Введение
Обеспечение безопасности при проведении платежей было и остается одной из главнейших задач любой платежной системы. Инженеры и криптографы работают над созданием новых алгоритмов и систем защиты, а злоумышленники пытаются найти в этой защите уязвимые места. Значительный рост безопасности платежных карт пришелся на период с 2000 по 2010 годы, когда внедрение стандарта EMV для физических карт и 3-D Secure для платежей в интернете сильно ограничили возможности мошенников в подделке карт и эксплуатации украденных реквизитов.
В итоге технически платежные карты оказались защищены настолько хорошо, что самым слабым звеном при совершении платежей оказался человек, и внимание злоумышленников во всем мире начиная с 2010-х годов все сильнее акцентируется именно на нем. В то же время реальный опыт показал, что внедрение дополнительных ступеней защиты не только снижает удобство для конечного пользователя, но и уменьшает долю успешно завершающихся платежей, так называемую конверсию.Потеря конверсии обозначает, что магазин недополучит прибыль, а держатель карты не совершит желанную покупку
Таким образом, проигравшими оказываются все
В то же время реальный опыт показал, что внедрение дополнительных ступеней защиты не только снижает удобство для конечного пользователя, но и уменьшает долю успешно завершающихся платежей, так называемую конверсию.Потеря конверсии обозначает, что магазин недополучит прибыль, а держатель карты не совершит желанную покупку. Таким образом, проигравшими оказываются все.
Меня зовут Алексей Касякин, я технический владелец платформы 3-D Secure в НСПК. Вместе с Сергеем Лысенко (в НСПК руководит развитием EMV 3DS 2.0) и Алексеем Крутиковым (лидер команды разработки платформы) мы хотим рассказать про технологию 3-D Secure, ее историю, основные проблемы и перспективы развития. А также о том, почему не надо бояться, если перестал приходить одноразовый пароль.
Краткая история 3-D Secure 1.0
В конце 1990-х годов наблюдалось стремительное проникновение интернета в повседневную жизнь человека. Появившийся канал продаж через интернет открыл новую страницу в истории торговли и вызвал взрывной рост дистанционных платежей по банковским картам. Одновременно стремительно растет доля мошенничества с картами в интернете, т.к. для совершения платежа достаточно было иметь только номер карты и срок действия.
Платежные системы реагируют на новую угрозу вводом нового защитного параметра, который печатается на обратной стороне карты. Он призван гарантировать, что платеж совершает именно владелец карты. Однако из-за малой длины кода (3 символа) существует возможность подсмотреть его при оплате товаров на кассе или заполучить его путем кражи физической карты.
Тогда острая необходимость защитить дистанционные платежи и привела к появлению первого стандарта безопасности 3-D Secure. Он позволяет банку в момент оплаты запросить у держателя карты дополнительное подтверждение, без которого оплата не проводится. С тех пор уже более 20 лет технология 3-D Secure обеспечивает безопасность платежей, совершаемых в интернете.
Варианты подключения услуги
Если это новая карточка Сбербанка, то защита уже включена. Не надо ничего активировать либо выполнять дополнительные действия. Если карточка не поддерживает защиту, нужно обратиться в банковский филиал, где необходимо составить заявление на активацию услуги. Чтобы не тратить время на поход в банк несколько раз, можно дома с помощью Сбербанка Онлайн или с помощью сотового телефона отправить запрос на перевыпуск карты либо же подключить услугу напрямую.
Через персональный кабинет Сбербанка-Онлайн
Иногда бывают случаи, когда подключить 3DS требуется срочно и времени на поход в банк нет. Вероятно, необходимо что-то срочно купить в магазине. Также определенные интернет-ресурсы иногда принимают платежи лишь с карточек, поддерживающих 3DS. Если необходимо совершить оплату, нужно уточнить, какие карты принимает конкретный сайт. Инструкция, как подключить 3D-Secure Сбербанк через интернет:
- зайти в Сбербанк Онлайн;
- затем появится окно с полем, где потребуется набрать полученный до этого пароль и логин. Набрав соответствующую комбинацию нужно нажать «Войти»;
- после успешного входа открывается окно кабинета. Если в наличие несколько пластиковых карточек от Сбербанка, то из появившегося списка нужно выбрать ту, к которой необходимо подключить защиту. Кликните «Операции по карточке», в появившемся окне отыщите «Подключиться к 3D-Secure». После чего можно производить оплату через СМС-оповещение.
По телефону
Инструкция, как подключить 3D-Secure Сбербанк через телефон:
- нужно набрать слово «Полный» в поле отправки сообщения на смартфоне;
- отправить его, указав номер 900;
- должно прийти сообщение: «Для изменения тарифа на «Полный» карточки «VISA****» отправьте пароль «****»;
- после ввести полученный пароль;
- придет СМС с подтверждением активации услуги.
После этого при оплате в онлайн-магазине будет приходить одноразовый SMS-код.
Что такое 3D-Secure на банковской карте. Технология 3D-Secure: безопасные онлайн-покупки
Если нет мужа, то можно попытаться оформить кредит на своих родителей, но в качестве созаемщика вы обязаны выступить, так как только вы даете право на распоряжение МК.
Уважаемая Надежда. Расплачиваться кредитной картой (если это виза или мастеркард) можете в любом магазине или отеле (кафе, ресторане и т.д.), в котором принимают карты к оплате. Ограничений по регионам нет.
После окончания срока действия карты по ней не будут проходить операции. Набирая пин-код, у вас не будет доступа к денежным средствам. Вам необходимо будет прийти в отделение банка и сдать эту карту, а взамен вам выдадут новую, и ваш счет уже будет прикреплен к новой карте. Таким образом, вы будете иметь доступ к средствам.
Наталья Гончарова,
Что делать если карта не прошла 3ds аутентификацию, либо отклонена платежной системой?
Ничто не может быть полностью надежным и стабильным. Нередко случаются и серьезные сбой и работе описываемой функции. Почему иногда случается так, что карта не прошла 3ds-аутентификацию либо была отклонена платежной системой, спрашивают многие пользователи банковского пластика. Чтобы решить вопрос отсутствия сообщения с кодом, стоит действовать следующим образом:
- Обратиться к опции получения кода повторно, которая находится на странице ввода пароля.
- Удостовериться, что телефонный номер указан правильно, а сам телефон активен. Что у симки положительный баланс и память гаджета не переполнена.
Если все указанные действия не помогли решить проблему, то потребуется связаться с оператором банка и попросить о помощи
При появлении надписи «Ошибка авторизации», важно выяснить причину произошедшего. Таковых может быть две: был введен неверных код или пароль использовался после отведенного времени (на ввод дается не больше 5-ти минут)
Для решения проблемы, достаточно проверить правильность ввода формы и использовать шифр повторно, либо заказать повторный пароль. Самым простым и дельным советом является проведения всех процедуры повторно.
Основные причины ошибок при оплате банковской картой
Первая причина, которая является самой распространенной — отсутствие нужной суммы на карте. Рекомендуется проверить ваш баланс — для этого нужно позвонить в банк или войти в интернет банк. Иногда по карте устанавливают ежемесячный или ежедневный лимит трат. Чтоб это проверить — нужно позвонить в банк. Эта причина может быть не ясна сразу — при отказе в оплате может не отображаться ваш баланс. Ошибка аутентификации 3D secure может быть также связана с неверным вводом реквизитов карты на предыдущем шаге. В таком случае просто повторите платеж и укажите правильные данные.
Вторая причина — на строне платежной системы. Например, терминал оплаты РЖД не позволяет платить картами MasterCard. Можно использовать только карты Visa. Заданный магазин может не поддерживать данный способ оплаты. К примеру, робокасса, которую подключают к множеству магазинов предлагает различные тарифы для оплаты. Я сначала хотел оплатить вебмани, однако я позвонил в магазин. Оказалось, оплатить вебмани нельзя. У них не подключена эта опция. Хотя способ оплаты через вебмани предлагается на странице оплаты.
Третья причина — возможно ваша карта заблокирована. Опять же можно позвонить в банк и проверить это. Блокировка может быть осуществлена банком автоматически в случае наличия подозрительных операций у клиента.
Четвертая причина — у вас не подключена опция 3d Secure(MasterCard SecureCode в случае MasterCard). Технология 3D Secure заключается в следующем: при оплате вам приходит СМС от банка, которую вы должны ввести в специальном окне. Эту СМС знаете только вы и банк. Мошенничество в данном случае достаточно трудно, для него потребуется и ваш телефон. Эта опция нужна вам для оплаты на сумму больше 3 тыс. рублей. Это как раз мой случай. Я купил в интернет магазине газовую плиту Bosh. При оплате товара на сумму 22 тыс. рублей мне выдалось вот такое сообщение:
Я был в замешательстве, не знал что делать. Сначала я думал, что это проблема магазина. Но сначала я все таки позвонил в банк. В моем случае это был Промсвязьбанк и карта Доходная. Позвонив в поддержку Промсвязьбанка, мне предложили сначала пройти процедуру аутентификации
- Назвать 4 последних цифры номера карты
- Назвать фамилию имя отчество полностью
- Назвать кодовое слово.
Далее для подключения услуги 3d Secure от меня потребовали 2 номера из таблицы разовых ключей. Вроде как услугу подключили, но через пол часа оплата снова не прошла. Позвонил в банк — сказали ожидайте когда подключится — услуга подключается не сразу. Нужно подождать. Я решил проверить, подключена ли услуга. Я залогинился в Интернет-банк — увидел, что такая услуга есть(в ПСБ ритейл это можно посмотреть на странице карты, щелкнув по номеру карты) Еще раз попытка оплаты — мне высветилось окно, где я должен был ввести код подтверждения. После заполнения данных карты мне пришло СМС с кодом для оплаты Далее вуаля — заказ наконец то оплачен. Я получил следующее окно и статус заказа в магазине изменился на «Оплачен» Мой заказ доставили в пункт назначения, где я его заберу в течение месяца. Главное оплата прошла.
Как понять, подключён ли пользователь к 3D Secure
Можно использовать несколько вариантов для получения требуемой информации по данному поводу:
- Уточнение при получении карты либо оформлении заказа на неё. Лучшее решение – сразу спросить у сотрудника учреждения, есть ли на карте 3 Д Секьюр.
- При опоре на косвенные признаки. Например, система точно подключена, если все данные уже были указаны, но система требует дополнительного пароля.
- Если клиентам выдают дополнительные устройства для генерации паролей либо таблицы с цифровыми обозначениями.
- Когда дополнительный код указывается в конверте вместе с самой карточкой и ПИН-кодом к ней.
Manually request 3D Secure with the API
The default method to trigger 3D Secure is based on risk level and other requirements. Triggering 3D Secure manually is for advanced users integrating Stripe with their own fraud engine.
To trigger 3D Secure manually, set to when creating or confirming a or . This process is the same for one-time payments or future off-session payments. When this parameter is provided, Stripe attempts to perform 3D Secure and overrides any dynamic 3D Secure Radar rules on the PaymentIntent or SetupIntent.
When to provide this parameter depends on when your fraud engine detects risk. For example, if your fraud engine only inspects card details, you know whether to request 3D Secure before you create the PaymentIntent or SetupIntent. If your fraud engine inspects both card and transaction details, provide the parameter during confirmation—once you have more information. Then pass the resulting PaymentIntent or SetupIntent to your client to complete the process.
Explore the parameter’s usage for each case in the API reference:
When you set to , Stripe requires your customer to perform authentication to complete the payment successfully if 3D Secure authentication is available for a card. If 3D Secure is not available for the given card, the payment proceeds normally.
Stripe’s SCA rules run automatically, regardless of whether you manually request 3D Secure. Any 3D Secure prompts from you are additional and not required for SCA.
Где можно встретить систему 3D-Secure
Понятное дело, что от заманчивых обещаний и сниженных цен редко кто может отказаться, к тому же для совершения покупки достаточно лишь ввести реквизиты вашей пластиковой карты. Но так ли безопасно совершать покупки через интернет? Что такое 3D-Secure на банковской карте? Как он работает? И способен ли он обезопасить вас от несанкционированного хищения денежных средств со счета?
На каких картах есть 3D-Secure
В России банки, как правило, подключают 3D-Secure автоматически ко всем картам, поддерживающим платежи в сети Интернет. Если ваша карта не позволяет оплатить покупку в сети и эта функция не может быть включена, то и технологии 3D-Secure у нее нет. Это объясняется просто, технология не имеет смысла для карт, где нет возможности совершить платеж в Интернете. Неполный список банков, поддерживающих 3D-Secure:
- Сбербанк;
- Альфа Банк;
- Тинькофф;
- Русский Стандарт;
- Почта банк;
- ВТБ;
- Бинбанк;
- Восточный;
Международные правила платежных систем обязывают все банки предоставлять клиентам доступ к технологии 3D-Secure. Но вопрос – включена ли она у вас, это другой вопрос, нежели, есть ли эта технология в банке.
Если вы сомневаетесь, есть ли на вашей карте 3D-Secure, то развеять все сомнения можно двумя способами. Позвонить в банк или попробовать совершить оплату в Интернете. Первый способ надежней, так как некоторые банки, например, Альфа Банк, автоматически подключает 3D-Secure своим клиентам, но использует технологию не при всех онлайн платежах. Необходимо принудительно подключить 3D-Secure, если вы хотите полную защиту. В этом случае ни одна оплата через Интернет не пройдет, пока вы не введете секретный код.
Возможные риски при использовании защитного протокола
К сожалению, 3D-Secure не может гарантировать 100% безопасность сделки. Всегда остаются риски. В большей степени они связаны с человеческим фактором.
Уязвимость для вирусов. Эта проблема больше характерна для телефонов, работающих на Андроиде. Вирусные программы могут считывать вводимые данные, отправлять информацию о карте и платежах, в том числе и об одноразовых паролях. Чтобы обезопасить себя, нужно установить антивирус.
Сохранение данных о карточке в браузере также создает повышенную опасность. Вредоносные программы могут использовать эти данные. Также нужно помнить, что защитный протокол используется для проведения не всех операций. Поэтому злоумышленники могут украсть деньги, даже не прибегая к одноразовым паролям.
Доверчивость самих пользователей – самый большой риск. Пароль нельзя сообщать никому, особенно при утере карты. Бывает, что мошенники под видом сотрудников банка пытаются узнать одноразовый пароль, чтобы украсть деньги. Личную бдительность никто не отменял.
Защитный протокол позволяет существенно снизить риски при проведении онлайн-платежей. К тому же использование услуги совершенно бесплатно. Поэтому отказываться от нее не стоит. Конечно, есть небольшие минусы и недостатки, но, вполне возможно, что систему доработают, и она станет еще лучше и удобней.
Как подключить 3D Secure
Функция является бесплатной. Если у пользователя данная услуга не подключена, то он ее может активировать одним из способов:
- в офисе банка;
- по телефону;
- через банкомат;
- через онлайн-банкинг.
Примеры банков, которые подключают карты к 3D Secure:
Наименование банка | Подключение | Стоимость подключения | Ежемесячная комиссия |
Сбербанк | Автоматическое, при получении карты | Бесплатно | Нет |
Тинькофф | Автоматическое, при получении карты | Бесплатно | Нет |
ВТБ 24 | По заявлению владельца, через онлайн-банкинг | Бесплатно | Нет, взимается единоразовая плата за входящее смс с баланса телефона |
Обратившись в офис местного филиала банка
Подключение этой услуги осуществляется бесплатно. Владельцу карты необходимо сделать следующее:
- Прийти в банк с паспортом и картой.
- Написать заявление о подключении. Форму для заполнения выдаст сотрудник.
- Активация произойдет после совершения первого платежа.
По телефону
Подключить услугу можно по телефону, не выходя из дома. Например, для Сбербанка:
- Отправить Слово «Полный» в смс на номер 900.
- Дождаться сообщения с динамичным кодом (одноразовым паролем) из четырех цифр.
- Ввести эти цифры в ответном сообщении и отправить снова на номер 900.
- Дождаться смс с подтверждением о подключении.
- Теперь можно безопасно оплачивать услуги и товары по интернету.
Через банкомат
Чтобы осуществить подключение через банкомат, пользователю необходимо будет позвонить в банк и узнать о том, есть ли функция 3D на у его карты. Если ответ положительный, то владелец может смело отправляться в ближайший банкомат и подключать услугу.
- Вставить карту в банкомат именно того финансового учреждения, которое выпустило ее.
- Кликнуть по пункту «Другие операции».
- Найти и выбрать «3D Secure».
- Ввести номер мобильного, привязанного к карте.
Теперь динамичные коды для оплаты посредством технологии 3D Secure будут приходить на телефон при проведении платежа.
Через онлайн-банкинг
Подключить услугу можно в личном кабинете Сбербанка или любого банка, поддерживающего технологию. Будет показано на примере Сбербанка:
1 Открыть главную страницу банка и войти в личный кабинет.
2 Нажать на вкладку «Карты».
3 В выпавшем меню выбрать «Подключение 3D Secure».
Преимущества и недостатки
Вторым серьезным преимуществом, представляется использование для подтверждения операции одноразового пароля, который высылается со стороны банка. К недостаткам стоит отнести:
- Возможность хищения одноразового пароля с помощью вируса или шпиона.
- Отсутствие данной системы безопасности во множестве магазинов, что связано с её дороговизной в обслуживании и внедрении.
- Особенность, позволяющая обойти систему и совершить платеж традиционным способом.
Последний недостаток вызван тем, что далеко не все онлайн-магазины предусматривают наличие этой системы, ввиду чего, для обеспечения совместимости потребителю приходится её обходить. За счет этого, платежное средство становится более универсальным, однако им могут воспользоваться злоумышленники.
Проблемы 3DS 1.0
История 3DS началась больше 20 лет назад. В 1999 году Visa создала протокол безопасности 3D Secure, чтобы помочь продавцам и банкам-эмитентам подтверждать (аутентифицировать) личность держателей карт при совершении покупок в интернете.
Аутентификация плательщика осуществляется с помощью ввода дополнительного кода подтверждения. Проверочный код формируется банком-эмитентом (банком, выпустившим карту) и направляется плательщику в процессе оплаты. Он может приходить в виде СМС или push-сообщения или выдаваться при получении карты.
Дело в том, что если операция проходила с использованием 3DS и была впоследствии признана мошеннической, отвечать за нее будет не продавец, а эмитент, так как именно он несет ответственность за аутентификацию плательщика. То есть если плательщик заявил, что он не совершал операцию, а в рамках процедуры оспаривания (чарджбэка) операция будет признана мошеннической, деньги не будут удержаны со счета продавца.
В то же время в использовании 3DS для продавца есть и негативные факторы, в частности — неминуемое снижение платежной конверсии по техническим причинам.
Давайте разберемся, почему это происходит.
Первая версия протокола была разработана для аутентификации в браузере ПК, поскольку в то время смартфоны еще не были распространены и об оплате с помощью телефона и тем более умных часов никто не думал. Поэтому неудивительно, что у первой версии 3DS не самый удобный пользовательский опыт на мобильных устройствах (открытие браузера из мобильного приложения с редиректом, форма, не адаптированная под мобильные устройства для ввода кода из СМС и т.д.).
Но дело не только в неудобном интерфейсе, но и в дополнительном шаге для завершения платежа — вводе кода из СМС на странице банка-эмитента. Именно на этом этапе теряется большая часть конверсии. Проблемы могут быть самыми разными. Вот некоторые из них:
- не пришла СМС с кодом (по вине банка-эмитента или из-за проблем у мобильного оператора);
- не отобразилась форма эмитента, на которой необходимо ввести код из СМС;
- пользователь перепутал цифры при вводе кода из СМС;
- пользователь ввел код корректно, но эмитент его неправильно обработал;
- не сработал редирект на платежную форму и т.д.
Еще одним доводом не в пользу первой версии 3DS стал тот факт, что мошенники научились использовать ее уязвимость для собственного обогащения.
Закрыть известные уязвимости и избавить предпринимателей от нелегкого выбора между фродом и снижением платежной конверсии призвана новая версия протокола — 3D Secure 2.0.
mrmohock/Shutterstock
3-d secure двух-факторная аутентификация — общее представление
Как было описано выше, это протокол безопасности при покупках в сети по картам онлайн. Реализуется данный механизм путем обмена данными между 4 узлами связи. С одной стороны клиент, держатель карты, со второй, продавец товара или услуги, с третьей, эмитент (Visa или MasterCard), с четвертой, эквайер — обслуживающий продавца банк. Раньше при покупке в сети по карте, было не обязательно физически ей обладать, т.е. владелец мог забыть ее дома. Для успешной покупки, достаточно было ввести данные (номер и срок действия карты, CVC или CVV2 код, Ф.И.О, пароль. По сути злоумышленник, зная эти данные, мог осуществить кражу средств. Сейчас же, для доступа к вашим финансам необходим еще телефон.
С внедрением в Сбербанке технологии 3-d Secure для Visa или SecureCode для MasterCard, покупки в сети становятся еще более безопасными. После ввода всех личных данных на сайте продавца, происходит редирект на сайт Сбербанка. Одновременно с этим, на телефон держателя карты приходит пароль 3d-Secure. В случае успешного и своевременного ввода этого пароля, вы автоматически возвращаетесь на сайт продавца и транзакция одобряется банком и платежной системой. Безопасность заключается еще и в том, что данный код 3d secure не знают сами сотрудники сбербанка. Этот 6-значный пароль генерируется сервером, и имеет определенный срок жизни, после чего становится недействительным.
История возникновения
3D-Secure изначально была создана для платёжной системы Visa. Первым её названием стало «Verified by Visa». Со временем 3D-Secure начала использовать и платёжная система Mastercard.
Технология 3D-Secure получила своё нынешнее название из-за того, что аутентификация клиента при оплате в интернете происходит с использованием трёх не зависящих друг от друга доменов:
Технология п своей сути является протоколом XML. Он обеспечивает высокий уровень безопасности платёжных операций, совершаемых при помощи банковских карт.
Расшифровка термина
Инструмент получил такое наименование по причине одновременной работы трех доменов сразу (отсюда и название 3-D). Первый — домен продавца и кредитной организации, в которую перечисляются деньги. Второй — домен эмитента, выпустившего банковскую карту. Третий — домен совместимости (Interoperability Domain), предоставляемый платежной системой для поддержки работы протокола безопасности 3D Secure.
Создание программы
Продукт был реализован SWIFT-системой, функционирующей на международном уровне. В современности она используется в VISA и имеет все требуемые аппаратные устройства.
Максимальная безопасность пользователей достигается за счет того, что в системе сведений имеется информация о всех карточных продуктах людей. Если карта была утеряна либо украдена сервис в ту же минуту может приостановить действие пластика, если имеется связь с мобильным телефоном владельца. Все данные под надежной защитой, а клиенту для входа в персональный кабинет необходимо идентифицироваться в системе. Иными словами, не все могут попасть в систему и использовать денежные средства, имеющиеся на счетах.
Принципы применения сервиса
Для подтверждения оплаты некого продукта с помощью интернета либо перевод, к примеру, с карточки «Мир» на пластик иного банковского учреждения в 2020 году необходимо указать проверочный код из трех цифр, выбитый с обратной стороны карты. В виде дополнительных сведений следует ввести фамилию, имя владельца карты, и ее срок действия.
Типовой опцией системы является применение разовых кодов. Подобный метод обеспечения безопасности карты и финансов на ней применяется в интернет-приложении, и в процессе эксплуатации мобильного банка. Как правило, пароли поступают на номер мобильного телефона, однако можно применять сервисы УСО и получить чек в банкомате. Услуга проста и удобна в применении. К примеру, при запросе кодов, пользователь получает чек, содержащий 20 кодов. Квитанцию следуют хранить в разных местах с картой, и вводить по очереди, как указано на документе.
Является ли использование технологии 3D Secure для владельца карты гарантией защиты от мошенничества?
Однозначно нет! Для банков эта технология потому и является привлекательной, что перекладывает всю ответственность на клиента.
Да, в случае, если что-то в процессе обработки пойдет неверно, например введенный неправильно код будет воспринят как правильный, то виноват будет банк или процессинговый центр. Но вероятность такого события практически равна нулю.
Другое дело, что клиент может иметь, например, зараженный вирусом сотовый телефон, который будет читать его SMS и отправлять верные коды. Или доверить кому-то постороннему код, который будет введен вместо владельца карты (в чистом виде социальная инженерия). Или просто забыть, что он хотел заплатить ту или иную сумму в магазин. Но в любом случае ответственность за платеж будет лежать на клиенте. Банк существенно экономит средства и силы на разборе спорных транзакций, просто напросто отказывая клиентам.
Следует, однако, иметь в виду, что общий объем мошенничества с применением пластиковых карт снижается. Еще одной потенциальной «дырой» может являться готовность банка выполнять транзакций без отправки кода на телефон. В этом случае клиент должен добиваться своих прав и требовать возврата денег, так как операция была проведена без использования 3D Secure.
Как оплачивать с карты с применением 3DS
Оплата покупок с использованием этой технологии не сложно. Все, что вам нужно сделать, это иметь все необходимые навыки, чтобы сделать это и сделать все необходимые операции.
Таким образом, этот процесс протекает следующим образом:
Если эти требования соблюдены, то последующая процедура оплаты выглядит следующим образом:
- Перейти на кнопку оплаты и введите в окно транзакции.
- В открывшемся окне введите: имя и фамилию, функционирование карты и сумму платежа.
- Подтвердите операцию.
- Веб-сайт перенаправляет клиента на официальном сайте банка-эмитента карты.
- Окно проверяет определенную информацию и отправляет пользователю код 3D-Secure.
- Пароль вводится в соответствующую форму, и на мобильный телефон отправляется СМС с подтверждением оплаты.
Следует отметить, что опция может быть недоступна, если услуга «Мобильный банк» не активна.
Можно ли обойти систему безопасности
Держатель карты должен понимать, что систем, гарантирующих 100% безопасность средств, не существует. Технология 3D Secure позволяет повысить уровень защиты, но не более. Существуют как минимум 3 способа ее обхода, которыми могут пользоваться мошенники:
- Заражение телефона и/или ПК держателя карты вирусами. При этом осуществляется банальный перехват сообщений с кодами подтверждения от банка-эмитента и перенаправление их мошенникам.
- Восстановление СИМ-карты по поддельным документам. Пока человек заметит, что его телефон не работает, обратиться к оператору или в банк может пройти довольно много времени. Мошенники пользуются этим для получения кодов в SMS и кражи средств.
- Социальная инженерия. Мошенники путем психологических манипуляций убеждают самого держателя сообщить код из SMS по телефону. Они могут говорить, что он нужен для отмены операции, блокировки карточки и т. д., но фактически просто воруют деньги в этот момент.
Еще один немаловажный момент – для магазинов подключение 3D Secure не является обязательным. Многие крупные компании не активируют эту функцию, чтобы сделать процесс оплаты максимально простым для клиентов. Этим успешно пользуются мошенники для воровства средств.
Важно. Если магазин не поддерживает 3D Secure и через него украли деньги мошенники, то по правилам платежных систем он будет обязан компенсировать держателю потери
Оспорить мошенническую операцию, совершенную без ввода 3D Secure, можно через банк-эмитент. Но процесс разбирательства отнимет некоторое время, и в некоторых случаях все же может завершиться не в пользу держателя.
Что такое 3D secure простыми словами
Для безопасности владельцев пластиковых карт были внедрены следующие степени защиты:
- CVV-код. Находится на оборотной стороне карты. Предназначается для подтверждения подлинности карт во время совершения покупки или снятия денег.
- Именные карты. Такая карта отличается от неименной тем, что имеет на лицевой стороне имя и фамилию владельца. По ней злоумышленнику сложнее будет оплатить товар в торговых точках, так как продавец может потребовать предъявить паспорт.
- Пин-коды. Такой код придумывает сам владелец во время первого использования карты. Защищает от снятия денег с карты злоумышленниками, например, если она была потеряна.
- 3D-Secure — технология, которая повышает безопасность проведения платежей при покупках через интернет.
3D Secure – это двухфакторная аутентификация для авторизации владельца карты во время совершения платежа. Если простыми словами, то 3D Secure – это код, который приходит владельцу карты на телефон при оплате товара. Этим паролем пользователь подтверждает, что именно он и никто другой совершает платеж.
Технология основана на протоколе расширяемого языка разметки. Применяется для защиты онлайн-платежей с дебетовых и кредитных карт.
Она не защищает денежные ресурсы, лежащие на карте, как пин-код, вводимый при снятии денег с банкомата. Также технологию не следует путать с CVV-кодом на обороте карты.
Почему именно 3D
3D-Secure не означает, что оплата проводится в каком-то трехмерном пространстве. Этот термин произошел от общего сокращенного названия трех систем или доменов (англ. «3 D» – Three Domains, что переводится как «Три домена»), которые участвуют в процедуре обмена деньгами и обеспечивают защиту их перевода от владельца к продавцу. Ими являются:
- Домен эквайера – система продавца или банка, куда поступают деньги;
- Домен эмитента – система, которая выдала карту пользователю, совершающего платеж;
- Система, через которую проходит оплата, или домен совместимости. Он предоставляется системами Mastercard или Visa, поддерживающими технологию 3D-Secure.
Если технология подключена к карте ее держателя, то без ведома последнего провести платеж невозможно.
Как работает протокол
Работа протокола 3D Secure заключается в перенаправлении пользователя на страницу банка-эмитента, то есть банка, выпустившего карту. На этой странице пользователь должен будет ввести одноразовый код в специальное поле. Одноразовый пароль приходит по смс на номер телефона, привязанного к карте владельца.
Протокол будет задействован только в том случае, если услуга активирована.
Что из себя представляет технология 3D Secure
Данная технология, позволяющая идентифицировать личность держателя карты, была разработана международными системами MasterCard и Visa. У каждой из обеих компаний существует собственное наименование данной операции.
К примеру:
- у карточек Виза технология проверки подлинности именуется Verified by Visa;
- у системы Мастеркард верификация носит название MasterCard SecureCode.
Обе системы аутентификации являются гарантом того, что мошенник не сможет снять деньги со счёта клиента без доступа к его мобильному устройству. Хотя подобные инциденты иногда случаются на торговых ресурсах в интернете, которые пренебрегают технологией 3D Secure и не желают нести дополнительные расходы для безопасности своих клиентов.
Что же собой представляет эта технология, и почему она носит такое название? По замыслу её создателей в данной системе участвуют 3 независимых домена, с которыми и согласовываются все осуществляемые платежи.
Это домены:
- Банка-эмитента, изготовившего данную карточку.
- Домена данной платёжной системы.
- Домена банка, занимающегося обслуживанием онлайн-магазина.
Последовательность проведения платежа проходит следующим образом:
- Покупатель выбирает товар на интернет-ресурсе.
- При оформлении заказа вводит данные своей платёжной карты для онлайн-оплаты.
- Переходит на защищённую страницу и получает подтверждение оплаты с суммой и секретным паролем на свой мобильный номер, привязанный к карточке.
- Вводит его в пустое окно и нажимает кнопку «Подтвердить». После этого требуемая сумма списывается с карточки.
Код, полученный из СМС, действует непродолжительное время, и за это время следует успеть его ввести. Если этого не сделать, клиенту придётся запрашивать новый код. Как правило, многие банки применяют данную технологию без ведома пользователя, заботясь о его безопасности. Если пользователь пластика является клиентом банка, который не беспокоится о судьбе его платежей, можно позвонить в офис и уточнить, как стать участником данной системы, либо самостоятельно осуществить эту несложную операцию в любом банкомате.
Как подключить 3D Secure от Сбербанка?
Риск при расчете через интернет всегда будет существовать, какие бы современные технологии не использовались бы. Если изучить все возможные системы защиты, то технология 3D Secure является одной из самых надежных. Услуга может быть подключена автоматически при выдаче карточного продукта. Если подключения не было, то клиент может обратиться в банк с соответствующим заявлением.
Эту услугу можно подключить и с помощью Сбербанк Онлайн. Стоит отметить, что технология 3D Secure отличается высокой стоимостью, поэтому не все банки предлагают своим клиентам к ней подключиться.
Для лидера российской банковской системы важен вопрос внедрения новых технологических разработок, так как это может повысить количество оборотов по эмитируемым картам. Если услуга будет подключена по умолчанию, то за подключение не придется платить никаких денег.
MasterCard для безопасности платежей предусмотрел введение SecureCode
Ввиду того, что технология довольно дорогостоящая, некоторые интернет магазины могут ее не поддерживать. Тем не менее, таких магазинов становится все меньше и меньше, хотя технология и не является обязательной. Существуют и такие интернет магазины, которые работают исключительно с пластиками, использующие защищенный протокол. Для того чтобы отказ от операции на сайте интернет магазина не стал для пользователя неприятным сюрпризом, нужно заранее уточнить, работает ли онлайн магазин с данной технологией или, наоборот, принимает к оплате только обычные пластики.
Вам может быть интересно: