การป้องกัน RFID: สิ่งที่มันปกป้องได้จริง (และสิ่งที่มันปกป้องไม่ได้)

หากคุณซื้อกระเป๋าสตางค์ป้องกัน RFID หรือบัตรป้องกัน RFID แบบบางที่เสียบลงในช่องเสียบบัตรในช่วงสามหรือสี่ปีที่ผ่านมา ขอแสดงความยินดีด้วย คุณได้รับการปกป้องจากวิธีการฉ้อโกงบัตรที่ส่วนใหญ่ใช้ไม่ได้ผลแล้วในช่วงเวลาที่ชิปบนบัตรของคุณกลายเป็นมาตรฐาน การตลาดบอกคุณว่าโจรสามารถขโมยเงินจากบัญชีของคุณผ่านทางเนื้อผ้าได้ การตลาดนั้นถูกต้องเกี่ยวกับหลักการทางฟิสิกส์ของคลื่นวิทยุ แต่ผิดเกี่ยวกับบัตรที่ปลายอีกด้านหนึ่ง แนวคิดนั้นดูสมเหตุสมผล บัตรแบบไร้สัมผัสของคุณส่งข้อมูลผ่านอากาศ คนแปลกหน้าที่มีเครื่องอ่านซ่อนอยู่สามารถดักจับข้อมูลนั้นได้ เงินของคุณก็หายไป มันเป็นแบบจำลองภัยคุกคามที่สมองยอมรับได้อย่างง่ายดาย เพราะมันเป็นไปตามกฎของการโจรกรรมทางกายภาพที่เราเข้าใจอยู่แล้ว ปัญหาคือบัตรชำระเงินสมัยใหม่ที่ปลายอีกด้านของลิงก์วิทยุนั้นไม่ได้ทำงานตามที่การตลาดคาดการณ์ไว้

บทความนี้จะอธิบายว่าการโจรกรรมข้อมูล RFID คืออะไร โปรโตคอลแบบไร้สัมผัส EMV เปลี่ยนแปลงอะไรไปบ้าง และการฉ้อโกงผ่าน NFC ที่กำลังเพิ่มขึ้นในปัจจุบัน สปอยล์: การฉ้อโกงที่กำลังเพิ่มขึ้นนั้นเป็นประเภทที่กระเป๋าสตางค์แบบไหนก็ป้องกันไม่ได้

วิธีการทำงานของการสแกนข้อมูลด้วย RFID นั้นถูกต้องแม่นยำอย่างไร

การสาธิตที่มีชื่อเสียงทั้งหมดเกิดขึ้นระหว่างปี 2009 ถึง 2013 โดยประมาณ นักวิจัยอย่าง Pablos Holman และ Kristin Paget เดินขึ้นไปบนเวที Defcon และ TED ถือกล่องสีดำไว้ใกล้กระเป๋าของใครบางคน แล้วดึงบัตรเครดิตจำลองที่ใช้งานได้ออกมา คลิปวิดีโอจากงานประชุมแพร่กระจายไปอย่างรวดเร็ว การตลาดสำหรับกระเป๋าสตางค์ ซองใส่บัตร และปกพาสปอร์ต ซึ่งกินเวลากว่าสิบปี ได้ถือกำเนิดขึ้นในไม่กี่นาทีนั้น

บัตรที่ถูกนำมาสแกนข้อมูลในสาธิตเหล่านั้น คือบัตรที่ผู้เชี่ยวชาญด้านการชำระเงินเรียกว่า RFID ที่เทียบเท่ากับแถบแม่เหล็ก บัตรเหล่านี้เป็นบัตรแบบไร้สัมผัสรุ่นแรกๆ เช่น โครงการ Chase Blink ในสหรัฐอเมริกา ระหว่างปี 2005 ถึง 2013 บัตรเหล่านี้ส่งข้อมูลผ่านการเชื่อมต่อวิทยุระยะสั้น ซึ่งโดยพื้นฐานแล้วเป็นข้อมูลเดียวกันกับที่เข้ารหัสไว้บนแถบแม่เหล็ก ได้แก่ หมายเลขบัญชีหลัก วันหมดอายุ ชื่อผู้ถือบัตร (ในหลายกรณี) และรหัสยืนยันบัตร เครื่องสแกนที่มีเสาอากาศขนาดใหญ่กว่าปกติเล็กน้อยสามารถอ่านข้อมูลทั้งหมดนี้ได้ผ่านผ้าหรือหนังบางๆ จากระยะห่างเพียงไม่กี่เซนติเมตร ข้อมูลที่ได้มานั้นเพียงพอที่จะเข้ารหัสบัตรปลอมลงบนแถบแม่เหล็กเปล่า และนำไปใช้ชำระเงินที่ร้านค้าใดๆ ที่ยังรับการรูดบัตรอยู่

เหตุผลทางเทคนิคที่ทำให้สิ่งนี้ได้ผลก็คือ บัตรเหล่านี้ใช้มาตรฐาน ISO 14443 ซึ่งเป็นมาตรฐานการระบุตัวตนด้วยคลื่นความถี่วิทยุระยะสั้น ที่ออกแบบมาสำหรับการใช้งานในระยะใกล้ประมาณสิบเซนติเมตร ผู้สาธิตได้ขยายขอบเขตนั้นด้วยเสาอากาศขนาดใหญ่ขึ้นและแหล่งจ่ายไฟที่สะอาด แท็กระบุระยะใกล้ที่ใช้มาตรฐาน ISO 15693 ซึ่งเป็นแบบที่พบในหนังสือห้องสมุดและแท็กสินค้าคงคลังในคลังสินค้า สามารถอ่านได้จากระยะไกลถึงเจ็ดสิบเซนติเมตร บัตรชำระเงินไม่เคยใช้มาตรฐานนั้น แต่ความประทับใจที่ติดอยู่ในใจประชาชนคือตัวเลขเพียงตัวเดียว: บัตรสามารถอ่านได้จากทั่วห้อง ความประทับใจนั้นผิดแม้กระทั่งในปี 2010 และมันผิดมากยิ่งขึ้นในปัจจุบัน

ฉันยังคงคิดถึงความกลัวนั้นว่ามันคงอยู่มานานแค่ไหน บัตรที่ใช้ในการสาธิตชื่อดังเหล่านั้นแทบจะไม่มีอยู่แล้วในปัจจุบัน อุตสาหกรรมการชำระเงินได้ก้าวไปข้างหน้าแล้ว แต่ประเภทผลิตภัณฑ์ที่สร้างขึ้นเพื่อป้องกันบัตรเหล่านั้นกลับยังคงพัฒนาต่อไป

เหตุใด EMV จึงกำจัดภัยคุกคามที่เทคโนโลยีการบล็อก RFID ถูกนำมาใช้เพื่อหยุดยั้ง

สิ่งที่ยุติการโจมตีแบบขโมยข้อมูลบัตรเครดิตที่ใช้แถบแม่เหล็กไม่ใช่กระเป๋าสตางค์ที่ดีกว่า แต่เป็นชิป EMV และโดยเฉพาะอย่างยิ่งชิป EMV แบบไร้สัมผัสที่ติดตั้งอยู่ในบัตร Visa, Mastercard, American Express และ Discover ทุกใบที่ออกในช่วงไม่กี่ปีที่ผ่านมา

นี่คือสิ่งที่เกิดขึ้นเมื่อคุณแตะบัตรแบบไร้สัมผัสสมัยใหม่บนเครื่องอ่าน บัตรและเครื่องอ่านจะตกลงกันเกี่ยวกับหมายเลขธุรกรรมที่ไม่ซ้ำกันสำหรับธุรกรรมนั้นๆ ชิปบนบัตรใช้รหัสลับที่ฝังอยู่ในกระบวนการผลิตและไม่เคยถูกส่งออกไป เพื่อขับเคลื่อนขั้นตอนการเข้ารหัสที่คำนวณรหัสลับแบบใช้ครั้งเดียวที่เรียกว่า ARQC หรือ Authorization Request Cryptogram เครื่องอ่านจะส่ง ARQC พร้อมข้อมูลอื่นๆ อีกเล็กน้อยไปยังธนาคารผู้ออกบัตรเพื่อขออนุมัติ หากมีเครื่องอ่านข้อมูลบัตร (skimmer) อยู่ใกล้ๆ คุณและดักจับธุรกรรมเดียวกันนั้น เครื่องอ่านจะได้เพียง ARQC หมายเลขบัญชีหลัก วันหมดอายุ และข้อมูลอื่นๆ เท่านั้น ไม่มี CVV2 รหัสสามหลักด้านหลังบัตร ไม่มี PIN ไม่มีข้อมูลจากแถบแม่เหล็ก ไม่มีค่าตรวจสอบบัตรที่สามารถนำกลับมาใช้ใหม่ได้

การใช้ ARQC ที่ดักจับมาได้อีกครั้งมีปัญหาอะไรหรือ? ตัวนับได้เปลี่ยนไปแล้ว การทำธุรกรรมครั้งต่อไปจำเป็นต้องใช้รหัสลับใหม่ที่มีค่าตัวนับถัดไป ระบบการอนุมัติของผู้ออกบัตรจะปฏิเสธการเล่นซ้ำ ข้อมูลที่ถูกดักจับมานั้นไร้ประโยชน์สำหรับการคัดลอกบัตรหรือการทำธุรกรรมซื้อขายแบบปกติ

เพื่อให้เห็นภาพความไม่สมมาตรได้ชัดเจนยิ่งขึ้น นี่คือสิ่งที่เครื่องสแกน RFID แบบพาสซีฟสามารถรับได้จากบัตร EMV แบบไร้สัมผัสในการแตะเพียงครั้งเดียว เมื่อเทียบกับสิ่งที่เครื่องสแกนแบบโคลนที่ใช้งานได้จริงต้องการ

ตัวเลขเหล่านี้ชวนให้หยุดพิจารณา EMVCo ซึ่งเป็นองค์กรที่ดูแลมาตรฐาน EMV รายงานว่า ณ ไตรมาสที่สี่ของปี 2024 ธุรกรรมการชำระเงินด้วยบัตรจริงทั่วโลก 96.20 เปอร์เซ็นต์ใช้ชิป และประมาณ 72 เปอร์เซ็นต์ของบัตรที่ออกทั้งหมดรองรับ EMV ในสหรัฐอเมริกา Visa รายงานว่าร้านค้าที่อัปเกรดบัตรเป็นชิปแล้ว พบว่ารายได้จากการฉ้อโกงบัตรปลอมลดลง 76 เปอร์เซ็นต์ระหว่างเดือนธันวาคม 2015 ถึงเดือนธันวาคม 2017 นี่ไม่ใช่เพียงแค่แนวโน้มเล็กน้อย แต่เป็นการแสดงให้เห็นว่าชิปได้เข้ามาแทนที่การปลอมแปลงบัตรแบบเดิมอย่างสิ้นเชิงแล้ว

มีข้อยกเว้นเล็กน้อยที่ควรกล่าวถึง หมายเลขบัญชีหลักและวันหมดอายุที่ถูกบันทึกไว้บางครั้งสามารถนำไปทดสอบกับร้านค้าที่ไม่ปลอดภัยซึ่งไม่บังคับใช้การตรวจสอบสิทธิ์ 3DS หรือไม่ตรวจสอบ CVV2 ได้ นี่เป็นปัญหาที่แท้จริง และไม่ใช่ปัญหาของ RFID หมายเลขเดียวกันนี้รั่วไหลอยู่ตลอดเวลาผ่านการละเมิดข้อมูลของร้านค้า หน้าเว็บฟิชชิ่ง และการโจรกรรมข้อมูลการชำระเงินในอีคอมเมิร์ซ กระเป๋าเงินดิจิทัลที่บล็อกหมายเลขเหล่านี้ไม่ได้ช่วยอะไรในเรื่องเหล่านี้

หมายเลขป้องกันการฉ้อโกงแบบไร้สัมผัสที่ผลิตภัณฑ์ป้องกัน RFID จะไม่แสดงให้คุณเห็น

ผู้ที่ซื้อกระเป๋าสตางค์ที่ป้องกัน RFID แทบจะไม่เคยเห็นตัวเลขการฉ้อโกงที่แท้จริงเลย เพราะประเภทของการฉ้อโกงที่กระเป๋าสตางค์เหล่านั้นมุ่งเป้าไปป้องกันนั้น ไม่ใช่ประเภทที่ทำให้สูญเสียเงินจำนวนมาก

อ่านบรรทัดสุดท้ายซ้ำสองรอบ เหตุผลที่ไม่มีตัวเลขมูลค่าเป็นดอลลาร์ที่อ้างอิงกันอย่างแพร่หลายสำหรับความเสียหายจากการโจรกรรมข้อมูลบัตร RFID ในอเมริกาคือ ผู้ที่นับจำนวนการฉ้อโกงบัตรไม่สามารถหาตัวเลขที่มีความหมายมารายงานได้ พวกเขาแยกการโจรกรรมข้อมูลจากตู้เอทีเอ็มและการโจรกรรมข้อมูลจากปั๊มน้ำมัน เพราะการโจรกรรมเหล่านั้นทิ้งอุปกรณ์ทางกายภาพไว้ การโจรกรรมข้อมูลบัตร RFID ในรูปแบบที่ขายให้กับผู้บริโภคในคลิป Defcon เหล่านั้นจึงไม่ปรากฏอยู่ในนั้น

สรุปอย่างตรงไปตรงมาก็คือ การสูญเสียจากการโจรกรรมข้อมูลบัตร RFID แบบพาสซีฟที่เกิดขึ้นกับบัตร EMV แบบไร้สัมผัสในปัจจุบันนั้น แทบจะแยกไม่ออกจากศูนย์ในทางสถิติ Consumer Reports, AARP, ผู้เชี่ยวชาญด้านความปลอดภัยหลายราย รวมถึง Roger Grimes จาก KnowBe4, Identity Theft Resource Center, Chase และ Visa ต่างก็กล่าวถึงเรื่องนี้ในทำนองเดียวกัน

ธนาคารกลางสหรัฐสาขาแคนซัสซิตี้ได้ศึกษาการใช้งานชิปในสหรัฐอเมริกาในการบรรยายสรุปเกี่ยวกับระบบการชำระเงินในปี 2018 และพบว่าการฉ้อโกงโดยใช้บัตรจริงที่ร้านค้าที่รองรับชิปลดลงอย่างมากเมื่อการเปลี่ยนผ่านเสร็จสมบูรณ์ โดยอัตราการปลอมแปลงบัตรลดลง ในขณะที่อัตราการฉ้อโกงโดยไม่ใช้บัตรจริงเพิ่มขึ้นเพื่อชดเชย เนื่องจากอาชญากรเลือกเส้นทางที่ง่ายที่สุดไปยังช่องทางออนไลน์ การย้ายช่องทางนี้เป็นข้อเท็จจริงสำคัญของการฉ้อโกงบัตรในทศวรรษ 2020 การขโมยข้อมูลบัตรในทุกรูปแบบกลายเป็นส่วนเล็ก ๆ และกำลังหดตัวลงในหมวดหมู่การสูญเสียโดยใช้บัตรจริงที่กำลังหดตัวลงอยู่แล้ว การขโมยข้อมูลบัตรแบบไร้สัมผัสอยู่ในส่วนเล็ก ๆ นั้นเอง

มีข้อมูลอีกประการหนึ่งที่ควรกล่าวถึง วงเงินสูงสุดสำหรับการทำธุรกรรมแบบไร้สัมผัสในสหราชอาณาจักรถูกปรับเพิ่มจาก 25 ปอนด์เป็น 100 ปอนด์ในปี 2021 จากนั้นหน่วยงานกำกับดูแลทางการเงิน (Financial Conduct Authority) ส่งสัญญาณในปี 2025 ว่าจะยกเลิกวงเงินสูงสุดดังกล่าวตั้งแต่วันที่ 0 มีนาคม และผู้ให้บริการแต่ละรายจะกำหนดวงเงินของตนเอง หากการโจรกรรมข้อมูลบัตรแบบไร้สัมผัสโดยไม่ได้รับอนุญาตเป็นสาเหตุสำคัญของการสูญเสีย การเพิ่มวงเงินต่อการแตะหนึ่งครั้งถึงห้าเท่าควรจะทำให้ตัวเลขเปลี่ยนแปลงไป แต่ก็ไม่เป็นเช่นนั้น การฉ้อโกงแบบไร้สัมผัสลดลงทุกปีในปี 2024 แม้ว่าจะมีวงเงินที่สูงขึ้นและจำนวนธุรกรรมที่เพิ่มขึ้นก็ตาม แสดงว่าโปรโตคอลทำงานได้ดี

ภัยคุกคาม NFC ที่แท้จริงที่กระเป๋าเงินของคุณป้องกันไม่ได้

ในขณะที่อุตสาหกรรมการป้องกัน RFID กำลังหาคำตอบให้กับคำถามในปี 2012 ผู้โจมตีก็เปลี่ยนวิธีการไปแล้ว การฉ้อโกง NFC ที่เติบโตเร็วที่สุดในขณะนี้ไม่ได้เกี่ยวข้องกับคนแปลกหน้าที่อยู่ใกล้กระเป๋าของคุณเลย

ในเดือนสิงหาคม 2024 บริษัทรักษาความปลอดภัย ESET ได้เผยแพร่ผลการวิจัยเกี่ยวกับมัลแวร์ Android ที่ชื่อว่า NGate ขั้นตอนการโจมตีเป็นดังนี้ เหยื่อจะถูกหลอกลวง โดยมักได้รับข้อความ SMS ที่อ้างว่าเป็นจากธนาคาร เหยื่อจะติดตั้งสิ่งที่พวกเขาคิดว่าเป็นโปรแกรมอัปเดตความปลอดภัยของธนาคาร แอปปลอมจะขอให้พวกเขายืนยันบัตรจริงโดยการนำบัตรไปแตะที่ด้านหลังโทรศัพท์สักครู่ มัลแวร์จะอ่านข้อมูลจากบัตรผ่านชิป NFC ของโทรศัพท์และส่งข้อมูลแบบเรียลไทม์ไปยังโทรศัพท์ของผู้โจมตีในต่างประเทศ ผู้โจมตีจะเดินไปที่ตู้ ATM พร้อมกับโทรศัพท์ในมือและถอนเงินสดราวกับว่าได้ใช้บัตรของเหยื่อแตะกับเครื่องแล้ว ESET ได้บันทึกการจับกุมผู้ต้องสงสัยรายหนึ่งพร้อมเงินประมาณหกพันห้าร้อยยูโรที่ได้มาจากเหยื่อสามรายในช่วงเวลาสั้นๆ

นั่นเป็นกรณีแรกที่มีการรายงานอย่างกว้างขวาง ในช่วงครึ่งแรกของปี 2025 ระบบตรวจสอบของ ESET แสดงให้เห็นว่าการตรวจจับการโจมตีแบบ NFC relay เพิ่มขึ้นประมาณ 35 เท่า เมื่อเทียบกับช่วงครึ่งหลังของปี 2024 ปัจจุบันเทคนิคนี้กำลังถูกนำไปใช้อย่างแพร่หลาย มันได้ผลกับบัตรแบบไร้สัมผัส EMV รุ่นใหม่ เพราะโปรโตคอลทำงานตามที่ควรจะเป็น: บัตรถูกแตะต้อง รหัสลับยังใหม่ และธนาคารของผู้ออกบัตรเห็นธุรกรรมที่ดูเหมือนปกติ

ซองป้องกัน RFID ไม่สามารถป้องกันสิ่งเหล่านี้ได้เลย เหยื่อกำลังแตะบัตรกับโทรศัพท์ของตนเองโดยสมัครใจ หลังจากติดตั้งแอปพลิเคชันที่เป็นอันตรายแล้ว การป้องกันคลื่นวิทยุรอบกระเป๋าสตางค์นั้นไม่เกี่ยวข้องกับจุดอ่อนของการโจมตี

สิ่งที่ใช้ป้องกันการโจมตีแบบนี้ได้จริง ๆ นั้นยากที่จะนำมาทำเป็นสินค้าจับต้องได้ คุณต้องรู้จักแยกแยะข้อความหลอกลวง ไม่ติดตั้งแอปจากลิงก์ และถือว่าการขอให้แตะบัตรเพื่อยืนยันเป็นสัญญาณเตือนภัย ซึ่งทั้งหมดนี้ไม่สามารถบรรจุลงในกระเป๋าสตางค์ราคา 25 ดอลลาร์บน Amazon ได้

เทคโนโลยีป้องกัน RFID ยังคงมีบทบาทสำคัญอยู่

ความจริงแล้ว การป้องกัน RFID ไม่ได้ไร้ประโยชน์ แต่จุดที่อ่อนแอที่สุดของผลิตภัณฑ์คือการใช้งานกับบัตรชำระเงินต่างหาก สิ่งที่เสี่ยงต่อการตรวจจับ RFID อย่างแท้จริงในกระเป๋าสตางค์หลายๆ ใบ คือทุกอย่างยกเว้นบัตรธนาคาร

ต่อไปนี้เป็นรายการโดยย่อ บัตรกุญแจโรงแรมแบบเก่าที่ยังคงใช้กันอยู่หลายแห่งนั้นใช้ชิปตระกูล HID iClass และ MIFARE Classic ความถี่ 13.56 MHz ซึ่งทั้งสองตระกูลนี้ถูกเจาะระบบได้แล้วในการวิจัยสาธารณะ และใครก็ตามที่มีเครื่องอ่านราคาถูกก็สามารถคัดลอกได้ บัตรเข้าอาคาร โดยเฉพาะระบบเก่าขององค์กร มักใช้ชิปที่ชำรุดแบบเดียวกัน บัตรห้องสมุดใช้มาตรฐาน ISO 15693 ซึ่งเป็นมาตรฐานที่มีระยะการอ่านกว้างกว่า และข้อมูลประจำตัวก็รั่วไหลได้ง่าย หนังสือเดินทางไบโอเมตริกซ์รุ่นแรกๆ บางรุ่นมีการควบคุมการเข้าถึงขั้นพื้นฐานที่อ่อนแอ และสามารถถูกขโมยข้อมูลในหน้าข้อมูลได้ บัตรสะสมแต้ม บัตรเข้าฟิตเนส และบัตรโดยสารที่มีการเติมเงิน มักจะคัดลอกหรือส่งต่อได้ง่าย

หากคุณพกบัตรเหล่านั้นหลายใบควบคู่ไปกับบัตรธนาคารของคุณ ซองกันรอยแบบพื้นฐานจะมีประโยชน์เฉพาะด้านอย่างแท้จริง แต่ไม่มีประโยชน์สำหรับบัตรวีซ่าแบบไร้สัมผัสของคุณ

ความไม่สมดุลเป็นส่วนที่การตลาดกระเป๋าสตางค์หลีกเลี่ยง ปัญหาที่แตกต่างกันสองอย่างถูกรวมเข้าไว้ในข้อเสนอผลิตภัณฑ์เดียวกัน และปัญหาที่อธิบายได้ง่ายกว่านั้นก็เป็นปัญหาที่แทบจะหมดไปแล้วเมื่อสิบปีที่แล้ว

วิธีคิดที่เป็นรูปธรรม: ลองนึกถึงสิ่งของในกระเป๋าเงินของคุณดู สำหรับแต่ละชิ้น ให้ถามว่ามันใช้มาตรฐานคลื่นวิทยุแบบใด และมาตรฐานนั้นมีการเข้ารหัสลับซ้อนทับอยู่หรือไม่ บัตรธนาคารนั้นมีการเข้ารหัสลับแล้ว เนื่องจากชิป EMV ถูกใช้งานอย่างแพร่หลาย แต่บัตรประจำตัวประชาชน บัตรเข้าอาคาร กุญแจโรงแรม และบัตรห้องสมุดส่วนใหญ่ไม่มี การเข้ารหัสลับนั้นไม่สามารถปกป้องสิ่งที่ไม่มีการเข้ารหัสลับได้ มันไม่สามารถปรับปรุงสิ่งที่การเข้ารหัสลับมีอยู่แล้วได้ นี่คือเรื่องราวทั้งหมดของการบล็อก RFID โดยปราศจากการตลาด

Jordan Morris

Jordan Morris is an AI expert with over a decade of experience and the author of a widely-read blog focused on artificial intelligence. His content spans a range of topics—from the ethics of machine learning to real-world applications of neural networks in business. Known for his clear writing and deep insights, Jordan has become a trusted voice in the AI community, appealing to both newcomers and seasoned professionals alike.