信用卡會不知不覺被隔空感應刷走?RFID shield 是否為恐懼下的產物?

用一台行動簽帳機,悄悄靠近皮包放在後口袋的人,感應他的感應式信用卡,是相當驚悚的可能,錢就這樣不知不覺被刷走。而不少 3C 周邊廠商看準商機以及恐懼心理,推出 RFID blocking 功能。但是 RFID shield 究竟是不是人類恐懼的產物下,保心安的科技護身符,本文將從技術還有信用卡簽單的程序,一一探究。

行動支付成為台灣政府推動的政策,要盡量可能將原先用現金進行交易的日常商務行為,轉成電子形式。除了靠手機載體採用 NFC 或是 QRcode 的行動支付,信用卡組織也提供技術,讓信用卡發卡銀行推出感應式信用卡,交易時不必實體過刷卡機,加快交易速度,提供消費者方便的購物體驗。但是,真有可能隨便張三李四湊到你身邊,用所謂 RFID Skimming 手法,拿著行動簽單機,在持卡人不注意的情形下,就盜刷成功了嗎?

感應信用卡越來越普及,流程控管仍完善

目前信用卡各大信用卡組織,如 JCB、VISA、Mastercard,各自推出自己的感應支付解決方案 JPass、VISA payWave、Contactless。消費者只有認明式支援哪家的感應支付方案,拿出卡片在一定距離,正對著感應區域,輕鬆過卡完成交易。 

但如果加上銀行是跟商家簽約處理簽單,商家都在信用卡簽單處理銀行都有留下聯絡資訊。其他人並不是隨便拿台簽單機交易就會過,偽裝成商家的不肖人士,騙取持卡人不注意讓卡片被感應刷到。不肖人士頂多能拿到 RFID 發出的資訊:姓名、卡號和失效日期,取得的資訊有限。

再來從刷卡流程來探究,銀行在進行交易簽單的時候,在不同的國家或地區須符合當地法規,交易要確認進行,需要輸入四位數字的 PIN 碼。有時候規定超過多少金額門檻,還需要持卡人簽名。

的確這一年代能夠讀取 RFID 訊號的裝置變多,連手機都可以讀取。讀取距離長達 15 公分,只要貼近持卡人就有機會讀到信用卡 RFID 資料。晶片護照也有類似問題,然而護照封面的材質特別找能擋掉 RFID 訊號,只有在打開護照才有讀取晶片的可能性。新一代感應信用卡越來越安全,比起舊的信用卡,新的感應信用卡 RFID 發送訊號會加密處理再傳送,減少未經授權人士攔截到資料的風險。

RFID Skimming 儘管技術可行,但一般商家和簽單處理銀行需要簽約才能處理簽單作業,不肖人士大費周章的忙碌,還有經濟效益並不大的問題。常常能找到不少非法物品或服務的暗網,失竊的信用卡是熱門商品。要在暗網購買失竊信用卡,除了卡號、持卡人姓名、失效日期,還包含卡片後面 CSV 三碼,比起慢慢一個人一個人掃描感應,還要省時間,而且得到的資訊還更多。

你有沒有在搭公車或捷運時,不小心讓兩張電子票劵疊在一起,造成讀卡機無法讀取的情形?一般人皮包中同時放兩張感應信用卡,行動簽單機也往往難以讀取正確資料,無法成功簽單完成信用卡交易。個人層面除了疊兩張感應信用卡,錢包不要放在褲子後面口袋,盡可能放在前面的口袋,減少歹徒趁你不注意偷偷掃出 RFID 發送的資訊。

監管單位與發卡組織未發現 RFID Skimming 案例

經詢問金管會銀行局承辦人,他指出技術上的確有可能,但是目前在台灣並沒有傳出案例,金管會目前也並沒有採取特別防範措施。

▲ 儘管有人能靠自己的感應裝置讀取感應式信用卡資訊,但後續的交易認證機制無法過關,並無法從銀行端拿到錢。(Source:科技新報)

信用卡發卡組織 Visa 則說,確保支付安全性向來是 Visa 的首要使命,而感應式支付卡和傳統支付卡一樣安全,感應式支付卡具備多重保安機制,包括 EMV 晶片技術、低交易限額、短讀卡距離與加密技術等,讓支付卡近乎不可能被偽造。

Visa 和金融機構也隨時監控每一筆交易,判別任何可疑或不尋常的交易活動,防止盜刷情況發生。EMV 晶片卡在每筆交易中都會產生一組獨特的代碼,而這組代碼只有發卡銀行能進行驗證。因此,即便被竊取支付卡資料經過終端機也大多無效。在感應式支付交易過程中,付款資訊是藉由無線射頻技術傳遞到終端機,付款資訊被攔截的機會極微小。

Visa 支付卡距離終端機必須低於 2 英吋以下且接觸角度正確,付款資訊才能被傳輸。 即便付款資訊被盜取,沒有付款地址、卡片背後的三位驗證碼以及由晶片產生的一次性密碼,盜刷情況也近乎無法成立。事實上,到目前還沒有任何類似的盜刷案例發生。


Final Visa AcuPunked Short Version from Starburst Productions on Vimeo.)

信用卡發卡組織 Mastercard 則是指出,透過感應方式進行的交易,會需要 POS 機端切換為感應模式,另外有特殊晶片的信用卡或是感應式支付裝置,也會加密傳輸的資料。

雙因子認證與生物辨識的行動支付方案也是好選擇

如果想從技術保護信用卡安全性,採用具備雙因子認證的行動支付方案也是好選擇,不論是輸入 PIN 碼還是虹膜、指紋辨識,多一道防護安全性更高。

CES 大會上 3C 周邊區的確不少家包包商,看中大家心中的恐懼,推出 RFID shielded 相關產品,完全阻隔 RFID 訊號不小心被不相干人等讀到。儘管目前國內外並無案例,造成信用卡被盜刷的情形。也許為了隱私考量,保護信用卡卡號或持卡人資訊,可以考慮這些 RFID shielded 皮包或是包包,若有你喜歡的類型下手購買,當作現代保命符保護你生命財產安全。

(首圖來源:ING Nederland [CC BY-SA 2.0], via Wikimedia Commons)

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則