RFID Engelleme: Gerçekte Neleri Koruyor (ve Neleri Korumuyor)?
Son üç dört yılda RFID engelleyici bir cüzdan veya kart yuvasına takılan ince RFID engelleyici kartlardan birini satın aldıysanız, tebrikler: Kartınızdaki çip standart hale geldiği zamandan beri büyük ölçüde işe yaramayan bir kart dolandırıcılığı yöntemine karşı korunuyorsunuz. Pazarlama, hırsızların kumaş aracılığıyla hesabınızdan para çalabileceğini söylüyor. Pazarlama, radyo fiziği konusunda haklıydı, ancak diğer uçtaki kartlar konusunda yanılıyordu. Sunum sezgiseldir. Temassız kartınız havadan veri gönderir, gizli bir okuyucuya sahip bir yabancı bu veriyi alabilir, paranız kaybolur. Bu, beynin memnuniyetle kabul ettiği bir tehdit modelidir çünkü zaten anladığımız fiziksel hırsızlık kurallarına uyar. Sorun şu ki, bu radyo bağlantısının diğer ucundaki modern ödeme kartı, pazarlamanın varsaydığı gibi davranmıyor.
Bu yazıda RFID kart kopyalama işleminin aslında ne olduğu, EMV temassız protokolünün neleri değiştirdiği ve NFC dolandırıcılığında şu anda nelerin arttığı ele alınıyor. Önceden söyleyelim: Artan dolandırıcılık türü, hiçbir cüzdanın durduramayacağı türden.
RFID kopyalama işleminin nasıl çalışması gerekiyordu?
Ünlü gösterilerin tamamı yaklaşık 2009 ile 2013 yılları arasında gerçekleşti. Pablos Holman ve Kristin Paget gibi araştırmacılar Defcon ve TED sahnelerine çıktılar, birinin cebinin yanına siyah bir kutu tuttular ve içinden çalışan bir kredi kartı klonu çıkardılar. Konferans videoları viral oldu. O dakikalarda cüzdan, kılıf ve pasaport kılıfı pazarlamasının on yıllık bir dönemi doğdu.
Bu gösterilerde kopyalanan kartlar, ödeme uzmanlarının manyetik şerit eşdeğeri RFID olarak adlandırdığı kartlardı. Bunlar, yaklaşık 2005 ile 2013 yılları arasında Amerika Birleşik Devletleri'ndeki orijinal Chase Blink programı gibi, temassız kartların ilk neslini takip ediyordu. Kart, kısa menzilli bir radyo bağlantısı üzerinden, manyetik şeridine kodlanmış olan verilerin aynısını iletiyordu: birincil hesap numarası, son kullanma tarihi, çoğu durumda kart sahibi adı ve statik kart doğrulama değeri. Biraz daha büyük bir antene sahip bir kart kopyalama cihazı, tüm bunları birkaç santimetre uzaktan kumaş veya ince deri üzerinden okuyabiliyordu. Yakalanan veriler, boş bir manyetik şeride çalışan bir klon kodlamak ve hala manyetik şeritli ödeme kabul eden herhangi bir satıcıya götürmek için yeterliydi.
Bunun teknik olarak işe yaramasının nedeni, kartların yaklaşık on santimetre mesafeden okuma için tasarlanmış, radyo frekansı tanımlamasının kısa menzilli bir dalı olan ISO 14443 standardını kullanmasıydı. Göstericiler bunu daha büyük antenler ve temiz güç kaynaklarıyla genişlettiler. Kütüphane kitaplarında ve depo envanter etiketlerinde bulunan ISO 15693 standardını kullanan yakınlık etiketleri, yetmiş santimetreye kadar mesafeden okunabilir. Ödeme kartları hiçbir zaman bu standarda göre üretilmedi. Ancak halkın aklında kalan izlenim tek bir rakamdı: Kartlar odanın diğer ucundan okunabilir. Bu izlenim 2010 yılında bile yanlıştı. Şimdi ise çok daha yanlış.
Bu korkunun ne kadar kalıcı olduğunu sürekli düşünüyorum. O ünlü tanıtım videolarındaki kartlar artık gerçekten mevcut değil. Ödeme sektörü ilerledi. Ancak bu kartlara karşı savunma amacıyla geliştirilen ürün kategorisi ilerlemedi.
EMV, RFID engelleme teknolojisinin asıl amacı olan tehdidi neden ortadan kaldırdı?
Manyetik şeritli kart kopyalama saldırısını sona erdiren şey daha iyi cüzdanlar değildi. Bunun yerine EMV çipi ve daha spesifik olarak, son birkaç yıldır piyasaya sürülen her Visa, Mastercard, American Express ve Discover kartında bulunan temassız EMV teknolojisi devreye girdi.
Modern temassız bir kartı okuyucuya dokundurduğunuzda işte olanlar: Kart ve terminal, o tek işleme özgü bir işlem sayacı üzerinde anlaşır. Karttaki çip, üretim aşamasında yerleştirilen ve asla iletilmeyen gizli bir anahtar kullanarak, ARQC (Yetkilendirme İsteği Kriptogramı) adı verilen tek kullanımlık bir kriptogram hesaplayan bir şifreleme adımını çalıştırır. Okuyucu, ARQC'yi ve birkaç başka alanı onay için kartı veren bankaya gönderir. Eğer cebinizin yanında bir kart kopyalama cihazı varsa ve aynı işlemi gerçekleştirirse, cihaz ARQC'yi, birincil hesap numarasını, son kullanma tarihini ve başka pek bir şey elde edemez. CVV2 (kartın arkasındaki üç haneli kod) yok. PIN yok. Manyetik şerit izleme verileri yok. Yeniden kullanılabilen kart doğrulama değeri yok.
Ele geçirilen bir ARQC'yi tekrar kullanmanın ne sakıncası var? Sayaç ilerledi. Bir sonraki işlem, bir sonraki sayaç değeriyle yeni bir kriptogram gerektirir. Kartı veren kuruluşun yetkilendirme sistemi tekrar oynatmayı reddedecektir. Kopyalanan veriler, kartı klonlamak veya normal bir yüz yüze satış işleminde kullanmak amacıyla işe yaramaz.
Asimetriyi somutlaştırmak için, pasif bir RFID tarayıcının tek bir dokunuşla EMV temassız karttan neler okuyabileceğini, çalışan bir klonun gerçekte neye ihtiyaç duyacağıyla karşılaştıralım.
| Alan | EMV'nin RFID okuyucusuyla yakalandı. | Klonlamak veya tekrar oynatmak gerekiyordu. |
|---|---|---|
| Birincil hesap numarası (PAN) | Evet | Evet |
| Son kullanma tarihi | Evet | Evet |
| Kart Sahibinin Adı | Bazen | Bazen |
| ARQC kriptogramı | Evet (tek kullanımlık, tezgah üstü) | Hayır (bir sonraki işlem için yenisi olmalı) |
| CVV2 (kartın arkasındaki üç rakam) | HAYIR | Evet, çoğu kartsız ödeme işlemi için geçerli. |
| PIN | HAYIR | Evet, ATM'den para çekme işlemleri için. |
| Tam manyetik şeritli iki izli veri | HAYIR | Evet, yalnızca manyetik şeritli karta kopyalama işlemi yapılabilir. |
| Kart gizli anahtarı | Hayır (çipi asla bırakmaz) | Evet, geçerli herhangi bir ARQC oluşturmak için. |
Bu durumun ardındaki rakamlar üzerinde durmakta fayda var. EMV standardını yöneten sektör kuruluşu EMVCo, 2024 yılının dördüncü çeyreği itibarıyla dünya genelinde tüm kartlı işlemlerin %96,20'sinin çip kullandığını bildiriyor. Verilen tüm kartların yaklaşık %72'si EMV özellikli. Amerika Birleşik Devletleri'nde Visa, çip yükseltmesini tamamlayan satıcıların Aralık 2015 ile Aralık 2017 arasında sahte kart dolandırıcılığından elde edilen gelirde %76'lık bir düşüş gördüğünü bildirdi. Bu, hafif bir eğilim değil. Bu, çipin, yüz yüze kart kopyalamanın ekonomik gerekçesini tamamen ortadan kaldırdığı anlamına geliyor.
Bahsetmeye değer dar bir istisna var. Ele geçirilen birincil hesap numarası ve son kullanma tarihi, bazen 3DS kimlik doğrulamasını uygulamayan veya CVV2 kontrolü yapmayan zayıf kartsız ödeme sistemlerine sahip satıcılara karşı test edilebilir. Bu gerçek bir sorun. Ayrıca bu bir RFID sorunu da değil. Aynı numaralar, satıcı ihlalleri, kimlik avı sayfaları ve kopyalanmış e-ticaret ödemeleri yoluyla sürekli olarak sızıyor. Engelleme cüzdanı bunlara hiçbir şey yapmaz.
Temassız dolandırıcılık numaralarını ve RFID engelleme ürünlerini asla göremezsiniz.
RFID engelleyici cüzdan satın alan kişiler, dolandırıcılık rakamlarını neredeyse hiç görmezler, çünkü cüzdanların hedeflediği dolandırıcılık kategorisi, para kaybeden kategori değildir.
| Kaynak | Yıl | Figür |
|---|---|---|
| Birleşik Krallık Finans Kurumu Yıllık Dolandırıcılık Raporu 2025 | 2024 | Birleşik Krallık'ta temassız ödeme dolandırıcılığından kaynaklanan kayıplar 41,1 milyon sterline ulaştı; bu, 2020'den bu yana ilk yıllık düşüş oldu. |
| Birleşik Krallık Finansı | 2024 | Birleşik Krallık'ta yetkisiz kart dolandırıcılığının toplam tutarı 572,6 milyon sterlin. |
| Türetilmiş | 2024 | Temassız ödeme dolandırıcılığı, Birleşik Krallık'taki tüm kart dolandırıcılığının yaklaşık %7,2'sini oluşturuyor. |
| Birleşik Krallık Finansı | 2024 | Kartın fiziksel olarak mevcut olmadığı durumlarda yapılan dolandırıcılık, tüm kart dolandırıcılıklarının yaklaşık %70'ini oluşturuyor ve 400 milyon sterlinden fazla bir değere ulaşıyor. |
| FCA katılım belgesi | 2025 | Temassız ödemelerde dolandırıcılık oranı, her 100 sterlin için 1,3 peni iken, tüm yetkisiz kart işlemlerinde bu oran her 100 sterlin için 6 penidir. |
| FCA / Bilgisayar Haftalık | 2024 | Birleşik Krallık'ta temassız işlemler: 18,9 milyar, yıllık bazda %3,4 artış, ortalama değer 15,86 sterlin. |
| FICO ABD Kart Kopyalama 2025 İncelemesi | 2025 | Amerikan dolandırıcılıkla mücadele kuruluşu, RFID kart kopyalama yöntemini ayrı bir kayıp kategorisi olarak ele alamayacağını açıkça belirtiyor. |
Son satırı iki kez okuyun. Amerika'da RFID kart kopyalama kayıpları için yaygın olarak alıntılanan bir dolar rakamı olmamasının nedeni, kart sahtekarlığını sayan kişilerin raporlayacak anlamlı bir rakam bulamamasıdır. ATM kart kopyalama ve benzin pompası kart kopyalama yöntemlerini ayrı tutuyorlar çünkü bunlar fiziksel bir cihaz bırakıyor. Tüketicilere Defcon kliplerinde satılan RFID kart kopyalama yöntemi ise görünmüyor.
Özetle, modern EMV temassız kartlara karşı belgelenmiş pasif RFID kopyalama kayıpları istatistiksel olarak sıfırdan ayırt edilemez düzeydedir. Consumer Reports, AARP, KnowBe4'ten Roger Grimes dahil olmak üzere birçok güvenlik uzmanı, Kimlik Hırsızlığı Kaynak Merkezi, Chase ve Visa'nın hepsi aynı şeyi yazılı olarak dile getirmiştir.
Kansas City Federal Rezerv Bankası, 2018'deki bir ödeme sistemi bilgilendirme toplantısında Amerika Birleşik Devletleri'ndeki çip kullanımını inceledi ve çip özellikli iş yerlerinde kartla yapılan dolandırıcılığın, geçiş tamamlandıktan sonra keskin bir şekilde düştüğünü, sahte kart oranlarının düşerken, suçluların en kolay yolu izleyerek çevrimiçi kanallara yönelmesiyle kartın fiziksel olarak mevcut olmadığı dolandırıcılık oranlarının ise telafi olarak arttığını tespit etti. Bu geçiş, 2020'lerdeki kart dolandırıcılığının temel gerçeğidir. Her türlü kart kopyalama, zaten küçülmekte olan kartla yapılan dolandırıcılık kayıpları kategorisinin küçük ve giderek küçülen bir dilimi haline geldi. Temassız kart kopyalama, bu küçük dilimin en küçük ucunda yer almaktadır.
Bir veriyi daha belirtmekte fayda var. Birleşik Krallık'ta temassız ödeme limiti 2021'de 25 sterlinden 100 sterline yükseltildi, ardından Finansal Davranış Otoritesi (FCA) 2025'te bu limitin Mart 2026 tarihinden itibaren kaldırılacağını ve her bir kartı veren kuruluşun kendi limitlerini belirleyeceğini belirtti. Eğer pasif temassız kart kopyalama önemli bir kayıp vektörü olsaydı, temas başına maruz kalınan riskin beş katına çıkması rakamları değiştirirdi. Ancak değiştirmedi. Daha yüksek limitlere ve daha yüksek işlem sayılarına rağmen, temassız dolandırıcılık 2024 yılında bir önceki yıla göre azaldı. Protokol görevini yerine getiriyor.
Cüzdanınızın engelleyemediği gerçek NFC tehdidi
RFID engelleme sektörü 2012'nin sorusuna cevap ararken, saldırganlar başka yöntemlere yöneldi. Şu anda en hızlı büyüyen NFC dolandırıcılığı, cebinizin yakınında bulunan bir yabancıyla hiç ilgili değil.
Ağustos 2024'te güvenlik firması ESET, NGate adlı bir Android kötü amaçlı yazılımı üzerine bir araştırma yayınladı. Saldırı zinciri şu şekilde işliyor: Kurban, genellikle bankasından geldiğini iddia eden bir kısa mesajla kandırılıyor. Banka güvenlik güncellemesi olduğunu düşündükleri bir uygulamayı yüklüyorlar. Sahte uygulama, fiziksel kartlarını telefonlarının arkasına kısa bir süre tutarak doğrulamalarını istiyor. Kötü amaçlı yazılım, telefonun NFC çipi üzerinden kartı okuyor ve verileri gerçek zamanlı olarak farklı bir ülkedeki saldırganın telefonuna iletiyor. Saldırgan, elinde telefonuyla bir ATM'ye gidiyor ve kurbanın kartı makineye dokundurulmuş gibi nakit çekiyor. ESET, kısa bir süre içinde üç kurbandan yaklaşık altı buçuk bin euro çalan bir şüphelinin tutuklandığını belgeledi.
Bu, geniş çapta bildirilen ilk vakaydı. 2025 yılının ilk yarısında, ESET telemetrisi, NFC röle saldırısı tespitlerinin 2024 yılının ikinci yarısına kıyasla yaklaşık 35 kat arttığını gösterdi. Bu teknik şu anda aktif olarak kullanılıyor. Modern EMV temassız kartlara karşı işe yarıyor çünkü protokol olması gerektiği gibi çalışıyor: kart dokunuluyor, kriptogram yeni, kartı veren banka görünüşte normal bir işlem görüyor.
RFID engelleyici kılıf bunların hiçbirine karşı koruma sağlamaz. Kurban, kötü amaçlı uygulamayı yükledikten sonra kendi telefonuna karşı kartı gönüllü olarak okutuyor. Cüzdanın etrafındaki radyo kalkanı, saldırı yüzeyiyle ilgili değildir.
Bu saldırıya karşı gerçekten koruma sağlayan şeyin fiziksel bir ürün olarak paraya dönüştürülmesi çok daha zordur. Kimlik avı mesajını tanımanız, bağlantılardan uygulama yüklememeniz ve kartınızı doğrulamak için dokunmanızı isteyen her isteği bir alarm olarak değerlendirmeniz gerekir. Bunların hiçbiri Amazon'daki yirmi beş dolarlık bir cüzdana sığmaz.
RFID engelleme teknolojisinin hâlâ önemini koruduğu yerler
İşin dürüst tarafı, RFID engellemenin işe yaramaz olması değil. Ürünün en zayıf noktası ödeme kartı odaklı olması. Birçok cüzdanda gerçekten savunmasız olan RFID cihazları, banka kartları hariç her şeydir.
Kısa bir liste. Birçok otelde hala 13.56 MHz HID iClass ve MIFARE Classic ailelerini kullanan eski otel giriş kartları kullanılmaktadır; bunların her ikisi de kamu araştırmalarında kırılmış ve ucuz bir okuyucuya sahip herkes tarafından kopyalanabilir. Bina giriş kartları, özellikle eski kurumsal sistemler, genellikle aynı kırık yığınları kullanır. Kütüphane etiketleri, daha geniş okuma aralığına sahip standart olan ISO 15693'ü takip eder ve tanımlayıcılarını serbestçe sızdırırlar. Bazı erken dönem biyometrik pasaportlar zayıf temel erişim kontrolüne sahipti ve veri sayfası içeriği için kopyalanabilirdi. Sadakat kartları, spor salonu anahtarlıkları ve önceden yüklenmiş değere sahip toplu taşıma kartları genellikle kopyalanması veya aktarılması kolaydır.
Eğer banka kartlarınızın yanında bunlardan birkaçını taşıyorsanız, basit bir bloke kılıfın gerçekten de belirli bir görevi vardır. Temassız Visa kartınız için böyle bir görevi yoktur.
Asimetri, cüzdan pazarlamasının kaçındığı kısımdır. İki farklı sorun aynı ürün tanıtımında bir araya getirilir ve açıklanması daha kolay olan sorun, on yıl önce büyük ölçüde ortadan kalkmış olan sorundur.
Bunu pratik bir şekilde şöyle düşünebilirsiniz: Cüzdanınızdaki şeyleri listeleyin. Her bir öğe için, hangi radyo standardını kullandığını ve bu standardın üzerine kriptografik bir doğrulama katmanı eklenip eklenmediğini sorun. EMV çip dağıtımı tamamlandığından beri banka kartlarında bu doğrulama katmanı var. Çoğu bina giriş kartı, otel anahtarı ve kütüphane etiketinde ise yok. Kılıf, kriptografik katmanı olmayan her şeyi korur. Zaten kriptografik katmanı olan şeyleri iyileştiremez. RFID engellemenin tüm hikayesi, pazarlama unsurları olmadan anlatılmış hali budur.
