3d secure — технология защиты карты

Введение

Обеспечение безопасности при проведении платежей было и остается одной из главнейших задач любой платежной системы. Инженеры и криптографы работают над созданием новых алгоритмов и систем защиты, а злоумышленники пытаются найти в этой защите уязвимые места. Значительный рост безопасности платежных карт пришелся на период с 2000 по 2010 годы, когда внедрение стандарта EMV для физических карт и 3-D Secure для платежей в интернете сильно ограничили возможности мошенников в подделке карт и эксплуатации украденных реквизитов.

В итоге технически платежные карты оказались защищены настолько хорошо, что самым слабым звеном при совершении платежей оказался человек, и внимание злоумышленников во всем мире начиная с 2010-х годов все сильнее акцентируется именно на нем. В то же время реальный опыт показал, что внедрение дополнительных ступеней защиты не только снижает удобство для конечного пользователя, но и уменьшает долю успешно завершающихся платежей, так называемую конверсию.Потеря конверсии обозначает, что магазин недополучит прибыль, а держатель карты не совершит желанную покупку

Таким образом, проигравшими оказываются все

В то же время реальный опыт показал, что внедрение дополнительных ступеней защиты не только снижает удобство для конечного пользователя, но и уменьшает долю успешно завершающихся платежей, так называемую конверсию.Потеря конверсии обозначает, что магазин недополучит прибыль, а держатель карты не совершит желанную покупку. Таким образом, проигравшими оказываются все.

Меня зовут Алексей Касякин, я технический владелец платформы 3-D Secure в НСПК. Вместе с Сергеем Лысенко (в НСПК руководит развитием EMV 3DS 2.0) и Алексеем Крутиковым (лидер команды разработки платформы) мы хотим рассказать про технологию 3-D Secure, ее историю, основные проблемы и перспективы развития. А также о том, почему не надо бояться, если перестал приходить одноразовый пароль.

Краткая история 3-D Secure 1.0

В конце 1990-х годов наблюдалось стремительное проникновение интернета в повседневную жизнь человека. Появившийся канал продаж через интернет открыл новую страницу в истории торговли и вызвал взрывной рост дистанционных платежей по банковским картам. Одновременно стремительно растет доля мошенничества с картами в интернете, т.к. для совершения платежа достаточно было иметь только номер карты и срок действия.

Платежные системы реагируют на новую угрозу вводом нового защитного параметра, который печатается на обратной стороне карты. Он призван гарантировать, что платеж совершает именно владелец карты. Однако из-за малой длины кода (3 символа) существует возможность подсмотреть его при оплате товаров на кассе или заполучить его путем кражи физической карты.

Тогда острая необходимость защитить дистанционные платежи и привела к появлению первого стандарта безопасности 3-D Secure. Он позволяет банку в момент оплаты запросить у держателя карты дополнительное подтверждение, без которого оплата не проводится. С тех пор уже более 20 лет технология 3-D Secure обеспечивает безопасность платежей, совершаемых в интернете.

Как это работает?

Подробнее разобраться, что такое 3D-Secure, нам поможет представление алгоритма совершения обычного платежа с данной защитой:

Как только вы выберите оплату товара или услуг в интернете банковской картой, перед вами появится форма, в которую надо вписать данные: фамилию и имя держателя, номер «пластика», срок действия, защитный трехзначный код с оборота. Однако эту информацию легко может ввести и недобросовестное третье лицо.
Если карта без 3D-Secure, то вы не сможете совершить такую удаленную покупку, потому что почти все интернет-сервисы и магазины перешли на защиту платежей именно с помощью этой технологии. На втором этапе перед фактическим расчетом вам нужно будет ввести секретный код.
Шифр может быть как постоянным, так и одноразовым. В нашей стране более распространен последний вариант. Где-то в ходу постоянные коды, что менее надежно: последовательность символов можно забыть, потерять эту информацию. Больше шансов, что она станет доступна посторонним лицам

В США и Европе используются токены — устройства, генерирующие единственный правильный ответ для транзакции.
Обратите внимание, что, где бы вы ни совершали покупки онлайн, страница ввода кода будет одна и та же — характерная для банка-эмитента вашей карточки. На ней будет представлена информация о платеже, окошко для ввода секретного шифра и, собственно, кнопка «Отправить код».
Уже после того как вы отправили информацию из п

1, на ваш мобильный номер, привязанный к «пластику», должен прийти необходимый для ввода шифр. Как предупреждает вас банк, его ни в коем случае нельзя показывать, сообщать третьим лицам! Только собственноручно ввести в окошко формы покупки онлайн.
Если код, пришедший на смартфон, совпадет с введенным вами, то система «даст добро» на обработку платежа и снятие с банковского счета указанной суммы.

Как подключить 3d secure к банковской карте. Какие банки работают с ней?

Сегодня, такой вопрос, как подключить 3d secure Сбербанк через интернет, вводит клиентов банков в заблуждение. Дело в том, что  указанные выше банки, подключают сервис автоматически, а вот в некоторых финансовых учреждениях, такая функция не предоставляется, и подключать ее требуется самостоятельно. Нередко, услуга стоит денег.

Если карта была получена недавно, но услуга на ней не работает, то придется посетить отделение банка и подать соответствующее заявление. Сотрудники активируют сервис вручную или заменят пластик. Для проверки работы защитной функции платежной системы стоит произвести любую покупку в интернете. Если разовый код успешно пришел, то никаких действий с активацией функции выполнять не требуется. Аналогичном, можно выполнить проверку и на интернет-ресурсе кредитора, предварительно выполнив авторизацию в личном кабинете.

Как получить 3D пароль Россельхозбанка

Держатель банковского пластика Россельхозбанка может получить код (3D- пароль) для подтверждения карточная транзакции несколькими способами.

По SMS

Для получения одноразового пароля в рамках услуги 3D-СМС необходимо:

• С номера телефона, для которого подключена услуга 3D-СМС отправить на номер +7 903 767 20 90 запрос вида 3DPASSХХХХ, где ХХХХ – четыре последние цифры номера карты, с которой выполняется транзакция.
• Получить ответное сообщение в котором указывается одноразовый 3D-пароль, дата и время отправки сообщения (генерации пароля), срок действия, четыре последние цифры номера карты для которой он действителен.

Использовать полученный пароль для подтверждения транзакций по другим картам не допускается.

В банкомате

Использование банкоматов или информационно-платежных терминалов многоразовые 3D-пароли с выбранным пользователям сроком действия.

Для выполнения операции необходимо:

• Вставить пластик в картоприемник и ввести ПИН-код для авторизации.
• В главном меню банкомата перейти в раздел «Услуги банка» (в терминале – «Другие»).
• Выбрать пункт «3D-пароль».
• Из доступных действий выбрать «3D-пароль».
• Указать необходимый срок действия (выбрать вариант 1 день, 3 дня, 5 дней).
• Подтвердить операцию вводом ПИН-кода.
• Получить чек с паролем.

На чеке указывается маскированный (видны 6 первых и 4 последних цифры) номер карты для которой действителен выданный код (невозможно использовать для подтверждения транзакции по другим картам), 3D-пароль (пароль для операций) и его срок действия.

В приложении «Мобильный банк»

В системе дистанционного банковского обслуживания сервисы «Интернет банк» и «Мобильный банк» позволяют сделать пароль для многократного использования при подтверждении карточных транзакций.

Для этого необходимо:

• В разделе «Карты» выбрать необходимый карточный продукт.
• Нажать на кнопку «Все действия».
• Выбрать в появившемся меню ссылку «Получить 3D-пароль».
• Подтвердить операцию выбранным в системе способом.

В результате в окне приложения будет выведено информационное сообщение с 3D-паролем для расчетов в интернет, сроком его действия и маркированным (видны первые шесть и последние четыре цифры) номером карты, для которой он действителен (для других карт использовать невозможно).

При подключённой услуге 3D-СМС генерация пароля невозможна (ссылка будет неактивной).

• https://myrouble.ru/3d-secure/
• https://finbelarus.com/3d-secure-belarusbank/
• https://rosscards.info/ispolzovanie/rosselhozbank-3d-secure-sms-parol.html
• https://brobank.ru/chto-takoe-3d-secure/
• https://mtblog.mtbank.by/tryohstoronnyaya-zashhita-3d-secure-na-strazhe-bezopasnosti-vashih-deneg/
• https://ibanking.by/3d-secure-belarusbank

Как подключить 3D-Secure

В настоящее время в России практически все пластиковые карты выпускают с подключенной технологией защиты. Если же она отсутствует, то ее можно подключить дополнительно. Использование защитного протокола бесплатно. Подключить 3D-Secure можно двумя способами: через банк или через банкомат.

В первом случае необходимо обратиться в офис банка и написать заявление для подключения  3D-Secure. Клиенту придется указать свою фамилию и имя, номер карты, а также телефон для доставки СМС с проверочными кодами. Через некоторое время на телефон придет оповещение об активации услуги.

Можно подключить 3D-Secure самостоятельно через банкомат. Для этого в меню выбирают пункт «Настройки», а там ищут подпункт «Безопасность» или «3D-Secure».

При первой покупке через Интернет на телефон придет уведомление об использовании протокола безопасности. После этого можно считать, что защитная система полностью активирована.

Несколько слов о безопасности

Что такое 3D-Secure? Технология призвана дополнительно защищать ваши накопления на банковской карте. Даже если вы не планируете в будущем совершать виртуальные покупки, все же стоит задуматься о ее подключении как создании еще одного барьера для мошенников. Советуем при активации данной технологии выбирать в качестве кодов подтверждения одноразовые пароли. Они становятся недействительными сразу после введения вами, отчего и более надежны, безопасны.

Еще один важный момент: никогда, никому и ни при каких обстоятельствах не сообщайте код подтверждения покупки, пришедший вам на телефон. Почти каждый месяц появляются новые мошеннические схемы выманивания такой информации. Напомним вам, что шифр вы вводите собственноручно в окошко формы подтверждения покупки.

Технология может быть уязвимой перед вредоносными программами, поражающими смартфон, которые могут производить без вашего ведома покупки, используя секретный код, приходящий в СМС. Поэтому защитите гаджет надежным антивирусом и не храните на нем фотографии вашего «пластика», данные, связанные с ним.

3D-Secure — дополнительная ступень защиты средств на банковской карте. Технология незаменима при совершении виртуальных покупок. Но надо помнить о том, что она не дает стопроцентной гарантии сохранности ваших средств на карте, отчего соответствующие личные данные всегда нужно держать в секрете от третьих лиц.

Можно ли покупать в интернет магазинах без таких логотипов и без 3D Secure? И безопасно ли это?

На многих ресурсах утверждается, что лучше не покупать. Но я считаю, что можно. И вот почему:

• Использование технологии требуется и выгодно скорее банкам и продавцу. Так как помогает доказать, что именно покупатель дал указание на совершение платежа. В случае, если покупаем мы сами, у нас самих таких проблем не возникает. Мы точно знаем что мы это мы.
• Банк и так проведет операцию без 3D Secure, если ее инициирует мошенник. К покупке в конкретном магазине это не имеет никакого отношения. В этом случае придется обращаться в банк, который направит владельца карты в полицию писать заявление;
• Множество крупных магазинов не тратятся на использование этой технологии. Среди них, например, AliExpress, Amazon, Steam и другие. И все они живут без проблем, закладывая в свои бизнес-процессы возможный ущерб от фрода, но зато получая возможность списывать деньги со счета клиента самым простым способом — по его распоряжению. И даже взимать ежемесячные платежи без участия клиента — например за подписки на свои сервисы.

Как подключить?

Для того, чтобы успешно совершать покупки или оплачивать услуги на сайтах, нужно сперва подключить пароль 3-D Secure – для клиентов «Беларусбанка» такая возможность предоставлена в формате интернет-банкинга и мобильного приложения М-банкинг. Отметим сразу: она полностью бесплатна.

Способ 1: через интернет-банкинг

1. Сперва авторизуйтесь в системе. На главной странице кликните по «Счетам с карточкой». Или пройдите к этому разделу через вкладку «Счета».

2. Выберите «Дополнительные услуги» и соответствующую опцию справа. Как правило, в списке услуг она идет первой.

3. Кликните по кнопке «Регистрация».

4. Укажите ту платежную карту, к которой планируете подключить пароль.

5. Придумайте пароль. Его вы и будете использовать для успешного проведения оплаты за выбранные товары и услуги. Также укажите желаемое приветствие.

Затем жмите «Зарегистрировать».

Способ 2: через М-банкинг

1. Зайдите в приложение и на главной странице в разделе «Платежи и переводы» выберите нужную функцию.

2. Нажмите на «Регистрацию».

3. Все остальные действия выполняются по аналогии с предыдущим способом: подберите комбинацию, приветствие, секретный вопрос. После этого регистрируйтесь. Не забывайте о правилах подбора – система не пустит вас дальше, если выбранная вами комбинация не будет соответствовать заявленным критериям.

Как подключить 3D-Secure

Далеко не все банки используют подобную систему безопасности, чаще всего это связано с дороговизной ее обслуживания. В частности это касается небольших кредитных организаций. Так называемые ветераны банковского дела (крупные банки с хорошо развитой розничной сетью), наоборот, придерживаются данного протокола и регулярно его используют.

В большинстве банков, поддерживающих систему безопасности, подключение 3D-Secure осуществляется по умолчанию, то есть сразу при получении и активации банковской карты. В иных случаях для подключения протокола держателям карты необходимо описать свое желание в установленной форме заявления.

Для этого, как правило, вам понадобится паспорт и данные банковской карты. В некоторых финансовых учреждениях подключение системы безопасности выполняется вручную самим клиентом. Делается это при помощи мобильного или интернет-банкинга (предусматривает наличие IT-устройства и доступа к Сети).

Обратившись в офис местного филиала банка

Подключение этой услуги осуществляется бесплатно. Владельцу карты необходимо сделать следующее:

• Прийти в банк с паспортом и картой.
• Написать заявление о подключении. Форму для заполнения выдаст сотрудник.
• Активация произойдет после совершения первого платежа.

По телефону

Подключить услугу можно по телефону, не выходя из дома. Например, для Сбербанка:

• Отправить Слово «Полный» в смс на номер 900.
• Дождаться сообщения с динамичным кодом (одноразовым паролем) из четырех цифр.
• Ввести эти цифры в ответном сообщении и отправить снова на номер 900.
• Дождаться смс с подтверждением о подключении.
• Теперь можно безопасно оплачивать услуги и товары по интернету.

Через банкомат

Чтобы осуществить подключение через банкомат, пользователю необходимо будет позвонить в банк и узнать о том, есть ли функция 3D на у его карты. Если ответ положительный, то владелец может смело отправляться в ближайший банкомат и подключать услугу.

• Вставить карту в банкомат именно того финансового учреждения, которое выпустило ее.
• Кликнуть по пункту «Другие операции».
• Найти и выбрать «3D Secure».
• Ввести номер мобильного, привязанного к карте.

Теперь динамичные коды для оплаты посредством технологии 3D Secure будут приходить на телефон при проведении платежа.

Через онлайн-банкинг

Подключить услугу можно в личном кабинете Сбербанка или любого банка, поддерживающего технологию. Будет показано на примере Сбербанка:

1 Открыть главную страницу банка и войти в личный кабинет.

2 Нажать на вкладку «Карты».

3 В выпавшем меню выбрать «Подключение 3D Secure».

Через мобильный банк

Как правильно отправить заявку, стоит уточнить в своем банке. В случае со Сбербанком достаточно отправить СМС «Полный» на короткий номер 900, после чего придет код активации. Его нужно повторно отправить по номеру 900. После проверки системой информации будет отправлено сообщение с подтверждением проведенной операции.

Через личный кабинет

Еще один наиболее часто используемый способ – настройка в онлайн-банке. Для этого нужно авторизоваться в своей учетной записи, и в разделе с картами выбрать ту, к которой требуется настройка системы 3D-Secure. В меню действий с картой можно найти настройку нужной функции.

По телефону call-центра

Часть банков поддерживает возможность настройки во время обращения на горячую линию. Клиент соединяется с оператором, говорит, что хочет подключить услугу 3D-Secure и называет данные, которые запросит оператор для проверки личности. Затем консультант подключит нужную услугу.

Подключаем полный пакет мобильного банка по телефону

1. Вводим слово «Полный» в смс сообщении на телефоне, привязанному к карте;
2. Отправляем сообщение на номер 900</strong>;
3. В ответ придет СМС с содержанием «Для смены тарифного плана на «Полный» для карт «VISA####» отправьте код «#####».
4. Вводим данный код из смс;
5. Получаем ответное СМС с подтверждением подключенной услуги.

Теперь, при проведении оплаты на сайте продавца, должны приходить безопасные смс пароли.

Услуга 3d secure для клиентов совершенно бесплатна, но для сбербанка этот механизм стоит достаточно дорого. Немалые деньги вкладываются в обеспечение безопасности своих клиентов.

Минимизация рисков мошенничества

Для снижения рисков необходимо следовать общепринятому алгоритму действий описанных в таблице.

Действие
Описание
Оформление отдельной карты
Для электронных платежей не рекомендуется использовать зарплатные карты, на которые поступает основная часть дохода держателя. Оптимальным вариантом считаются виртуальные карты с предустановленной функцией возврата части суммы покупки.
Проверка адреса сайта продавца
Сайт платежной страницы должен в обязательном порядке начинаться с https.
Снятие части денег с карты через банкоматы перед транзакцией
Покупателям не следует держать все имеющиеся средства на карте. Идеальный вариант – сохранение суммы, равной цене покупки

10% от общей стоимости закладывается на возможную комиссию.
Совершение покупок только в проверенных магазинах
Перед покупкой важно ознакомиться с отзывами о продавце на страницах популярных агрегаторов.

Что делать, если одноразовый код не пришел

Иногда при использовании идентификации пользователя с помощью одноразовых паролей могут появиться затруднения. К примеру, одноразовый код для подтверждения покупки не приходит на телефон. Как поступать в этом случае:

1. Воспользоваться опцией «Отправить код еще раз» на странице ввода секретного пароля.
2. Убедиться, что:

• у банка-эмитента имеется номер телефона для отправки СМС;
• клиент пребывает в зоне действия сети;
• сотовый телефон включен, а счет не заблокировали за неуплату;
• в памяти на телефоне имеется свободное место для приема новых сообщений;
• при нахождении за пределами сети региона ‒ имеется подключение к роумингу;
• в соответствии с выбранным тарифом, предполагается получение СМС.

Если причину самостоятельно установить трудно, лучше обратиться в банк, обслуживающий карту. Если на странице ввода пароля указано, что одноразовый код был заблокирован, стоит запросить его отправку еще раз.

3-d secure двух-факторная аутентификация — общее представление

Как было описано выше, это протокол безопасности при покупках в сети по картам онлайн. Реализуется данный механизм путем обмена данными между 4 узлами связи. С одной стороны клиент, держатель карты, со второй, продавец товара или услуги, с третьей, эмитент (Visa или MasterCard), с четвертой, эквайер — обслуживающий продавца банк. Раньше при покупке в сети по карте, было не обязательно физически ей обладать, т.е. владелец мог забыть ее дома. Для успешной покупки, достаточно было ввести данные (номер и срок действия карты, CVC или CVV2 код, Ф.И.О, пароль. По сути злоумышленник, зная эти данные, мог осуществить кражу средств. Сейчас же, для доступа к вашим финансам необходим еще телефон.

С внедрением в Сбербанке технологии 3-d Secure для Visa или SecureCode для MasterCard, покупки в сети становятся еще более безопасными. После ввода всех личных данных на сайте продавца, происходит редирект на сайт Сбербанка. Одновременно с этим, на телефон держателя карты приходит пароль 3d-Secure. В случае успешного и своевременного ввода этого пароля, вы автоматически возвращаетесь на сайт продавца и транзакция одобряется банком и платежной системой. Безопасность заключается еще и в том, что данный код 3d secure не знают сами сотрудники сбербанка. Этот 6-значный пароль генерируется сервером, и имеет определенный срок жизни, после чего становится недействительным.

История возникновения

3D-Secure изначально была создана для платёжной системы Visa. Первым её названием стало «Verified by Visa». Со временем 3D-Secure начала использовать и платёжная система Mastercard.

Технология 3D-Secure получила своё нынешнее название из-за того, что аутентификация клиента при оплате в интернете происходит с использованием трёх не зависящих друг от друга доменов:

Технология п своей сути является протоколом XML. Он обеспечивает высокий уровень безопасности платёжных операций, совершаемых при помощи банковских карт.

Расшифровка термина

Инструмент получил такое наименование по причине одновременной работы трех доменов сразу (отсюда и название 3-D). Первый — домен продавца и кредитной организации, в которую перечисляются деньги. Второй — домен эмитента, выпустившего банковскую карту. Третий — домен совместимости (Interoperability Domain), предоставляемый платежной системой для поддержки работы протокола безопасности 3D Secure.

Создание программы

Продукт был реализован SWIFT-системой, функционирующей на международном уровне. В современности она используется в VISA и имеет все требуемые аппаратные устройства.

Максимальная безопасность пользователей достигается за счет того, что в системе сведений имеется информация о всех карточных продуктах людей. Если карта была утеряна либо украдена сервис в ту же минуту может приостановить действие пластика, если имеется связь с мобильным телефоном владельца. Все данные под надежной защитой, а клиенту для входа в персональный кабинет необходимо идентифицироваться в системе. Иными словами, не все могут попасть в систему и использовать денежные средства, имеющиеся на счетах.

Принципы применения сервиса

Для подтверждения оплаты некого продукта с помощью интернета либо перевод, к примеру, с карточки «Мир» на пластик иного банковского учреждения в 2020 году необходимо указать проверочный код из трех цифр, выбитый с обратной стороны карты. В виде дополнительных сведений следует ввести фамилию, имя владельца карты, и ее срок действия.

Типовой опцией системы является применение разовых кодов. Подобный метод обеспечения безопасности карты и финансов на ней применяется в интернет-приложении, и в процессе эксплуатации мобильного банка. Как правило, пароли поступают на номер мобильного телефона, однако можно применять сервисы УСО и получить чек в банкомате. Услуга проста и удобна в применении. К примеру, при запросе кодов, пользователь получает чек, содержащий 20 кодов. Квитанцию следуют хранить в разных местах с картой, и вводить по очереди, как указано на документе.

Как подключить или отключить функцию

Подобная технология используется далеко не всеми отечественными финансовыми структурами, что объясняется высокой стоимостью обслуживания. Особенно это актуально для небольших кредитных организаций, которые сравнительно медленно внедряют новые технологии в свою работу.

Выясняя, как подключить данную функцию, целесообразно отметить, что крупные банковские организации предоставляют своим клиентам 3 D Secure повсеместно, зачастую в стандартных дебетовых или кредитных продуктах. Как правило, услуга подключается по умолчанию, что позволяет гарантировать безопасность средств клиентов. Однако, правила ряда банков предполагают необходимость написания потребителем соответствующего заявления.

Если карта поддерживает совершение онлайн-платежей, банковская организация, выпустившая карту, не может отказать держателю в подключении услуги. При этом активация функции, как и её обслуживание, не требует вложения средств, так как полностью бесплатны.

Выпуск карт с активированной технологией, осуществляет большинство российских банков:

• Альфа;
• ВТБ;
• Сбербанк;
• Тинькофф;
• Бинбанк;
• Русский стандарт.

К числу подобных продуктов относится услуга 3ds Банк Москвы. Что это такое — стандартная технология 3-D Secure, которая может быть подключена к большинству банковских продуктов.

Технология 3d secure автоматически активируется при использовании карты

Если продукт не предусматривает подобной технологии, можно написать заявление о её подключении. Для этого потребуется представить банку паспорт держателя, а также данные карты. В ряде случаев, подключение может осуществляться с помощью мобильного банка или онлайн, при помощи личного кабинета.

Нередко возникает потребность узнать, как отключить функцию, что особенно актуально при переезде за границу. Подобная операция осуществляется только в филиале банка, выпустившего карту, однако, банк имеет полное право отказать в данной услуге. В подобном случае целесообразно отключить номер телефона, к которому подключена услуга, с помощью сотового оператора.

После этого технология перестанет работать. Вместо старого номера в ряде банковских организаций можно использовать зарубежный, однако подобная возможность встречается сравнительно редко. Следует уточнить этот вопрос у представителей банка, выпустившего карту, прежде чем осуществлять отключение сим-карты.

Перевод с карт без 3D Secure

Многие торговые площадки и интернет ресурсы предусматривают использование 3D Secure. Но некоторые из них такой технологией не наделены. Обычно, это касается мелких сервисов, которым не выгодно оплачивать ее поддержание. Но в последнее время все больше компаний склоняются к необходимости подключить 3D Secure, так как это выступает гарантией безопасности для клиента.

Есть компании, которые принимают деньги без пароля по 3D Secure, но по раннее сформированным шаблонам. Например, после регистрации, пользователю предоставляется доступ в Личный Кабинет, из которого он и выполняет действия на сайте. Он считается проверенным, и дополнительно использовать технологию аутентификации по отдельному паролю не требуется.

С другой стороны, еще остаются ресурсы, в т.ч. достаточно крупные, сознательно отказывающиеся от протокола 3D Secure. Делается это для облегчения процесса покупки для пользователя. Считается, что это способствует увеличению роста покупателей, предпочитающих скорость в ущерб безопасности.

Будьте предельно внимательны, при совершении покупок в интернете на ресурсах, которые по какой-либо причине не используют технологию 3D Secure

Опасностью таких сервисов выступает то, что выполнить перевод без 3D Secure сможет любой покупатель, завладевший данными чужой карты.

Также стоит знать об ответственности. Так, если сервис проводит переводы без 3D Secure с MasterCard, Visa, МИР и др., банковская организация перекладывает ответственность за безопасность сделки на него. В случае воровства ваших данных и использования для перевода на подобной площадке, обращаться необходимо к последней, банк помочь ни чем не сможет. Если же платеж происходит с защитой, то ответственность несет эмитент, обслуживающий карточку. При своевременном обращении, он сможет оспорить сделку и возвратить клиенту деньги.

3Ds аутентификация – то же самое, что и 3-D Secure

Во-первых, определимся с терминологией. 3Ds аутентификация (она же 3D-secure) это по сути двухфакторная авторизация, двойное действие при подтверждении платежа.

От обычной оплаты в “один клик” 3д-секуре отличает то, что в этапах оплаты появляется еще один шаг – ввод кода на специальной странице вашего банка, который выпустил карту.

Код может быть как постоянным, придуманным вами на этапе включения опции 3D-secure в личном кабинете или интернет-банкинге, так и одноразовым, который приходит в СМС или берется из карты кодов банка (всё это зависит от конкретной банковской сети, у разных брендов свои правила на этот счёт).

Данная опция включается при заключении договора обслуживания в банке или самостоятельно клиентом через интернет-банк. Вот как это выглядит в моём кабинете (но у каждого банка структура настроек отличается, и у вас всё может быть по-другому).

Включение 3-D- secure

Самых частых причин, по которым карта не проходит и появляется статус “карта не прошла 3D-аутентификацию, либо отклонена платежной системой”, всего три:

1.  Банальная – на карте недостаточно средств
2. Тоже распространенная – для вашей карты не активирована услуга “3ds-авторизация”
3. И третья причина – неправильной пароль для этапа 3ds-authentication Дело в том, что пароль для расчетов онлайн человек обычно активирует сразу при оформлении карты, но используется редко. А вот другие пароли используются или часто, или даже ежедневно – вход в интернет-банк и т.д.

Поэтому в момент оплаты пользователь видит незнакомое (не часто используемое для 3ds-secure) окно для ввода пароля, но по привычке или не имея под рукой нужного пароля – еще раз вводит пароль для интернет-банка. Пароль неверный, не для этого этапа, и происходит отказ в обслуживании пластиковой карты.Решения данной проблемы, исходя из вышеизложенных причин, тоже очевидны:

• зайдите в интернет-банкинг, проверьте наличие средств на карте и заодно убедитесь, что опция 3Д-секьюре включена
• держите пароль для 3ds-авторизации под рукой перед оплатой, и не путайте его с другими паролями (доступа в личный кабинет банка, и т.д.)

Если же решение не найдено – стоит копнуть глубже: проверить лимиты карты на выполнение суточных операций по сумме, на полный запрет интернет-транзакций или платежей в иностранных магазинах.

Способ обхода системы

Несмотря на высокую степень защиты, обойти данную систему сравнительно просто. Подобная особенность объясняется малой её распространенностью среди онлайн-магазинов. Если они не поддерживают данный XML-протокол, платеж будет осуществляться по классической схеме, а значит защита работать не будет.

Для оплаты покупок, держателю карты или злоумышленнику потребуется указать лишь её номер и код CVC. Чтобы не допустить кражи средств с карточек подобным образом, многие магазины используют интересный алгоритм действий:

1. Пользователь заказывает товары на определенную сумму.
2. Магазин связывается с банком, выпустившим карту, и просит заблокировать небольшую сумму средств.
3. Затем держатель связывается с банком и с помощью ряда вопросов проходит идентификацию. После подтверждения личности, банк сообщает держателю точную сумму заблокированных средств.
4. Держатель называет сумму представителям магазина, что подтверждает его личность и сделанный заказ.

Подобные манипуляции позволяют избежать самых распространенных случаев мошенничества с подобными банковскими продуктами, что особенно актуально для нашей страны. Ведь технологию внедрили лишь наиболее крупные онлайн-магазины, в то время как все прочие работают по старому алгоритму, подвергая клиентов риску.

При совершении покупок через интернет стоит придерживаться простых правил, чтобы не попасть в руки мошенников

Особенности аутентификации

3DS-аутентификация – уникальная система защиты данных банковских карт от совершения финансовых операций без согласия держателя.

• номер и срок действия карты, указанный на лицевой стороне;
• код с оборотной стороны карты – CVV (CVC).

Если для карты подключена дополнительная защита 3DS-Secure, то пользователю при оплате онлайн следует пройти еще одну процедуру, направленную на противодействие потенциальным мошенникам. Одноразовые пароли поступают в виде смс-сообщения на номер держателя карты. Ввод данных осуществляется на официальной странице одного из банков: ПАО “Сбербанк России”, “ВТБ”, ” Альфа-Банк” и другие.

После прохождения 3DS-аутентификации происходит оплата с учетом последующей переадресации покупателя на сайт продавца. Транзакция не может быть осуществлена без данной операции, ни при каких обстоятельствах.

Версии протокола 3D Secure

v1.0 – 2001 г -…v2.0 – 2014 г – Устарелоv2.1 – 2017 гv2.2 – 2018 г

В настоящее время большинство платежных сервисов используют версию 1.0.2 при проведении онлайн CNP-платежей, запрашивающих OTP-код.Версия 1.0.2 была создана в 2001 году и в ней есть некоторые проблемы.

На данный момент актуальной версией является v2.2, и EMV планирует, что к концу 2020-го года она будет использоваться везде.

Это основная схема, необходимая для понимания всего процесса платежа с использованием механизма 3DS.

На этом рисунке мы видим все три домена, используемые в протоколе, а также последовательность сообщений между всеми участниками платежной операции.