Pemblokiran RFID: Apa yang Sebenarnya Dilindungi (dan Apa yang Tidak Dilindungi)
Jika Anda membeli dompet pemblokir RFID atau salah satu kartu pemblokir RFID tipis yang dimasukkan ke dalam slot kartu dalam tiga atau empat tahun terakhir, selamat: Anda terlindungi dari metode penipuan kartu yang sebagian besar berhenti berfungsi sekitar waktu chip pada kartu Anda menjadi standar. Pemasaran memberi tahu Anda bahwa pencuri dapat mencuri dari akun Anda melalui kain. Pemasaran tersebut benar tentang fisika radio dan salah tentang kartu di ujung lainnya. Penawarannya intuitif. Kartu nirsentuh Anda mengirimkan data melalui udara, orang asing dengan pembaca tersembunyi dapat mengambil data tersebut, uang Anda hilang. Ini adalah jenis model ancaman yang dengan senang hati diterima otak karena mengikuti aturan pencurian fisik yang sudah kita pahami. Masalahnya adalah kartu pembayaran modern di ujung lain dari tautan radio tersebut tidak berperilaku seperti yang diasumsikan oleh pemasaran.
Artikel ini membahas apa sebenarnya penipuan RFID skimming, apa yang diubah oleh protokol nirsentuh EMV, dan apa yang saat ini berkembang dalam penipuan NFC. Spoiler: penipuan yang berkembang adalah jenis penipuan yang tidak dapat dihentikan oleh dompet digital mana pun.
Bagaimana cara kerja pencurian data RFID yang seharusnya terjadi
Demonstrasi terkenal itu semuanya terjadi sekitar tahun 2009 hingga 2013. Para peneliti seperti Pablos Holman dan Kristin Paget berjalan ke panggung Defcon dan TED, memegang kotak hitam di dekat saku seseorang, dan mengeluarkan klon kartu kredit yang berfungsi. Klip video konferensi menjadi viral. Satu dekade pemasaran dompet, sarung, dan sampul paspor lahir dalam beberapa menit itu.
Kartu yang di-skimming dalam demonstrasi tersebut adalah apa yang disebut oleh para ahli pembayaran sebagai RFID setara magstripe. Kartu ini mengikuti generasi awal kartu nirsentuh, seperti program Chase Blink asli di Amerika Serikat antara sekitar tahun 2005 dan 2013. Kartu tersebut mengirimkan, melalui tautan radio jarak pendek, data yang pada dasarnya sama dengan yang dikodekan pada pita magnetiknya: nomor rekening utama, tanggal kedaluwarsa, nama pemegang kartu dalam banyak kasus, dan nilai verifikasi kartu statis. Skimmer dengan antena yang sedikit lebih besar dapat membaca semua data tersebut melalui kain atau kulit tipis dari jarak beberapa sentimeter. Data yang ditangkap cukup untuk mengkodekan klon yang berfungsi ke pita magnetik kosong dan membawanya ke pedagang mana pun yang masih menerima transaksi gesek.
Alasan teknis mengapa ini berhasil adalah karena kartu-kartu tersebut menggunakan standar ISO 14443, cabang jarak pendek dari identifikasi frekuensi radio, yang dirancang untuk jarak sekitar sepuluh sentimeter. Para demonstran memperluas jangkauan tersebut dengan antena yang lebih besar dan catu daya yang bersih. Tag jarak dekat yang menggunakan ISO 15693, jenis yang ditemukan di buku-buku perpustakaan dan tag inventaris gudang, dapat dibaca dari jarak hingga tujuh puluh sentimeter. Kartu pembayaran tidak pernah menggunakan standar tersebut. Tetapi kesan yang melekat pada publik adalah satu angka: kartu dapat dibaca dari seberang ruangan. Kesan itu salah bahkan pada tahun 2010. Dan sekarang jauh lebih salah.
Saya terus memikirkan betapa kuatnya rasa takut itu. Kartu-kartu dalam demo terkenal itu sebenarnya sudah tidak ada lagi. Industri pembayaran telah berubah. Kategori produk yang dibangun untuk melindungi dari kartu-kartu tersebut tidak.
Mengapa EMV membunuh ancaman pemblokiran RFID yang seharusnya dihentikan?
Yang mengakhiri serangan skimming yang setara dengan strip magnetik bukanlah dompet yang lebih baik. Melainkan chip EMV dan, lebih spesifik lagi, versi nirsentuh dari EMV yang disertakan pada setiap kartu Visa, Mastercard, American Express, dan Discover yang diterbitkan dalam beberapa tahun terakhir.
Berikut yang terjadi ketika Anda menempelkan kartu nirsentuh modern pada pembaca. Kartu dan terminal menyepakati penghitung transaksi yang unik untuk transaksi tunggal tersebut. Chip pada kartu menggunakan kunci rahasia, yang tertanam saat pembuatan dan tidak pernah ditransmisikan, untuk menjalankan langkah enkripsi yang menghitung kriptogram satu kali yang disebut ARQC, yaitu Kriptogram Permintaan Otorisasi. Pembaca mengirimkan ARQC ditambah beberapa bidang lain ke bank penerbit untuk persetujuan. Jika alat skimming berada di dekat saku Anda dan menangkap pertukaran yang sama, alat skimming akan mendapatkan ARQC, nomor rekening utama, tanggal kedaluwarsa, dan tidak banyak informasi lainnya. Tidak ada CVV2, kode tiga digit di bagian belakang kartu. Tidak ada PIN. Tidak ada data jalur kedua strip magnetik. Tidak ada nilai verifikasi kartu yang dapat digunakan kembali.
Apa salahnya menggunakan ARQC yang sudah diambil lagi? Penghitungnya sudah berubah. Transaksi berikutnya membutuhkan kriptogram baru dengan nilai penghitung berikutnya. Sistem otorisasi penerbit akan menolak pemutaran ulang. Data yang dicuri, untuk tujuan mengkloning kartu atau menjalankannya melalui penjualan langsung biasa, tidak berguna.
Untuk memperjelas asimetri tersebut, berikut adalah jumlah data yang dapat diambil oleh pemindai RFID pasif dari kartu nirsentuh EMV hanya dengan sekali sentuh, dibandingkan dengan jumlah data yang sebenarnya dibutuhkan oleh klon yang berfungsi.
| Bidang | Tertangkap melalui penyadapan RFID pada EMV. | Perlu mengkloning atau memutar ulang |
|---|---|---|
| Nomor rekening utama (PAN) | Ya | Ya |
| Kedaluwarsa | Ya | Ya |
| Nama pemegang kartu | Kadang-kadang | Kadang-kadang |
| Kriptogram ARQC | Ya (sekali pakai, terikat di konter) | Tidak (harus yang baru untuk transaksi berikutnya) |
| CVV2 (tiga digit di bagian belakang kartu) | TIDAK | Ya, untuk sebagian besar pembayaran tanpa kartu fisik. |
| PIN | TIDAK | Ya, untuk penarikan ATM. |
| Data jalur dua strip magnetik penuh | TIDAK | Ya, bisa dikloning ke kartu yang hanya bisa digesek. |
| Kunci rahasia kartu | Tidak (tidak pernah meninggalkan chip) | Ya, untuk menghasilkan ARQC yang valid. |
Angka-angka di balik ini patut dicermati. EMVCo, badan industri yang menjalankan standar EMV, melaporkan bahwa 96,20 persen dari semua transaksi kartu fisik secara global menggunakan chip pada kuartal keempat tahun 2024. Sekitar 72 persen dari semua kartu yang diterbitkan telah mendukung EMV. Di Amerika Serikat, Visa melaporkan bahwa pedagang yang menyelesaikan peningkatan chip mereka melihat penurunan pendapatan dari penipuan kartu palsu sebesar 76 persen antara Desember 2015 dan Desember 2017. Itu bukan tren yang lemah. Itu adalah chip yang mengikis seluruh argumen ekonomi untuk penggandaan kartu secara langsung.
Ada pengecualian kecil yang perlu disebutkan. Nomor rekening utama dan tanggal kedaluwarsa yang terekam terkadang dapat diuji terhadap pedagang yang lemah dalam transaksi tanpa kartu fisik yang tidak menerapkan otentikasi 3DS atau tidak memeriksa CVV2. Itu adalah masalah nyata. Ini juga bukan masalah RFID. Nomor yang sama terus-menerus bocor melalui pelanggaran data pedagang, halaman phishing, dan pembayaran e-commerce yang dicuri datanya. Dompet pemblokir tidak berbuat apa-apa terhadap hal itu.
Nomor penipuan nirsentuh yang tidak pernah ditampilkan oleh produk pemblokiran RFID kepada Anda.
Orang-orang yang berbelanja dompet pemblokir RFID hampir tidak pernah melihat angka penipuan yang sebenarnya, karena kategori penipuan yang ditargetkan oleh dompet tersebut bukanlah kategori yang kehilangan uang.
| Sumber | Tahun | Angka |
|---|---|---|
| Laporan Tahunan Penipuan UK Finance 2025 | Tahun 2024 | Kerugian akibat penipuan nirsentuh di Inggris mencapai 41,1 juta poundsterling, penurunan tahunan pertama sejak 2020. |
| Keuangan Inggris | Tahun 2024 | Total penipuan kartu kredit tanpa izin di Inggris mencapai 572,6 juta poundsterling. |
| Berasal dari | Tahun 2024 | Penipuan tanpa kontak mencakup sekitar 7,2 persen dari seluruh penipuan kartu di Inggris. |
| Keuangan Inggris | Tahun 2024 | Penipuan tanpa kartu fisik mencakup sekitar 70 persen dari semua penipuan kartu, dengan nilai lebih dari 400 juta poundsterling. |
| Makalah keterlibatan FCA | Tahun 2025 | Tingkat penipuan tanpa kontak sebesar 1,3 pence per 100 pound yang dibelanjakan tanpa kontak, dibandingkan dengan 6 pence per 100 pound untuk semua transaksi kartu yang tidak sah. |
| FCA / Komputer Mingguan | Tahun 2024 | Transaksi nirsentuh di Inggris: 18,9 miliar, naik 3,4 persen dibandingkan tahun sebelumnya, nilai rata-rata 15,86 poundsterling. |
| Ulasan Skimming Kartu FICO AS 2025 | Tahun 2025 | Badan anti-penipuan Amerika secara eksplisit menyatakan bahwa mereka tidak dapat mengisolasi pencurian data RFID sebagai kategori kerugian yang terpisah. |
Bacalah baris terakhir itu dua kali. Alasan mengapa tidak ada angka dolar yang dikutip secara luas untuk kerugian skimming RFID di Amerika adalah karena orang-orang yang menghitung penipuan kartu tidak dapat menemukan angka yang berarti untuk dilaporkan. Mereka mengisolasi skimming ATM dan skimming pompa bensin karena hal itu meninggalkan perangkat fisik. Skimming RFID, dalam bentuk yang dijual kepada konsumen dalam klip Defcon tersebut, tidak muncul.
Singkatnya, kerugian akibat skimming RFID pasif yang terdokumentasi terhadap kartu nirsentuh EMV modern secara statistik tidak dapat dibedakan dari nol. Consumer Reports, AARP, beberapa pakar keamanan ternama termasuk Roger Grimes dari KnowBe4, Identity Theft Resource Center, Chase, dan Visa semuanya telah menyatakan hal yang sama dalam publikasi mereka.
Bank Federal Reserve Kansas City mempelajari peluncuran chip di Amerika Serikat dalam sebuah pengarahan sistem pembayaran tahun 2018 dan menemukan bahwa penipuan kartu fisik di pedagang yang menggunakan chip menurun tajam setelah transisi selesai, dengan tingkat pemalsuan menurun sementara tingkat penipuan tanpa kartu fisik meningkat sebagai kompensasi karena para penjahat mengikuti jalan termudah ke saluran online. Migrasi tersebut merupakan fakta utama penipuan kartu di tahun 2020-an. Skimming, dalam segala bentuknya, telah menjadi bagian kecil dan semakin menyusut dari kategori kerugian kartu fisik yang sudah menyusut. Skimming tanpa kontak berada di ujung kecil dari bagian kecil tersebut.
Satu data lagi perlu diungkapkan. Batas transaksi nirsentuh di Inggris dinaikkan dari dua puluh lima pound menjadi seratus pound pada tahun 2021, kemudian Otoritas Pengawas Keuangan (Financial Conduct Authority) memberi sinyal pada tahun 2025 bahwa batas tersebut akan dihapus mulai Maret 2026 dan masing-masing penerbit kartu akan menetapkan batas mereka sendiri. Jika pencurian data kartu nirsentuh secara pasif merupakan vektor kerugian yang signifikan, peningkatan lima kali lipat dalam eksposur per transaksi akan mengubah angka-angka tersebut. Namun, hal itu tidak terjadi. Penipuan nirsentuh menurun dari tahun ke tahun pada tahun 2024 meskipun batas transaksi lebih tinggi dan jumlah transaksi lebih banyak. Protokol tersebut telah menjalankan fungsinya dengan baik.
Ancaman NFC nyata yang tidak dapat diblokir oleh dompet Anda.
Saat industri pemblokiran RFID menjawab pertanyaan tahun 2012, para penyerang beralih ke target lain. Penipuan NFC yang paling cepat berkembang saat ini sama sekali tidak melibatkan orang asing di dekat saku Anda.
Pada Agustus 2024, perusahaan keamanan ESET menerbitkan penelitian tentang sebuah malware Android bernama NGate. Rantai serangannya seperti ini. Korban menjadi sasaran phishing, biasanya melalui pesan teks yang mengaku berasal dari bank mereka. Mereka menginstal apa yang mereka yakini sebagai pembaruan keamanan bank. Aplikasi palsu tersebut meminta mereka untuk memverifikasi kartu fisik mereka dengan menempelkannya sebentar ke bagian belakang ponsel mereka. Malware membaca kartu melalui chip NFC ponsel dan mengirimkan data, secara real-time, ke ponsel penyerang di negara lain. Penyerang mendatangi ATM dengan ponsel di tangan mereka dan menarik uang tunai seolah-olah kartu korban telah ditempelkan ke mesin. ESET mendokumentasikan seorang tersangka yang ditangkap dengan sekitar enam setengah ribu euro yang diambil dari tiga korban dalam waktu singkat.
Itu adalah kasus pertama yang dilaporkan secara luas. Pada paruh pertama tahun 2025, telemetri ESET menunjukkan deteksi serangan relay NFC meningkat sekitar 35 kali lipat dibandingkan dengan paruh kedua tahun 2024. Teknik ini sekarang aktif digunakan. Teknik ini berhasil melawan kartu nirsentuh EMV modern, karena protokolnya melakukan apa yang seharusnya dilakukan: kartu disentuh, kriptogramnya baru, dan bank penerbit melihat transaksi yang tampak normal.
Pelindung RFID tidak memberikan perlindungan apa pun. Kartu tersebut disentuh secara sukarela oleh korban, pada ponsel mereka sendiri, setelah mereka menginstal aplikasi berbahaya. Pelindung gelombang radio di sekitar dompet tidak terkait dengan area serangan.
Yang benar-benar melindungi dari serangan ini jauh lebih sulit untuk dimonetisasi sebagai produk fisik. Anda perlu mengenali pesan phishing, tidak menginstal aplikasi dari tautan, dan menganggap setiap permintaan untuk mengetuk kartu Anda untuk verifikasi sebagai peringatan. Semua itu tidak muat dalam dompet seharga dua puluh lima dolar di Amazon.
Di mana teknologi pemblokiran RFID masih layak digunakan.
Versi jujur dari cerita ini bukanlah bahwa pemblokiran RFID tidak berguna. Melainkan bahwa promosi kartu pembayaran adalah bagian terlemah dari produk tersebut. Benda-benda RFID yang benar-benar rentan di banyak dompet adalah semua hal kecuali kartu bank.
Berikut daftar singkatnya. Kartu kunci hotel lama masih banyak digunakan di berbagai properti yang menggunakan keluarga HID iClass dan MIFARE Classic 13,56 MHz, yang keduanya telah berhasil diretas dalam penelitian publik dan dapat dikloning oleh siapa pun dengan pembaca murah. Kartu akses gedung, terutama sistem perusahaan yang lebih lama, sering menggunakan tumpukan yang sama yang telah diretas. Label perpustakaan mengikuti ISO 15693, yang merupakan standar dengan jangkauan baca yang lebih besar, dan mereka dengan mudah membocorkan identitasnya. Beberapa paspor biometrik awal memiliki kontrol akses dasar yang lemah dan dapat dicuri isi halaman datanya. Kartu loyalitas, kartu akses gym, dan kartu transportasi dengan nilai tersimpan biasanya mudah dikloning atau direplikasi.
Jika Anda membawa beberapa kartu tersebut bersama kartu bank Anda, pelindung kartu dasar memiliki fungsi spesifik yang sebenarnya. Namun, pelindung kartu tersebut tidak memiliki fungsi untuk kartu Visa nirsentuh Anda.
Asimetri inilah yang dihindari oleh pemasaran dompet. Dua masalah berbeda digabungkan dalam promosi produk yang sama, dan masalah yang lebih mudah dijelaskan adalah masalah yang sebagian besar sudah tidak ada lagi sejak satu dekade lalu.
Cara praktis untuk memahaminya: buat daftar barang-barang di dompet Anda. Untuk setiap barang, tanyakan standar radio apa yang digunakannya dan apakah standar tersebut memiliki lapisan tantangan kriptografi di atasnya. Kartu bank, sejak peluncuran chip EMV selesai, memilikinya. Sebagian besar kartu akses gedung, kunci hotel, dan kartu perpustakaan tidak. Selongsong pelindung hanya melindungi apa pun yang tidak memiliki lapisan kriptografi. Selongsong tersebut tidak dapat meningkatkan apa yang sudah memilikinya. Itulah keseluruhan cerita tentang pemblokiran RFID, yang diceritakan tanpa unsur pemasaran.
