信用卡會不知不覺被感應刷走？RFID shield 是否為恐懼下的產物？

用一台行動簽帳機，悄悄靠近皮包放在後口袋的人，感應他的感應式信用卡，是相當驚悚的可能，錢就這樣不知不覺被刷走。而不少 3C 周邊廠商看準商機以及恐懼心理，推出 RFID blocking 功能。但是 RFID shield 究竟是不是人類恐懼的產物下，保心安的科技護身符，本文將從技術還有信用卡簽單的程序，一一探究。

行動支付成為台灣政府推動的政策，要盡量可能將原先用現金進行交易的日常商務行為，轉成電子形式。除了靠手機載體採用 NFC 或是 QRcode 的行動支付，信用卡組織也提供技術，讓信用卡發卡銀行推出感應式信用卡，交易時不必實體過刷卡機，加快交易速度，提供消費者方便的購物體驗。但是，真有可能隨便張三李四湊到你身邊，用所謂 RFID Skimming 手法，拿著行動簽單機，在持卡人不注意的情形下，就盜刷成功了嗎？

感應信用卡越來越普及，流程控管仍完善

目前信用卡各大信用卡組織，如 JCB、VISA、Mastercard，各自推出自己的感應支付解決方案 JPass、VISA payWave、Contactless。消費者只有認明式支援哪家的感應支付方案，拿出卡片在一定距離，正對著感應區域，輕鬆過卡完成交易。

但如果加上銀行是跟商家簽約處理簽單，商家都在信用卡簽單處理銀行都有留下聯絡資訊。其他人並不是隨便拿台簽單機交易就會過，偽裝成商家的不肖人士，騙取持卡人不注意讓卡片被感應刷到。不肖人士頂多能拿到 RFID 發出的資訊：姓名、卡號和失效日期，取得的資訊有限。

再來從刷卡流程來探究，銀行在進行交易簽單的時候，在不同的國家或地區須符合當地法規，交易要確認進行，需要輸入四位數字的 PIN 碼。有時候規定超過多少金額門檻，還需要持卡人簽名。

的確這一年代能夠讀取 RFID 訊號的裝置變多，連手機都可以讀取。讀取距離長達 15 公分，只要貼近持卡人就有機會讀到信用卡 RFID 資料。晶片護照也有類似問題，然而護照封面的材質特別找能擋掉 RFID 訊號，只有在打開護照才有讀取晶片的可能性。新一代感應信用卡越來越安全，比起舊的信用卡，新的感應信用卡 RFID 發送訊號會加密處理再傳送，減少未經授權人士攔截到資料的風險。

RFID Skimming 儘管技術可行，但一般商家和簽單處理銀行需要簽約才能處理簽單作業，不肖人士大費周章的忙碌，還有經濟效益並不大的問題。常常能找到不少非法物品或服務的暗網，失竊的信用卡是熱門商品。要在暗網購買失竊信用卡，除了卡號、持卡人姓名、失效日期，還包含卡片後面 CSV 三碼，比起慢慢一個人一個人掃描感應，還要省時間，而且得到的資訊還更多。

你有沒有在搭公車或捷運時，不小心讓兩張電子票劵疊在一起，造成讀卡機無法讀取的情形？一般人皮包中同時放兩張感應信用卡，行動簽單機也往往難以讀取正確資料，無法成功簽單完成信用卡交易。個人層面除了疊兩張感應信用卡，錢包不要放在褲子後面口袋，盡可能放在前面的口袋，減少歹徒趁你不注意偷偷掃出 RFID 發送的資訊。

監管單位與發卡組織未發現 RFID Skimming 案例

經詢問金管會銀行局承辦人，他指出技術上的確有可能，但是目前在台灣並沒有傳出案例，金管會目前也並沒有採取特別防範措施。

▲ 儘管有人能靠自己的感應裝置讀取感應式信用卡資訊，但後續的交易認證機制無法過關，並無法從銀行端拿到錢。(Source：科技新報)

信用卡發卡組織 Visa 則說，確保支付安全性向來是 Visa 的首要使命，而感應式支付卡和傳統支付卡一樣安全，感應式支付卡具備多重保安機制，包括 EMV 晶片技術、低交易限額、短讀卡距離與加密技術等，讓支付卡近乎不可能被偽造。

Visa 和金融機構也隨時監控每一筆交易，判別任何可疑或不尋常的交易活動，防止盜刷情況發生。EMV 晶片卡在每筆交易中都會產生一組獨特的代碼，而這組代碼只有發卡銀行能進行驗證。因此，即便被竊取支付卡資料經過終端機也大多無效。在感應式支付交易過程中，付款資訊是藉由無線射頻技術傳遞到終端機，付款資訊被攔截的機會極微小。

Visa 支付卡距離終端機必須低於 2 英吋以下且接觸角度正確，付款資訊才能被傳輸。 即便付款資訊被盜取，沒有付款地址、卡片背後的三位驗證碼以及由晶片產生的一次性密碼，盜刷情況也近乎無法成立。事實上，到目前還沒有任何類似的盜刷案例發生。

（Final Visa AcuPunked Short Version from Starburst Productions on Vimeo.）

信用卡發卡組織 Mastercard 則是指出，透過感應方式進行的交易，會需要 POS 機端切換為感應模式，另外有特殊晶片的信用卡或是感應式支付裝置，也會加密傳輸的資料。

雙因子認證與生物辨識的行動支付方案也是好選擇

如果想從技術保護信用卡安全性，採用具備雙因子認證的行動支付方案也是好選擇，不論是輸入 PIN 碼還是虹膜、指紋辨識，多一道防護安全性更高。

CES 大會上 3C 周邊區的確不少家包包商，看中大家心中的恐懼，推出 RFID shielded 相關產品，完全阻隔 RFID 訊號不小心被不相干人等讀到。儘管目前國內外並無案例，造成信用卡被盜刷的情形。也許為了隱私考量，保護信用卡卡號或持卡人資訊，可以考慮這些 RFID shielded 皮包或是包包，若有你喜歡的類型下手購買，當作現代保命符保護你生命財產安全。

• Understanding RFID skimming: an infographic

• How prevalent is the RFID skimming crime for payment cards?

• The truth about RFID credit card fraud

• Why you don't need an RFID-blocking wallet

• There Are Plenty Of RFID-Blocking Products, But Do You Need Them?

• RFID-blocking products are practically worthless. Here’s why

• Why Dropping Cash On RFID-Blocking Tech Is A Waste Of Money

(首圖來源：ING Nederland [CC BY-SA 2.0], via Wikimedia Commons)