RFID屏蔽:它究竟能保护什么(以及它不能保护什么)
如果你在过去三四年内购买过RFID屏蔽钱包或那种可以插入卡槽的超薄RFID屏蔽卡,恭喜你:你免受了一种卡片欺诈手段的侵害,这种手段在芯片卡成为标配前后基本失效。广告宣传说,窃贼可以通过织物窃取你的账户资金。广告宣传的无线电物理原理是正确的,但对另一端的卡片却有误。这种说法很容易让人信服。你的非接触式银行卡通过无线方式传输数据,陌生人只要藏好读卡器就能截获这些数据,你的钱就没了。这种威胁模型很容易被人们接受,因为它符合我们已经理解的物理盗窃规律。问题在于,无线链路另一端的现代支付卡的运行方式与广告宣传的设想截然不同。
本文将详细介绍RFID盗刷的本质、EMV非接触式支付协议的变革,以及目前NFC欺诈的日益猖獗的趋势。剧透一下:这种日益猖獗的欺诈手段,任何钱包都无法阻挡。
RFID 盗刷技术的工作原理
这些著名的演示都发生在2009年至2013年间。像帕布洛斯·霍尔曼和克里斯汀·佩吉特这样的研究人员走上Defcon和TED的讲台,拿着一个黑盒子靠近某人的口袋,然后掏出一张能正常使用的信用卡克隆品。会议视频片段迅速走红。短短几分钟内,长达十年的钱包、卡套和护照套营销就此诞生。
那些演示中被盗刷的卡片,支付行业人士称之为磁条卡等效RFID技术。它们属于早期非接触式银行卡,例如2005年至2013年间美国大通银行推出的初代Blink卡。这种卡片通过短距离无线电链路传输的数据,与磁条上编码的数据基本相同:主账号、有效期、持卡人姓名(很多情况下还包括)以及静态卡片验证码。一个配备略大天线的读卡器,只需几厘米的距离,就能透过织物或薄皮革读取所有这些信息。获取到的数据足以将一张可正常使用的卡片克隆到空白磁条卡上,然后就可以在任何仍然接受刷卡交易的商家使用。
技术上来说,之所以能实现这一点,是因为这些卡片采用了ISO 14443标准,这是射频识别技术的短距离分支,专为十厘米左右的近距离通信而设计。演示者通过使用更大的天线和更纯净的电源,进一步扩展了通信距离。采用ISO 15693标准的近距离标签(例如图书馆书籍和仓库库存标签上的标签)可以在70厘米的距离内读取。支付卡从未采用过该标准。但公众留下的印象却只有一个数字:卡片可以在房间的另一端被读取。即使在2010年,这种印象也是错误的。现在,这种印象更是大错特错。
我一直在思考这种恐惧究竟有多么根深蒂固。那些著名演示中使用的卡片早已不复存在。支付行业也随之发展,但用来防御这些卡片的同类产品却依然存在。
为什么EMV技术扼杀了RFID屏蔽的威胁?RFID屏蔽技术当初就是为了阻止这种威胁而推出的。
终结磁条卡盗刷攻击的并非更先进的钱包,而是EMV芯片,更确切地说是近几年发行的每张Visa、Mastercard、American Express和Discover卡都配备的非接触式EMV芯片。
当您将现代非接触式银行卡轻触读卡器时,就会发生以下情况:银行卡和终端会就该笔交易的唯一计数器达成一致。卡上的芯片使用一个在制造时就已内置且从未传输过的密钥,来驱动加密步骤,该步骤会计算出一个名为 ARQC(授权请求密码)的一次性密码。读卡器会将 ARQC 以及其他一些字段发送给发卡行进行授权。如果您的口袋旁边放着一个读卡器,并且它截获了相同的交易过程,那么它只能获取到 ARQC、主账号、有效期,以及其他一些信息。例如,无法获取 CVV2(卡背面的三位数字安全码)、PIN 码、磁条第二磁道数据,以及任何可以重复使用的卡片验证值。
再次使用捕获的 ARQC 有什么问题?计数器已经更新了。下一笔交易需要使用包含下一个计数器值的新密码。发卡行的授权系统会拒绝重放操作。对于克隆卡或进行正常的线下交易而言,窃取的数据毫无用处。
为了具体说明这种不对称性,这里比较一下被动式 RFID 扫描器在一次轻触过程中可以从 EMV 非接触式卡中提取的信息,以及一个正常工作的克隆设备实际需要提取的信息。
| 场地 | 通过 RFID 窃取 EMV 芯片信息 | 需要克隆或重放 |
|---|---|---|
| 主账号(PAN) | 是的 | 是的 |
| 截止日期 | 是的 | 是的 |
| 持卡人姓名 | 有时 | 有时 |
| ARQC密码 | 是的(一次性使用,柜台装订) | 不(下次交易必须使用新的) |
| CVV2(卡背面三位数字) | 不 | 是的,适用于大多数非接触式刷卡结账。 |
| 别针 | 不 | 是的,可以用于ATM取款。 |
| 完整的磁条二轨数据 | 不 | 是的,可以克隆到仅供刷卡使用的卡上。 |
| 卡片密钥 | 不(永远不会离开芯片) | 是的,可以生成任何有效的 ARQC |
这些数据背后的意义值得我们深思。负责制定EMV标准的行业机构EMVCo报告称,截至2024年第四季度,全球96.20%的线下刷卡交易都使用了芯片。约72%的已发行银行卡都支持EMV技术。在美国,Visa报告称,完成芯片升级的商户在2015年12月至2017年12月期间,假卡欺诈造成的损失下降了76%。这并非缓慢的趋势,而是芯片技术彻底瓦解了线下刷卡交易的经济效益。
但有一个值得一提的例外情况。有时,窃取到的主账号和有效期信息会被用来攻击那些不强制执行3DS验证或不检查CVV2码的非面对面支付商家。这确实是个问题,而且并非RFID问题。同样的信息会不断通过商家数据泄露、钓鱼网站和盗刷的电商结账流程泄露。而加密钱包对此却无能为力。
非接触式欺诈识别码和RFID屏蔽产品永远不会显示给你
购买 RFID 防盗钱包的人几乎看不到实际的欺诈数据,因为钱包所针对的欺诈类别并不是真正遭受损失的类别。
| 来源 | 年 | 数字 |
|---|---|---|
| 英国金融业2025年度欺诈报告 | 2024 | 英国非接触式支付欺诈损失4110万英镑,这是自2020年以来首次同比下降。 |
| 英国金融 | 2024 | 英国未经授权的信用卡欺诈总额达5.726亿英镑。 |
| 衍生的 | 2024 | 非接触式欺诈约占英国所有银行卡欺诈的7.2%。 |
| 英国金融 | 2024 | 非面对面刷卡诈骗约占所有刷卡诈骗的70%,金额超过4亿英镑。 |
| FCA委托书 | 2025 | 非接触式支付欺诈率为每100英镑非接触式消费1.3便士,而所有未经授权的银行卡交易欺诈率为每100英镑6便士 |
| FCA / 计算机周刊 | 2024 | 英国非接触式交易:189亿笔,同比增长3.4%,平均每笔交易金额为15.86英镑。 |
| FICO 美国信用卡盗刷 2025 年回顾 | 2025 | 美国反欺诈机构明确表示,它无法将RFID盗刷单独列为一种损失类别。 |
最后一行要读两遍。之所以没有广泛引用的美国RFID盗刷损失的美元数字,是因为统计银行卡欺诈的人员找不到有意义的数字来上报。他们单独统计ATM盗刷和加油站盗刷,因为这些会留下物理设备。而像Defcon视频中向消费者出售的那种RFID盗刷设备,则不会留下任何痕迹。
简而言之,有记录的被动式RFID盗刷对现代EMV非接触式银行卡造成的损失在统计学上与零无显著差异。《消费者报告》、美国退休人员协会(AARP)、包括KnowBe4的罗杰·格莱姆斯在内的多位知名安全专家、身份盗窃资源中心、摩根大通银行和维萨银行都在出版物中表达了类似的观点。
堪萨斯城联邦储备银行在2018年的一份支付系统简报中研究了美国的芯片卡推广情况,发现芯片卡普及后,支持芯片卡的商户的刷卡欺诈率大幅下降,伪造卡的欺诈率也随之降低,而非接触式刷卡的欺诈率则上升,因为犯罪分子转向了阻力最小的线上渠道。这种转移是2020年代刷卡欺诈的核心特征。各种形式的盗刷,在原本就不断缩小的刷卡欺诈损失中所占比例已经很小,而且还在持续下降。非接触式盗刷在这小部分损失中所占的比例更是微乎其微。
还有一项数据值得一提。英国非接触式支付限额在2021年从25英镑提高到100英镑,随后金融行为监管局(FCA)在2025年发出信号,称该限额将于2025年3月(具体日期不详)起取消,届时各发卡机构将自行设定限额。如果被动式非接触式盗刷是造成损失的重要因素,那么每次交易风险增加五倍应该会显著影响相关数据。但事实并非如此。尽管限额和交易量均有所提高,但2024年非接触式欺诈案件数量却同比下降。这表明该协议发挥了应有的作用。
你的钱包无法阻挡的真正NFC威胁
当RFID屏蔽行业还在努力解答2012年的问题时,攻击者已经转移了目标。目前增长最快的NFC欺诈手段根本不需要陌生人靠近你的口袋。
2024年8月,安全公司ESET发布了一项关于名为NGate的安卓恶意软件的研究报告。该恶意软件的攻击流程如下:受害者首先会收到一条伪装成银行发来的短信,以此进行网络钓鱼攻击。受害者会安装一个看似银行安全更新的应用程序。这个虚假应用程序会要求受害者将实体银行卡短暂地贴近手机背面进行验证。恶意软件会通过手机的NFC芯片读取银行卡信息,并将数据实时传输到位于其他国家的攻击者的手机上。攻击者随后手持手机前往ATM机,冒充受害者刷卡取款。ESET记录了一名被捕嫌疑人在短时间内从三名受害者处窃取了约6500欧元的案件。
这是首例被广泛报道的案例。ESET遥测数据显示,到2025年上半年,NFC中继攻击的检测数量比2024年下半年增加了约35倍。目前,该技术已被广泛应用。它对现代EMV非接触式卡有效,因为该协议能够正常工作:卡片被轻触,加密信息是新的,发卡行看到的是一笔看似正常的交易。
RFID屏蔽套对此类攻击没有任何保护作用。受害者在安装恶意应用程序后,会主动将卡片贴在自己的手机上。钱包周围的无线电屏蔽层与攻击面无关。
真正能抵御这种攻击的措施很难以实体产品的形式盈利。你需要识别钓鱼信息,不要通过链接安装应用程序,并将任何要求你刷卡验证的请求都视为警报。这些都装不进亚马逊上一个25美元的钱包里。
RFID屏蔽技术仍然有其用武之地。
事实并非RFID屏蔽完全无用,而是支付卡保护功能是该产品最薄弱的环节。许多钱包里真正容易受到RFID攻击的物品,除了银行卡之外,几乎都是其他东西。
简要列举一下。许多酒店仍在使用老式房卡,这些房卡采用的是 13.56 MHz 的 HID iClass 和 MIFARE Classic 系列芯片,而这两种芯片在公开研究中均已被破解,任何拥有廉价读卡器的人都可以克隆它们。楼宇门禁卡,尤其是较旧的企业系统,通常也使用同样的易损芯片。图书馆标签遵循 ISO 15693 标准,该标准具有更大的读取范围,但它们的标识符很容易泄露。一些早期的生物识别护照基本访问控制薄弱,其数据页内容很容易被窃取。会员卡、健身房门禁卡和带有储值的交通卡通常也很容易被克隆或复制。
如果你随身携带多张信用卡和银行卡,那么一个基本的防盗刷套就有其特定的用途。它对你的非接触式Visa卡来说并没有什么作用。
钱包营销刻意回避的就是这种不对称性。它将两个不同的问题捆绑在同一个产品推销中,而更容易解释的那个问题,其实十年前就已经基本消失了。
一个切实可行的思考方式是:列出你钱包里的所有物品。对于每件物品,问问自己它使用什么无线电标准,以及该标准是否叠加了加密层。银行卡自从EMV芯片全面普及后就都叠加了加密层。大多数门禁卡、酒店房卡和图书馆借书证则没有。保护套可以保护那些没有加密层的物品,但无法增强已有加密层的安全性。这就是RFID屏蔽的全部原理,没有营销成分。
