Chặn RFID: Nó thực sự bảo vệ những gì (và không bảo vệ những gì)
Nếu bạn đã mua một chiếc ví chống RFID hoặc một trong những chiếc thẻ chống RFID mỏng có thể nhét vào khe thẻ trong ba hoặc bốn năm trở lại đây, xin chúc mừng: bạn đã được bảo vệ khỏi một phương pháp gian lận thẻ mà hầu hết đã ngừng hoạt động kể từ khi chip trên thẻ của bạn trở nên phổ biến. Quảng cáo cho bạn biết rằng kẻ trộm có thể lấy cắp tiền từ tài khoản của bạn thông qua vải. Quảng cáo đã đúng về vật lý sóng radio nhưng sai về thẻ ở đầu bên kia. Lời chào mời rất trực quan. Thẻ không tiếp xúc của bạn gửi dữ liệu qua không khí, một người lạ với thiết bị đọc ẩn có thể lấy được dữ liệu đó, và tiền của bạn biến mất. Đó là loại mô hình mối đe dọa mà bộ não dễ dàng chấp nhận vì nó tuân theo các quy tắc trộm cắp vật lý mà chúng ta đã hiểu. Vấn đề là thẻ thanh toán hiện đại ở đầu bên kia của liên kết sóng radio đó không hoạt động theo cách mà quảng cáo giả định.
Bài viết này sẽ phân tích chi tiết về việc đánh cắp thông tin RFID thực chất là gì, giao thức không tiếp xúc EMV đã thay đổi điều gì, và loại hình gian lận NFC nào đang ngày càng gia tăng hiện nay. Tiết lộ trước: loại gian lận đang gia tăng này không có ví nào có thể ngăn chặn được.
Cách thức hoạt động của việc đánh cắp thông tin RFID lẽ ra phải như thế nào
Những màn trình diễn nổi tiếng đó đều diễn ra trong khoảng thời gian từ năm 2009 đến 2013. Các nhà nghiên cứu như Pablos Holman và Kristin Paget bước lên sân khấu Defcon và TED, giơ một chiếc hộp đen gần túi của ai đó, và rút ra một bản sao hoạt động được của thẻ tín dụng. Các đoạn video từ hội nghị đã lan truyền rộng rãi. Một thập kỷ tiếp thị ví, bao đựng thẻ và bìa hộ chiếu đã ra đời trong những phút giây đó.
Những thẻ bị đánh cắp thông tin trong các bản demo đó là loại thẻ RFID tương đương với thẻ từ, theo cách gọi của giới thanh toán. Chúng ra đời sau thế hệ thẻ không tiếp xúc đời đầu, ví dụ như chương trình Chase Blink ban đầu ở Hoa Kỳ từ khoảng năm 2005 đến 2013. Thẻ truyền tải, qua liên kết vô tuyến tầm ngắn, về cơ bản là cùng một dữ liệu được mã hóa trên dải từ của nó: số tài khoản chính, ngày hết hạn, tên chủ thẻ trong nhiều trường hợp và mã xác thực thẻ tĩnh. Một thiết bị đánh cắp thông tin với ăng-ten lớn hơn một chút có thể đọc tất cả dữ liệu đó xuyên qua vải hoặc da mỏng từ khoảng cách vài centimet. Dữ liệu thu được đủ để mã hóa một bản sao hoạt động lên một dải từ trống và mang nó đến bất kỳ cửa hàng nào vẫn chấp nhận giao dịch quẹt thẻ.
Về mặt kỹ thuật, lý do các thẻ này hoạt động được là vì chúng sử dụng tiêu chuẩn ISO 14443, nhánh tầm ngắn của nhận dạng tần số vô tuyến, được thiết kế cho phạm vi nhận dạng khoảng mười centimet. Những người trình diễn đã mở rộng phạm vi đó bằng cách sử dụng ăng-ten lớn hơn và nguồn điện sạch hơn. Các thẻ nhận dạng lân cận sử dụng tiêu chuẩn ISO 15693, loại được tìm thấy trong sách thư viện và thẻ kiểm kê kho hàng, có thể được đọc từ khoảng cách lên đến bảy mươi centimet. Thẻ thanh toán chưa bao giờ tuân theo tiêu chuẩn đó. Nhưng ấn tượng mà công chúng ghi nhớ chỉ là một con số duy nhất: thẻ có thể được đọc từ khắp một căn phòng. Ấn tượng đó đã sai ngay cả vào năm 2010. Và giờ đây, nó càng sai hơn nữa.
Tôi cứ mãi nghĩ về việc nỗi sợ hãi đó dai dẳng đến mức nào. Những chiếc thẻ trong các bản demo nổi tiếng đó thực sự không còn tồn tại nữa. Ngành công nghiệp thanh toán đã phát triển. Nhưng loại sản phẩm được xây dựng để chống lại những chiếc thẻ đó thì không.
Vì sao EMV đã loại bỏ mối đe dọa từ RFID? Việc chặn RFID được quảng bá để ngăn chặn điều đó.
Điều chấm dứt các cuộc tấn công đánh cắp thông tin thẻ bằng phương pháp tương đương với thẻ từ không phải là những chiếc ví tốt hơn. Đó chính là chip EMV, và cụ thể hơn là phiên bản EMV không tiếp xúc được tích hợp trên mọi thẻ Visa, Mastercard, American Express và Discover được phát hành trong vài năm gần đây.
Đây là những gì xảy ra khi bạn quẹt thẻ không tiếp xúc hiện đại vào đầu đọc. Thẻ và thiết bị đầu cuối sẽ thống nhất một mã giao dịch duy nhất cho mỗi giao dịch đó. Chip trên thẻ sử dụng một khóa bí mật, được tích hợp sẵn trong quá trình sản xuất và không bao giờ được truyền đi, để thực hiện bước mã hóa, tính toán một mã bảo mật dùng một lần gọi là ARQC, Mã Yêu Cầu Ủy Quyền. Đầu đọc gửi mã ARQC cùng một vài trường thông tin khác đến ngân hàng phát hành để phê duyệt. Nếu thiết bị đọc trộm thẻ đang ở ngay cạnh túi bạn và thu thập được thông tin tương tự, thiết bị đó sẽ chỉ lấy được mã ARQC, số tài khoản chính, ngày hết hạn và không có gì khác. Không có mã CVV2, mã ba chữ số ở mặt sau của thẻ. Không có mã PIN. Không có dữ liệu dải từ ở rãnh thứ hai. Không có giá trị xác thực thẻ có thể được sử dụng lại.
Việc sử dụng lại mã ARQC đã bị đánh cắp có vấn đề gì? Bộ đếm đã di chuyển. Giao dịch tiếp theo cần một mã hóa mới với giá trị bộ đếm tiếp theo. Hệ thống xác thực của tổ chức phát hành sẽ từ chối việc phát lại. Dữ liệu bị đánh cắp, đối với mục đích sao chép thẻ hoặc thực hiện giao dịch bán hàng trực tiếp thông thường, là vô dụng.
Để làm rõ sự bất đối xứng này, đây là những gì một máy quét RFID thụ động có thể thu thập từ thẻ EMV không tiếp xúc chỉ trong một lần chạm, so với những gì một bản sao RFID hoạt động thực sự cần.
| Cánh đồng | Được thu thập bằng cách quét RFID của EMV | Cần sao chép hoặc phát lại |
|---|---|---|
| Mã số tài khoản chính (PAN) | Đúng | Đúng |
| Ngày hết hạn | Đúng | Đúng |
| Tên chủ thẻ | Thỉnh thoảng | Thỉnh thoảng |
| Mật mã ARQC | Có (dùng một lần, đóng gói tại quầy) | Không (phải là thẻ mới cho giao dịch tiếp theo) |
| CVV2 (ba chữ số ở mặt sau của thẻ) | KHÔNG | Đúng vậy, đối với hầu hết các hình thức thanh toán không cần thẻ. |
| GHIM | KHÔNG | Có, đối với việc rút tiền tại ATM. |
| Dữ liệu dải từ đầy đủ theo dõi hai | KHÔNG | Có, có thể sao chép sang thẻ chỉ dùng để quẹt thẻ. |
| Khóa bí mật của thẻ | Không (không bao giờ rời khỏi chip) | Có, để tạo bất kỳ ARQC hợp lệ nào. |
Những con số đằng sau điều này rất đáng để xem xét kỹ. EMVCo, tổ chức quản lý tiêu chuẩn EMV, báo cáo rằng tính đến quý IV năm 2024, 96,20% tất cả các giao dịch thanh toán trực tiếp trên toàn cầu đều sử dụng chip. Khoảng 72% tổng số thẻ được phát hành đều hỗ trợ EMV. Tại Hoa Kỳ, Visa báo cáo rằng các nhà bán lẻ đã nâng cấp chip cho thẻ của họ đã chứng kiến số tiền thu được từ gian lận thẻ giả giảm 76% từ tháng 12 năm 2015 đến tháng 12 năm 2017. Đó không phải là một xu hướng giảm nhẹ. Đó là bằng chứng cho thấy chip đã loại bỏ hoàn toàn lý do kinh tế cho việc sao chép thẻ trực tiếp.
Có một ngoại lệ nhỏ cần được đề cập. Số tài khoản chính và ngày hết hạn bị đánh cắp đôi khi có thể được sử dụng để kiểm tra các nhà cung cấp dịch vụ thanh toán không có thẻ vật lý yếu kém, những nơi không thực thi xác thực 3DS hoặc không kiểm tra mã CVV2. Đó là một vấn đề thực sự. Và đó cũng không phải là vấn đề của RFID. Các số này liên tục bị rò rỉ thông qua các vụ xâm phạm dữ liệu của nhà cung cấp, các trang web lừa đảo và các giao dịch thanh toán trực tuyến bị đánh cắp thông tin. Ví chặn thanh toán không giải quyết được vấn đề đó.
Các số điện thoại gian lận không tiếp xúc mà sản phẩm chặn RFID không bao giờ hiển thị cho bạn.
Những người mua ví chống trộm RFID hầu như không bao giờ nhìn thấy số liệu gian lận thực tế, bởi vì loại gian lận mà những chiếc ví này nhắm đến không phải là loại gian lận gây thiệt hại về tiền bạc.
| Nguồn | Năm | Nhân vật |
|---|---|---|
| Báo cáo gian lận tài chính thường niên năm 2025 của Vương quốc Anh | 2024 | Thiệt hại do gian lận thanh toán không tiếp xúc tại Anh lên tới 41,1 triệu bảng, lần đầu tiên giảm so với cùng kỳ năm ngoái kể từ năm 2020. |
| Tài chính Vương quốc Anh | 2024 | Tổng số vụ gian lận thẻ tín dụng trái phép tại Anh lên tới 572,6 triệu bảng Anh. |
| Được suy ra | 2024 | Gian lận thanh toán không tiếp xúc chiếm khoảng 7,2% tổng số vụ gian lận thẻ tại Anh. |
| Tài chính Vương quốc Anh | 2024 | Gian lận giao dịch không cần thẻ chiếm khoảng 70% tổng số vụ gian lận thẻ, tương đương hơn 400 triệu bảng Anh. |
| tài liệu tham vấn của FCA | 2025 | Tỷ lệ gian lận giao dịch không tiếp xúc là 1,3 xu trên 100 bảng Anh chi tiêu không tiếp xúc, so với 6 xu trên 100 bảng Anh đối với tất cả các giao dịch thẻ trái phép. |
| FCA / Tuần báo máy tính | 2024 | Giao dịch không tiếp xúc tại Anh: 18,9 tỷ giao dịch, tăng 3,4% so với cùng kỳ năm ngoái, giá trị trung bình 15,86 bảng Anh. |
| Đánh giá về việc đánh cắp thông tin thẻ tín dụng FICO US năm 2025 | 2025 | Cơ quan chống gian lận của Mỹ tuyên bố rõ ràng rằng họ không thể tách riêng việc đánh cắp thông tin thẻ RFID thành một loại tổn thất riêng biệt. |
Hãy đọc lại dòng cuối cùng đó hai lần. Lý do không có con số đô la nào được trích dẫn rộng rãi về thiệt hại do đánh cắp thông tin thẻ RFID ở Mỹ là vì những người thống kê gian lận thẻ không thể tìm ra một con số có ý nghĩa để báo cáo. Họ chỉ tập trung vào việc đánh cắp thông tin thẻ tại máy ATM và máy bơm xăng vì những hình thức đó để lại thiết bị vật lý. Việc đánh cắp thông tin thẻ RFID, dưới hình thức được bán cho người tiêu dùng trong các đoạn video Defcon, thì không được thống kê.
Tóm lại, tổn thất do đánh cắp thông tin thẻ RFID thụ động đối với các thẻ không tiếp xúc EMV hiện đại về mặt thống kê là không khác biệt đáng kể so với con số không. Consumer Reports, AARP, nhiều chuyên gia bảo mật nổi tiếng, bao gồm Roger Grimes tại KnowBe4, Trung tâm Tài nguyên Chống Đánh cắp Danh tính, Chase và Visa đều đã khẳng định điều tương tự trên các ấn phẩm của mình.
Ngân hàng Dự trữ Liên bang Kansas City đã nghiên cứu việc triển khai thẻ chip tại Hoa Kỳ trong một báo cáo về hệ thống thanh toán năm 2018 và nhận thấy rằng gian lận thẻ trực tiếp tại các cửa hàng chấp nhận thẻ chip đã giảm mạnh sau khi quá trình chuyển đổi hoàn tất, với tỷ lệ thẻ giả giảm trong khi tỷ lệ giao dịch không có thẻ trực tiếp tăng lên để bù lại khi tội phạm chuyển sang các kênh trực tuyến vì con đường dễ dàng hơn. Sự chuyển đổi đó là thực tế cốt lõi của gian lận thẻ trong những năm 2020. Việc sao chép thông tin thẻ, dưới mọi hình thức, đã trở thành một phần nhỏ và ngày càng thu hẹp trong một loại hình tổn thất giao dịch thẻ trực tiếp vốn đã đang giảm dần. Việc sao chép thông tin thẻ không tiếp xúc nằm ở phần nhỏ nhất trong loại hình nhỏ đó.
Một dữ liệu nữa đáng được đề cập. Mức trần giao dịch không tiếp xúc ở Anh đã được nâng từ 25 bảng lên 100 bảng vào năm 2021, sau đó Cơ quan Quản lý Tài chính (FCA) đã báo hiệu vào năm 2025 rằng mức trần sẽ được dỡ bỏ từ tháng 3 năm 2020 và các tổ chức phát hành thẻ sẽ tự đặt giới hạn của riêng họ. Nếu việc đánh cắp thông tin thẻ không tiếp xúc thụ động là một nguồn gây tổn thất đáng kể, thì việc tăng gấp năm lần mức độ rủi ro trên mỗi lần chạm thẻ sẽ làm thay đổi các con số. Nhưng điều đó đã không xảy ra. Gian lận không tiếp xúc đã giảm so với năm trước vào năm 2024 bất chấp giới hạn cao hơn và số lượng giao dịch cao hơn. Giao thức này đang phát huy tác dụng.
Mối đe dọa NFC thực sự mà ví của bạn không thể chặn được.
Trong khi ngành công nghiệp chống RFID đang giải quyết vấn đề của năm 2012, những kẻ tấn công đã chuyển sang phương thức khác. Hình thức gian lận NFC phát triển nhanh nhất hiện nay không hề liên quan đến người lạ ở gần túi quần của bạn.
Vào tháng 8 năm 2024, công ty bảo mật ESET đã công bố nghiên cứu về một loại phần mềm độc hại Android có tên NGate. Chuỗi tấn công diễn ra như sau: Nạn nhân bị lừa đảo, thường là bằng tin nhắn văn bản giả mạo từ ngân hàng của họ. Họ cài đặt ứng dụng mà họ tin là bản cập nhật bảo mật của ngân hàng. Ứng dụng giả mạo yêu cầu họ xác minh thẻ vật lý bằng cách áp thẻ vào mặt sau điện thoại trong thời gian ngắn. Phần mềm độc hại đọc thông tin thẻ qua chip NFC của điện thoại và truyền dữ liệu theo thời gian thực đến điện thoại của kẻ tấn công ở một quốc gia khác. Kẻ tấn công tiến đến máy ATM với điện thoại trên tay và rút tiền mặt như thể thẻ của nạn nhân đã được quẹt vào máy. ESET đã ghi nhận một nghi phạm bị bắt giữ với khoảng 6.500 euro bị lấy cắp từ ba nạn nhân trong một khoảng thời gian ngắn.
Đó là trường hợp đầu tiên được báo cáo rộng rãi. Đến nửa đầu năm 2025, dữ liệu đo từ xa của ESET cho thấy số vụ phát hiện tấn công chuyển tiếp NFC tăng khoảng 35 lần so với nửa cuối năm 2024. Kỹ thuật này hiện đang được sử dụng rộng rãi. Nó hoạt động hiệu quả đối với các thẻ không tiếp xúc EMV hiện đại, bởi vì giao thức hoạt động đúng như mong đợi: thẻ được chạm, mã hóa còn mới, ngân hàng phát hành thấy một giao dịch dường như bình thường.
Một chiếc bao chống RFID không bảo vệ được gì khỏi những điều này. Thẻ bị nạn nhân tự nguyện chạm vào điện thoại của chính họ sau khi họ cài đặt ứng dụng độc hại. Lớp chắn sóng vô tuyến xung quanh ví không liên quan đến bề mặt tấn công.
Việc thực sự phòng chống cuộc tấn công này lại khó có thể kiếm tiền từ một sản phẩm vật lý. Bạn cần nhận ra thông điệp lừa đảo, không cài đặt ứng dụng từ các liên kết và coi bất kỳ yêu cầu nào sử dụng thẻ để xác minh là một lời cảnh báo. Tất cả những điều đó đều không thể gói gọn trong một chiếc ví 25 đô la trên Amazon.
Trong bối cảnh công nghệ chặn RFID vẫn giữ vững vị thế của mình,
Thực tế thì không phải là công nghệ chặn RFID vô dụng. Vấn đề nằm ở chỗ điểm yếu nhất của sản phẩm chính là khả năng bảo vệ thẻ thanh toán. Những vật dụng thực sự dễ bị tấn công bởi RFID trong nhiều ví tiền, ngoại trừ thẻ ngân hàng.
Một danh sách ngắn gọn. Thẻ chìa khóa khách sạn cũ vẫn được sử dụng ở nhiều nơi với công nghệ HID iClass và MIFARE Classic 13,56 MHz, cả hai đều đã bị bẻ khóa trong các nghiên cứu công khai và có thể bị sao chép bởi bất kỳ ai có đầu đọc giá rẻ. Thẻ ra vào tòa nhà, đặc biệt là các hệ thống doanh nghiệp cũ, thường sử dụng cùng một loại thẻ đã bị bẻ khóa. Thẻ thư viện tuân theo tiêu chuẩn ISO 15693, là tiêu chuẩn có phạm vi đọc lớn hơn, và chúng dễ dàng bị lộ thông tin nhận dạng. Một số hộ chiếu sinh trắc học đời đầu có khả năng kiểm soát truy cập cơ bản yếu và có thể bị đánh cắp nội dung trang dữ liệu. Thẻ khách hàng thân thiết, thẻ phòng tập thể dục và thẻ giao thông công cộng có giá trị lưu trữ thường dễ dàng sao chép hoặc chuyển tiếp.
Nếu bạn mang theo nhiều loại thẻ đó cùng với thẻ ngân hàng, thì một chiếc bao bảo vệ thẻ cơ bản sẽ có tác dụng cụ thể và thiết thực. Tuy nhiên, nó không có tác dụng gì đối với thẻ Visa không tiếp xúc của bạn.
Sự bất đối xứng chính là điểm mà tiếp thị ví điện tử né tránh. Hai vấn đề khác nhau được gộp chung vào cùng một lời chào hàng sản phẩm, và vấn đề dễ giải thích hơn lại là vấn đề hầu như đã không còn tồn tại từ cả thập kỷ trước.
Một cách thực tế để hiểu vấn đề này: hãy liệt kê những thứ trong ví của bạn. Với mỗi vật dụng, hãy tự hỏi nó sử dụng tiêu chuẩn vô tuyến nào và liệu tiêu chuẩn đó có lớp mã hóa bảo mật nào được thêm vào hay không. Thẻ ngân hàng, kể từ khi chip EMV được triển khai hoàn tất, đều có. Hầu hết thẻ ra vào tòa nhà, chìa khóa khách sạn và thẻ thư viện thì không. Vỏ bọc bảo vệ những thứ không có lớp mã hóa. Nó không thể cải thiện những thứ đã có sẵn lớp mã hóa. Đó là toàn bộ câu chuyện về việc chặn RFID, được kể mà không cần đến tiếp thị.
