आरएफआईडी ब्लॉकिंग: यह वास्तव में किस चीज की सुरक्षा करता है (और किस चीज की नहीं)

अगर आपने पिछले तीन-चार सालों में RFID ब्लॉक करने वाला वॉलेट या कार्ड स्लॉट में फिट होने वाला पतला RFID ब्लॉक करने वाला कार्ड खरीदा है, तो बधाई हो: आप कार्ड धोखाधड़ी के उस तरीके से सुरक्षित हैं जो आपके कार्ड पर चिप के मानक बनने के साथ ही लगभग काम करना बंद कर चुका है। मार्केटिंग में बताया जाता है कि चोर कपड़े के ज़रिए आपके खाते से पैसे चुरा सकते हैं। रेडियो फिजिक्स के बारे में मार्केटिंग सही थी, लेकिन दूसरी तरफ मौजूद कार्ड के बारे में गलत। बात समझने में आसान है। आपका कॉन्टैक्टलेस कार्ड हवा के ज़रिए डेटा भेजता है, एक अनजान व्यक्ति छिपे हुए रीडर से उस डेटा को हासिल कर सकता है और आपका पैसा गायब हो जाता है। यह एक ऐसा खतरा मॉडल है जिसे दिमाग आसानी से स्वीकार कर लेता है क्योंकि यह भौतिक चोरी के उन नियमों का पालन करता है जिन्हें हम पहले से ही समझते हैं। समस्या यह है कि उस रेडियो लिंक के दूसरी तरफ मौजूद आधुनिक पेमेंट कार्ड उस तरह से काम नहीं करता जैसा मार्केटिंग में बताया जाता है।

इस लेख में बताया गया है कि RFID स्किमिंग वास्तव में क्या थी, EMV कॉन्टैक्टलेस प्रोटोकॉल ने क्या बदलाव किए, और वर्तमान में NFC धोखाधड़ी में क्या वृद्धि हो रही है। संक्षेप में: जो धोखाधड़ी बढ़ रही है, वह ऐसी है जिसे कोई वॉलेट नहीं रोक सकता।

आरएफआईडी स्किमिंग किस तरह काम करती थी

ये सभी मशहूर प्रदर्शन लगभग 2009 से 2013 के बीच हुए। पाब्लोस होलमैन और क्रिस्टिन पैगेट जैसे शोधकर्ता डेफकॉन और टेड के मंचों पर गए, किसी की जेब के पास एक ब्लैक बॉक्स रखा और उसमें से क्रेडिट कार्ड का एक काम करने वाला क्लोन निकाला। सम्मेलन के वीडियो क्लिप वायरल हो गए। उन्हीं कुछ मिनटों में वॉलेट, स्लीव और पासपोर्ट कवर मार्केटिंग का एक दशक शुरू हो गया।

उन डेमो में जिन कार्डों की स्किमिंग की जा रही थी, उन्हें पेमेंट टेक्नोलॉजी में मैग्नेटिक स्ट्राइप-इक्विवेलेंट RFID कहा जाता है। ये कार्ड कॉन्टैक्टलेस कार्डों की शुरुआती पीढ़ी के बाद आए थे, जैसे कि अमेरिका में 2005 से 2013 के बीच चला चेज़ ब्लिंक प्रोग्राम। कार्ड एक छोटी दूरी के रेडियो लिंक के ज़रिए वही डेटा भेजता था जो उसकी मैग्नेटिक स्ट्राइप पर एन्कोड किया गया था: मुख्य खाता संख्या, समाप्ति तिथि, कई मामलों में कार्डधारक का नाम और स्टैटिक कार्ड वेरिफिकेशन वैल्यू। थोड़े बड़े एंटीना वाला स्किमर कुछ सेंटीमीटर की दूरी से कपड़े या पतले चमड़े के आर-पार भी यह सारा डेटा पढ़ सकता था। कैप्चर किया गया डेटा एक खाली मैग्नेटिक स्ट्राइप कार्ड पर एक काम करने वाला क्लोन एन्कोड करने और उसे किसी भी ऐसे व्यापारी के पास ले जाने के लिए पर्याप्त था जो अभी भी स्वाइप ट्रांजैक्शन स्वीकार करता था।

तकनीकी तौर पर यह इसलिए काम कर पाया क्योंकि कार्ड ISO 14443 मानक का इस्तेमाल करते थे, जो रेडियो फ्रीक्वेंसी आइडेंटिफिकेशन की शॉर्ट-रेंज शाखा है और लगभग दस सेंटीमीटर की दूरी के लिए बनी है। प्रदर्शनकर्ताओं ने बड़े एंटेना और स्वच्छ बिजली आपूर्ति का उपयोग करके इसकी क्षमता को बढ़ाया। ISO 15693 मानक का उपयोग करने वाले निकटता टैग, जो पुस्तकालयों की किताबों और गोदामों के इन्वेंट्री टैग में पाए जाते हैं, सत्तर सेंटीमीटर तक की दूरी से पढ़े जा सकते हैं। भुगतान कार्ड कभी भी इस मानक पर आधारित नहीं थे। लेकिन जनता के मन में एक ही धारणा बनी रही: कार्ड को कमरे के एक कोने से भी पढ़ा जा सकता है। यह धारणा 2010 में भी गलत थी। अब तो यह और भी गलत है।

मैं अक्सर सोचता रहता हूँ कि वह डर कितना टिकाऊ रहा है। उन मशहूर डेमो में दिखाए गए कार्ड अब वास्तव में मौजूद नहीं हैं। भुगतान उद्योग आगे बढ़ चुका है। लेकिन उन कार्डों से बचाव के लिए बनाई गई उत्पाद श्रेणी आगे नहीं बढ़ पाई।

ईएमवी ने उस खतरे को क्यों खत्म कर दिया जिसे रोकने के लिए आरएफआईडी ब्लॉकिंग बेची जा रही थी?

मैग्स्ट्राइप के समान स्किमिंग हमलों को रोकने का कारण बेहतर वॉलेट नहीं थे। बल्कि, इसका कारण ईएमवी चिप और विशेष रूप से ईएमवी का संपर्क रहित संस्करण था, जो पिछले कुछ वर्षों में जारी किए गए प्रत्येक वीज़ा, मास्टरकार्ड, अमेरिकन एक्सप्रेस और डिस्कवर कार्ड में मौजूद होता है।

जब आप किसी आधुनिक कॉन्टैक्टलेस कार्ड को रीडर पर टैप करते हैं, तो क्या होता है, यह यहाँ बताया गया है। कार्ड और टर्मिनल एक ट्रांज़ैक्शन काउंटर पर सहमत होते हैं जो उस एक ट्रांज़ैक्शन के लिए अद्वितीय होता है। कार्ड की चिप एक गुप्त कुंजी का उपयोग करती है, जो निर्माण के समय ही उसमें समाहित हो जाती है और कभी भी प्रेषित नहीं होती है। यह कुंजी एक एन्क्रिप्शन प्रक्रिया को संचालित करती है जो ARQC (ऑथराइजेशन रिक्वेस्ट क्रिप्टोग्राम) नामक एक बार उपयोग होने वाले क्रिप्टोग्राम की गणना करती है। रीडर ARQC और कुछ अन्य फ़ील्ड को अनुमोदन के लिए जारीकर्ता के बैंक को भेजता है। यदि कोई स्किमर आपकी जेब के पास रखा है और उसी लेनदेन को कैप्चर कर लेता है, तो स्किमर को ARQC, प्राथमिक खाता संख्या, समाप्ति तिथि और बहुत कुछ नहीं मिलता है। कार्ड के पीछे अंकित तीन अंकों का कोड CVV2 नहीं मिलता। पिन नहीं मिलता। मैग्नेटिक स्ट्राइप का ट्रैक-टू डेटा नहीं मिलता। कोई कार्ड सत्यापन मान नहीं मिलता जिसका पुन: उपयोग किया जा सके।

कैप्चर किए गए ARQC का दोबारा इस्तेमाल करने में क्या दिक्कत है? काउंटर आगे बढ़ चुका है। अगले लेन-देन के लिए अगले काउंटर मान के साथ एक नए क्रिप्टोग्राम की आवश्यकता होगी। जारीकर्ता का प्राधिकरण सिस्टम इस रीप्ले को अस्वीकार कर देगा। कार्ड क्लोन करने या सामान्य व्यक्तिगत बिक्री के लिए स्किम किया गया डेटा बेकार है।

इस विषमता को स्पष्ट करने के लिए, यहां दिखाया गया है कि एक निष्क्रिय आरएफआईडी स्कैनर एक ईएमवी संपर्क रहित कार्ड से एक बार टैप करने पर कितनी जानकारी प्राप्त कर सकता है, इसकी तुलना में एक कार्यशील क्लोन को वास्तव में कितनी जानकारी की आवश्यकता होगी।

इसके पीछे के आंकड़े गौर करने लायक हैं। EMV मानक को संचालित करने वाली उद्योग संस्था EMVCo की रिपोर्ट के अनुसार, 2024 की चौथी तिमाही तक वैश्विक स्तर पर कार्ड से किए गए सभी लेन-देनों में से 96.20 प्रतिशत में चिप का उपयोग किया गया था। जारी किए गए लगभग 72 प्रतिशत कार्ड EMV-सक्षम हैं। अमेरिका में, वीज़ा ने बताया कि जिन व्यापारियों ने अपने चिप अपग्रेड को पूरा किया, उन्होंने दिसंबर 2015 से दिसंबर 2017 के बीच नकली कार्डों से होने वाली धोखाधड़ी में 76 प्रतिशत की गिरावट देखी। यह कोई मामूली रुझान नहीं है। बल्कि, चिप के कारण व्यक्तिगत रूप से कार्ड क्लोनिंग की पूरी आर्थिक संभावना ही खत्म हो रही है।

एक अपवाद है जिसका उल्लेख करना ज़रूरी है। कैप्चर किया गया प्राथमिक खाता नंबर और समाप्ति तिथि कभी-कभी उन कमज़ोर कार्ड-नॉट-प्रेज़ेंट व्यापारियों के खिलाफ़ जांचा जा सकता है जो 3DS प्रमाणीकरण लागू नहीं करते या CVV2 की जांच नहीं करते। यह एक गंभीर समस्या है। यह RFID से जुड़ी समस्या भी नहीं है। यही नंबर व्यापारी सुरक्षा उल्लंघनों, फ़िशिंग पेजों और स्किम्ड ई-कॉमर्स चेकआउट के ज़रिए लगातार लीक होते रहते हैं। ब्लॉकिंग वॉलेट इन पर कोई असर नहीं डालता।

आरएफआईडी ब्लॉकिंग उत्पाद आपको कभी भी संपर्क रहित धोखाधड़ी के नंबर नहीं दिखाते हैं।

आरएफआईडी-ब्लॉकिंग वॉलेट खरीदने वाले लोग शायद ही कभी धोखाधड़ी के वास्तविक आंकड़े देखते हैं, क्योंकि जिन लोगों को इन वॉलेट्स का निशाना बनाया जाता है, वे धोखाधड़ी करने वाले लोग नहीं होते जिन्हें पैसे का नुकसान होता है।

आखिरी पंक्ति को दो बार पढ़ें। अमेरिकी आरएफआईडी स्किमिंग से होने वाले नुकसान का कोई व्यापक रूप से उद्धृत डॉलर आंकड़ा इसलिए नहीं है क्योंकि कार्ड धोखाधड़ी का हिसाब रखने वाले लोग रिपोर्ट करने के लिए कोई सार्थक आंकड़ा नहीं ढूंढ पाते हैं। वे एटीएम स्किमिंग और पेट्रोल पंप स्किमिंग को अलग कर देते हैं क्योंकि उनमें भौतिक उपकरण छूट जाते हैं। आरएफआईडी स्किमिंग, जिस रूप में उपभोक्ताओं को डेफकॉन क्लिप में बेची जाती है, उसमें यह दिखाई नहीं देती।

संक्षेप में कहें तो, आधुनिक EMV कॉन्टैक्टलेस कार्डों के खिलाफ दस्तावेजित निष्क्रिय RFID स्किमिंग से होने वाले नुकसान के आंकड़े सांख्यिकीय रूप से शून्य के बराबर हैं। कंज्यूमर रिपोर्ट्स, AARP, KnowBe4 के रोजर ग्रिम्स सहित कई नामी सुरक्षा विशेषज्ञ, आइडेंटिटी थेफ्ट रिसोर्स सेंटर, चेज़ और वीज़ा सभी ने लिखित रूप में लगभग यही बात कही है।

कैनसस सिटी के फेडरल रिजर्व बैंक ने 2018 की भुगतान प्रणाली संबंधी ब्रीफिंग में संयुक्त राज्य अमेरिका में चिप प्रणाली के लागू होने का अध्ययन किया और पाया कि चिप-आधारित व्यापारियों पर कार्ड-प्रेजेंट धोखाधड़ी में परिवर्तन पूरा होने के बाद तेजी से गिरावट आई। नकली कार्डों की दरें कम हुईं, जबकि कार्ड-नॉट-प्रेजेंट धोखाधड़ी की दरें बढ़ गईं क्योंकि अपराधियों ने ऑनलाइन चैनलों की ओर रुख किया। यह बदलाव 2020 के दशक में कार्ड धोखाधड़ी का मुख्य कारण है। कार्ड स्किमिंग, चाहे किसी भी रूप में हो, कार्ड-प्रेजेंट नुकसान की पहले से ही घटती श्रेणी का एक छोटा और सिकुड़ता हुआ हिस्सा बन गया है। कॉन्टैक्टलेस स्किमिंग उस छोटे हिस्से के सबसे छोटे छोर पर है।

एक और महत्वपूर्ण तथ्य सामने लाना ज़रूरी है। यूके में कॉन्टैक्टलेस लेनदेन की अधिकतम सीमा 2021 में पच्चीस पाउंड से बढ़ाकर सौ पाउंड कर दी गई थी, फिर वित्तीय आचरण प्राधिकरण ने 2025 में संकेत दिया कि मार्च 2025 से यह सीमा हटा दी जाएगी और अलग-अलग जारीकर्ता अपनी सीमाएं खुद तय करेंगे। यदि पैसिव कॉन्टैक्टलेस स्किमिंग एक महत्वपूर्ण नुकसान का कारण होता, तो प्रति टैप जोखिम में पांच गुना वृद्धि से आंकड़े बदल जाते। लेकिन ऐसा नहीं हुआ। बढ़ी हुई सीमा और अधिक लेनदेन संख्या के बावजूद, 2024 में कॉन्टैक्टलेस धोखाधड़ी में पिछले वर्ष की तुलना में गिरावट आई। प्रोटोकॉल अपना काम ठीक से कर रहा है।

असली एनएफसी खतरा जिसे आपका वॉलेट रोक नहीं सकता

जहां एक ओर आरएफआईडी-ब्लॉकिंग उद्योग 2012 के सवाल का जवाब दे रहा था, वहीं हमलावर आगे बढ़ गए। वर्तमान में सबसे तेजी से बढ़ रहे एनएफसी धोखाधड़ी में आपकी जेब के पास किसी अजनबी का होना बिल्कुल भी शामिल नहीं है।

अगस्त 2024 में, सुरक्षा फर्म ESET ने NGate नामक एक एंड्रॉइड मैलवेयर पर शोध प्रकाशित किया। हमले की प्रक्रिया कुछ इस प्रकार है: पीड़ित को फ़िशिंग का शिकार बनाया जाता है, आमतौर पर एक टेक्स्ट मैसेज के ज़रिए जो उनके बैंक से आया हुआ प्रतीत होता है। वे एक ऐप इंस्टॉल करते हैं जिसे वे बैंक सुरक्षा अपडेट समझते हैं। नकली ऐप उनसे अपने कार्ड को फ़ोन के पीछे थोड़ी देर रखकर सत्यापित करने के लिए कहता है। मैलवेयर फ़ोन के NFC चिप के ज़रिए कार्ड को पढ़ता है और डेटा को वास्तविक समय में किसी दूसरे देश में मौजूद हमलावर के फ़ोन पर भेज देता है। हमलावर अपने फ़ोन को हाथ में लेकर एटीएम जाता है और इस तरह नकदी निकाल लेता है जैसे पीड़ित के कार्ड को मशीन पर टैप किया गया हो। ESET ने एक गिरफ्तार संदिग्ध के बारे में जानकारी दी है जिसने कम समय में तीन पीड़ितों से लगभग साढ़े छह हज़ार यूरो की रकम लूटी थी।

यह पहला मामला था जिसकी व्यापक रूप से रिपोर्ट की गई थी। 2025 की पहली छमाही तक, ESET टेलीमेट्री ने दिखाया कि NFC रिले हमले का पता लगाने की दर 2024 की दूसरी छमाही की तुलना में लगभग 35 गुना बढ़ गई थी। यह तकनीक अब सक्रिय रूप से उपयोग में है। यह आधुनिक EMV कॉन्टैक्टलेस कार्डों के खिलाफ काम करती है, क्योंकि प्रोटोकॉल अपना काम ठीक से करता है: कार्ड को टैप किया जा रहा है, क्रिप्टोग्राम नया है, और जारीकर्ता का बैंक एक सामान्य लेनदेन देखता है।

आरएफआईडी-ब्लॉकिंग स्लीव इनमें से किसी भी चीज़ से सुरक्षा प्रदान नहीं करती। पीड़ित व्यक्ति दुर्भावनापूर्ण ऐप इंस्टॉल करने के बाद स्वेच्छा से अपने ही फोन पर कार्ड का उपयोग कर रहा है। वॉलेट के चारों ओर मौजूद रेडियो शील्डिंग का हमले की सतह से कोई संबंध नहीं है।

इस तरह के हमले से बचाव करने वाली चीज़ को भौतिक उत्पाद के रूप में बेचना कहीं ज़्यादा मुश्किल है। आपको फ़िशिंग संदेश को पहचानना होगा, लिंक से ऐप्स इंस्टॉल नहीं करने होंगे, और कार्ड से सत्यापन के लिए किसी भी अनुरोध को चेतावनी के रूप में लेना होगा। इनमें से कोई भी चीज़ अमेज़न पर मिलने वाले पच्चीस डॉलर के वॉलेट में फिट नहीं बैठती।

जहां आरएफआईडी ब्लॉकिंग तकनीक अभी भी अपनी जगह बनाए हुए है

सच बात यह नहीं है कि RFID ब्लॉकिंग बेकार है। बल्कि, पेमेंट कार्ड का प्रचार ही उत्पाद का सबसे कमजोर पहलू है। कई वॉलेट में मौजूद RFID से सुरक्षित रहने वाली चीज़ें बैंक कार्ड को छोड़कर बाकी सब कुछ हैं।

एक संक्षिप्त सूची। कई होटलों में अभी भी पुराने कीकार्ड 13.56 मेगाहर्ट्ज HID iClass और MIFARE Classic परिवारों का उपयोग करते हुए भेजे जाते हैं, जिनमें से दोनों को सार्वजनिक शोध में त्रुटिपूर्ण पाया गया है और एक सस्ते रीडर से कोई भी इन्हें क्लोन कर सकता है। बिल्डिंग एक्सेस बैज, विशेष रूप से पुराने कॉर्पोरेट सिस्टम, अक्सर इसी त्रुटिपूर्ण स्टैक का उपयोग करते हैं। लाइब्रेरी टैग ISO 15693 का पालन करते हैं, जो व्यापक रीड रेंज वाला मानक है, और इनके पहचानकर्ता आसानी से लीक हो जाते हैं। कुछ शुरुआती बायोमेट्रिक पासपोर्ट में बुनियादी एक्सेस कंट्रोल कमजोर था और डेटा पेज की सामग्री को आसानी से चुराया जा सकता था। लॉयल्टी कार्ड, जिम फ़ॉब और संग्रहीत मूल्य वाले ट्रांजिट कार्ड को आमतौर पर आसानी से क्लोन या रिले किया जा सकता है।

यदि आप अपने बैंक कार्ड के साथ कई कॉन्टैक्ट ब्लॉकिंग स्लीव रखते हैं, तो एक साधारण ब्लॉकिंग स्लीव का अपना एक विशिष्ट कार्य होता है। लेकिन आपके कॉन्टैक्टलेस वीज़ा कार्ड के लिए इसका कोई काम नहीं है।

वॉलेट मार्केटिंग में इस विषमता को नजरअंदाज किया जाता है। दो अलग-अलग समस्याओं को एक ही उत्पाद के प्रचार में समेट दिया जाता है, और जिस समस्या को समझाना आसान होता है, वह लगभग एक दशक पहले ही खत्म हो चुकी होती है।

इसे समझने का एक व्यावहारिक तरीका: अपने बटुए में रखी चीज़ों की सूची बनाएं। हर चीज़ के लिए, यह पूछें कि वह किस रेडियो मानक का उपयोग करती है और क्या उस मानक पर क्रिप्टोग्राफिक सुरक्षा परत चढ़ी हुई है। EMV चिप के पूरी तरह से लागू होने के बाद से बैंक कार्डों में यह सुरक्षा परत होती है। अधिकांश इमारतों के बैज, होटल की चाबियां और पुस्तकालय टैग में यह परत नहीं होती। स्लीव उन सभी चीज़ों की सुरक्षा करती है जिन पर क्रिप्टोग्राफिक परत नहीं होती। यह उन चीज़ों को और बेहतर नहीं बना सकती जिन पर पहले से ही यह परत मौजूद है। यही RFID ब्लॉकिंग की पूरी कहानी है, बिना किसी मार्केटिंग की भाषा के।

Jordan Morris

Jordan Morris is an AI expert with over a decade of experience and the author of a widely-read blog focused on artificial intelligence. His content spans a range of topics—from the ethics of machine learning to real-world applications of neural networks in business. Known for his clear writing and deep insights, Jordan has become a trusted voice in the AI community, appealing to both newcomers and seasoned professionals alike.