Блокування RFID: що воно насправді захищає (і що ні)
Якщо ви придбали гаманець із блокуванням RFID або одну з тонких карток із блокуванням RFID, які вставляються у слот для карток, протягом останніх трьох-чотирьох років, вітаємо: ви захищені від методу шахрайства з картками, який здебільшого перестав працювати приблизно тоді, коли чіп на вашій картці став стандартом. Маркетингові компанії кажуть вам, що злодії можуть красти з вашого рахунку через тканину. Маркетингові компанії мали рацію щодо радіофізики та помилялися щодо карток на іншому кінці. Ідея інтуїтивно зрозуміла. Ваша безконтактна картка надсилає дані по повітрю, незнайомець із прихованим зчитувачем може отримати ці дані, і ваші гроші зникають. Це та модель загрози, яку мозок із задоволенням приймає, тому що вона відповідає правилам фізичної крадіжки, які ми вже розуміємо. Проблема полягає в тому, що сучасна платіжна картка на іншому кінці цього радіозв'язку поводиться не так, як передбачає маркетинг.
У цій статті розповідається, що насправді було RFID-скімінгом, що змінив безконтактний протокол EMV та які шахрайства з використанням NFC зараз зростають. Спойлер: шахрайство, яке зростає, — це такий вид шахрайства, який не може зупинити жоден гаманець.
Як мало працювати RFID-скімінг
Відомі демонстрації відбулися приблизно між 2009 і 2013 роками. Такі дослідники, як Паблос Холман і Крістін Пейджет, виходили на сцени Defcon і TED, тримали чорну скриньку біля чиєїсь кишені та діставали робочий клон кредитної картки. Відеокліпи конференцій стали вірусними. У ці хвилини народилося десятиліття маркетингу гаманців, чохлів та обкладинок для паспортів.
Картки, що знімалися в цих демонстраціях, були тим, що фахівці з платежів називають RFID, еквівалентним магнітній смузі. Вони були аналогом раннього покоління безконтактних карток, таких як оригінальна програма Chase Blink у Сполучених Штатах приблизно з 2005 по 2013 рік. Картка передавала через радіозв'язок малої дальності по суті ті ж дані, що й на її магнітній смузі: основний номер рахунку, термін дії, ім'я власника картки в багатьох випадках та статичне значення перевірки картки. Скімер із дещо збільшеною антеною міг зчитувати все це крізь тканину або тонку шкіру з відстані кількох сантиметрів. Зафіксованих даних було достатньо, щоб закодувати робочий клон на порожню магнітну смужку та передати його будь-якому продавцю, який все ще приймав транзакції з використанням картки.
Технічна причина, чому це спрацювало, полягає в тому, що картки використовували стандарт ISO 14443, ближню гілку радіочастотної ідентифікації, яка розрахована на відстань близько десяти сантиметрів. Демонстранти розширили цей стандарт за допомогою більших антен та екологічно чистих джерел живлення. Мітки близькості, що використовують ISO 15693, такі, що можна знайти в бібліотечних книгах та мітках складського інвентарю, можна зчитувати з відстані до сімдесяти сантиметрів. Платіжні картки ніколи не відповідали цьому стандарту. Але враження, яке склалося у громадськості, було одним-єдиним: картки можна зчитувати з іншого боку кімнати. Це враження було хибним навіть у 2010 році. Зараз воно набагато хибніше.
Я постійно думаю про те, наскільки стійким був цей страх. Карток у тих відомих демонстраціях насправді більше не існує. Платіжна індустрія рухалася далі. Категорія продуктів, створена для захисту від цих карток, не зникла.
Чому EMV знищила загрозу, для зупинки якої було продано блокування RFID
Покладено край скімінг-атаці, еквівалентній магнітній смузі, не покращення гаманців. Це зробив чіп EMV, а точніше, безконтактна версія EMV, яка постачається з кожною карткою Visa, Mastercard, American Express та Discover, випущеною за останні кілька років.
Ось що відбувається, коли ви прикладаєте сучасну безконтактну картку до зчитувача. Картка та термінал узгоджують лічильник транзакцій, унікальний для цієї окремої транзакції. Чіп на картці використовує секретний ключ, вбудований під час виробництва та ніколи не передається, для виконання кроку шифрування, який обчислює одноразову криптограму під назвою ARQC (криптограма запиту на авторизацію). Зчитувач надсилає ARQC та кілька інших полів до банку-емітента для затвердження. Якщо скімер знаходиться поруч з вашою кишенею та фіксує той самий обмін, він отримує ARQC, основний номер рахунку, термін дії та майже нічого більше. Немає CVV2, тризначного коду на звороті картки. Немає PIN-коду. Немає даних магнітної смуги track-two. Немає значення перевірки картки, яке можна використовувати повторно.
Що не так з повторним використанням захопленого ARQC? Лічильник перемістився далі. Для наступної транзакції потрібна нова криптограма з наступним значенням лічильника. Система авторизації емітента відхилить повторне відтворення. Знімлені дані, для цілей клонування картки або її запуску під час звичайного особистого продажу, марні.
Щоб зробити асиметрію конкретною, ось що може зняти пасивний RFID-сканер з безконтактної картки EMV одним дотиком, порівняно з тим, що насправді знадобиться робочому клону.
| Поле | Зафіксовано за допомогою RFID-сканування EMV | Потрібно клонувати або відтворити |
|---|---|---|
| Номер основного рахунку (PAN) | Так | Так |
| Термін дії | Так | Так |
| Ім'я власника картки | Іноді | Іноді |
| Криптограма ARQC | Так (одноразовий, з фіксованою фіксацією) | Ні (для наступної транзакції має бути новий) |
| CVV2 (три цифри на звороті картки) | Ні | Так для більшості оплат без пред'явлення картки |
| ПІН-код | Ні | Так, для зняття готівки в банкоматах |
| Повні дані доріжки два магнітної смуги | Ні | Так, щоб клонувати на картку, яку можна лише провести |
| Секретний ключ картки | Ні (ніколи не залишає чіп) | Так, щоб згенерувати будь-який дійсний ARQC |
Варто зупинитися на цифрах, що стоять за цим. EMVCo, галузева організація, яка керує стандартом EMV, повідомляє, що станом на четвертий квартал 2024 року 96,20 відсотка всіх транзакцій з використанням картки в усьому світі використовували чіп. Близько 72 відсотків усіх виданих карток підтримують EMV. У Сполучених Штатах Visa повідомила, що у продавців, які завершили оновлення своїх чіпів, обсяг шахрайських операцій з підробленими готівкою скоротився на 76 відсотків у період з грудня 2015 року по грудень 2017 року. Це не м’яка тенденція. Саме цей чіп з’їдає всю економічну аргументацію на користь клонування карток особисто.
Варто згадати один невеликий виняток. Зафіксований номер основного рахунку та термін його дії іноді можна перевірити у слабких продавців, які не використовують 3DS-автентифікацію або не перевіряють CVV2. Це справжня проблема. Це також не проблема RFID. Ті самі номери постійно просочуються через порушення правил продавців, фішингові сторінки та знешкоджені електронні оформлення замовлення. Блокуючий гаманець нічого з цим не робить.
Безконтактні номери для шахраїв. Продукти з блокуванням RFID ніколи вам не покажуть.
Люди, які купують гаманці з блокуванням RFID, майже ніколи не бачать фактичної кількості шахрайств, оскільки категорія шахрайства, проти якої спрямовані ці гаманці, не є тією, з якої втрачаються гроші.
| Джерело | Рік | Фігура |
|---|---|---|
| Щорічний звіт про шахрайство у фінансовій сфері Великої Британії за 2025 рік | 2024 рік | Збитки від безконтактного шахрайства у Великій Британії склали 41,1 мільйона фунтів стерлінгів, що є першим зниженням у річному обчисленні з 2020 року. |
| Фінанси Великої Британії | 2024 рік | Загальний обсяг несанкціонованого шахрайства з картками у Великій Британії становить 572,6 мільйона фунтів стерлінгів |
| Похідне | 2024 рік | Безконтактне шахрайство становить приблизно 7,2 відсотка всіх шахрайств з використанням карток у Великій Британії. |
| Фінанси Великої Британії | 2024 рік | Шахрайство без пред'явлення картки становить близько 70 відсотків усіх шахрайств з картками, понад 400 мільйонів фунтів стерлінгів |
| Документ про зобов'язання FCA | 2025 рік | Рівень шахрайства з безконтактною оплатою становить 1,3 пенса на 100 фунтів стерлінгів порівняно з 6 пенсами на 100 фунтів стерлінгів для всіх несанкціонованих транзакцій з картками. |
| FCA / Комп'ютерний щотижневик | 2024 рік | Безконтактні транзакції у Великій Британії: 18,9 мільярда, що на 3,4 відсотка більше, ніж минулого року, середня вартість 15,86 фунтів стерлінгів |
| Огляд FICO US Card Skimming 2025 | 2025 рік | Американський орган з боротьби з шахрайством прямо заявляє, що не може виділити RFID-скімінг як окрему категорію збитків. |
Перечитайте останній рядок двічі. Причина, чому немає широко цитованої цифри в доларах щодо збитків від RFID-скімінгу в Америці, полягає в тому, що люди, які підраховують шахрайство з картками, не можуть знайти значущу цифру для звітності. Вони виділяють скімінг на банкоматах та скімінг на бензоколонках, оскільки після них залишається фізичний пристрій. RFID-скімінг у формі, яку продають споживачам у цих кліпах Defcon, не відображається.
Якщо коротко, то задокументовані втрати від пасивного RFID-скімінгу для сучасних безконтактних карток EMV статистично не відрізняються від нуля. Consumer Reports, AARP, численні експерти з безпеки, включаючи Роджера Граймса з KnowBe4, Центр ресурсів з крадіжки особистих даних, Chase та Visa мають усі ці версії того ж самого у друкованих виданнях.
Федеральний резервний банк Канзас-Сіті вивчив впровадження чіпів у Сполучених Штатах у брифінгу щодо платіжних систем у 2018 році та виявив, що шахрайство з пред'явленням картки у продавців, що використовують чіпи, різко скоротилося після завершення переходу, при цьому рівень підробок знизився, тоді як рівень шахрайства без пред'явлення картки зріс на знак компенсації, оскільки злочинці пішли шляхом найменшого опору до онлайн-каналів. Ця міграція є центральним фактом шахрайства з картками у 2020-х роках. Скімінг, у всіх його проявах, став невеликою і скорочуваною частиною категорії втрат із пред'явленням картки, що вже скорочується. Безконтактний скімінг знаходиться на невеликому кінці цієї невеликої частини.
Варто згадати ще один факт. У 2021 році стелю безконтактних платежів у Великій Британії було підвищено з двадцяти п'яти до ста фунтів, а потім у 2025 році Управління з фінансового контролю дало зрозуміти, що обмеження буде знято з березня 2026, і окремі емітенти встановлюватимуть власні ліміти. Якби пасивне безконтактне зняття коштів було значущим вектором збитків, п'ятикратне збільшення ризику за дотик вплинуло б на цифри. Цього не сталося. Безконтактне шахрайство зменшилося з року в рік у 2024 році, незважаючи на вищі ліміти та більшу кількість транзакцій. Протокол виконує свою роботу.
Справжня загроза NFC, яку ваш гаманець не може заблокувати
Поки індустрія блокування RFID відповідала на питання 2012 року, зловмисники рушили далі. Найшвидше зростаюче шахрайство з використанням NFC зараз взагалі не пов'язане з незнайомцем біля вашої кишені.
У серпні 2024 року компанія ESET, що займається безпекою, опублікувала дослідження шкідливого програмного забезпечення для Android під назвою NGate. Ланцюг атаки виглядає так. Жертву атакують фішинговими атаками, зазвичай за допомогою текстового повідомлення, яке нібито відправлене з її банку. Вона встановлює те, що вважає оновленням безпеки банку. Підроблений додаток просить її підтвердити свою фізичну картку, коротко приклавши її до задньої панелі телефону. Шкідливе програмне забезпечення зчитує картку через NFC-чіп телефону та передає дані в режимі реального часу на телефон зловмисника в іншій країні. Зловмисник підходить до банкомата з телефоном у руці та знімає готівку так, ніби картку жертви було прикладено до терміналу. ESET задокументувала заарештованого підозрюваного, у якого за короткий проміжок часу у трьох жертв було викрадено близько шести з половиною тисяч євро.
Це був перший широко зареєстрований випадок. До першої половини 2025 року телеметрія ESET показала, що виявлення атак через NFC-ретрансляцію зросло приблизно в 35 разів порівняно з другою половиною 2024 року. Ця методика зараз активно використовується. Вона працює проти сучасних безконтактних карток EMV, оскільки протокол виконує те, що повинен робити: картку прослуховують, криптограма свіжа, банк емітента бачить, здавалося б, нормальну транзакцію.
Чохол із блокуванням RFID не захищає від нічого з цього. Жертва добровільно прикладає картку до власного телефону після встановлення шкідливого застосунку. Радіоекранування навколо гаманця не пов'язане з поверхнею атаки.
Те, що насправді захищає від цієї атаки, набагато складніше монетизувати як фізичний продукт. Вам потрібно розпізнати фішингове повідомлення, не встановлювати програми за посиланнями та сприймати будь-який запит на підтвердження картки як тривогу. Нічого з цього не поміщається в гаманець за двадцять п'ять доларів на Amazon.
Де технологія блокування RFID все ще займає своє місце
Чесна версія історії полягає не в тому, що блокування RFID марне. Річ у тім, що реклама платіжної картки є найслабшою стороною продукту. Справді вразливими RFID-елементами в багатьох гаманцях є все, крім банківських карток.
Короткий список. Старі готельні картки-ключі досі постачаються в багатьох закладах з використанням сімейств HID iClass та MIFARE Classic 13,56 МГц, обидва з яких були зламані в публічних дослідженнях і можуть бути клоновані будь-ким, хто має дешевий зчитувач. Пропускні засоби для будівель, особливо старіші корпоративні системи, часто використовують ті ж зламані стеки. Бібліотечні бирки відповідають стандарту ISO 15693, який є стандартом з більшим діапазоном зчитування, і вони вільно розкривають свої ідентифікатори. Деякі ранні біометричні паспорти мали слабкий базовий контроль доступу і могли бути перевірені на наявність вмісту сторінки з даними. Картки лояльності, брелоки для спортзалів та транспортні картки зі збереженим значенням зазвичай легко клонувати або ретранслювати.
Якщо ви носите кілька таких карток разом із банківськими, звичайний блокувальний чохол має справжнє, специфічне призначення. Він не призначений для вашої безконтактної картки Visa.
Асиметрія – це та частина, якої уникає маркетинг гаманців. Дві різні проблеми об'єднуються в одну й ту ж презентацію продукту, і та, яку легше пояснити, – це та, яка здебільшого перестала існувати десять років тому.
Практичний спосіб подумати про це: перелічіть речі у вашому гаманці. Для кожного предмета запитайте, який радіостандарт він використовує та чи має цей стандарт криптографічний шар зверху. Банківські картки, з моменту завершення впровадження чіпів EMV, мають. Більшість будівельних значків, ключів від готелів та бірок бібліотек не мають. Чохол захищає все, що не має криптографічного шару. Він не може покращити те, що вже має. Ось і вся історія блокування RFID, розказана без маркетингу.
