Как осуществлять перевод с карты без 3D Secure. Обзор сервисов и защита
Делать переводы с такой карты довольно опасно, так как вводить специальный код для подтверждения нет необходимости.
Чтобы осуществить перевод, необходимо выполнить следующие действия:
- получить номер карты получателя;
- зайти в личный кабинет для осуществления транзакции;
- ввести платежные данные;
- отправить деньги.
Деньги можно отправить не только на пластиковую, но и на виртуальную карту. Это более надежно, так как срок ее действия ограничен от 1 операции до 3 месяцев.
Как вывести деньги с карты без 3D Secure
Обычно мошенникам недостаточно знать только номер карты. Но иногда они могут вычислить дату окончания ее действия и CVC код. Имея эти данные, можно вывести деньги со счета при использовании специальной технологии. Так как действия носят преступный характер, алгоритм действий в статье не описывается.
Стоит понимать, что банки часто отказывают в совершении перевода, если операция носит сомнительный характер. То есть, когда платеж производится без применения системы 3ds, то есть вероятность блокировки транзакции.
Если платеж производится через специализированную интернет-площадку, то платежные системы МИР, VISA и MasterCard перекладывают ответственность при возникновении мошеннических действий в отношении одной из сторон, на саму площадку.
Согласно пользовательскому соглашению специализированных сайтов, полную ответственность за действия несут сами стороны, а сервис является посредником, который взимает небольшую комиссию. При этом подключение защиты невыгодно в силу того, что за нее необходимо платить.
Исходя из этого, не стоит предоставлять номер карты всем подряд и держать его в открытом доступе. Рекомендуется предоставлять его только тем, кто намерен перевести определенную сумму. Например, если вы берете займ онлайн на карту. При этом это должен быть надежный контрагент, который точно не будет пытаться вывести средства получателя преступным путем.
Сравнение сервисов для вывода денег
Параметр | MasterCard Mobile | QIWI | Альфа-Банк | RuRu | PayOnline | Сбербанк | |
1 | Работа с системой VISA | — | + | + | + | + | + |
2 | Работа с системой MasterCard | + | + | + | + | + | + |
3 | Без регистрации | — | — | + | + | + | + |
4 | Без привязки карты | + | — | + | + | + | + |
Опциональная защита для отправителя платежа | + | + | — | — | — | — | |
6 | Возможность перевода в пределах одного банка | + | + | — | — | + | + |
7 | Работа с валютными операциями | — | + | + | — | — | + |
8 | Работа с иностранными банками | — | + | + | — | — | + |
Как защитить себя от мошенников
Есть несколько способов защитить себя от злоумышленников при отсутствии технологии защиты 3ds во время совершения платежей:
- подключить данную технологию, обратившись в банк. В зависимости от кредитной организации, способ и сроки подключения могут отличаться;
- использовать карты разных банков. Например, одна – зарплатная. Она используется только для получения денег с места работы. Вторая – дебетовая. Она открывается для совершения различных финансовых операций. На ней не должно быть средств или их количество незначительное;
- использовать виртуальные одноразовые карты;
- работать только с надежными контрагентами.
Никакие IT-технологии не смогут защитить, если клиент сам не позаботится о собственной безопасности, поэтому надо осуществлять платежи через проверенные сервисы.
Переводы без 3D-Secure возможны! Оплата через смартфон и переводы в одно касание в ИКС Карта
Все больше прорывных банковских продуктов завязаны на мобильных приложениях. Смартфон всегда под рукой, а значит, с его помощью и за покупки хотелось бы рассчитаться, и деньги перевести с карты на карту. Хорошо, когда все полезные опции собраны в одном приложении. МТБанк в ноябре порадовал пользователей ИКС Карты долгожданным обновлением, которое уже доступно в Google Play и AppStore.
ИКС Карта — один из немногих продуктов, на развитие которого самое большое влияние оказывает опыт пользователей. В приложении очень уместно сочетаются последние мобильные технологии и повседневный опыт каждого из нас. Все мы оплачиваем покупки и хотим при этом получать дополнительную выгоду, мы переводим деньги с карты на карту и часто забываем балансы наших счетов. ИКС Карта делает привычные расчеты банковскими картами проще и удобнее. Больше не нужно носить в кошельке несколько карт и думать, какой из них рассчитаться, чтобы получить скидку, бонус, кэшбэк или купить товар в рассрочку. Вы просто скачиваете бесплатное мобильное приложение на ваш смартфон, настраиваете правила и получаете все преимущества карт МТБанка в одном продукте.
В новой версии мобильного приложения появились 2 уникальные возможности, которые делают ИКС Карту еще полезнее:
1 Возможность: Мгновенные переводы между своими картами в один клик. Когда вы активно используете сразу несколько карт, необходимость перевести между ними деньги возникает довольно часто. Например, вы хотите отправить средства с вашей PayOkay, чтобы оплатить ремонт авто и получить высокий кэшбэк у партнера с помощью вашей Автокарты. Раньше вам нужно было пользоваться для перевода денег отдельным сервисом, а теперь прямо в приложении ИКС Карта вы сможете делать это мгновенно и нажатием одной кнопки. А при переводе между своими картами, не нужно вводить 3D-Secure. Объедините все карты МТБанка в одном приложении, и экономьте ваше время.
2 Возможность: Отправляйте деньги родным или друзьям на карты любых банков. В новой версии приложения вы также сможете совершать переводы на карты любых банков Беларуси и в страны СНГ. Простой и удобный интерфейс приложения позволит быстро совершать переводы.
ИКС Карта призвана сделать каждый платеж картой МТБанка удобнее. Вы можете оплачивать покупки в магазинах с помощью смартфона в одно касание. Теперь можете не беспокоиться о том, что забыли кошелек дома или в машине. Если у вас Android — привяжите ваши карты к ИКС Карте, настройте свои персональные правила использования карт в приложении и можете смело ходить в магазин только со смартфоном.
ИКС Карта поможет выпустить любые карты МТБанка без визита в отделение и получить скидку. Если у вас истекает срок действия карты или вы хотите оформить себе еще одну — выпустите виртуальную карту прямо в приложении. Если у вас уже есть Халва, Халва +, Автокарта, PayOkay или МТБанк-Корона, то на новые карты, оформленные через приложение, действует скидка на первый год обслуживания: вторая карта — скидка 50%, третья — скидка 80%, а четвертая и последующие карты — скидка 100%!
С каждым днем у ИКС Карты становится все больше сверхспособностей. Откройте их для себя, заказав карту по телефону 509 99 99 (для всех мобильных операторов) или на сайте x-card.by.
Нет времени объяснять, блокируй карту! Четыре способа снять ваши деньги без подтверждения по СМС
Треть россиян в возрасте до 25 лет постоянно пользуются бесконтактными платежами, а 2% граждан страны вообще отказались от наличных, свидетельствуют данные «Левада-центра». Картой удобно расплачиваться в продуктовых и в транспорте, ее можно привязать к медиасервисам и такси, запланировать платежи по коммуналке. Но есть и оборотная сторона медали. О ней 66.RU рассказал Артем Трофимов, специалист по безопасности карт в банке для предпринимателей «Точка».
Как могут украсть деньги?
В банковской сфере есть понятие «скомпрометированная карта». Это карта, полный номер которой, код CVV2 или CVC2 и другие данные стали общедоступны или попали в руки мошенников. Этих данных может быть достаточно, чтобы банк предоставил доступ к вашим деньгам. Узнать о том, что карта скомпрометирована, практически невозможно, пока ею не воспользовались без вашего ведома.
Как это может произойти? Если мошенник знает номер карты и CVV2 или CVC2, он способен совершать операции в интернет-сервисах, которые не поддерживают или намеренно не используют технологию 3D-Secure. Проще говоря, не отправляют вам одноразовый пароль, чтобы подтвердить, что покупку оплачивает именно владелец карты, а не кто-то другой.
Проверять ли личность покупателя с помощью 3D-Secure или нет, решает онлайн-продавец, а не банк, выпустивший карту. Некоторые компании осознанно проводят часть операций без этой технологии, чтобы упростить покупки для клиентов.
Интернет-магазин AliExpress сознательно отказался от 3D-Secure. Первые несколько операций там будут подтверждаться одноразовым кодом. Когда в магазине убедятся, что учетная запись не мошенническая, вам позволят совершать сделки без 3D-Secure, чтобы покупатель не делал лишних движений и не передумал после того, как ему придет СМС с паролем для подтверждения операции. Таким образом, в AliExpress самостоятельно решают, когда использовать 3D-Secure, а когда нет.
AliExpress — лишь пример того, как можно оплачивать покупки без 3D-Secure, а не место, где реально воруют. Через него практически не крадут деньги.
Агрегаторы Uber и «Яндекс.Такси» тоже не используют 3D-Secure. Мы в «Точке» не видим всплеска мошенничества в Uber, по-моему, это разовые случаи в других банках. Схема, с помощью которой мошенники выводят деньги через сервис, может быть такой. Воры привязывают украденные реквизиты — номер карты и код к ней — к профилю пассажира. Затем создают виртуальный профиль таксиста и «оплачивают» его услуги украденной картой, то есть имитируют поездки, а потом получают возмещение реальными деньгами.
Мошенники крадут деньги у клиентов банков через Uber. Под угрозой счета даже тех, кто не пользуется такси
1. Мошенники регистрируют в сервисах Booking.com или Airbnb недвижимость, причем неважно, существует ли она, и «бронируют» ее у самих себя, оплачивая покупку с помощью ворованного номера и кода карты жертвы. Сервис бронирования переводит деньги на счет мошенникам.
2. Получить чужие средства можно через сервисы доставки еды. Киберворы регистрируют предприятие или договариваются с владельцем кафе, работающего с сервисами доставки, и оплачивают заказы картой жертвы. Курьер, который ничего не подозревает, выполняет заявку, а затем блюда возвращают обратно в общепит. И так по кругу.
Мошенники хотят получить деньги с карты, а не расплачиваться за услуги с помощью украденных данных. Тем более, Booking.com и Airbnb потребуют для такой оплаты документ, удостоверяющий личность. Поэтому найти того, кто жил за чужой счет, не составит труда.
Как защитить данные?
Бережно относиться к реквизитам карт и стараться не компрометировать их. Во-первых, пользуйтесь бесконтактной оплатой через Apple Pay, Google Pay, Samsung Pay и другие сервисы. Они меняют реквизиты пластиковой карты на виртуальные — токен. Токены помогают уберечь реквизиты от третьих лиц. Даже если информацию токена узнают, она будет бесполезна, потому что в каждой транзакции используются зашифрованные динамические данные. Не за горами использование таких же токенов и при оплатах в интернете по технологии EMV® Secure Remote Commerce.
Вот несколько способов скомпрометировать данные карты:
- Держать банковскую карту на виду, например, на рабочем столе. Или хранить ее в кошельке вместе с пин-кодом.
- Хвастаться картой с необычным дизайном в соцсетях, публиковать ее фото.
- Оплатить покупку на непроверенном поддельном ресурсе. Прежде чем вводить реквизиты, проверяйте данные магазина, свяжитесь с продавцом, почитайте отзывы в интернете, позвоните по указанному телефону и проверьте через 2ГИС, «Яндекс.Карты» или другой сервис, что за организации находятся по физическому адресу магазина.
- Оплатить доставку товара по письму от «продавца». Если вы договорились о покупке и продавец прислал ссылку на сайт доставки — внимательно изучите адрес страницы, куда вы перешли, найдите номер телефона доставки через поисковую систему и сверьте с сотрудником правильность адреса. Киберворы пользуются сайтами-дублерами, очень похожими на оригинальные, где оплата доставки или покупки — это перевод с карты на карту, не более.
- Сообщить номер карты и код «службе безопасности» банка. Если вам звонят из банка, обращаются по имени, называют последние операции и уверяют, что счет под угрозой — не верьте. Положите трубку, подумайте пять минут, вспомните новости об обманутых клиентах и перезвоните по номеру клиентской службы, указанному на обратной стороне банковской карты. Цифры нужно набрать самостоятельно.
- Делиться данными карты с другими людьми.
Если вы подозреваете, что карта скомпрометирована, сразу блокируйте ее с помощью звонка или письма в банк. После этого никто не сможет потратить деньги со счета, даже зная пин-код, CVV2 и другие данные.
Что делать, если деньги украли?
Срочно сообщите об этом банку. Тогда вы с большой вероятностью сможете опротестовать мошеннические операции, особенно когда 3D-Secure не использовался. Это плюс карт по сравнению с наличными, которые воры вам вряд ли вернут.
Даже если оспорить покупку или перевод не выйдет, есть возможность заморозить ваши деньги на счетах мошенников, чтобы впоследствии вернуть их по требованию правоохранителей.
Редакция 66.RU благодарит банк для предпринимателей «Точка» за помощь в подготовке материала.
Обход 3D Secure — анализ безопасности банковской защиты
Как выполнить такую операцию, как обход 3D Secure, и что это такое? С такой системой рано или поздно сталкиваются все люди, желающие что-либо купить в интернет-магазинах. Но насколько безопасна 3D Secure?
Чем является 3D Secure
3D Secure – это специализированный протокол защиты, который применяется пользователями банковских карт, чтобы платить за услуги через интернет. Благодаря технологии банки и продавцы могут быть защищены от действий мошенников. При этом система не гарантирует, что средства владельца карты останутся в сохранности.
Зная, что такое 3D Secure, можно хотя бы примерно понимать, как она работает. К примеру, вы заказали какой-то товар. Он был добавлен в «корзину». После этого обычно появляются всплывающие окна. На них пользователя попросят указать:
- номер банковской карточки;
- дату завершения срока действия;
- ФИО владельца;
- цифры с защитного кода.
Далее покупателя отправляют на страницу той кредитной компании, которая выпускала карту. Здесь пользователь вводит дополнительный код безопасности.
3D Secure от СбербанкаГлавный плюс защитной системы состоит в том, что вся вводимая человеком информация остается только на сервере банка. В магазин, в котором пользователь покупал какую-то вещь, эти данные не попадают. Второе преимущество – это использование одноразового кода, высылаемого банком для подтверждения аутентификации. Однако именно этот плюс может превратиться в значительный минус. При помощи специализированных программ или банальных вирусов мошенники способны перехватить такие данные. Для этого достаточно однажды случайно поставить любое зараженное приложение на телефон и личный компьютер. Есть и второй недостаток – не каждый интернет-магазин желает подключать для себя 3D Secure. Это не возбраняется и не преследуется по закону, так как система не является обязательной.
Обход 3D Secure
Как можно заметить, названные выше недостатки достаточно серьезны. Они известны большинству мошенников, поэтому опытные злоумышленники периодически их используют. Притом обходят систему защиты с поразительной легкостью. Проще всего это делать с интернет-магазинами, не подключенными к 3D Secure (на самом деле их много, а в некоторых магазинах эта технология отключена до определенной суммы). Даже начинающие хакеры порой без проблем воруют деньги с банковских карт пользователей из-за этого серьезного недостатка.
Но и продавцы не дремлют, так как им не хочется терять репутацию у своих клиентов. Для этого был придуман банальный, но при этом хитрый способ. Владелец интернет-магазина звонит в кредитную компанию с просьбой заблокировать определенную сумму на счете пользователя. После этого владелец банковской карты перезванивает в организацию и отвечает на ряд вопросов, чтобы пройти аутентификацию. Далее он называет количество заблокированных денег и сообщает об этом продавцу. Схема довольно неудобная, однако все-таки позволяет обезопасить средства на счете.
Присутствует и еще один довольно любопытный, но вполне стандартный вариант обхода 3D Secure. Называется он «человек в браузере». Владельцу компьютера незаметно для него присылается специальный вирус, который долгое время себя никак не проявляет. Именно поэтому многие антивирусные программы его не замечают. Вредоносное приложение аккуратно перехватывает данные и меняет их. Расчет идет на то, что человек ничего не увидит. Поэтому всегда нужно читать, что приходит в СМС от банка во время покупки или перевода средств.
Чтобы подобных проблем не возникало, старайтесь чаще полностью проверять на наличие вирусов свои компьютеры и другие гаджеты. Также не заходите на сомнительные сайты и ничего с них не скачивайте.
Ну и один из интереснейших советов по обходу этой технологии – использование платежных посредников, например, платежной системы PayPal. В «палке» достаточно подключить свою карту по известным данным, а при дальнейших платежах запросов специальных кодов больше не будет.
Загрузка…За что не любят CVV и 3D Secure. И почему разработчик не виноват. Разбор
Случай с белорусским приложением О!плати, которое позволило нам провести платежи c неправильным CVV и без 3D Secure, породил много вопросов — как о работе конкретного сервиса, так и вообще о том, как устроена защита интернет-платежей. Комментарий относительно О!плати готовит сейчас банк-эквайер Белинвестбанк. С теоретическими вопросами dev.by обратился к основателю и директору по развитию бизнеса ООО «ИКомЧардж» Александру Михайловскому. Его компания известна в Беларуси как сервис приёма онлайн-платежей bePaid.
О неправильном CVV: а был ли код?
Александр, давайте начнём с азов: что такое CVV и зачем нужна его валидация?
CVV (card verification value) — название кода у Visa, СVC (card verification code) — название аналогичного кода у Mastercard, это дополнительная мера безопасности при приеме CNP-транзакций (card not present). Платёж в интернете — это пример CNP-транзакции.
Как и в случае с PIN-кодом, предполагается, что CVV/CVC известен только держателю карты.
Это своего рода пароль, подтверждающий эмитенту, что запрос на списание денег с карты его клиента действительно пришёл от клиента. Со временем, когда стало очевидно, что этот код уже не является достаточно надёжной гарантией аутентичности держателя карты, была придумана технология 3D Secure.
Валидация CVV/CVC обязательна?
Нет. Наличие этого кода не является обязательным условием для проведения CNP-транзакции.
Как вообще происходит валидация CVV/CVC? От чего она зависит — от разработчика, от банка-эквайера, от платежной системы?
От разработчика необходимость валидировать CVV/CVC вообще никак не зависит: разработчик делает то, что ему говорит заказчик. Валидация CVV/CVC зависит от конкретной ситуации, в которой формируется транзакционный запрос от эквайера к эмитенту.
Международные платёжные системы (МПС), заинтересованные в снижении мошеннических транзакций, настоятельно рекомендуют мерчантам запрашивать CVV/CVC у своих клиентов. И как правило, эквайеры требуют от мерчантов эти рекомендации выполнять.
Вместе с тем бывают ситуации, когда CVV/CVC не запрашивается и не передается — например, при рекуррентных (повторяющихся) платежах. И вообще говоря, если эквайер решит не передавать CVV/CVC в запросе эмитенту, ничто не помешает ему это сделать. Если же CVV/CVC был запрошен и передан, эмитент в своём ответе сообщает эквайеру, совпал ли переданный CVV/CVC с оригинальным кодом или нет. И это исключительное право эмитента решать, одобрять ли платёж, если CVV/CVC не совпадает.
Почему некоторые сервисы не проверяют CVV? Может, это дорого или сложно в разработке?
Передача CVV/CVC — это стандартная процедура. Добавление ещё одного поля в запросе и обработка ответа для этого поля — это недорого и несложно. Правильнее говорить не о сервисах, а о ситуациях или типах транзакций, когда CVV/CVC не требуется или можно обойтись без него. По стандартам безопасности, принятым в платежной индустрии, введённый держателем карты CVV/CVC нельзя хранить ни на стороне процессора платежей, ни на стороне эквайера. Отсюда возникают ситуации, когда CVV/CVC можно не передавать (рекуррентные платежи) или когда он не нужен.
Если эмитент имеет возможность другими способами убедиться в том, что транзакция инициирована держателем карты, то ни CVV/CVC, ни 3D Secure ему не нужны.
А как ещё эмитент может убедиться, если не с помощью CVV/CVC и 3D Secure?
Бывают ситуации, когда эквайер и эмитент — это один и тот же банк, который к тому же проводит идентификацию клиента. Например, в О!плати при регистрации кошелька пользователь проходит идентификацию, следовательно, Белинвестбанк знает, что Иван Иванов, зарегистрировавшийся в приложении — это действительно Иван Иванов. Далее, если Иван Иванов пытается пополнить свой счет в О!плати картой Белинвестбанка, последний и без CVV/CVC и 3D Secure может проверить, действительно ли именно эта карта была выдана им Ивану Иванову.
Да, в такой ситуации отсутствие проверки понятно. Но в случае с О!плати платежи проходили без проверки CVV c карт других банков. Как такое может быть? Белорусские банки-эмитенты не запрашивают CVV/CVC?
Сложно сказать, этот вопрос надо адресовать банкам-эмитентам. Я могу сказать только одно: CVV/CVC известен лишь эмитенту, ни эквайер, ни разработчик ничего о нём не знает. Задача разработчика — принять код от клиента и отправить его на шлюз эквайера. Задача эквайера — сформировать запрос по протоколам Visa и Mastercard и передать в сети МПС. А уже эмитент, знающий, какой CVV/CVC на самом деле, даёт ответ: совпали цифры или нет. Почему проходят платежи с неправильными CVV/CVC? У меня две версии. Либо эмитент разрешил транзакции с неправильными CVV/CVC, и тогда это на совести эмитента. Либо эквайер CVV/CVC не отправляет.
(Вторая догадка Александра оказалась правильной. Наш сотрудник обратился в банк-эмитент карты, участвовавшей в тестировании, с вопросом о некорректном CVV. Пришёл такой ответ: «Банк, обслуживающий данную платформу, не передал нам поле, содержащее значение CVV-кода, введёного вами, соответственно проверки CVV-кода на нашей стороне не было. Согласно правилам международной платёжной системы, авторизовать операцию, мы как эмитент можем и без CVV-кода. По этой причине операция прошла успешно»).
А какая выгода эквайеру не передавать CVV?
Это может быть забота об удобстве плательщиков. Приём платежей в электронной коммерции — это вечный поиск баланса между защитой информации и удобством для клиентов. Например, во многих приложениях карточку можно ввести путём фотографирования — данные распознаются автоматом, но CVV/CVC в этих случаях не считается, так как он указан на обратной стороне карты. Такая практика не так уж и редка. Например, магазин Amazon тоже не запрашивает CVV/CVC — у них просто нет такого поля.
Но тут-то поле есть. И я всё равно ввожу код!
Можно предположить, что в целях упрощения платежей эквайер отказался от CVV/CVC, но разработчики не успели убрать это поле: оно есть, но данные никуда не передаются. Но это всего лишь моё предположение. Точный ответ знает только Белинвестбанк.
А почему эмитенты не отклоняют транзакции без CVV?
Трудно сказать. Для эмитентов тоже важно найти баланс между защитой своих клиентов от мошенничества и удобством карточных платежей для них же. CVV/CVC — это один из способов верификации держателя карты. Но если этот код не передан, верифицировать нечего. Однако отсутствие кода не обязательно означает, что транзакция — мошенническая.
Вот если бы код был передан и не совпал, это был бы сильный аргумент в пользу отклонения платежа. А если кода просто нет…
Принимая решение о том, одобрить или нет платёжную транзакцию, эмитент смотрит не только на наличие-отсутствие CVV/CVC, но и на другие параметры транзакции.
Может, это всё-таки стоит дополнительных денег?
Нет. По крайней мере, здесь нет расходов, которые бы делали экономически целесообразным отказ от CVV/CVC. Это стандартные протоколы, формированием запросов и обработкой ответов занимается специализированное ПО, которое само по себе дорогое, но CVV/CVC входит в его базовый функционал. Для разработчиков добавление поля тоже не представляет никакой сложности.
Давайте резюмируем эту часть: отсутствие валидации CVV/CVC — это нормально?
Это отличается от общепринятых подходов проверки пользователя, которые практикуют другие системы электронных кошельков. Обычно сперва к кошельку привязывается карта с валидацией CVV/CVC и проверкой по 3D Secure, а потом все последующие платежи идут как рекурренты, без каких-либо дополнительных проверок.
Как отсутствие валидации CVV влияет на безопасность платежей? А на риск мошеннических действий с картами?
Конечно же, отсутствие CVV/CVC при CNP-транзакции обычно увеличивает риск того, что кто-то заплатит не своей картой. Номер карты и срок её действия легко подсмотреть, запомнить, украсть. Увидеть CVV/CVC, которые расположены на обратной стороне карты — сложнее. Именно поэтому эмитенты, как правило, отклоняют транзакции, в которых CVV/CVC не совпадает с оригинальным.
Исключение в плане рисков — если банк является и эмитентом, и эквайером для собственных карт, плюс к этому он заранее идентифицировал пользователя как своего клиента — в этом случае проверка CVV/CVC уже не играет роли.
О валидации имени кардхолдера: не нужна?
Отсутствие валидации имени держателя карты — это нормально?
Да, это нормально.
Имя вообще никто и никогда не проверяет?
Я могу ошибаться, но, по-моему, имя держателя обычно не проверяется. Опять же, если кто-то и может его верифицировать, то только эмитент.
А зачем тогда это поле?
С точки зрения процессинговой компании, я бы сказал, что это поле является своего рода источником статистических данных. Если наша система фрод-мониторинга засекает две транзакции с одним номером карты, но разным именем держателя карты, для нас это сигнал о том, что одна из этих транзакций, возможно, мошенническая. Или обе. Обычно настоящие держатели карт пишут свои настоящие имена. Если эмитент решит проверять присылаемые имена и по результатам проверки будет принимать решение одобрять или отклонять транзакцию, это его право.
Опять же, как и в случае с CVV/CVC, если эмитент имеет какой-то иной способ убедиться, что транзакция действительно была инициирована его клиентом, то ему всё равно, что написано в поле «имя держателя карты».
О 3D Secure: почему им пренебрегают
О чём свидетельствует отсутствие СМС с динамическим паролем? О том, что карта или сервис не подключены к 3D Secure?
СМС с OTP (one time password), по идее, должен приходить клиенту от эмитента всякий раз, когда тот проходит проверку по 3D Secure. Отсутствие такой СМС не обязательно означает неучастие карты в программе 3D Secure. У эмитента может банально сбоить сервис проверки. Или может глючить оператор мобильной связи.
Проверка карты на участие в 3D Secure происходит в момент совершения платежа путём обращения к специальному серверу платежной системы, под брендом которой выпущена карта. МПС отвечает, участвует карта в программе 3D Secure или нет. Если участвует, в ответе указывается URL ACS (access control server) сервера эмитента, куда плательщик перенаправляется для ввода OTP. Если карта не участвует в программе 3D Secure или ACS-сервер недоступен, запрос на авторизацию передаётся эмитенту.
Если ACS-сервер доступен, но СМС не приходит из-за проблем с сотовой связи, то через 15 минут сессия закрывается и транзакция автоматически считается неуспешной.
А если карта участвует в 3D Secure, но СМС не приходит и платёж при этом успешен, значит, платёжный сервис не участвует в программе?
Да, бывает и такое. Это значит, что эквайер сервиса позволил мерчанту принимать платежи без проверки транзакций по 3D Secure. Почему он разрешил? Потому что мерчант каким-то образом гарантировал ему возмещение убытков по фрод-транзакциям. Вторая возможная причина — ACS-сервер в момент прохождения платежа был недоступен. В этом случае платёж тоже пропустят.
Почему некоторые сервисы не подключены к 3D Secure? Это сложно, дорого? Как и между кем происходят расчёты за эту услугу?
Трудно сказать почему, в каждом конкретном случае есть своя причина. Использование 3D Secure уже стало стандартом в платёжной индустрии. Международные платёжные системы создали такие условия, когда эмитенты стремятся включить все свои карты в программу 3D Secure. Дело в том, что если карта не участвует в этой программе, то ответственность за мошеннический платеж по такой карте, согласно правилам МПС, возлагается на эмитента. А кому хочется терять деньги?
Однако, если эквайер соглашается отправить эмитенту запрос на авторизацию по карте, участвующей в 3D Secure, без проверки транзакции по этому протоколу, ответственность за мошенническую транзакцию по такой карте переносится на эквайера. Если эквайер по каким-либо причинам готов принять на себя такую ответственность, он будет принимать и проводить платежи без 3D Secure.
Эквайер как-нибудь экономит, согласившись на отказ от 3D Secure? Кто платит за СМС с подтверждающим кодом?
За СМС платит эмитент, но мне кажется, что расходы там не такие уж большие. Эквайер за счёт отказа от 3D Secure никак не экономит — более того, он рискует.
Это просто, ничего не стоит, убирает риски — в чём тогда смысл отказа от защиты?
В том, чтобы клиентам мерчанта было удобнее и приятнее делать платежи, чтобы они не зависели от СМС. Как правило, отказ разрешается крупным мерчантам — мелким мерчантам такое не позволяется.
Для эквайера смысл в том, чтобы угодить крупному клиенту. Допустим, есть сервис, который обслуживает крупных мерчантов. Если крупный мерчант убеждается, что без 3D Secure объём платежей увеличивается на 5-10%, то он, конечно, захочет отказаться от защиты. Он подписывает допсоглашение с эквайером о том, что гарантирует покрытие всех убытков банка, связанных с мошенничеством. Если банк-эквайер ему откажет, есть вероятность, что мерчант пойдёт к другим банкам-эквайерам и весь оборот перейдёт к конкуренту.
Так как Белинвестбанк в описанном случае является и мерчантом, и эквайером (и эмитентом для некоторых транзакций), то понятно желание банка сделать пользование кошельком простым и приятным.
Но отсутствие проверки CVV и 3D Secure это, конечно, недосмотр. Он увеличивает риск того, что какой-нибудь жулик воспользуется приложением, соберёт ворованные карты и начнёт ездить в маршрутках налево и направо.
Это обычная история, мошенники в Беларуси склонны к странным поступкам: они воруют карты, платят ими в кафе и ресторанах, потом попадаются и идут в тюрьму.
В комментарии под материалом dev.by вы выразили мнение, что отсутствие проверки — зона ответственности банков, а не разработчика. Ответственности разработчика вообще нет?
Мы — сами разработчики и имеем опыт интеграций с сотней разных банков-эквайеров по всему миру. Разработчик делает то, что сказано в API, который он получает от эквайера. Сказано в API передавать значение CVV/CVC — разработчик будет запрашивать его у плательщика и передавать эквайеру. Но валидировать это значение может только эмитент, и никто другой. Соответственно разработчик за валидацию CVV/CVC отвечать никак не может. Решение о том, одобрять ли транзакцию с некорректным CVV/CVC, принимает эмитент. А решение о том, проводить ли такую транзакцию, принимает эквайер на основе ответа по валидации от эмитента. Так же, как и решение о том, передавать ли вообще CVV/CVC эмитенту. Как видите, разработчик здесь ни на что не влияет.
Зачем нужен 3D-Secure и как подключить?
Для чего нужна технология 3D-Secure, нужно ли подключать и как защитить себя от мошенников?
Что такое 3D-Secure?
Современное технологическое решение, позволяющее максимально обезопасить платежные операции через онлайн-ресурсы, называется 3D-Secure. Данная услуга разработана для международных платежных систем и является сертифицированным продуктом, помогающим владельцу банковской карты исключить риски мошенничества в сети Интернет. Программа безопасности осуществляется благодаря дополнительной идентификации для подтверждения платежа при помощи OTP-пароля (One Time Password).
Технология 3D-Secure – XML-протокол, применяемый в качестве дополнительного уровня защиты. Эффективность данного метода двухфакторной аутентификации помогает участникам банковской операции (эквайеру и эмитенту) убедиться, что оплата проводится именно владельцем карты. Суть технологии заключается в появлении третьего независимого домена для обеспечения работы системы безопасности и подтверждения транзакции.
Что такое 3D-Secure на банковской карте
Многие банки Российской Федерации используют данный тип защиты при расчетах в сети Интернет и подключают услугу автоматически. В некоторых случаях защиту нужно подключать самостоятельно, отправив запрос в банк и активировать автоматическое «SMS-информирование» на выбранный и подтвержденный вами номер.
Рассмотрим детальнее, что такое 3D-Secure на банковской карте и как она работает. Программа была разработана для защиты онлайн-платежей от несанкционированного снятия денежных средств с дебетовой или кредитной карты через Интернет. Банковская карта связана с номером мобильного телефона, на который в случае совершения покупок в Интернете, высылается код подтверждения. Без этого одноразового пароля карта защищена от снятия денег в онлайн-магазине.
Технология 3D-Secure Visa и MasterCard
Благодаря 3D-Secure каждая покупка в онлайн-магазинах в обязательном порядке должна быть подтверждена одноразовым кодом, который высылается на мобильный телефон. Такая система безопасности эффективна для расчетов только на сайтах, поддерживающих данную систему, о чем свидетельствуют соответствующие логотипы. На непроверенных ресурсах, которые не поддерживают сервис, данная программа не работает. Прежде чем совершать покупку, обратите внимание на наличие соответствующих логотипов, которые свидетельствуют о том, что сайт поддерживает безопасный протокол денежных платежей:
- у платежных систем Visa 3D-Secure называется Verified by Visa;
- в системе MasterCard 3D-Secure названа MasterCard SecureCode.
Данная технология проста, понятна и предельно эффективна. Применение трех-доменной защиты для каждой транзакции предполагает наличие дополнительной аутентификации владельца карты. Отсюда и появилось в названии 3D, обозначающие три домена защиты, которые участвуют в осуществлении платежа:
- эмитент – банк, который выдал карту клиенту и отвечает за снятие денежных средств и переведение их эквайеру;
- эквайер – банк, который обслуживает интернет-магазин и принимает платеж от эмитента;
- Interoperability Domain – домен, поддерживающий протокол защиты
При подключенной защите карточки, каждая онлайн-покупка на сайтах, поддерживающих безопасный протокол перевода денег, происходит в несколько этапов, не требует особых знаний и не занимает лишнего времени:
- выбор товара;
- заполнение формы для онлайн-оплаты;
- автоматический переход на защищенную страницу с одновременной отправкой банком SMS с одноразовым паролем;
- после введения полученного пароля в форму на безопасной странице, выполняется автоматический возврат на сайт интернет-магазина;
- окончательное подтверждение покупки на сайте продавца.
Как подключить 3D-Secure?
Вся суть трех-доменной защиты основана на получении уникального пароля на мобильный номер телефона и дальнейшем введении его для подтверждения оплаты. Поэтому для активации двойной аутентификации при онлайн-платежах необходимо подключить в своем банке услугу «SMS-информирование». Как правило, в банках подключение 3D-Secure возможно двумя способами:
- можно посетить офис лично и, написав заявление, активировать услугу;
- или подключить защиту самостоятельно, воспользовавшись специализированными банковскими сервисами для самообслуживания.
Активация защиты банковской карточки занимает минимум времени, а ее эффективность доказана и признана ведущими мировыми платежными системами. Всего несколько простых действий и ваши средства на карте надежно защищены самой современной и высокотехнологичной системой безопасности. Также обратите внимание, что номер мобильного телефона, который указан для отправки одноразового пароля, при необходимости можно сменить. Дополнительно стоит отметить, что рассылка сообщений уникальными паролями в роуминге не работает, поэтому во время путешествий за границей этот фактор нужно учесть.
Далее детально рассмотрим особенности, наиболее удобные варианты и этапы, как подключить 3D-Secure для своей банковской карты на примере Сбербанка и ВТБ 24.
Как подключить 3D-Secure в Сбербанке
Не во всех банках предоставляется данная услуга по защите банковской карточки, но в Сбербанке она абсолютно бесплатная и активируется автоматически без каких-либо требований со стороны клиента. Если у вас совсем новая карта, и еще не активирована защита 3D-Secure, Сбербанк как подключить эту услугу, подскажет в любом своем отделении и выполнит активацию сразу же после обращения. Для того, чтобы проверить, работает ли сервис, достаточно совершить любую мелкую покупку в Интернете или пополнить счет на мобильном телефоне.
Некоторые владельцы дебетовых или кредитных карт задают вопрос, можно ли отключить 3D-Secure? Сбербанк настоятельно рекомендует пользоваться трех-доменной защитой для денежных транзакций при онлайн-покупках и оплате услуг при помощи сети Интернет. Сервис 3D-Secure Сбербанк считает и называет дополнительной защитой от мошенников, поэтому отказываться от его использования нецелесообразно. Кроме того, при использовании шестизначного одноразового пароля, полную ответственность за неправомерное снятие денежных средств в интернет-магазине автоматически переносится на банк.
Службой безопасности рекомендуется к применению технология 3D-Secure, Сбербанк также напоминает, что нельзя пользоваться услугами сайтов, которые не поддерживают безопасный протокол оплаты при помощи дополнительной аутентификации. Доверять таким ресурсам нельзя и лучше воздержаться от покупок при отсутствии безопасной системы платежей.
Как подключить 3D-Secure в ВТБ 24
В ВТБ 24 3D-Secure подключается автоматически и является абсолютно бесплатной услугой, предоставляемой всем клиентам банка, имеющим карты выпущенные с 12 декабря 2016 года и новее. Всем остальным владельцам банковских карточек защитную функцию необходимо подключать самостоятельно. Есть два способа, как подключить 3D-Secure, ВТБ 24 на своем сайте детально разъясняет поэтапно процедуру активации услуги.
В первом варианте предлагается посетить любое отделение банка и, написав заявление, предоставить номер карты и номер мобильного телефона, которые будут совместно использоваться для аутентификации во время онлайн-платежей.
Второй вариант подключения предусматривает использование сервиса банкомата для самообслуживания. Для этого нужно войти в меню банкомата:
- выбрать в пункте настроек «3D-Secure»;
- отыскать пункт меню «Подключение телефона»;
- далее, воспользовавшись интуитивно-понятным интерфейсом, ввести номер телефона и подтвердить действие.
В ответ на вашу заявку о подключении защитной услуги, банк отправит подтверждающее SMS, в котором будет указано, что услуга для карточки активирована и связана с вашим номером мобильного телефона.
Если возникла необходимость сменить номер телефона, привязанный к карточке, можно его сменить при помощи меню банкомата. После отправки заявки о смене номера телефона для 3D-Secure, ВТБ отправит вам SMS с уведомлением об изменениях. Это является дополнительной мерой безопасности, и в случае, если вы не вносили изменения, рекомендуется незамедлительно посетить отделение банка и выяснить вопрос.
Рекомендации
Защитная технология 3D-Secure является наиболее оптимальным способом защиты при оплате товаров или услуг в режиме онлайн через Интернет-ресурсы. Данная услуга абсолютно бесплатна, активно используется крупнейшими платежными системами в мире и не имеет недостатков. Банки, использующие данный тип защиты для карточек, рекомендуют не отключать услугу, так как при ее использовании можно получить:
- дополнительную защиту в виде одноразового пароля, который доступен только вам;
- отсутствие сложностей для аутентификации, так как все дополнительные диалоговые окна для подтверждения платежей открываются автоматически, а пароль отправляется моментально;
- подключение защитной функции для карточки выполняется банком либо автоматически, либо сразу же по запросу;
- смена номера мобильного телефона выполняется без проблем;
- дополнительная плата или комиссия за пользование защитой не взимается.
Если у вас уже подключена функция 3D-Secure на карточке, будьте уверены, что ваши покупки в Интернете надежно защищены современной системой, и отключать ее не рекомендуется. В случае же отсутствия данной защиты, стоит задуматься о ее активации, так как повышение уровня безопасности без лишних затрат и сложностей, является не просто удобной функцией, но средством эффективной защиты денежных средств и платежных операций.
Технология 3D Secure. Безопасные покупки в интернете по картам Visa.
Уважаемые держатели карт Visa Банка ЦентрКредит!Рады сообщить о внедрении Verified by Visa — стандарта безопасности платежной системы Visa International, поддерживающий технологию 3D Secure, которая повышает уровень безопасности при проведении оплаты по карте в сети интернет.
Что такое 3D Secure?
Технология 3D Secure (от англ. Three-Domain Secure) — это самая современная технология обеспечения безопасности платежей по картам в сети интернет. Позволяет идентифицировать владельца карточки при проведении интернет-платежей с помощью специального одноразового пароля 3D Secure, который направляется в виде SMS-сообщения на номер мобильного телефона.
Как работает 3D Secure?
Шаг 1. Покупка
Совершите покупку в интернет-магазине, который поддерживает технологию 3D Secure (на сайте есть отметка Verified by Visa)
Шаг 2. Получение SMS с паролем
После ввода всех необходимых реквизитов для осуществления платежа в интернет-магазине, вы будете перенаправлены на специальную страницу для ввода одноразового пароля, отправленного на ваш телефон SMS-сообщением
Шаг 3. Ввод пароля
Введите полученный пароль в специальное поле (всего у вас есть 3 попытки ввода) и подтвердите осуществление платежа. Оплата покупки будет произведена только в случае получения интернет-магазином подтверждения от банка о том, что идентификация проведена успешно.
Как подключить карту к сервису 3D Secure?
1. SMS будет направляться на номер, указанный вами банку при открытии платежной карты.
2. В случае, если у вас подключена услуга SMS-уведомление (вам приходят SMS о совершенных операциях по карте), то подтверждение номера не требуется.
3. Подключение к услуге возможно через круглосуточный Центр Авторизации Банка по номеру 505 или + 7 (727) 244 77 77.
Какова комиссия по подключению данной услуги?
Регистрация и получение пароля 3D Secure осуществляется без комиссии и без посещения Банка.
Могу ли я совершать покупки в интернет-магазинах, не поддерживающих 3D Secure?
Если интернет-магазин не поддерживает технологию 3-D Secure (на сайте интернет- магазина не размещены логотипы Verified by Visa), провести платеж можно, указав реквизиты карты, которые запрашивает интернет-магазин. При этом платеж не будет защищен технологией 3D Secure.
Что делать, если я не получаю SMS- сообщение с одноразовым паролем?
Необходимо обратиться в круглосуточный Центр Авторизации банка по бесплатному номеру 505 или + 7 (727) 244 77 77, чтобы проверить актуальность вашего мобильного номера, зарегистрированного в системе банка.
Сделки с низким уровнем риска без 3-D Secure. Новая функция.
Теперь ваши интернет-магазины могут не только отклонять платеж или отправлять транзакции с высоким риском для дополнительной проверки, но также фильтровать транзакции с низким уровнем риска, например, по сумме, по IP-адресу (указанному продавцом) и проводить эти транзакции без дополнительной проверки 3-D Secure.
Без сомнения, эта возможность в конечном итоге увеличивает конверсию интернет-торговцев.
Как создать правило для пропуска проверки 3-D Secure?
Правило создано в системе beProtected. Интернет-магазин устанавливает параметры для системы для фильтрации транзакций, которые не должны проходить проверку 3-D Secure. В конце создания правила интернет-продавец выбирает «Пропустить 3-D Secure». Таким образом, если транзакция соответствует указанным выше настройкам, она отправляется на авторизацию, минуя проверку 3-D Secure.
О программе beProtected (средство защиты от мошенничества beGateway)
Система beProtected основана на правилах безопасности и анализирует более 30 параметров для каждой транзакции в процессе оплаты: страна покупателя, IP-адрес, страна IP-адреса, адрес электронной почты и номер телефона покупателя, имя покупателя и даже цифровой идентификатор устройства, чтобы идентифицировать устройство, которое использовалось для совершения платежа.Эта информация хранится в beProtected и анализируется, чтобы найти совпадающие результаты для разных клиентов и разных транзакций.
Обработчик электронных платежей и интернет-магазин могут определить, какая транзакция должна быть либо отклонена и не обработана, либо принята и обработана, но с предупреждением о том, что транзакция должна быть тщательно проверена.
Спросите нас, сколько будет стоить для вас аренда программного обеспечения для обработки карт White Label:
электронная почта: sales @ ecomcharge.com
Телефон: +371 6739 8658 +371 2514 1207
С уважением,
eComCharge Team
Мы разрабатываем Платежную платформу White Label и услуги по техническому обслуживанию для поставщиков платежных услуг и банков-эквайеров более 10 лет.
.3D Secure | Обзор — Документация разработчика Braintree
noteМы обновили нашу интеграцию 3D Secure в рамках подготовки к требованиям соответствия 3DS 2 и PSD2 Strong Consumer Authentication (SCA) в 2019 году.
Это руководство показывает нашу интеграцию с 3DS 2.
3D Secure выгоден держателям карт и продавцам, обеспечивая дополнительный уровень аутентификации. В процессе оформления заказа, если владелец карты зарегистрирован в 3D Secure, банк-эмитент решит, можно ли проверить личность держателя карты с использованием предоставленных данных о держателе карты и его устройстве, или требуется дополнительный процесс аутентификации.Если необходима дополнительная аутентификация, Braintree SDK начнет процесс, предоставляемый банком-эмитентом, для проверки личности держателя карты с помощью одноразового пароля по SMS, мобильного приложения банка-эмитента, биометрических методов или других средств. Узнайте больше об обработке 3D Secure в нашей статье поддержки.
Как это устроено
Помимо помощи в борьбе с мошенничеством с использованием карт, 3D Secure может переложить ответственность за возвратные платежи, связанные с мошенничеством, с продавца на эмитента карты.Например, если эмитент не участвует в 3D Secure, но бренд карты поддерживает эту дополнительную защиту (например, Visa или Mastercard), ответственность за возвратные платежи, связанные с мошенничеством, перейдет к эмитенту.
3D Secure не несет ответственности за все мошеннические возвратные платежи. Вы можете определить, произошла ли смена ответственности, по коду состояния 3D Secure, возвращенному для аутентификации.
3D Secure 1 против 3D Secure 2
Поддержка3D Secure 2 доступна в последних основных версиях наших клиентских SDK: JavaScript v3, iOS v4 и Android v3.
3DS 2 улучшает 3DS 1 в нескольких отношениях:
- Протокол 3DS 2 позволяет собирать гораздо больше элементов данных, что позволяет банкам-эмитентам принимать гораздо более эффективные решения по оценке рисков. В результате банки-эмитенты смогут разрешить выполнение большего количества транзакций, не требуя дополнительной аутентификации от держателя карты.
- протокол 3DS 2 включает поддержку мобильных приложений и устройств, что позволяет использовать собственную мобильную аутентификацию без перенаправлений или веб-просмотров.
- протокол 3DS 2 включает в себя значительно улучшенную поддержку аутентификации без трения, предоставляя преимущества переноса ответственности без необходимости дополнительных действий со стороны держателя карты. Обратите внимание, что доступность может быть ограничена на регулируемых рынках, требующих строгой аутентификации клиентов.
Вы можете найти намного больше деталей и контекста в нашем блоге о 3DS 2.
Надежная проверка подлинности клиентов (SCA)
3DS 2 удовлетворяет требованиям строгой аутентификации клиентов (SCA), которые вступают в силу для европейских продавцов, осуществляющих сделки с европейскими покупателями.
Платежный поток
На стороне клиента:
- Создание токена клиента
- Визуализировать страницу оформления заказа для сбора информации о платеже клиентов
- Проверить сумму кредитной карты
- Затем клиенту может быть предложено пройти аутентификацию, если этого требует банк-эмитент или иным образом это требуется в соответствии с местным законодательством.
На стороне сервера:
- Если аутентификация завершилась успешно или не потребовалась, используйте возвращенный
nonce
для создания транзакции.
Следующая страница: Конфигурация →
.