حمل و نقل با ارزش ذخیره شده معمولاً به راحتی قابل کپی یا رله هستند.

اگر چندین مورد از آنها را در کنار کارت‌های بانکی خود حمل می‌کنید، یک غلاف مسدودکننده‌ی ساده وظیفه‌ی واقعی و مشخصی دارد. این غلاف برای کارت‌های ویزای بدون تماس شما کاری انجام نمی‌دهد.

عدم تقارن بخشی است که بازاریابی کیف پول از آن اجتناب می‌کند. دو مشکل مختلف در یک معرفی محصول گنجانده می‌شوند، و مشکل ساده‌تر، مشکلی است که تقریباً یک دهه پیش وجود نداشته است.

یک راه عملی برای فکر کردن به آن: چیزهایی که در کیف پولتان دارید را فهرست کنید. برای هر مورد، بپرسید که از چه استاندارد رادیویی استفاده می‌کند و آیا آن استاندارد یک چالش رمزنگاری در لایه بالایی خود دارد یا خیر. کارت‌های بانکی، از زمان تکمیل عرضه تراشه EMV، این قابلیت را دارند. اکثر کارت‌های ساختمان، کلیدهای هتل و برچسب‌های کتابخانه این قابلیت را ندارند. این روکش از هر چیزی که لایه رمزنگاری ندارد محافظت می‌کند. نمی‌تواند چیزی را که از قبل لایه رمزنگاری دارد بهبود بخشد. این کل داستان مسدود کردن RFID است، بدون بازاریابی.

Jordan Morris

Jordan Morris is an AI expert with over a decade of experience and the author of a widely-read blog focused on artificial intelligence. His content spans a range of topics—from the ethics of machine learning to real-world applications of neural networks in business. Known for his clear writing and deep insights, Jordan has become a trusted voice in the AI community, appealing to both newcomers and seasoned professionals alike.