我现在已经看到好几次广告声称“保护”非接触式支付卡的产品(例如特殊袖子、钱包)。
这些产品究竟能防止什么?
- 当站在真正的支付终端附近时,它是否只是防止无意中使用了错误的支付卡?
- 或者攻击者是否有可能通过 RFID 窃取足够的信息,从而能够克隆卡或以其他方式向其收取费用?
你认为它们是必要的吗?
支付卡是否需要 RFID 屏蔽套/钱包?
信息安全
射频识别
emv
2021-08-18 09:23:07
3个回答
我想提前说,在这里发帖的其他人基本上都是正确的。我想我会发表一个不同的观点,因为我是 RFID 屏蔽技术的用户。
我钱包里的每张卡里都有一个 RFID 芯片。信用卡、ATM 卡、交通卡、办公钥匙、驾驶执照,甚至我的咖啡折扣卡。另外,我的护照有RFID。
我从ID Stronghold购买了一个屏蔽钱包,黑色皮革,每个卡套单独衬有一些屏蔽材料(可能是铝,尽管制造商没有指定)。这很重要,因为有些钱包只屏蔽外部而不是单独的卡槽,因此如果您的钱包打开,或者厚/满足以留下开口,它们可能会受到攻击。我还有一个带卡槽的双折护照,由不锈钢网制成(不记得那是什么品牌了。)我可以确认我钱包里的卡片无法被我的扫描仪读取经过测试,但是您的里程可能会有所不同 - 正如本文所讨论的,多个品牌和型号的使用和有效性可能会有所不同。
我对 RFID 芯片有 3 个顾虑。
- 如前所述,信用卡欺诈是最明显和最真实的威胁,尽管还没有那么普遍(我建议主要是因为还有更简单的方法可以获取信用卡数据)。
- 意外卡费用。虽然这似乎不可信,因为 RFID 据说只能在距离阅读器几英寸的范围内运行,但这已被证明是一个无效的假设,并且在此 Security Now 播客上讨论了一个事件(如果您愿意,可以使用转录,搜索“非接触式”,您将直接进入相关部分)。
- 身份盗窃。虽然目前这在很大程度上是理论上的,但这是最令人担忧的情况。
这项技术并不新鲜,攻击媒介也不是。随着带有 RFID 的卡片和身份证明文件的数量持续增长,以及潜在攻击成本的降低,我们只能预期此类事件会越来越频繁。
最终,您需要确定您认为自己面临的此类风险是什么。虽然我同意屏蔽目前可能仍然只对我们中间的偏执狂很重要,但我认为成本是最低的。我的钱包不比普通钱包贵,而且(虽然我同意单独的袖子可能不太实用)内置屏蔽使使用起来同样方便。
确定一项安全措施是否值得意味着您需要平衡该措施的成本与使用它的好处。在这种情况下,除了购买袖子的一点钱外,每次使用时都必须将卡片从袖子中取出。
那么这值得他们保护的实际威胁吗?这取决于有什么可以偷的。在支付卡的情况下,不值得保护它们,因为为了让人们从它们那里窃取,他们必须有一个销售点终端和一个银行账户。如果他们开始从粗心的人身上偷钱,他们就会被抓住。大多数非接触式支付系统都会限制金额,因此任何一次攻击都不值得。到目前为止,还没有适用于非接触式系统的克隆攻击,所以这还不是问题。至于无意的支付,这不太可能发生,很少有人不小心将他们的钱包敲入支付系统,如果他们这样做了,他们可能会得到退款。
至于其他类型的卡,有一些攻击可能会奏效。可以使用手持扫描设备克隆一些建筑物入口卡并传输非接触式卡,但这非常罕见,并且在实践中很难实现。
所以对于大多数人来说,卡套是等待问题的解决方案。随着新攻击的出现,这种情况可能会发生变化,但现在它是针对锡箔帽人群的。
你有充分的理由对这些产品实际上针对的是什么“威胁”感到困惑:我所看到的这些产品的商业广告实际上没有一个明确、明确地识别出应该在这里发挥作用的确切威胁. 我遇到的每一个广告都只是展示了一个坏人在包里随身携带一些(看不见的)设备,或者捕捉从毫无戒心的人的钱包或钱包中发出的某种动画波的东西。自然地,这表明屏蔽是为了防止涉及非接触式卡的攻击。但广告也注意不要在任何地方都这么说。播音员说话的方式以及“场景”的播放方式传达了一种印象,即所有支付卡很容易被神秘的攻击者悄悄窃取支付信息。
当然,从商业角度来看,不具体说明威胁是有道理的:大多数人仍然没有使用非接触式支付技术的信用卡和借记卡。(像交通系统卡这样的卡可能是另一回事。)这意味着如果你站出来说只有当你有任何更新的非接触式支付卡时你的保护才重要,你就会极大地限制你的市场。因此,尽管这是唯一诚实和负责任的说法,但对于愿意使用肆无忌惮、散布恐惧的策略来给人留下每个人都容易受到此类攻击的印象的公司来说,这是有动机的。当那肯定不是真的时。
这给我们带来了一个问题,即即使您拥有可以进行非接触式交易的支付卡,这些产品是否会为您提供任何安全优势。关于这一点,我会注意两点。首先,具有非接触式 EMV 支付能力的智能卡,与其他 EMV 智能卡一样,专门设计为不可克隆,即使攻击者可以在交易期间从非接触式信号中窃取信息。甚至是从许多交易中收集的信号。这是使用执行动态身份验证的支付类型的固有好处,而不是静态身份验证(如传统磁条卡所做的那样)。
其次,在大多数情况下,“非接触式”这个名字确实有点用词不当。通常,除非将卡从钱包、钱包或其他存储位置中取出并直接对着读卡器进行物理敲击,否则卡根本无法用于授权支付。其他卡片(例如我的交通卡)可以通过钱包的材料使用,但不能通过冬季夹克的额外覆盖。广告中描述坏人的隐藏装备能够从深埋在袋子或外套口袋内的卡片中获取信息……不太可能。
现在,在 2013 年,英国的一些研究人员能够在 45 厘米/18 英寸远的地方采集到一些卡片数据,远远超过 2 厘米左右的卡片在理想情况下应该是可读的。然而,这些观察结果如何发生的确切情况有点模糊,如果他们试图这样做,似乎他们可能不会成功地尝试进行实际交易。无论如何,Visa认为这是不可能的。(请参阅该常见问题解答中的问题“使用伪造的非接触式终端的欺诈者是否可以通过与我接触来从我的卡中偷钱?”。)
总之,技术风险重新。在通常的非接触式支付卡实施中,窃取支付卡信息或成功进行虚假交易似乎很少甚至不存在。但是,如果您真的非常想安全起见,这会让您感觉更安心,您可能可以在钱包、钱包或其他卡片携带设备中不引人注意地放一些金属箔。节省其中一些广告引用的 25.00 美元以上,以购买由价值 10 美分铝制成的小袋以外的东西组成的产品。:)