Blokowanie RFID: co tak naprawdę chroni (a czego nie)
Jeśli w ciągu ostatnich trzech lub czterech lat kupiłeś portfel blokujący RFID lub jedną z cienkich kart blokujących RFID, które wkłada się do czytnika kart, gratulacje: jesteś chroniony przed metodą oszustwa kartowego, która w większości przestała działać mniej więcej w czasie, gdy chip w karcie stał się standardem. Marketing wmawia ci, że złodzieje mogą okraść twoje konto przez tkaninę. Marketing miał rację co do fizyki fal radiowych, ale mylił się co do kart po drugiej stronie. Prezentacja jest intuicyjna. Twoja karta zbliżeniowa przesyła dane przez powietrze, obca osoba z ukrytym czytnikiem może te dane przechwycić, a twoje pieniądze znikają. To rodzaj modelu zagrożenia, który mózg chętnie akceptuje, ponieważ podąża za zasadami kradzieży fizycznej, które już rozumiemy. Problem polega na tym, że nowoczesna karta płatnicza po drugiej stronie tego połączenia radiowego nie zachowuje się tak, jak zakłada marketing.
W tym artykule omówiono, czym tak naprawdę był skimming RFID, co zmienił protokół zbliżeniowy EMV i jakie oszustwa związane z NFC są obecnie coraz powszechniejsze. Uwaga: oszustwa, których nie powstrzyma żaden portfel, są coraz powszechniejsze.
Jak miało działać skanowanie RFID
Wszystkie słynne demonstracje miały miejsce mniej więcej między 2009 a 2013 rokiem. Badacze tacy jak Pablos Holman i Kristin Paget wchodzili na sceny Defcon i TED, trzymali czarną skrzynkę przy czyjejś kieszeni i wyciągali działający klon karty kredytowej. Nagrania z konferencji stały się viralem. W ciągu tych kilku minut narodziła się dekada marketingu portfeli, etui i okładek paszportów.
Karty skanowane w tych demonstracjach były tym, co specjaliści ds. płatności nazywają technologią RFID równoważną paskowi magnetycznemu. Były one kontynuacją wczesnej generacji kart zbliżeniowych, takich jak oryginalny program Chase Blink w Stanach Zjednoczonych, działający w latach 2005–2013. Karta przesyłała, za pośrednictwem łącza radiowego krótkiego zasięgu, zasadniczo te same dane, które były zakodowane na jej pasku magnetycznym: główny numer konta, datę ważności, w wielu przypadkach imię i nazwisko posiadacza karty oraz statyczną wartość weryfikacyjną karty. Skimmer z nieco powiększoną anteną mógł odczytać to wszystko przez tkaninę lub cienką skórę z odległości kilku centymetrów. Przechwycone dane wystarczały do zakodowania działającego klonu na pustym pasku magnetycznym i przekazania go dowolnemu sprzedawcy, który nadal akceptował transakcje z użyciem paska magnetycznego.
Technicznym powodem, dla którego to zadziałało, jest fakt, że karty korzystały z normy ISO 14443, gałęzi krótkiego zasięgu identyfikacji radiowej, która została zaprojektowana dla odległości około dziesięciu centymetrów. Demonstratorzy rozszerzyli ją, stosując większe anteny i energooszczędne źródła zasilania. Znaczniki zbliżeniowe zgodne z normą ISO 15693, takie jak te stosowane w książkach bibliotecznych i magazynowych, można odczytać z odległości do siedemdziesięciu centymetrów. Karty płatnicze nigdy nie były objęte tą normą. Jednak wrażenie, które pozostało w opinii publicznej, sprowadzało się do jednej liczby: karty można odczytać z drugiego końca pokoju. To wrażenie było błędne nawet w 2010 roku. Teraz jest jeszcze bardziej błędne.
Ciągle myślę o tym, jak trwały był ten strach. Karty z tych słynnych dem tak naprawdę już nie istnieją. Branża płatnicza poszła naprzód. Kategoria produktów stworzona do obrony przed tymi kartami nie przetrwała.
Dlaczego EMV zabiło zagrożenie, które miało powstrzymać blokowanie RFID
To nie lepsze portfele położyły kres atakom skimmingowym opartym na paskach magnetycznych. To chip EMV, a dokładniej jego zbliżeniowa wersja, która jest dołączona do każdej karty Visa, Mastercard, American Express i Discover wydanej w ciągu ostatnich kilku lat, położyła kres atakom skimmingowym.
Oto, co się dzieje, gdy zbliżysz nowoczesną kartę zbliżeniową do czytnika. Karta i terminal uzgadniają licznik transakcji, który jest unikalny dla danej transakcji. Chip na karcie wykorzystuje tajny klucz, wbudowany w proces produkcji i nigdy nie przesyłany, do przeprowadzenia etapu szyfrowania, który oblicza jednorazowy kryptogram zwany ARQC (ang. Authorization Request Cryptogram – Kryptogram Żądania Autoryzacji). Czytnik wysyła ARQC wraz z kilkoma innymi polami do banku wystawcy w celu zatwierdzenia. Jeśli skimmer znajduje się obok Twojej kieszeni i przechwyci tę samą wymianę, otrzymuje ARQC, główny numer konta, datę ważności i niewiele więcej. Brak CVV2, trzycyfrowego kodu z tyłu karty. Brak PIN-u. Brak danych z paska magnetycznego na ścieżce drugiej. Brak wartości weryfikacji karty, która może zostać ponownie wykorzystana.
Co jest złego w ponownym użyciu przechwyconego ARQC? Licznik został przeniesiony. Następna transakcja wymaga nowego kryptogramu z kolejną wartością licznika. System autoryzacji wystawcy odrzuci powtórzenie. Odszyfrowane dane są bezużyteczne w celu klonowania karty lub przeprowadzenia jej przez normalną sprzedaż osobistą.
Aby zobrazować asymetrię, przyjrzyjmy się temu, ile pasywny skaner RFID jest w stanie odczytać z karty zbliżeniowej EMV jednym dotknięciem, w porównaniu z tym, ile faktycznie potrzebowałby działający klon.
| Pole | Złapany przez skaner RFID karty EMV | Potrzebne do klonowania lub odtwarzania |
|---|---|---|
| Główny numer konta (PAN) | Tak | Tak |
| Data ważności | Tak | Tak |
| Imię i nazwisko posiadacza karty | Czasami | Czasami |
| Kryptogram ARQC | Tak (jednorazowego użytku, oprawa w kratkę) | Nie (musi być nowy na potrzeby następnej transakcji) |
| CVV2 (trzy cyfry na odwrocie karty) | NIE | Tak, w przypadku większości płatności bez użycia karty |
| SZPILKA | NIE | Tak dla wypłat z bankomatu |
| Pełne dane z paska magnetycznego na ścieżce drugiej | NIE | Tak, aby sklonować na kartę obsługującą tylko przesunięcie |
| Klucz tajny karty | Nie (nigdy nie opuszcza chipa) | Tak, aby wygenerować dowolny prawidłowy ARQC |
Warto się zatrzymać na liczbach, które za tym stoją. EMVCo, organizacja branżowa zarządzająca standardem EMV, podaje, że w czwartym kwartale 2024 roku 96,20% wszystkich transakcji z użyciem karty na świecie korzystało z chipa. Około 72% wszystkich wydanych kart obsługuje standard EMV. W Stanach Zjednoczonych firma Visa poinformowała, że sprzedawcy, którzy dokonali aktualizacji chipa, odnotowali spadek przychodów z oszustw związanych z podróbkami o 76% między grudniem 2015 a grudniem 2017 roku. To nie jest łagodny trend. To chip miażdży cały ekonomiczny argument za klonowaniem kart osobiście.
Istnieje pewien wyjątek, o którym warto wspomnieć. Przechwycony numer konta głównego i data ważności mogą czasami zostać zweryfikowane w przypadku sprzedawców, którzy nie stosują uwierzytelniania 3DS lub nie sprawdzają kodu CVV2. To realny problem. Nie jest to również problem RFID. Te same numery stale wyciekają poprzez włamania do systemów sprzedawców, strony phishingowe i przechwytywanie płatności w e-commerce. Blokada portfela nic z tym nie robi.
Produkty blokujące RFID nigdy nie pokazują numerów oszustw zbliżeniowych
Osoby kupujące portfele blokujące sygnał RFID prawie nigdy nie widzą faktycznych liczb dotyczących oszustw, ponieważ kategoria oszustw, z którą mierzą się te portfele, nie jest tą, która powoduje utratę pieniędzy.
| Źródło | Rok | Postać |
|---|---|---|
| Roczny raport o oszustwach finansowych w Wielkiej Brytanii za rok 2025 | 2024 | Straty w Wielkiej Brytanii w wyniku oszustw zbliżeniowych wyniosły 41,1 mln funtów, co stanowi pierwszy spadek rok do roku od 2020 r. |
| Finanse w Wielkiej Brytanii | 2024 | Łączna wartość nieautoryzowanych oszustw kartowych w Wielkiej Brytanii wyniosła 572,6 mln funtów |
| Pochodny | 2024 | Oszustwa bezdotykowe stanowią około 7,2 procent wszystkich oszustw kartowych w Wielkiej Brytanii |
| Finanse w Wielkiej Brytanii | 2024 | Oszustwa związane z brakiem obecności karty stanowią około 70 procent wszystkich oszustw związanych z kartami, czyli ponad 400 milionów funtów |
| Dokument zaangażowania FCA | 2025 | Wskaźnik oszustw zbliżeniowych wynosi 1,3 pensa na każde 100 funtów wydanych przy użyciu płatności zbliżeniowych, w porównaniu do 6 pensów na każde 100 funtów w przypadku wszystkich nieautoryzowanych transakcji kartą |
| FCA / Computer Weekly | 2024 | Transakcje zbliżeniowe w Wielkiej Brytanii: 18,9 miliarda, wzrost o 3,4 procent rok do roku, średnia wartość 15,86 funtów |
| Przegląd FICO US Card Skimming 2025 | 2025 | Amerykańska organizacja zajmująca się oszustwami wyraźnie stwierdza, że nie może wyodrębnić skimmingu RFID jako osobnej kategorii strat |
Przeczytaj ostatni wiersz dwa razy. Powodem, dla którego nie ma powszechnie cytowanej kwoty strat z tytułu skimmingu RFID w Ameryce, jest to, że osoby liczące oszustwa kartowe nie mogą znaleźć sensownej kwoty do zgłoszenia. Wyodrębniają skimming bankomatowy i skimming na stacjach benzynowych, ponieważ te ostatnie pozostawiają po sobie fizyczne urządzenie. Skiming RFID, w formie sprzedawanej konsumentom w klipsach Defcon, nie jest widoczny.
Krótko mówiąc, udokumentowane straty wynikające z pasywnego skimmingu RFID w przypadku nowoczesnych kart zbliżeniowych EMV są statystycznie nieodróżnialne od zera. Consumer Reports, AARP, wielu znanych ekspertów ds. bezpieczeństwa, w tym Roger Grimes z KnowBe4, Identity Theft Resource Center, Chase i Visa, wszyscy podali te same wersje w druku.
Bank Rezerwy Federalnej w Kansas City przeanalizował wdrażanie chipów w Stanach Zjednoczonych podczas briefingu dotyczącego systemów płatności z 2018 roku i stwierdził, że liczba oszustw z użyciem kart w punktach sprzedaży obsługujących chipy gwałtownie spadła po zakończeniu transformacji – spadła liczba oszustw z użyciem kart, a liczba oszustw bez użycia kart wzrosła w ramach rekompensaty, ponieważ przestępcy podążali ścieżką najmniejszego oporu, przechodząc na kanały internetowe. Ta migracja jest kluczowym faktem w przypadku oszustw z użyciem kart w latach 20. XXI wieku. Skimming, w każdej postaci, stał się niewielkim i kurczącym się wycinkiem i tak już kurczącej się kategorii strat z użyciem kart. Skimming zbliżeniowy stanowi jedynie niewielki wycinek tego niewielkiego wycinka.
Warto przytoczyć jeszcze jedną informację. Limit płatności zbliżeniowych w Wielkiej Brytanii został podniesiony z dwudziestu pięciu do stu funtów w 2021 roku, a następnie Urząd Nadzoru Finansowego (FCA) zasygnalizował w 2025 roku, że limit ten zostanie zniesiony od marca 2026, a poszczególni wystawcy będą ustalać własne limity. Gdyby pasywny skimming zbliżeniowy był znaczącym wektorem strat, pięciokrotny wzrost narażenia na ryzyko przy każdym zbliżeniu zmieniłby te liczby. Tak się jednak nie stało. Liczba oszustw zbliżeniowych spadła w 2024 roku, pomimo wyższych limitów i większej liczby transakcji. Protokół spełnia swoje zadanie.
Prawdziwe zagrożenie NFC, którego Twój portfel nie jest w stanie zablokować
Podczas gdy branża technologii blokowania RFID odpowiadała na pytanie z 2012 roku, atakujący poszli dalej. Najszybciej rozwijające się oszustwa związane z NFC wcale nie wiążą się z obcym człowiekiem w pobliżu kieszeni.
W sierpniu 2024 roku firma ESET, zajmująca się bezpieczeństwem, opublikowała badania dotyczące złośliwego oprogramowania na Androida o nazwie NGate. Łańcuch ataku wygląda następująco: Ofiara pada ofiarą ataku phishingowego, zazwyczaj z wiadomością tekstową podszywającą się pod wiadomość z banku. Użytkownik instaluje coś, co jego zdaniem jest aktualizacją zabezpieczeń banku. Fałszywa aplikacja prosi o weryfikację karty fizycznej poprzez krótkie przyłożenie jej do tylnej części telefonu. Szkodliwe oprogramowanie odczytuje kartę przez układ NFC telefonu i przesyła dane w czasie rzeczywistym do telefonu atakującego w innym kraju. Atakujący podchodzi do bankomatu z telefonem w dłoni i wypłaca gotówkę, tak jakby karta ofiary została przyłożona do bankomatu. ESET udokumentował aresztowanie podejrzanego, który w krótkim czasie ukradł trzem ofiarom około 6,5 tysiąca euro.
To był pierwszy szeroko opisywany przypadek. Do pierwszej połowy 2025 roku telemetria ESET wykazała około 35-krotny wzrost liczby wykrytych ataków NFC Relay w porównaniu z drugą połową 2024 roku. Technika ta jest obecnie aktywnie wykorzystywana. Działa ona przeciwko nowoczesnym kartom zbliżeniowym EMV, ponieważ protokół działa tak, jak powinien: karta jest podsłuchiwana, kryptogram jest nowy, a bank wystawcy widzi pozornie normalną transakcję.
Osłona blokująca RFID nie chroni przed żadnym z tych elementów. Karta jest celowo podsłuchiwana przez ofiarę, po zainstalowaniu złośliwej aplikacji, na jej własnym telefonie. Osłona radiowa wokół portfela nie ma związku z powierzchnią ataku.
To, co faktycznie chroni przed tym atakiem, jest znacznie trudniejsze do spieniężenia jako produkt fizyczny. Musisz rozpoznać wiadomość phishingową, nie instalować aplikacji z linków i traktować każdą prośbę o weryfikację zbliżeniową karty jako alarm. Nic z tego nie zmieści się w portfelu za dwadzieścia pięć dolarów na Amazonie.
Gdzie technologia blokowania RFID nadal zdobywa swoje miejsce
Szczerze mówiąc, nie chodzi o to, że blokowanie RFID jest bezużyteczne. Chodzi o to, że najsłabszym punktem produktu jest karta płatnicza. W wielu portfelach najbardziej podatnymi na ataki elementami RFID są wszystkie inne urządzenia, z wyjątkiem kart bankowych.
Krótka lista. Stare karty dostępu do hoteli nadal są dostępne w wielu obiektach, wykorzystując rodziny 13,56 MHz HID iClass i MIFARE Classic. Obie zostały uszkodzone w publicznych badaniach i mogą być klonowane przez każdego posiadacza taniego czytnika. Karty dostępu do budynków, zwłaszcza starsze systemy korporacyjne, często korzystają z tych samych uszkodzonych stosów. Tagi biblioteczne są zgodne z normą ISO 15693, która jest standardem o większym zakresie odczytu, i mogą swobodnie ujawniać swoje identyfikatory. Niektóre wczesne paszporty biometryczne miały słabą podstawową kontrolę dostępu i można je było przejrzeć w celu uzyskania zawartości strony z danymi. Karty lojalnościowe, breloki do siłowni i karty komunikacji miejskiej z przedpłaconą wartością są zazwyczaj łatwe do klonowania lub przekazywania.
Jeśli nosisz ich kilka obok kart bankowych, podstawowa osłona blokująca ma konkretne, konkretne zadanie do wykonania. Nie ma ona zastosowania w przypadku karty zbliżeniowej Visa.
Asymetria to element, którego marketing portfela unika. Dwa różne problemy są łączone w jedną prezentację produktu, a ten łatwiejszy do wyjaśnienia to ten, który praktycznie przestał istnieć dekadę temu.
Praktyczny sposób na przemyślenie tego: wypisz rzeczy w portfelu. Przy każdym przedmiocie zapytaj, jakiego standardu radiowego używa i czy standard ten zawiera warstwę kryptograficzną. Karty bankowe, od czasu wprowadzenia chipa EMV, go posiadają. Większość identyfikatorów budynków, kluczy hotelowych i tagów bibliotecznych go nie posiada. Etui chroni wszystko, co nie ma warstwy kryptograficznej. Nie może poprawić tego, co już ją ma. Oto cała historia blokowania RFID, opowiedziana bez marketingu.
