Что такое 3D Secure на банковской карте (8 видео)

Содержание

3D Secure, или что скрывают механизмы безопасности онлайн-платежей
Версии протокола 3D Secure
Как это устроено?
Как это работает?
А поподробнее?
Pareq
Раскрутим XXE
Что такое 3D Secure
Принцип работы 3D Secure
Преимущества 3D Secure для владельцев пластиковых карт
Как подключить 3D Secure в Сбербанке и в ВТБ?
Является ли использование технологии 3D Secure для владельца карты гарантией защиты от мошенничества?
Преимущества для магазинов и продавцов
Можно ли покупать в интернет магазинах без таких логотипов и без 3D Secure? И безопасно ли это?
Зачем нужен 3D-Secure и как подключить?
Что такое 3D-Secure?
Что такое 3D-Secure на банковской карте
Технология 3D-Secure Visa и MasterCard
Как подключить 3D-Secure?
Как подключить 3D-Secure в Сбербанке
Как подключить 3D-Secure в ВТБ 24
Рекомендации
3D Secure на карте банка: что это такое, как подключить и отключить
Что такое технология 3D Secure
Расшифровка термина
Как работает 3D Secure
3D Secure с многоразовым паролем
Проблемы с безопасностью при наличии 3D Secure
Что такое Liability Shift
Как подключить и отключить 3D Secure на карте
Как узнать, есть ли на карте 3D Secure
3D Secure, или что скрывают механизмы безопасности онлайн-платежей — Digital Security
🎦 Видео

Видео:3-D Secure: как это работает? (схема работы и комментарии специалиста)Скачать

3D Secure, или что скрывают механизмы безопасности онлайн-платежей

Электронная коммерция — одна из самых больших и быстро растущих областей, в связи с чем она привлекает внимание как исследователей информационной безопасности, так и злоумышленников. Поэтому хотелось бы разобраться в некоторых аспектах механизмов безопасности, применяемых при проведении онлайн-платежей.

Один из протоколов, используемых для увеличения безопасности онлайн-платежей — 3D Secure.

Это протокол, который был разработан на основе XML в качестве дополнительного уровня безопасности платежей, проводящихся без физического участия карты (card not present payment).

VISA создала первую версию этого протокола, но вскоре его начали использовать и другие компании (Master Card, JCB International, AmEx, Мир), впоследствии объединившиеся с VISA в содружество EMV. EMV занимается поддержкой и развитием протокола 3DS.

Почему протокол 3D Secure называется именно так?

Полное название этого протокола — Three Domain Secure.
Первый домен — домен эмитента — это банк, выпустивший используемую карту.
Второй домен — домен эквайера — это банк и продавец, которому выплачиваются деньги.

Он включает в себя Интернет, подключаемый модуль продавца (merchant plug-in), сервер контроля доступа (access control server) и других поставщиков программного обеспечения.

Зачем это нужно?

3D Secure обеспечивает новый уровень безопасности путем предоставления дополнительной информации.
Еще одним важным моментом является «перенос ответственности».

Это означает, что в случае мошенничества вся ответственность ложится на банк-эмитент. Этот момент является очень важным для продавца (мерчанта), т.к.

до появления 3D Secure урегулированием спорных вопросов приходилось заниматься мерчанту.

Также не стоит забывать о двух важных психологических аспектах: повышении доверия к онлайн-платежам и увеличении конверсии.
Конверсия может быть увеличена за счет обновлений протокола 3DS, направленных на сокращение взаимодействия с пользователем.

Версии протокола 3D Secure

v1.0 — 2001 г -…v2.0 — 2014 г — Устарелоv2.1 — 2017 гv2.2 — 2018 г

В настоящее время большинство платежных сервисов используют версию 1.0.2 при проведении онлайн CNP-платежей, запрашивающих OTP-код.
Версия 1.0.2 была создана в 2001 году и в ней есть некоторые проблемы.

На данный момент актуальной версией является v2.2, и EMV планирует, что к концу 2020-го года она будет использоваться везде.

Как это устроено?

Это основная схема, необходимая для понимания всего процесса платежа с использованием механизма 3DS.

На этом рисунке мы видим все три домена, используемые в протоколе, а также последовательность сообщений между всеми участниками платежной операции.

Как это работает?

Главное, что необходимо понять, — это то, что при использовании своей карты (виртуальной или реальной) для онлайн-оплаты, вы сталкиваетесь именно с протоколом 3DS. Поэтому сейчас мы проиллюстрируем все этапы совершения онлайн-платежа.

1 — Покупатель уже добавил все необходимые ему товары в корзину и нажал кнопку «Оплатить». В этот момент он попадает на страницу MPI-сервиса, где вводит данные своей карты.

После нажатия кнопки оплаты продавец (MPI) инициализирует старт платежного потока и, согласно протоколу, отправляет CRReq-запрос (Card Range Request). Данный запрос необходим, чтобы найти банк-эмитент вашей карты и получить CRR из домена взаимодействия. Этот запрос нас мало интересует.

После этого MPI отправляет VeReq (Verification Request). Этот запрос отправляется банку-эмитенту для проверки того, что 3DS для данной карты включен и карту можно использовать для оплаты.

VeRes (Verification Response) содержит дополнительную информацию для следующего этапа платежа.

Клиенты не могут видеть эти два типа сообщений.

2 — MPI создает PaReq (Payment Request) — запрос на оплату. Этот запрос отправляется через редирект в браузере клиента.

Итогом отправки PaReq становится отображение запроса на ввод OTP-кода.

3 — Клиент вводит OTP-код и возвращается на сайт продавца. Опять же в процессе этого через редирект от банка-эмитента к MPI передается PaRes (Payment Response), который содержит информацию о статусе проверки.

А поподробнее?

CRReq/CRRes для нас не очень важны. А вот VeReq/VeRes рассмотреть нужно.

1.0.2 4444333322221111 411111 99000001 99000001 0 */* curl/7.27.0

В VeReq самым важным параметром является идентификатор сообщения, информация о продавце и PAN карты.

1.0.2 Y A0fTY+pKUTu/6hcZWZJiAA== https://dropit.3dsecure.net:9443/PIT/ACS ThreeDSecure

VeRes возвращает message id, который необходим, чтобы сопоставить запрос с этим ответом. А status enrolled показывает, что карта поддерживается.
Однако наиболее важным параметром в данном сообщении является URL-адрес. Этот параметр указывает, где находится ACS сервер эквайера и куда нужно отправить PaReq.

Pareq

Браузер клиента, совершающего оплату, может произвести достаточно много редиректов по различным компонентам, участвующим в совершении платежа. Так, в России есть некоторое количество запросов, обрабатывающихся на стороне Национальной Системы Платежных Карт. Но сегодня нас интересует только традиционный этап, описанный в спецификации протокола. А именно этап передачи PaReq.

URL: https://site.ru/acs/pareq MD=5ebde4d3-3796-7a4d-5ebd-e4d300003dd0&PaReq=eJxVUstywjAM%2Um98QPDDiMcIc2dMoh0AedKb2ljiDpNAFMUgJfXzuFPnzSrjQraWW4aoqPziea4pRx4LqNUm%2FSvFyPvOfFrS%2B9KwWLzCBGT6hrgwpi3O%2BTNXbydOS96VDocEX9FePaF1IIPwlF6qeoV7Inqeyh9hTcjx9xp%2BDcSNk%2BAQdygVbR6CwpKwWJ3l1PZ0rwQZ9SIGcIBZpppAaSuse7POwC%2BeagTApUy%2FEsmrwE8Xw2WQJpKdCbuqzMUfWFLb4AqM2HyqpqOyTkcDgExabEY3BMyhSbwNRAXB7I70D3tYv2Vq%2FJUzU7Teg8ejjE7xMWn9Z8Hk35fKEtNx4BcRWQJhUqTplklIoOC4c9NuwOgLQ8JIUbRDHK2vW%2BEWxdk%2FG%2F1F8KrO%2FGnuWyywUBNls7v62wZv7EQH5nvrlzlurKGsUGNOwy0ZfhXf5udlkmV7ey98rfmnjpjG6LnGJubeKUslbSASBOhpxvSM7nt9G%2%2FEFnkK9RA%3D%3D&TermUrl=https%3A%2F%shop.ru%2Fgates%2F3ds

Платежный запрос, содержащий PaReq (метод POST), имеет три параметра: 1) MD — данные продавца. Он нужен MPI, чтобы сопоставить PaReq и PaRes одной транзакции; 2) PaReq — параметр этого платежного запроса. Он содержит всю важную информацию о платеже;

3) TermUrl — URL-адрес, на который клиент будет возвращен в конце процесса аутентификации 3D Secure.

Параметры TermURL и MD всегда отражаются в ответе на данный запрос. Поэтому могут встречаться имплементации ACS, уязвимые к атакам типа reflected XSS. В процессе аудита различных систем такие сервера были найдены.

Важный момент №1: ACS сервера обрабатывают все входящие PaReq!

Что входит в параметр PaReq?
Вы можете получить его значение, раскодировав PaReq. Это сделать достаточно легко, потому что PaReq — это Xml-> zlib-> base64-> urlencode. Для упрощения работы с этими запросами был написан плагин для burp.

Теперь мы видим, что из себя на самом деле представляет PaReq, а именно сообщение формата xml. Это сообщение содержит информацию о сумме платежа (purchAmount, amount и currency), некоторую информацию о продавце и MessageId (из VeReq).

При отправке правильно сформированного PaReq (в большинстве случаев вам не нужен полный набор запросов на оплату — требуется отправить лишь PaReq, содержащий параметры правильного типа и длины), мы получим PaRes — ответ на платеж, подобный следующему:

Первая мысль, которая может прийти в голову веб-исследователю, который видит XML-запрос — это попробовать выполнить XXE. И это правильный путь!

Но для начала посмотрим на то, что случится, если отправить некорректно сформированный PaReq. Мы получим ошибку! Вот несколько примеров таких ошибок:

1.0.299Permanent system failure.Failed to build error message. 5Format of one or more elements is invalid according to the specification. 98Transient system failure 4Critical element not recognized

Ошибка может помочь получить дополнительную информацию о версии ACS. Некоторые из них могут также оказаться полезными для получения данных из XXE.

Раскрутим XXE

Рассмотрим следующий пример:

Видео:3D-secure - защита банковской карты при покупках в интернетеСкачать

Что такое 3D Secure

3D Secure — простая технология, которой уже больше 10 лет. Она защищает и продавца и покупателя и банки, их обслуживающие, при совершении операций с пластиковыми картами. Однако ее использование сопряжено с некоторыми «особенностями» для владельца карты, которые мы рассмотрим в этой статье.

Принцип работы 3D Secure

Вместо того, чтобы просто передавать данные о платеже по цепочке Магазин -> Банк, его обслуживающий -> Банк, выпустивший карту и списывать деньги с иногда ничего не подозревающего владельца карты, что сопряжено с рисками, технология включает самого владельца карты в эту цепочку, который должен ввести одноразовый пароль, однозначно свидетельствующий о том, что сделка одобрена.

Основная идея в том, что в процессе принятия решения о том, можно ли совершить платеж, вмешиваются сами платежные системы — Visa, MasterCard и т.п. которые через альтернативные каналы связи (например через SMS на мобильный телефон) отправляют специальный одноразовый код, который затем спрашивают в диалоговом окне.

Совпал код — значит пользователь дал добро на сделку — деньги переводятся. Нет кода или не совпал — может быть это был кто-то другой — сделка отменяется.

Преимущества 3D Secure для владельцев пластиковых карт

В России, где не так просто отозвать простой платеж по банковской карте, подключение и использование технологии 3D Secure имеет огромное преимущество.

В этом случае все сделки совершаются только через ввод одноразового пароля.

Правда большинство российских банков (Тинькофф, Сбербанк, ВТБ и многие другие) допускают одновременно как проведение операций с использованием технологии, так и без нее.

https://www.youtube.com/watch?v=SkkCTZEx7FA

При проведении операции при использовании 3D Secure сделка считается совершенной от имени покупателя и претензии банк практически не принимает. В случае, если магазин ей не пользуется, есть некоторый шанс вернуть деньги, если клиент заявит, что средства с карты были списаны незаконно.

Как подключить 3D Secure в Сбербанке и в ВТБ?

В подавляющем большинстве банков РФ такая услуга подключается бесплатно и автоматически уже активирована с каждой новой картой. Банки заинтересованы в ее использовании так как она существенно снижает уровень мошенничества, по сути сводя все случаи его фиксации к вине самого пользователя.

Если необходимо отключить услугу, то с этим могут возникнуть серьезные проблемы. В большинстве банков ее использование жестко «вшито» в бизнес-процесс обработки платежей и отключить ее в карточных продуктах не представляется возможным.

Является ли использование технологии 3D Secure для владельца карты гарантией защиты от мошенничества?

Однозначно нет! Для банков эта технология потому и является привлекательной, что перекладывает всю ответственность на клиента.

Да, в случае, если что-то в процессе обработки пойдет неверно, например введенный неправильно код будет воспринят как правильный, то виноват будет банк или процессинговый центр. Но вероятность такого события практически равна нулю.

Другое дело, что клиент может иметь, например, зараженный вирусом сотовый телефон, который будет читать его SMS и отправлять верные коды.

Или доверить кому-то постороннему код, который будет введен вместо владельца карты (в чистом виде социальная инженерия). Или просто забыть, что он хотел заплатить ту или иную сумму в магазин.

Но в любом случае ответственность за платеж будет лежать на клиенте. Банк существенно экономит средства и силы на разборе спорных транзакций, просто напросто отказывая клиентам.

Следует, однако, иметь в виду, что общий объем мошенничества с применением пластиковых карт снижается. Еще одной потенциальной «дырой» может являться готовность банка выполнять транзакций без отправки кода на телефон. В этом случае клиент должен добиваться своих прав и требовать возврата денег, так как операция была проведена без использования 3D Secure.

Преимущества для магазинов и продавцов

Каждый интернет-магазин или продавец имеет право использовать такую технологию или нет. В случае применения он получает дополнительное преимущество — защиту от так называемого фрода — т.е.

по западным законам покупатель может заплатить деньги, но затем потребовать их назад, если будет утверждать, что разрешения на оплату он не давал и за него это сделал кто-то другой.

В России те же правила, но у нас все немного сложнее.

При использовании 3D Secure сделка считается утвержденной и вернуть деньги уже не так просто. В случае, если магазин решает использовать технологию, он должен на своем сайте разместить соответствующие логотипы:

Можно ли покупать в интернет магазинах без таких логотипов и без 3D Secure? И безопасно ли это?

На многих ресурсах утверждается, что лучше не покупать. Но я считаю, что можно. И вот почему:

Использование технологии требуется и выгодно скорее банкам и продавцу. Так как помогает доказать, что именно покупатель дал указание на совершение платежа. В случае, если покупаем мы сами, у нас самих таких проблем не возникает. Мы точно знаем что мы это мы.
Банк и так проведет операцию без 3D Secure, если ее инициирует мошенник. К покупке в конкретном магазине это не имеет никакого отношения. В этом случае придется обращаться в банк, который направит владельца карты в полицию писать заявление;
Множество крупных магазинов не тратятся на использование этой технологии. Среди них, например, AliExpress, Amazon, Steam и другие. И все они живут без проблем, закладывая в свои бизнес-процессы возможный ущерб от фрода, но зато получая возможность списывать деньги со счета клиента самым простым способом — по его распоряжению. И даже взимать ежемесячные платежи без участия клиента — например за подписки на свои сервисы.

Видео:ТЕХНОЛОГИЯ 3D-SECURE. Что это такое ?Скачать

Зачем нужен 3D-Secure и как подключить?

Для чего нужна технология 3D-Secure, нужно ли подключать и как защитить себя от мошенников?

Что такое 3D-Secure?

Современное технологическое решение, позволяющее максимально обезопасить платежные операции через онлайн-ресурсы, называется 3D-Secure.

Данная услуга разработана для международных платежных систем и является сертифицированным продуктом, помогающим владельцу банковской карты исключить риски мошенничества в сети Интернет.

Программа безопасности осуществляется благодаря дополнительной идентификации для подтверждения платежа при помощи OTP-пароля (One Time Password).

Технология 3D-Secure – XML-протокол, применяемый в качестве дополнительного уровня защиты.

Эффективность данного метода двухфакторной аутентификации помогает участникам банковской операции (эквайеру и эмитенту) убедиться, что оплата проводится именно владельцем карты.

Суть технологии заключается в появлении третьего независимого домена для обеспечения работы системы безопасности и подтверждения транзакции.

Что такое 3D-Secure на банковской карте

Многие банки Российской Федерации используют данный тип защиты при расчетах в сети Интернет и подключают услугу автоматически. В некоторых случаях защиту нужно подключать самостоятельно, отправив запрос в банк и активировать автоматическое «SMS-информирование» на выбранный и подтвержденный вами номер.

https://www.youtube.com/watch?v=S83F2tQTbc0

Рассмотрим детальнее, что такое 3D-Secure на банковской карте и как она работает.

Программа была разработана для защиты онлайн-платежей от несанкционированного снятия денежных средств с дебетовой или кредитной карты через Интернет.

Банковская карта связана с номером мобильного телефона, на который в случае совершения покупок в Интернете, высылается код подтверждения. Без этого одноразового пароля карта защищена от снятия денег в онлайн-магазине.

Технология 3D-Secure Visa и MasterCard

Благодаря 3D-Secure каждая покупка в онлайн-магазинах в обязательном порядке должна быть подтверждена одноразовым кодом, который высылается на мобильный телефон.

Такая система безопасности эффективна для расчетов только на сайтах, поддерживающих данную систему, о чем свидетельствуют соответствующие логотипы. На непроверенных ресурсах, которые не поддерживают сервис, данная программа не работает.

Прежде чем совершать покупку, обратите внимание на наличие соответствующих логотипов, которые свидетельствуют о том, что сайт поддерживает безопасный протокол денежных платежей:

у платежных систем Visa 3D-Secure называется Verified by Visa;
в системе MasterCard 3D-Secure названа MasterCard SecureCode.

Данная технология проста, понятна и предельно эффективна. Применение трех-доменной защиты для каждой транзакции предполагает наличие дополнительной аутентификации владельца карты. Отсюда и появилось в названии 3D, обозначающие три домена защиты, которые участвуют в осуществлении платежа:

эмитент – банк, который выдал карту клиенту и отвечает за снятие денежных средств и переведение их эквайеру;
эквайер – банк, который обслуживает интернет-магазин и принимает платеж от эмитента;
Interoperability Domain – домен, поддерживающий протокол защиты

При подключенной защите карточки, каждая онлайн-покупка на сайтах, поддерживающих безопасный протокол перевода денег, происходит в несколько этапов, не требует особых знаний и не занимает лишнего времени:

выбор товара;
заполнение формы для онлайн-оплаты;
автоматический переход на защищенную страницу с одновременной отправкой банком SMS с одноразовым паролем;

после введения полученного пароля в форму на безопасной странице, выполняется автоматический возврат на сайт интернет-магазина;
окончательное подтверждение покупки на сайте продавца.

Как подключить 3D-Secure?

Вся суть трех-доменной защиты основана на получении уникального пароля на мобильный номер телефона и дальнейшем введении его для подтверждения оплаты. Поэтому для активации двойной аутентификации при онлайн-платежах необходимо подключить в своем банке услугу «SMS-информирование». Как правило, в банках подключение 3D-Secure возможно двумя способами:

можно посетить офис лично и, написав заявление, активировать услугу;
или подключить защиту самостоятельно, воспользовавшись специализированными банковскими сервисами для самообслуживания.

Активация защиты банковской карточки занимает минимум времени, а ее эффективность доказана и признана ведущими мировыми платежными системами. Всего несколько простых действий и ваши средства на карте надежно защищены самой современной и высокотехнологичной системой безопасности.

Также обратите внимание, что номер мобильного телефона, который указан для отправки одноразового пароля, при необходимости можно сменить.

Дополнительно стоит отметить, что рассылка сообщений уникальными паролями в роуминге не работает, поэтому во время путешествий за границей этот фактор нужно учесть.

Далее детально рассмотрим особенности, наиболее удобные варианты и этапы, как подключить 3D-Secure для своей банковской карты на примере Сбербанка и ВТБ 24.

Как подключить 3D-Secure в Сбербанке

Не во всех банках предоставляется данная услуга по защите банковской карточки, но в Сбербанке она абсолютно бесплатная и активируется автоматически без каких-либо требований со стороны клиента.

Если у вас совсем новая карта, и еще не активирована защита 3D-Secure, Сбербанк как подключить эту услугу, подскажет в любом своем отделении и выполнит активацию сразу же после обращения.

Для того, чтобы проверить, работает ли сервис, достаточно совершить любую мелкую покупку в Интернете или пополнить счет на мобильном телефоне.

https://www.youtube.com/watch?v=2VrWvqyhNHw

Некоторые владельцы дебетовых или кредитных карт задают вопрос, можно ли отключить 3D-Secure? Сбербанк настоятельно рекомендует пользоваться трех-доменной защитой для денежных транзакций при онлайн-покупках и оплате услуг при помощи сети Интернет.

Сервис 3D-Secure Сбербанк считает и называет дополнительной защитой от мошенников, поэтому отказываться от его использования нецелесообразно.

Кроме того, при использовании шестизначного одноразового пароля, полную ответственность за неправомерное снятие денежных средств в интернет-магазине автоматически переносится на банк.

Службой безопасности рекомендуется к применению технология 3D-Secure, Сбербанк также напоминает, что нельзя пользоваться услугами сайтов, которые не поддерживают безопасный протокол оплаты при помощи дополнительной аутентификации. Доверять таким ресурсам нельзя и лучше воздержаться от покупок при отсутствии безопасной системы платежей.

Как подключить 3D-Secure в ВТБ 24

В ВТБ 24 3D-Secure подключается автоматически и является абсолютно бесплатной услугой, предоставляемой всем клиентам банка, имеющим карты выпущенные с 12 декабря 2016 года и новее.

Всем остальным владельцам банковских карточек защитную функцию необходимо подключать самостоятельно.

Есть два способа, как подключить 3D-Secure, ВТБ 24 на своем сайте детально разъясняет поэтапно процедуру активации услуги.

В первом варианте предлагается посетить любое отделение банка и, написав заявление, предоставить номер карты и номер мобильного телефона, которые будут совместно использоваться для аутентификации во время онлайн-платежей.

Второй вариант подключения предусматривает использование сервиса банкомата для самообслуживания. Для этого нужно войти в меню банкомата:

выбрать в пункте настроек «3D-Secure»;
отыскать пункт меню «Подключение телефона»;
далее, воспользовавшись интуитивно-понятным интерфейсом, ввести номер телефона и подтвердить действие.

В ответ на вашу заявку о подключении защитной услуги, банк отправит подтверждающее SMS, в котором будет указано, что услуга для карточки активирована и связана с вашим номером мобильного телефона.

Если возникла необходимость сменить номер телефона, привязанный к карточке, можно его сменить при помощи меню банкомата.

После отправки заявки о смене номера телефона для 3D-Secure, ВТБ отправит вам SMS с уведомлением об изменениях.

Это является дополнительной мерой безопасности, и в случае, если вы не вносили изменения, рекомендуется незамедлительно посетить отделение банка и выяснить вопрос.

3D Secure на карте банка: что это такое, как подключить и отключить

В рамках обслуживания банковских карт эмитенты обязаны гарантировать сохранность денежных средств клиентов. На это банк тратит по-настоящему большие деньги. С развитием современных технологий разрабатываются новые инструменты безопасности. Один из них — 3D Secure: что это такое и как работает, расскажет портал Бробанк.ру.

Что такое технология 3D Secure

3D Secure — это разновидность XML-протокола, который используется в виде дополнительного уровня безопасности при совершении операций с банковскими картами в интернете. Протокол предусматривает проведение двухфакторной аутентификации клиента до завершения транзакции.

Впервые 3D Secure использовалась компанией VISA в рамках пакета услуг Verifled by VISA (VBV). Основная цель работы с протоколом — повышение уровня безопасности банковских карт при совершении операций в онлайне. Протокол применяется по кредитным и дебетовым картам.

Позже, пакет услуг стали применять все крупнейшие мировые платежные системы. Подключение производилось компаниями в следующем порядке:

Mastercard — Mastercard Secure Code (MCC).
JCB International — J/Secure.
Amex — Safe Key.
НСПК МИР — МИР Accept.
American Express — American Express Safe Key.

Национальная система платежных карт МИР подключилась к 3D Secure в 2016 году. Сейчас все банковские карты выпускаются с подключенным по умолчанию пакетом. Отключить его нельзя — услуга оказывается бесплатно, вне зависимости от наименования банковской карты.

https://www.youtube.com/watch?v=g7BORGd1iME

Протокол 3D Secure не следует рассматривать как 100% гарантию сохранности средств на счете. Он всего лишь предусматривает дополнительный шаг со стороны клиента при совершении CNP-операций (card not present) — когда не предъявляется карта.

Практика показала, что разовый код может быть перехвачен мошенниками: достаточно подвергнуть устройство воздействию вируса или вредоносного программного обеспечения. Технология снижает вероятность применения фишинга, но не исключает ее полностью.

Расшифровка термина

Инструмент получил такое наименование по причине одновременной работы трех доменов сразу (отсюда и название 3-D). Первый — домен продавца и кредитной организации, в которую перечисляются деньги.

Второй — домен эмитента, выпустившего банковскую карту. Третий — домен совместимости (Interoperability Domain), предоставляемый платежной системой для поддержки работы протокола безопасности 3D Secure.

Как работает 3D Secure

При совершении операции в интернете, держатель карты, поддерживающей технологию 3D Secure проходит аутентификацию в два этапа. Протокол не нужно путать с кодами безопасности CVV2 и CVC2. Использование протокола производится следующим образом:

Клиент завершает оформление операции, и нажимает на кнопку «Оплатить».
Банк высылает разовый пароль (числовой код), который вводится в форму подтверждения платежа.

Если код указывается неверно, эмитент блокирует проведение транзакции. Как правило, разовый код 3D Secure состоит из шести случайных чисел, которые генерируются отдельно по каждой операции. Протокол работает на телефонах, смартфонах, персональных компьютерах, и все остальных устройствах.

У некоторых банков действует правило, согласно которому 3-5 раз неверно введенный код приводит к автоматической блокировке банковской карты. Таким образом, эмитент исключает доступ к карте со стороны третьих лиц.

Числовой код отправляется в виде СМС-сообщения, либо другим способом. Отдельные кредитные организации используют в этих целях push-уведомления. Для совершения операции необходимо иметь при себе телефон, привязанный к карте. За отправку кода плата не взимается.

3D Secure с многоразовым паролем

По некоторым картам технология 3D Secure используется виде многоразового пароля. Его клиент получает при активации карты. Этот вариант намного экономичнее, чем отправка числового кода, но уровень безопасности при его использовании еще ниже.

По стандартной схеме мошенникам потребуется перехватить одноразовый числовой код, либо завладеть телефоном держателя карты. Намного проще получать доступ к счету, когда по всем транзакциям используется один и тот же пароль.

Достаточно узнать этот самый пароль, чтобы по карте совершать практически любые операции. В этом виде технология используется небольшими банками, продукты и услуги которых не пользуются хорошим спросом у потребителей. Причина заключается в дороговизне подключения XML-протокола.

Проблемы с безопасностью при наличии 3D Secure

Часть держателей банковских карт совершенно ошибочно полагают, что наличие технологии 3D Secure полностью исключает несанкционированный доступ к счету. Подобное заблуждение часто приводит к непоправимым последствиям.

Дело в том, что некоторые интернет-магазины и прочие торговые площадки не поддерживают данную технологию безопасности. Покупки на этих ресурсах совершаются без аутентификации клиента.

По такому сценарию любой человек, знающий номер карты, инициалы держателя, срок действия и защитный код, может сделать покупку по карте в обход разрешения со стороны законного держателя. И подобных случаев встречается масса. Наличие 3D Secure никак не влияет на такие проблемы. За год с банковских карт пропадает огромная сумма, и вопрос сохранности средств пока для банков остается открытым.

Узнать, поддерживает ли интернет-магазин технологию безопасности можно на его титульной странице. Здесь должны быть отображены логотипы Mastercard Secure Code, Verifled by VISA, МИР Accept (для пользователей из Российской Федерации). Если соответствующих обозначений на сайте интернет-магазина нет, значит, покупки здесь производятся без дополнительной аутентификации клиентов.

Что такое Liability Shift

Использование 3D Secure по карте не исключает доступ к счету со стороны третьих лиц. При утрате денежных средств кто-то должен понести ответственность.

Клиенты, в первую очередь, возлагает всю вину на банк, который может применить Liability Shift — перенос ответственности.

Эта процедура подразумевает, что банк может оспорить транзакцию, и вернуть деньги на счет клиента. Для этого необходимо:

Наличие опции 3D Secure на карте.
Отсутствие технологии в интернет магазине — когда торговая точка работает без дополнительной аутентификации клиента.

Если мерчант (торгово-сервисное предприятие) не проводит дополнительную аутентификацию покупателей, и кто-то воспользуется ворованной картой, то банк-эмитент может перенести ответственность на интернет-магазин по требованиям, которые ему (банку) предъявляет клиент.

https://www.youtube.com/watch?v=Oq81IaiRVQI

Причина этого: банк позаботился о безопасности счетов своих клиентов, а магазин — нет. Следовательно, конечная вина может быть возложена на мерчанта. Но для этого держатель карты должен предпринять первичные действия — обратиться с требованиями о возврате суммы к банку-эмитенту, а также доказать, что операция совершена несанкционированно.

Как подключить и отключить 3D Secure на карте

3-DS в большинстве случаев подключается по умолчанию. Клиент для этого не совершает никаких действий. После активации карты технология начинает действовать в автоматическом режиме. При этом в некоторых банках подключать опцию необходимо вручную. Делается следующими способами:

Через банкомат.
В офисе банка.
В интернет-банкинге.
По телефону.

К примеру, у Сбербанка, Тинькофф Банка, Альфа-Банка и других крупных кредитных организаций технология подключена по умолчанию. Клиенту для ее активации никаких действий совершать не нужно. У Промсвязьбанка и ВТБ услуга подключается клиентом самостоятельно.

Отключение опции в ряде случаев не предусматривается. У Сбербанка ранее можно было подключать и отключать технологию безопасности в Сбербанк Онлайн. Сейчас, по современным картам, деактивация по желанию клиента не производится.

Как узнать, есть ли на карте 3D Secure

Самый простой и верный способ — изучение описания к продукту. Специалисты сервиса Brobank.ru составляют экспертные описания к банковским картам. Цель этой работы — дать пользователю полную картину о предложении, за которым он собирается обратиться в банк. Если карта оформлена после 2016 года, то технология безопасности, скорее всего, подключена по умолчанию.

Второй вариант — попытаться совершить какую-нибудь операцию в интернет-магазине, в котором используется двухэтапная аутентификация покупателей. Найти такой магазин не составит труда — крупнейшие площадки уже продолжительное время работают с повышенными мерами безопасности. После того, как подходящий магазин будет найден, необходимо совершить следующие действия:

Оформить к покупке любой товар.
Заполнить форму с реквизитами карты.
Перейти к оплате.

Завершать операцию покупкой товара нет необходимости. Если на телефон придет числовой код, который система предложит ввести в отдельное поле, значит, на карте полноценно работает технология безопасности 3D Secure. Если СМС-сообщение с кодом не придет, то, соответственно, опция отсутствует, либо ее нужно подключать вручную (активировать).

Об авторе

Анатолий Дарчиев — высшее экономическое образование по специальности «Финансы и кредит» и высшее юридическое образование по направлению «Уголовное право и криминология» в Российском Государственном Социальном Университете (РГСУ).

Более 7 лет проработал в Сбербанке России и Кредит Европа Банке. Является финансовым советником крупных финансовых и консалтинговых организаций. Занимается повышением финансовой грамотности посетителей сервиса Бробанк.

Аналитик и эксперт по банковской деятельности. darchiev@brobank.ru

Эта статья полезная?

Видео:Как защитить сбербанк карту от злоумышленников в интернете подключив СМС подтверждение ?Скачать

3D Secure, или что скрывают механизмы безопасности онлайн-платежей — Digital Security

04.09.2020

Один из протоколов, используемых для увеличения безопасности онлайн-платежей — 3D Secure.

Полное название этого протокола — Three Domain Secure.

Первый домен — домен эмитента — это банк, выпустивший используемую карту.

https://www.youtube.com/watch?v=ipOUQj0Ea0I

Второй домен — домен эквайера — это банк и продавец, которому выплачиваются деньги.

Третий домен — домен совместимости (interoperability domain) — инфраструктура, используемая при оплате картой (кредитной, дебетовой, предоплаченной или другими типами платежных карт) для поддержки протокола 3D Secure. Он включает в себя Интернет, подключаемый модуль продавца (merchant plug-in), сервер контроля доступа (access control server) и других поставщиков программного обеспечения.

3D Secure обеспечивает новый уровень безопасности путем предоставления дополнительной информации. Еще одним важным моментом является «перенос ответственности».

Это означает, что в случае мошенничества вся ответственность ложится на банк-эмитент. Этот момент является очень важным для продавца (мерчанта), т.к.

до появления 3D Secure урегулированием спорных вопросов приходилось заниматься мерчанту.

Также не стоит забывать о двух важных психологических аспектах: повышении доверия к онлайн-платежам и увеличении конверсии. Конверсия может быть увеличена за счет обновлений протокола 3DS, направленных на сокращение взаимодействия с пользователем.

v1.0 — 2001 г -… v2.0 — 2014 г — Устарело v2.1 — 2017 г v2.2 — 2018 г

В настоящее время большинство платежных сервисов используют версию 1.0.2 при проведении онлайн CNP-платежей, запрашивающих OTP-код. Версия 1.0.2 была создана в 2001 году и в ней есть некоторые проблемы.

На данный момент актуальной версией является v2.2, и EMV планирует, что к концу 2020-го года она будет использоваться везде.

Это основная схема, необходимая для понимания всего процесса платежа с использованием механизма 3DS.

Покупатель уже добавил все необходимые ему товары в корзину и нажал кнопку «Оплатить»

В этот момент он попадает на страницу MPI-сервиса, где и вводит данные своей карты. После нажатия кнопки оплаты продавец (MPI) инициализирует старт платежного потока и, согласно протоколу, отправляет CRReq-запрос (Card Range Request). Данный запрос необходим, чтобы найти банк-эмитент вашей карты и получить CRR из домена взаимодействия. Этот запрос нас мало интересует.

После этого MPI отправляет VeReq (Verification Request). Этот запрос отправляется банку-эмитенту для проверки того, что 3DS для данной карты включен и карту можно использовать для оплаты.

VeRes (Verification Response) содержит дополнительную информацию для следующего этапа платежа. Клиенты не могут видеть эти два типа сообщений.