Блокировка RFID: что она на самом деле защищает (и что не защищает)
Если вы приобрели кошелек с защитой от RFID-сканирования или одну из тонких карт с RFID-защитой, которые вставляются в слот для карт, за последние три-четыре года, поздравляем: вы защищены от метода мошенничества с картами, который в основном перестал работать примерно в то время, когда чип на вашей карте стал стандартом. Маркетинг внушает вам, что воры могут украсть деньги с вашего счета через ткань. Маркетинг был прав относительно физики радиоволн, но ошибался относительно карт на другом конце. Идея интуитивно понятна. Ваша бесконтактная карта передает данные по воздуху, посторонний с помощью скрытого считывателя может перехватить эти данные, и ваши деньги исчезнут. Это модель угрозы, которую мозг с радостью принимает, потому что она следует правилам физического воровства, которые мы уже понимаем. Проблема в том, что современная платежная карта на другом конце этого радиоканала ведет себя не так, как предполагает маркетинг.
В этой статье подробно рассказывается о том, что такое RFID-скимминг, какие изменения внес бесконтактный протокол EMV и что сейчас представляет собой растущий уровень мошенничества с использованием NFC. Спойлер: мошенничество, которое набирает обороты, невозможно остановить ни одним кошельком.
Как должна была работать RFID-скимминговая технология.
Все эти знаменитые демонстрации произошли примерно в период с 2009 по 2013 год. Исследователи, такие как Паблос Холман и Кристин Пейджет, выходили на сцены Defcon и TED, подносили черный ящик к чьему-то карману и доставали работающий клон кредитной карты. Видеоролики с конференций становились вирусными. В эти минуты зародилось десятилетие маркетинга, связанного с бумажниками, чехлами и обложками для паспортов.
В демонстрациях использовались карты, которые специалисты по платежам называют RFID-технологией, эквивалентной магнитной полосе. Они появились после раннего поколения бесконтактных карт, таких как оригинальная программа Chase Blink в США примерно с 2005 по 2013 год. Карта передавала по радиоканалу ближнего действия, по сути, те же данные, которые были закодированы на ее магнитной полосе: основной номер счета, срок действия, имя владельца карты (во многих случаях) и статический код проверки карты. Скиммер с немного увеличенной антенной мог считать все это через ткань или тонкую кожу с расстояния нескольких сантиметров. Захваченных данных было достаточно, чтобы закодировать рабочий клон на пустой магнитной полосе и использовать его в любом магазине, который все еще принимал платежи с помощью магнитных полос.
Техническая причина успеха заключалась в том, что карты использовали стандарт ISO 14443, относящийся к ближнему радиусу действия радиочастотной идентификации, рассчитанный на расстояние около десяти сантиметров. Демонстраторы расширили эти возможности, используя более крупные антенны и чистые источники питания. Метки ближнего действия, использующие стандарт ISO 15693, такие как те, что используются в библиотечных книгах и складских инвентарных бирках, могут считываться с расстояния до семидесяти сантиметров. Платежные карты никогда не соответствовали этому стандарту. Но у общественности закрепилось впечатление, основанное на одной цифре: карты можно считать с другого конца комнаты. Это впечатление было ошибочным даже в 2010 году. Сейчас оно еще более ошибочно.
Я постоянно думаю о том, насколько живучим оказался этот страх. Карты из тех знаменитых демонстраций на самом деле больше не существуют. Платежная индустрия двинулась дальше. Но категория продуктов, созданная для защиты от этих карт, — нет.
Почему EMV устранил угрозу, которую представляла блокировка RFID? Именно для предотвращения этой угрозы и продавались устройства, блокирующие RFID-сигналы.
Причиной прекращения атак с использованием магнитных полос, аналогичных скиммингу, стали не более совершенные кошельки. Это был чип EMV, а точнее, бесконтактная версия EMV, которая устанавливается на каждую карту Visa, Mastercard, American Express и Discover, выпущенную за последние несколько лет.
Вот что происходит, когда вы прикладываете современную бесконтактную карту к считывателю. Карта и терминал согласовывают счетчик транзакций, уникальный для каждой отдельной транзакции. Чип на карте использует секретный ключ, встроенный при производстве и никогда не передаваемый, для запуска этапа шифрования, который вычисляет одноразовую криптограмму, называемую ARQC (Authorization Request Cryptogram). Считыватель отправляет ARQC и несколько других полей в банк эмитента для подтверждения. Если рядом с вашим карманом лежит скиммер и перехватывает ту же транзакцию, он получает ARQC, основной номер счета, срок действия и больше ничего. Нет CVV2, трехзначного кода на обратной стороне карты. Нет PIN-кода. Нет данных с магнитной полосы (дорожка 2). Нет значения проверки карты, которое можно использовать повторно.
Что плохого в повторном использовании перехваченного ARQC? Счетчик уже запущен. Для следующей транзакции потребуется новая криптограмма со следующим значением счетчика. Система авторизации эмитента отклонит повторную попытку. Снятые данные бесполезны для целей клонирования карты или проведения обычной продажи в кассе.
Чтобы наглядно продемонстрировать асимметрию, вот что может считать пассивный RFID-сканер с бесконтактной EMV-карты за одно касание, по сравнению с тем, что потребуется работающему клону.
| Поле | Зафиксировано с помощью RFID-сканера EMV. | Необходимо для клонирования или воспроизведения. |
|---|---|---|
| Основной номер счета (PAN) | Да | Да |
| Дата окончания срока | Да | Да |
| Имя владельца карты | Иногда | Иногда |
| криптограмма ARQC | Да (одноразовое использование, скрепленное с обратной стороны) | Нет (для следующей транзакции потребуется новый). |
| CVV2 (три цифры на обороте карты) | Нет | Да, для большинства касс, где оплата производится без предъявления карты. |
| ПРИКОЛОТЬ | Нет | Да, снятие наличных в банкомате возможно. |
| Полные данные магнитной полосы, дорожка два | Нет | Да, можно клонировать на карту, работающую только по магнитной полосе. |
| Секретный ключ от карты | Нет (никогда не покидает чип) | Да, для генерации любого допустимого ARQC. |
Стоит обратить внимание на цифры. EMVCo, отраслевая организация, управляющая стандартом EMV, сообщает, что по состоянию на четвертый квартал 2024 года 96,20% всех транзакций с физическим присутствием карты в мире осуществлялись с использованием чипа. Около 72% всех выпущенных карт поддерживают EMV. В США компания Visa сообщила, что у продавцов, завершивших модернизацию своих систем, объемы мошенничества с поддельными картами сократились на 76% в период с декабря 2015 года по декабрь 2017 года. Это не временная тенденция. Это чип, который полностью нивелирует экономическую целесообразность клонирования карт при личном присутствии.
Существует одно узкое исключение, заслуживающее упоминания. Захваченный основной номер счета и срок действия иногда могут быть проверены на слабых продавцах, использующих карты без физического присутствия, которые не применяют аутентификацию 3DS или не проверяют CVV2. Это реальная проблема. Однако это не проблема RFID. Те же самые номера постоянно утекают через взломы учетных записей продавцов, фишинговые страницы и скимминговые платежи в интернет-магазинах. Блокирующий кошелек ничего с этим не делает.
Номера, используемые в продуктах с RFID-блокировкой, никогда не отображаются для бесконтактной защиты от мошенничества.
Покупатели кошельков с защитой от RFID-сканирования почти никогда не видят реальных цифр мошенничества, потому что категория мошенничества, против которой рекламируются эти кошельки, не та, которая приводит к убыткам.
| Источник | Год | Фигура |
|---|---|---|
| Ежегодный отчет о мошенничестве в финансовой сфере Великобритании за 2025 год. | 2024 | В Великобритании потери от бесконтактных платежей составили 41,1 миллиона фунтов стерлингов, это первое снижение по сравнению с аналогичным периодом прошлого года с 2020 года. |
| Финансы Великобритании | 2024 | Общий объем несанкционированного мошенничества с банковскими картами в Великобритании составил 572,6 миллиона фунтов стерлингов. |
| Полученный | 2024 | Мошенничество с бесконтактными платежами составляет примерно 7,2 процента от всех случаев мошенничества с банковскими картами в Великобритании. |
| Финансы Великобритании | 2024 | Мошенничество с использованием банковских карт без физического предъявления карты составляет около 70 процентов от всех случаев мошенничества с картами, что превышает 400 миллионов фунтов стерлингов. |
| Документ о взаимодействии с FCA | 2025 | Уровень мошенничества при бесконтактных платежах составляет 1,3 пенса на каждые 100 фунтов стерлингов, тогда как по всем несанкционированным карточным транзакциям этот показатель составляет 6 пенсов на каждые 100 фунтов стерлингов. |
| FCA / Computer Weekly | 2024 | В Великобритании количество бесконтактных транзакций: 18,9 млрд, рост на 3,4% по сравнению с прошлым годом, средняя сумма 15,86 фунтов стерлингов. |
| Обзор скимминга по картам FICO US за 2025 год. | 2025 | Американское ведомство по борьбе с мошенничеством прямо заявляет, что не может выделить скимминг RFID в отдельную категорию убытков. |
Прочитайте последнюю строку дважды. Причина, по которой нет широко цитируемых данных о потерях от скимминга RFID в Америке, заключается в том, что люди, занимающиеся подсчетом мошенничества с картами, не могут найти достоверную цифру для отчетности. Они выделяют скимминг банкоматов и скимминг бензоколонок, поскольку в этих случаях остается физическое устройство. Скимминг RFID, в том виде, в котором он продается потребителям в тех видеороликах с Defcon, не учитывается.
Вкратце, задокументированные потери от пассивного скимминга RFID-сигналов при использовании современных бесконтактных карт EMV статистически неотличимы от нуля. Журналисты Consumer Reports, AARP, многочисленные эксперты по безопасности, включая Роджера Граймса из KnowBe4, Центр ресурсов по борьбе с кражей личных данных, Chase и Visa — все они неоднократно заявляли об этом в своих публикациях.
Федеральный резервный банк Канзас-Сити в 2018 году в ходе анализа внедрения чиповых платежных систем в США обнаружил, что мошенничество с физическими картами в торговых точках, использующих чиповые технологии, резко сократилось после завершения перехода. Уровень подделок снизился, в то время как уровень мошенничества с картами без физического присутствия вырос, поскольку преступники, следуя по пути наименьшего сопротивления, проникли в онлайн-каналы. Эта миграция является ключевым фактором мошенничества с картами в 2020-х годах. Скимминг во всех его разновидностях стал небольшой и сокращающейся долей и без того уменьшающейся категории потерь от мошенничества с физическими картами. Бесконтактный скимминг находится на самом краю этой небольшой доли.
Стоит упомянуть еще один факт. В Великобритании в 2021 году лимит на бесконтактные платежи был повышен с двадцати пяти до ста фунтов стерлингов, а затем в 2025 году Управление по финансовому регулированию и надзору (FCA) сообщило, что этот лимит будет снят с марта, и каждый эмитент будет устанавливать свои собственные ограничения. Если бы пассивное мошенничество с бесконтактными платежами представляло собой существенный фактор потерь, пятикратное увеличение риска за одно касание изменило бы цифры. Но этого не произошло. Мошенничество с бесконтактными платежами снизилось в годовом исчислении в 2024 году, несмотря на более высокие лимиты и большее количество транзакций. Протокол выполняет свою работу.
Реальная угроза NFC, которую ваш кошелек не сможет заблокировать.
Пока индустрия защиты от RFID-сканирования отвечала на вопрос 2012 года, злоумышленники переключились на что-то другое. Самый быстрорастущий вид мошенничества с использованием NFC в настоящее время вообще не связан с присутствием постороннего человека рядом с вашим карманом.
В августе 2024 года компания ESET, занимающаяся вопросами безопасности, опубликовала исследование вредоносного ПО для Android под названием NGate. Схема атаки выглядит следующим образом: жертва становится жертвой фишинга, обычно с помощью текстового сообщения, якобы отправленного её банком. Жертва устанавливает то, что она считает обновлением безопасности банка. Поддельное приложение просит её подтвердить свою физическую карту, ненадолго приложив её к задней панели телефона. Вредоносная программа считывает данные с карты через NFC-чип телефона и в режиме реального времени передаёт данные на телефон злоумышленника в другой стране. Злоумышленник подходит к банкомату с телефоном в руке и снимает наличные, как если бы карта жертвы была приложена к устройству. Компания ESET задокументировала арест подозреваемого, у которого за короткий промежуток времени было украдено около шести с половиной тысяч евро у трёх жертв.
Это был первый широко освещенный случай. К первой половине 2025 года телеметрия ESET показала, что количество обнаружений атак с использованием NFC-ретранслятора увеличилось примерно в 35 раз по сравнению со второй половиной 2024 года. Сейчас эта технология активно используется. Она работает против современных бесконтактных карт EMV, потому что протокол делает то, что должен: карта считывается, криптограмма актуальна, банк-эмитент видит, что транзакция выглядит нормально.
Чехол с защитой от RFID-сканирования не защищает ни от чего из этого. Жертва добровольно прикладывает карту к своему телефону после установки вредоносного приложения. Радиозащита вокруг кошелька не имеет отношения к поверхности атаки.
Реальную защиту от этой атаки гораздо сложнее монетизировать в виде физического продукта. Нужно уметь распознавать фишинговые сообщения, не устанавливать приложения по ссылкам и воспринимать любой запрос на подтверждение карты как тревожный сигнал. Ничего из этого не поместится в кошелек за двадцать пять долларов на Amazon.
Где технология блокировки RFID по-прежнему находит своё место
Если говорить честно, дело не в том, что блокировка RFID бесполезна. Дело в том, что наиболее слабым звеном продукта является его ориентация на платежные карты. В большинстве кошельков уязвимыми с точки зрения RFID являются все, кроме банковских карт.
Краткий список. Во многих отелях до сих пор используются старые гостиничные электронные карты-ключи, работающие на базе чипов семейств 13,56 МГц HID iClass и MIFARE Classic, которые были взломаны в ходе публичных исследований и могут быть клонированы любым пользователем с помощью дешевого считывателя. Пропуска в здания, особенно в старых корпоративных системах, часто используют те же самые неисправные устройства. Библиотечные метки соответствуют стандарту ISO 15693, который имеет больший диапазон считывания, и их идентификаторы легко раскрываются. Некоторые ранние биометрические паспорта имели слабую базовую систему контроля доступа и могли быть считаны с страниц с данными. Карты лояльности, брелоки для спортзалов и проездные карты с предоплаченным балансом обычно легко клонировать или использовать повторно.
Если вы носите несколько таких чехлов вместе с банковскими картами, то обычный защитный чехол выполняет свою конкретную функцию. Он не предназначен для вашей бесконтактной карты Visa.
Асимметрия — это то, чего избегает маркетинг, ориентированный на потребительский рынок. В одном предложении продукта объединяют две разные проблемы, и та, которую проще объяснить, в основном перестала существовать десять лет назад.
Практический способ взглянуть на это: составьте список вещей в вашем кошельке. Для каждого предмета спросите, какой радиостандарт он использует и есть ли в этом стандарте криптографическая защита. Банковские карты, после завершения внедрения чипов EMV, имеют такую защиту. Большинство пропусков в здания, гостиничных ключей и библиотечных карт — нет. Чехол защищает то, что не имеет криптографического слоя. Он не может улучшить то, что уже имеет его. Вот и вся история блокировки RFID, рассказанная без маркетинговых ухищрений.
