Сайты без 3D secure список 2018
3D-Secure (Three-Domain Secure)
защищенный протокол авторизации пользователей для CNP-операций (без присутствия карты). Данная технология разработана для безопасности оплаты товаров и услуг в Интернете. Изначально протокол был предложен платежной системой VISA, но потом с некоторыми изменениями был принят и другими. У VISA протокол называется Verified by Visa (VbV), у Masterсard — Masterсard SecureCode (MCC), а у JCB International — J/Secure.
Данный протокол добавляет дополнительный шаг авторизации пользователя при оплате покупки в интернет-магазине. На первом шаге используется: номер карты, срок ее действия, имя держателя карты и код проверки ее подлинности (например, CVC2). На втором шаге, используя протокол 3D-Secure, сайт магазина показывает страницу банка-эмитента карты, на которой предлагается ввести дополнительный защитный код. Его клиент банка может получить: посредством СМС-сообщения на свой мобильный телефон, с помощью карточки разовых кодов или специального устройства, а также код может быть постоянным, заранее установленным самим клиентом.
Вся передаваемая подтверждающая информация от покупателя сохраняется на платежном сервере банка-эмитента, и интернет-магазин не имеет к ней никакого доступа (магазин может только сохранить часть информации по реквизитам платёжной карты, но в объёме не более чем это предписано в PCI DSS). Это защищает данные от хищения
Не все онлайновые магазины и банки поддерживают 3D-Secure. Эта технология не является обязательной и защищает в первую очередь торговую точку и банк от мошеннических операций. При возможности использования 3D-Secure, но не задействованном сервисе (например, карта клиента поддерживает данную технологию, а онлайн-магазин нет; или же наоборот платёжный сервис готов предоставить авторизацию по 3DS, а карта клиента не подключена к этому сервису), ответственность за несанкционированную транзакцию возлагается на сторону, по чьей вине не была использована технология 3DS. Узнать онлайн-магазины, поддерживающие технологию 3D-Secure, можно по размещенным на сайте или платёжной странице логотипам: Masterсard SecureCode и/или Verified by Visa .
3D-Secure: кто в защите?
Случай с белорусским приложением О!плати, которое позволило нам провести платежи c неправильным CVV и без 3D Secure, породил много вопросов — как о работе конкретного сервиса, так и вообще о том, как устроена защита интернет-платежей. Комментарий относительно О!плати готовит сейчас банк-эквайер Белинвестбанк. С теоретическими вопросами dev.by обратился к основателю и директору по развитию бизнеса ООО «ИКомЧардж» Александру Михайловскому. Его компания известна в Беларуси как сервис приёма онлайн-платежей bePaid.
О неправильном CVV: а был ли код?
Александр, давайте начнём с азов: что такое CVV и зачем нужна его валидация?
CVV (card verification value) — название кода у Visa, СVC (card verification code) — название аналогичного кода у Mastercard, это дополнительная мера безопасности при приеме CNP-транзакций (card not present). Платёж в интернете — это пример CNP-транзакции.
Как и в случае с PIN-кодом, предполагается, что CVV/CVC известен только держателю карты.
Это своего рода пароль, подтверждающий эмитенту, что запрос на списание денег с карты его клиента действительно пришёл от клиента. Со временем, когда стало очевидно, что этот код уже не является достаточно надёжной гарантией аутентичности держателя карты, была придумана технология 3D Secure.
Валидация CVV/CVC обязательна?
Нет. Наличие этого кода не является обязательным условием для проведения CNP-транзакции.
Как вообще происходит валидация CVV/CVC? От чего она зависит — от разработчика, от банка-эквайера, от платежной системы?
От разработчика необходимость валидировать CVV/CVC вообще никак не зависит: разработчик делает то, что ему говорит заказчик. Валидация CVV/CVC зависит от конкретной ситуации, в которой формируется транзакционный запрос от эквайера к эмитенту.
Международные платёжные системы (МПС), заинтересованные в снижении мошеннических транзакций, настоятельно рекомендуют мерчантам запрашивать CVV/CVC у своих клиентов. И как правило, эквайеры требуют от мерчантов эти рекомендации выполнять.
Вместе с тем бывают ситуации, когда CVV/CVC не запрашивается и не передается — например, при рекуррентных (повторяющихся) платежах. И вообще говоря, если эквайер решит не передавать CVV/CVC в запросе эмитенту, ничто не помешает ему это сделать. Если же CVV/CVC был запрошен и передан, эмитент в своём ответе сообщает эквайеру, совпал ли переданный CVV/CVC с оригинальным кодом или нет. И это исключительное право эмитента решать, одобрять ли платёж, если CVV/CVC не совпадает.
Почему некоторые сервисы не проверяют CVV? Может, это дорого или сложно в разработке?
Передача CVV/CVC — это стандартная процедура. Добавление ещё одного поля в запросе и обработка ответа для этого поля — это недорого и несложно. Правильнее говорить не о сервисах, а о ситуациях или типах транзакций, когда CVV/CVC не требуется или можно обойтись без него. По стандартам безопасности, принятым в платежной индустрии, введённый держателем карты CVV/CVC нельзя хранить ни на стороне процессора платежей, ни на стороне эквайера. Отсюда возникают ситуации, когда CVV/CVC можно не передавать (рекуррентные платежи) или когда он не нужен.
Если эмитент имеет возможность другими способами убедиться в том, что транзакция инициирована держателем карты, то ни CVV/CVC, ни 3D Secure ему не нужны.
А как ещё эмитент может убедиться, если не с помощью CVV/CVC и 3D Secure?
Бывают ситуации, когда эквайер и эмитент — это один и тот же банк, который к тому же проводит идентификацию клиента. Например, в О!плати при регистрации кошелька пользователь проходит идентификацию, следовательно, Белинвестбанк знает, что Иван Иванов, зарегистрировавшийся в приложении — это действительно Иван Иванов. Далее, если Иван Иванов пытается пополнить свой счет в О!плати картой Белинвестбанка, последний и без CVV/CVC и 3D Secure может проверить, действительно ли именно эта карта была выдана им Ивану Иванову.
Да, в такой ситуации отсутствие проверки понятно. Но в случае с О!плати платежи проходили без проверки CVV c карт других банков. Как такое может быть? Белорусские банки-эмитенты не запрашивают CVV/CVC?
Сложно сказать, этот вопрос надо адресовать банкам-эмитентам. Я могу сказать только одно: CVV/CVC известен лишь эмитенту, ни эквайер, ни разработчик ничего о нём не знает. Задача разработчика — принять код от клиента и отправить его на шлюз эквайера. Задача эквайера — сформировать запрос по протоколам Visa и Mastercard и передать в сети МПС. А уже эмитент, знающий, какой CVV/CVC на самом деле, даёт ответ: совпали цифры или нет. Почему проходят платежи с неправильными CVV/CVC? У меня две версии. Либо эмитент разрешил транзакции с неправильными CVV/CVC, и тогда это на совести эмитента. Либо эквайер CVV/CVC не отправляет.
(Вторая догадка Александра оказалась правильной. Наш сотрудник обратился в банк-эмитент карты, участвовавшей в тестировании, с вопросом о некорректном CVV. Пришёл такой ответ: «Банк, обслуживающий данную платформу, не передал нам поле, содержащее значение CVV-кода, введёного вами, соответственно проверки CVV-кода на нашей стороне не было. Согласно правилам международной платёжной системы, авторизовать операцию, мы как эмитент можем и без CVV-кода. По этой причине операция прошла успешно»).
А какая выгода эквайеру не передавать CVV?
Это может быть забота об удобстве плательщиков. Приём платежей в электронной коммерции — это вечный поиск баланса между защитой информации и удобством для клиентов. Например, во многих приложениях карточку можно ввести путём фотографирования — данные распознаются автоматом, но CVV/CVC в этих случаях не считается, так как он указан на обратной стороне карты. Такая практика не так уж и редка. Например, магазин Amazon тоже не запрашивает CVV/CVC — у них просто нет такого поля.
Но тут-то поле есть. И я всё равно ввожу код!
Можно предположить, что в целях упрощения платежей эквайер отказался от CVV/CVC, но разработчики не успели убрать это поле: оно есть, но данные никуда не передаются. Но это всего лишь моё предположение. Точный ответ знает только Белинвестбанк.А почему эмитенты не отклоняют транзакции без CVV?
Трудно сказать. Для эмитентов тоже важно найти баланс между защитой своих клиентов от мошенничества и удобством карточных платежей для них же. CVV/CVC — это один из способов верификации держателя карты. Но если этот код не передан, верифицировать нечего. Однако отсутствие кода не обязательно означает, что транзакция — мошенническая.
Вот если бы код был передан и не совпал, это был бы сильный аргумент в пользу отклонения платежа. А если кода просто нет…
Принимая решение о том, одобрить или нет платёжную транзакцию, эмитент смотрит не только на наличие-отсутствие CVV/CVC, но и на другие параметры транзакции.
Может, это всё-таки стоит дополнительных денег?
Нет. По крайней мере, здесь нет расходов, которые бы делали экономически целесообразным отказ от CVV/CVC. Это стандартные протоколы, формированием запросов и обработкой ответов занимается специализированное ПО, которое само по себе дорогое, но CVV/CVC входит в его базовый функционал. Для разработчиков добавление поля тоже не представляет никакой сложности.
Давайте резюмируем эту часть: отсутствие валидации CVV/CVC — это нормально?
Это отличается от общепринятых подходов проверки пользователя, которые практикуют другие системы электронных кошельков. Обычно сперва к кошельку привязывается карта с валидацией CVV/CVC и проверкой по 3D Secure, а потом все последующие платежи идут как рекурренты, без каких-либо дополнительных проверок.
Как отсутствие валидации CVV влияет на безопасность платежей? А на риск мошеннических действий с картами?
Конечно же, отсутствие CVV/CVC при CNP-транзакции обычно увеличивает риск того, что кто-то заплатит не своей картой. Номер карты и срок её действия легко подсмотреть, запомнить, украсть. Увидеть CVV/CVC, которые расположены на обратной стороне карты — сложнее. Именно поэтому эмитенты, как правило, отклоняют транзакции, в которых CVV/CVC не совпадает с оригинальным.
Исключение в плане рисков — если банк является и эмитентом, и эквайером для собственных карт, плюс к этому он заранее идентифицировал пользователя как своего клиента — в этом случае проверка CVV/CVC уже не играет роли.
О валидации имени кардхолдера: не нужна?
Отсутствие валидации имени держателя карты — это нормально?
Да, это нормально.
Имя вообще никто и никогда не проверяет?
Я могу ошибаться, но, по-моему, имя держателя обычно не проверяется. Опять же, если кто-то и может его верифицировать, то только эмитент.
А зачем тогда это поле?
С точки зрения процессинговой компании, я бы сказал, что это поле является своего рода источником статистических данных. Если наша система фрод-мониторинга засекает две транзакции с одним номером карты, но разным именем держателя карты, для нас это сигнал о том, что одна из этих транзакций, возможно, мошенническая. Или обе. Обычно настоящие держатели карт пишут свои настоящие имена. Если эмитент решит проверять присылаемые имена и по результатам проверки будет принимать решение одобрять или отклонять транзакцию, это его право.
Опять же, как и в случае с CVV/CVC, если эмитент имеет какой-то иной способ убедиться, что транзакция действительно была инициирована его клиентом, то ему всё равно, что написано в поле «имя держателя карты».
О 3D Secure: почему им пренебрегают
О чём свидетельствует отсутствие СМС с динамическим паролем? О том, что карта или сервис не подключены к 3D Secure?
СМС с OTP (one time password), по идее, должен приходить клиенту от эмитента всякий раз, когда тот проходит проверку по 3D Secure. Отсутствие такой СМС не обязательно означает неучастие карты в программе 3D Secure. У эмитента может банально сбоить сервис проверки. Или может глючить оператор мобильной связи.
Проверка карты на участие в 3D Secure происходит в момент совершения платежа путём обращения к специальному серверу платежной системы, под брендом которой выпущена карта. МПС отвечает, участвует карта в программе 3D Secure или нет. Если участвует, в ответе указывается URL ACS (access control server) сервера эмитента, куда плательщик перенаправляется для ввода OTP. Если карта не участвует в программе 3D Secure или ACS-сервер недоступен, запрос на авторизацию передаётся эмитенту.
Если ACS-сервер доступен, но СМС не приходит из-за проблем с сотовой связи, то через 15 минут сессия закрывается и транзакция автоматически считается неуспешной.
А если карта участвует в 3D Secure, но СМС не приходит и платёж при этом успешен, значит, платёжный сервис не участвует в программе?
Да, бывает и такое. Это значит, что эквайер сервиса позволил мерчанту принимать платежи без проверки транзакций по 3D Secure. Почему он разрешил? Потому что мерчант каким-то образом гарантировал ему возмещение убытков по фрод-транзакциям. Вторая возможная причина — ACS-сервер в момент прохождения платежа был недоступен. В этом случае платёж тоже пропустят.
Почему некоторые сервисы не подключены к 3D Secure? Это сложно, дорого? Как и между кем происходят расчёты за эту услугу?
Трудно сказать почему, в каждом конкретном случае есть своя причина. Использование 3D Secure уже стало стандартом в платёжной индустрии. Международные платёжные системы создали такие условия, когда эмитенты стремятся включить все свои карты в программу 3D Secure. Дело в том, что если карта не участвует в этой программе, то ответственность за мошеннический платеж по такой карте, согласно правилам МПС, возлагается на эмитента. А кому хочется терять деньги?
Однако, если эквайер соглашается отправить эмитенту запрос на авторизацию по карте, участвующей в 3D Secure, без проверки транзакции по этому протоколу, ответственность за мошенническую транзакцию по такой карте переносится на эквайера. Если эквайер по каким-либо причинам готов принять на себя такую ответственность, он будет принимать и проводить платежи без 3D Secure.
Эквайер как-нибудь экономит, согласившись на отказ от 3D Secure? Кто платит за СМС с подтверждающим кодом?
За СМС платит эмитент, но мне кажется, что расходы там не такие уж большие. Эквайер за счёт отказа от 3D Secure никак не экономит — более того, он рискует.
Это просто, ничего не стоит, убирает риски — в чём тогда смысл отказа от защиты?
В том, чтобы клиентам мерчанта было удобнее и приятнее делать платежи, чтобы они не зависели от СМС. Как правило, отказ разрешается крупным мерчантам — мелким мерчантам такое не позволяется.
Для эквайера смысл в том, чтобы угодить крупному клиенту. Допустим, есть сервис, который обслуживает крупных мерчантов. Если крупный мерчант убеждается, что без 3D Secure объём платежей увеличивается на 5-10%, то он, конечно, захочет отказаться от защиты. Он подписывает допсоглашение с эквайером о том, что гарантирует покрытие всех убытков банка, связанных с мошенничеством. Если банк-эквайер ему откажет, есть вероятность, что мерчант пойдёт к другим банкам-эквайерам и весь оборот перейдёт к конкуренту.
Так как Белинвестбанк в описанном случае является и мерчантом, и эквайером (и эмитентом для некоторых транзакций), то понятно желание банка сделать пользование кошельком простым и приятным.
Но отсутствие проверки CVV и 3D Secure это, конечно, недосмотр. Он увеличивает риск того, что какой-нибудь жулик воспользуется приложением, соберёт ворованные карты и начнёт ездить в маршрутках налево и направо.
Это обычная история, мошенники в Беларуси склонны к странным поступкам: они воруют карты, платят ими в кафе и ресторанах, потом попадаются и идут в тюрьму.
В комментарии под материалом dev.by вы выразили мнение, что отсутствие проверки — зона ответственности банков, а не разработчика. Ответственности разработчика вообще нет?
Мы — сами разработчики и имеем опыт интеграций с сотней разных банков-эквайеров по всему миру. Разработчик делает то, что сказано в API, который он получает от эквайера. Сказано в API передавать значение CVV/CVC — разработчик будет запрашивать его у плательщика и передавать эквайеру. Но валидировать это значение может только эмитент, и никто другой. Соответственно разработчик за валидацию CVV/CVC отвечать никак не может. Решение о том, одобрять ли транзакцию с некорректным CVV/CVC, принимает эмитент. А решение о том, проводить ли такую транзакцию, принимает эквайер на основе ответа по валидации от эмитента. Так же, как и решение о том, передавать ли вообще CVV/CVC эмитенту. Как видите, разработчик здесь ни на что не влияет.
Приложение от LWO пропускает платежи с липовыми CVV (скоро — в минских маршрутках) По теме Приложение от LWO пропускает платежи с липовыми CVV (скоро — в минских маршрутках)
Треть россиян в возрасте до 25 лет постоянно пользуются бесконтактными платежами, а 2% граждан страны вообще отказались от наличных, свидетельствуют «Левада-центра». Картой удобно расплачиваться в продуктовых и в транспорте, ее можно привязать к медиасервисам и такси, запланировать платежи по коммуналке. Но есть и оборотная сторона медали. О ней 66.RU рассказал Артем Трофимов, специалист по безопасности карт в банке для предпринимателей «Точка».
Как могут украсть деньги?
В банковской сфере есть понятие «скомпрометированная карта». Это карта, полный номер которой, код CVV2 или CVC2 и другие данные стали общедоступны или попали в руки мошенников. Этих данных может быть достаточно, чтобы банк предоставил доступ к вашим деньгам. Узнать о том, что карта скомпрометирована, практически невозможно, пока ею не воспользовались без вашего ведома.
Как это может произойти? Если мошенник знает номер карты и CVV2 или CVC2, он способен совершать операции в интернет-сервисах, которые не поддерживают или намеренно не используют технологию 3D-Secure. Проще говоря, не отправляют вам одноразовый пароль, чтобы подтвердить, что покупку оплачивает именно владелец карты, а не кто-то другой.
Проверять ли личность покупателя с помощью 3D-Secure или нет, решает онлайн-продавец, а не банк, выпустивший карту. Некоторые компании осознанно проводят часть операций без этой технологии, чтобы упростить покупки для клиентов.
Интернет-магазин AliExpress сознательно отказался от 3D-Secure. Первые несколько операций там будут подтверждаться одноразовым кодом. Когда в магазине убедятся, что учетная запись не мошенническая, вам позволят совершать сделки без 3D-Secure, чтобы покупатель не делал лишних движений и не передумал после того, как ему придет СМС с паролем для подтверждения операции. Таким образом, в AliExpress самостоятельно решают, когда использовать 3D-Secure, а когда нет.
AliExpress — лишь пример того, как можно оплачивать покупки без 3D-Secure, а не место, где реально воруют. Через него практически не крадут деньги.
Агрегаторы Uber и «Яндекс.Такси» тоже не используют 3D-Secure. Мы в «Точке» не видим всплеска мошенничества в Uber, по-моему, это разовые случаи в других банках. Схема, с помощью которой мошенники выводят деньги через сервис, может быть такой. Воры привязывают украденные реквизиты — номер карты и код к ней — к профилю пассажира. Затем создают виртуальный профиль таксиста и «оплачивают» его услуги украденной картой, то есть имитируют поездки, а потом получают возмещение реальными деньгами.
Главная новость по теме
Примеры с :
1. Мошенники регистрируют в сервисах Booking.com или Airbnb недвижимость, причем неважно, существует ли она, и «бронируют» ее у самих себя, оплачивая покупку с помощью ворованного номера и кода карты жертвы. Сервис бронирования переводит деньги на счет мошенникам.
2. Получить чужие средства можно через сервисы доставки еды. Киберворы регистрируют предприятие или договариваются с владельцем кафе, работающего с сервисами доставки, и оплачивают заказы картой жертвы. Курьер, который ничего не подозревает, выполняет заявку, а затем блюда возвращают обратно в общепит. И так по кругу.
Мошенники хотят получить деньги с карты, а не расплачиваться за услуги с помощью украденных данных. Тем более, Booking.com и Airbnb потребуют для такой оплаты документ, удостоверяющий личность. Поэтому найти того, кто жил за чужой счет, не составит труда.
Как защитить данные?
Бережно относиться к реквизитам карт и стараться не компрометировать их. Во-первых, пользуйтесь бесконтактной оплатой через Apple Pay, Google Pay, Samsung Pay и другие сервисы. Они меняют реквизиты пластиковой карты на виртуальные — токен. Токены помогают уберечь реквизиты от третьих лиц. Даже если информацию токена узнают, она будет бесполезна, потому что в каждой транзакции используются зашифрованные динамические данные. Не за горами использование таких же токенов и при оплатах в интернете по технологии EMV® Secure Remote Commerce.
Вот несколько способов скомпрометировать данные карты:
- Держать банковскую карту на виду, например, на рабочем столе. Или хранить ее в кошельке вместе с пин-кодом.
- Хвастаться картой с необычным дизайном в соцсетях, публиковать ее фото.
- Оплатить покупку на непроверенном поддельном ресурсе. Прежде чем вводить реквизиты, проверяйте данные магазина, свяжитесь с продавцом, почитайте отзывы в интернете, позвоните по указанному телефону и проверьте через 2ГИС, «Яндекс.Карты» или другой сервис, что за организации находятся по физическому адресу магазина.
- Оплатить доставку товара по письму от «продавца». Если вы договорились о покупке и продавец прислал ссылку на сайт доставки — внимательно изучите адрес страницы, куда вы перешли, найдите номер телефона доставки через поисковую систему и сверьте с сотрудником правильность адреса. Киберворы пользуются сайтами-дублерами, очень похожими на оригинальные, где оплата доставки или покупки — это перевод с карты на карту, не более.
- Сообщить номер карты и код «службе безопасности» банка. Если вам звонят из банка, обращаются по имени, называют последние операции и уверяют, что счет под угрозой — не верьте. Положите трубку, подумайте пять минут, вспомните новости об обманутых клиентах и перезвоните по номеру клиентской службы, указанному на обратной стороне банковской карты. Цифры нужно набрать самостоятельно.
- Делиться данными карты с другими людьми.
Если вы подозреваете, что карта скомпрометирована, сразу блокируйте ее с помощью звонка или письма в банк. После этого никто не сможет потратить деньги со счета, даже зная пин-код, CVV2 и другие данные.
Что делать, если деньги украли?
Срочно сообщите об этом банку. Тогда вы с большой вероятностью сможете опротестовать мошеннические операции, особенно когда 3D-Secure не использовался. Это плюс карт по сравнению с наличными, которые воры вам вряд ли вернут.
Даже если оспорить покупку или перевод не выйдет, есть возможность заморозить ваши деньги на счетах мошенников, чтобы впоследствии вернуть их по требованию правоохранителей.
Редакция 66.RU благодарит банк для предпринимателей «Точка» за помощь в подготовке материала.
Сервис PAY4 предоставляет услугу мгновенных переводов c карты на карту между картами Visa и MasterCard любых банков Украины. Сервис работает круглосуточно в режиме 24/7. Для осуществления перевода на карту необходим доступ к Интернет и номер карты получателя.
Переводить деньги с карты на карту с помощью сервиса PAY4 быстро и удобно! Выбирая данный способ перевода, Вы экономите собственное время. Сервис использует автоматическую систему выбора расчетного банка, что практически всегда гарантирует успешный перевод между картами. Преимущества сервиса:
- удобные, мгновенные и безопасные переводы;
- сервис работает круглосуточно, перевод денег осуществляется онлайн;
- зарегистрированные пользователи сервиса имеют возможность сохранять номера карт, как получателя, так и отправителя;
- возможность осуществить перевод денег онлайн с карты на карту разных банков;
- экономия времени на посещение банка для осуществления перевода на карту;
- возможность отправить перевод с карты на карту онлайн с любой точки мира, используя смартфон или планшет.
Сервис переводов с карты на карту удобен для онлайн перевода денежных средств близким или друзьям, для отправки денег в другой город Украины, при необходимости погасить кредитную задолженность или перевести средства на другую карту, оплатить услуги или товары в Интернет.
Для осуществления перевода с карты на карту в онлайн-режиме необходимо:
1. Указать номер карты отправителя — 16 цифр на лицевой стороне карты.
2. Указать срок действия карты отправителя — две двузначные цифры через косую на лицевой стороне карты.
3. Ввести СVV-код — трехзначное число на обратной стороне карты.
4. Указать номер карты получателя
Плата за пользование сервисом:
Комиссия за перевод всегда рассчитывается автоматически и составляет 5 грн. за каждые 500 грн. перевода. Зарегистрированные пользователи получают бонусы и скидки, что позволяет отправить перевод на карту с минимальной комиссией, или же могут получить бонус на отправку перевода без комиссии. Комиссия всегда списывается с карты отправителя.
Приведем пример. Если Вам необходимо отправить перевод на карту 500 гривен, то комиссия составит 5 грн. и с Вашей карты будет списано 505 гривен. Получатель в течении нескольких минут получит 500 гривен. При этом, если у получателя к карте подключена услуга SMS информирования, он сразу получит уведомление о поступлении денежных средств на его карту.
Кому полезен сервис переводов с карты на карту: Срочно необходимо перевести средства на карту + Если кому-то из родных, друзей и близких срочно необходимо перебросить деньги, нет времени искать ближайшие пункты для осуществления и получения перевода. Предоставляете услуги или продаете товары + Если Вы не решились оформиться как предприниматель, не готовы официально выписывать акты и счета на оплату, фрилансер, работаете дистанционно, предоставляете услуги или продаете товары. Решили что-то купить на сайте объявлений OLX+ Сервис перевода между картами позволяет в онлайн режиме за несколько минут переслать деньги продавцу. Нет необходимости брать с собой на встречу наличные деньги, искать банкомат, тратить время на пересчет денег. Коллективные затраты + Вы отдохнули с коллегами в пабе, или ресторане и вопрос расчета заставляет постоянно искать наличность в своем кошельке. При этом кто-то один рассчитывается за всех картой, а другие остаются должны ему. С помощью перевода на карту вопрос решается в считанные минуты. Необходимо погасить задолженность + Нет времени идти в банк пополнить карту для погашения задолженности, а скоро конец месяца и кредитный лимит исчерпан. Сервис онлайн переводов на карту позволяет экономить время и в считанные минуты погасить задолженность по Вашей кредитной карте.
Мы гарантируем безопасность Ваших переводов
На нашем сервисе PAY4 используется эффективная защита безопасности для осуществления переводов. Мы выполняем и придерживаемся всех необходимых международных стандартов PCI DSS, прошли соответствующую сертификацию. Для осуществления онлайн перевода с карты на карту используются технология 3DSecure. В случае, если банк держатель карты отправителя не поддерживает технологию 3DSecure, операция перевода на карту подтверждается одноразовым проверочным кодом авторизации, который будет доставлен отправителю SMS сообщением.
Клиенты и партнеры доверяют нам
Вопрос доверия наших клиентов и партнеров – для нас является самым главным. Среди наших партнеров украинские банки, представители розничного бизнеса, логистические компании, финансовые компании, мобильные операторы, популярные СМИ.
Мы всегда предлагаем нашим партнерам гибкие условия сотрудничества. Наши решения являются инновационными и уникальными.
Условия предоставления сервиса
Интересные темы:
Порядок оплаты картой без технологии 3D Secure
После того как вы нажмете кнопку «Все понятно, оплачиваю!»,
система перенаправит Вас на специальную «платежную
страницу UNITELLER» для электронных платежей,
где потребуется ввести нижеуказанные данные:
1. Номер Вашей банковской карты (от 12 до 19 символов)
2. Cрок действия Вашей карты — месяц / год
3. Имя держателя карты — в точном соответствии с данными на Вашей карте
4. Код CVV2 / CVC2 — это три последние цифры, расположенные на полосе для подписи,
или рядом с полосой для подписи
Как правило, подтверждение оплаты
поступает немедленно, но Нам потребуется
небольшое время, чтобы обработать платеж.
После этого мы подготовим и вышлем Вам необходимые документы
и SMS-сообщения. Как правило, документы и сообщения (e-mail и SMS) доставляются получателю
в течение 3-4 минут.
После совершения платежа сообщать о факте оплаты не требуется. Платежная система автоматически проинформирует нас о завершении оплаты, а Вас отдельным электронным письмом обо всех существенных реквизитах платежа.
Дополнительная комиссия или какие-либо платежные сборы при платеже банковской картой не предусматриваются и не взимаются. Вы оплачиваете только итоговую сумму по заказу.
Справочно:
UNITELLER является одной из наиболее защищенных систем электронных платежей, прошла международную сертификацию, использует защищенный протокол SSL 3.0.
Это означает, что обработка данных, включая номер карты и другой информации, соответствует правилам конфиденциальности платежных систем Visa и MasterCard, и абсолютно защищена от несанкционированного использования.
Объясняем на пальцах. Почему одни площадки требуют 3D-Secure, а другие нет?
Сегодня самый популярный способ платежей в Интернете — оплата с помощью банковской карты. Расплачиваясь на таких площадках как Amazon, AdWords и AliExpress, мы заметили, что некоторые сайты не запрашивают пароль 3D-Secure при оплате.
К примеру, при оплате через мобильное приложение покупок на AliExpress платежи проходят без 3D-Secure. Да, и сервис от Google под названием AdWords также требует только номер карты, имя держателя и CVV-код.
Сегодня мы выясним, почему так происходит, и насколько в этом случае защищены наши платежи?
Кажется уже аксиомой, что каждый раз, когда мы указываем реквизиты своей карты в Интернете, деньги на наших счетах подвергаются потенциальной опасности. К примеру, фишингу — популярному виду интернет — мошенничества.
Напомним, при оплате покупок в Сети вам могут попасться «поддельные» сайты, на которых велика вероятность оставить реквизиты своей карты. Как только это произойдет, мошенник сразу же может использовать эти данные на другом, настоящем, сайте, но предназначенном, к примеру, для перевода денег.
В безопасности платежей заинтересованы не только держатели карточек, но и банки, интернет-магазины и платежные системы, которые рискуют не только своими деньгами, но и репутацией
Как защищены наши платежи при оплате?
Сначала небольшой ликбез, если вы не хакер 🙂
За безопасность интернет — операции отвечают все, кто принимает в ней участие. Чаще всего: банк-эмитент, выдавший вам карту, банк-эквайер, который «помогает» торговцу принимать платеж, сам интернет-магазин и платёжная система.
Когда вы совершаете покупку в Интернете, при оплате используется ряд протоколов и правил. Среди них SSL— протокол шифрования, который безопасно передаёт информацию. Обнаружить SSL просто — адреса сайтов, которые используют этот протокол, начинаются с HTTPS. А эти пять букв — первое свидетельство того, что ваша конфиденциальная информация передаётся в зашифрованном виде, и как следствие — она защищена.
Также есть стандарты защиты, которые разработаны самими платёжными системами (PCIDSS). Любая компания, которая собирается осуществлять интернет — платежи, должна ежегодно проходить проверку на соответствие этим стандартам. Они позволяют исключить переход покупателя на сайт сторонней организации.
На защиту ваших платежей, в том числе становятся противомошеннические системы, которые называются «Антифрод». Они оценивают ваши финансовые операции в реальном времени и ищут аномальные и подозрительные. Система «изучает» операции, которые происходят не в той стране, где выпущена карта, отслеживают ограничения по сумме, лимиты, количество покупок и время их совершения, а также — «ведут» другую статистику.
Но и это далеко не вся защита.
Сегодня одной из самых надёжных систем защиты в Беларуси считается технология 3D-Secure. Она позволяет убедиться, что карточкой расплачивается именно владелец. Если ваша карта поддерживает эту технологию, то для оплаты на любом из сайтов понадобится пароль, который придет к вам на мобильный телефон через СМС. Естественно — угадать пароль преступник не сможет.
Кстати, вся информация, которую вы вводите, сохраняется на платежном сервере вашего банка, и интернет-магазин не имеет к ней доступа, поэтому стоит внимательно следить, где вы указываете свои данные. Некоторые сайты, конечно, могут сохранить часть информации по реквизитам платёжной карты, но в объёме не большем, чем разрешают протоколы платёжных систем.
А теперь самое интересное. Дело в том, что в мире технология 3D—Secure не является обязательной, и как следствие не все магазины, как и не все банки, её поддерживают
Другими словами, если ваша карта поддерживает 3D-Secure, а магазин нет (или — наоборот), то оплата пройдёт, а ответственность за несанкционированную транзакцию ляжет на ту сторону, по чьей вине не была использована технология 3D-Secure.
На AliExpress мы оплачивали покупки картой Беларусбанка, поэтому первым делом обратились именно туда. Оказалось, что оплачивать покупки мы можем как на ресурсах, которые поддерживают технологию безопасности 3D-Secure, так и на тех, которые её не поддерживают.
Получается, если на сайте для оплаты нужны только реквизиты пластика — платёж пройдёт и без дополнительного пароля. По крайней мере, если ваша карта, как и наша, на AliExpress уже «привязана» — оплата пройдёт без подтверждения.
А вот специалист поддержки AdWords (сервис Google) просто ответил, что на некоторых сервисах пароль 3D-Secure не требуется, а по вопросам безопасности предложил обращаться в банк, который нас обслуживает.
Кстати, хоть такие платежи защищены и без дополнительно пароля, наши банки не уверены в их безопасности. Поэтому рекомендуют не пользоваться такими сервисами без дополнительной защиты!
Вот что нам рассказали в белорусских банках…
Белгазпромбанк
БПС-Сбербанк
СтатусБанк
Поэтому возникает вопрос, как в таком случае себя обезопасить?
Мы составили небольшую инструкцию по безопасности
Нет времени объяснять, блокируй карту! Четыре способа снять ваши деньги без подтверждения по СМС
Треть россиян в возрасте до 25 лет постоянно пользуются бесконтактными платежами, а 2% граждан страны вообще отказались от наличных, свидетельствуют данные «Левада-центра». Картой удобно расплачиваться в продуктовых и в транспорте, ее можно привязать к медиасервисам и такси, запланировать платежи по коммуналке. Но есть и оборотная сторона медали. О ней 66.RU рассказал Артем Трофимов, специалист по безопасности карт в банке для предпринимателей «Точка».
Как могут украсть деньги?
В банковской сфере есть понятие «скомпрометированная карта». Это карта, полный номер которой, код CVV2 или CVC2 и другие данные стали общедоступны или попали в руки мошенников. Этих данных может быть достаточно, чтобы банк предоставил доступ к вашим деньгам. Узнать о том, что карта скомпрометирована, практически невозможно, пока ею не воспользовались без вашего ведома.
Как это может произойти? Если мошенник знает номер карты и CVV2 или CVC2, он способен совершать операции в интернет-сервисах, которые не поддерживают или намеренно не используют технологию 3D-Secure. Проще говоря, не отправляют вам одноразовый пароль, чтобы подтвердить, что покупку оплачивает именно владелец карты, а не кто-то другой.
Проверять ли личность покупателя с помощью 3D-Secure или нет, решает онлайн-продавец, а не банк, выпустивший карту. Некоторые компании осознанно проводят часть операций без этой технологии, чтобы упростить покупки для клиентов.
Интернет-магазин AliExpress сознательно отказался от 3D-Secure. Первые несколько операций там будут подтверждаться одноразовым кодом. Когда в магазине убедятся, что учетная запись не мошенническая, вам позволят совершать сделки без 3D-Secure, чтобы покупатель не делал лишних движений и не передумал после того, как ему придет СМС с паролем для подтверждения операции. Таким образом, в AliExpress самостоятельно решают, когда использовать 3D-Secure, а когда нет.
AliExpress — лишь пример того, как можно оплачивать покупки без 3D-Secure, а не место, где реально воруют. Через него практически не крадут деньги.
Агрегаторы Uber и «Яндекс.Такси» тоже не используют 3D-Secure. Мы в «Точке» не видим всплеска мошенничества в Uber, по-моему, это разовые случаи в других банках. Схема, с помощью которой мошенники выводят деньги через сервис, может быть такой. Воры привязывают украденные реквизиты — номер карты и код к ней — к профилю пассажира. Затем создают виртуальный профиль таксиста и «оплачивают» его услуги украденной картой, то есть имитируют поездки, а потом получают возмещение реальными деньгами.
Мошенники крадут деньги у клиентов банков через Uber. Под угрозой счета даже тех, кто не пользуется такси
1. Мошенники регистрируют в сервисах Booking.com или Airbnb недвижимость, причем неважно, существует ли она, и «бронируют» ее у самих себя, оплачивая покупку с помощью ворованного номера и кода карты жертвы. Сервис бронирования переводит деньги на счет мошенникам.
2. Получить чужие средства можно через сервисы доставки еды. Киберворы регистрируют предприятие или договариваются с владельцем кафе, работающего с сервисами доставки, и оплачивают заказы картой жертвы. Курьер, который ничего не подозревает, выполняет заявку, а затем блюда возвращают обратно в общепит. И так по кругу.
Мошенники хотят получить деньги с карты, а не расплачиваться за услуги с помощью украденных данных. Тем более, Booking.com и Airbnb потребуют для такой оплаты документ, удостоверяющий личность. Поэтому найти того, кто жил за чужой счет, не составит труда.
Как защитить данные?
Бережно относиться к реквизитам карт и стараться не компрометировать их. Во-первых, пользуйтесь бесконтактной оплатой через Apple Pay, Google Pay, Samsung Pay и другие сервисы. Они меняют реквизиты пластиковой карты на виртуальные — токен. Токены помогают уберечь реквизиты от третьих лиц. Даже если информацию токена узнают, она будет бесполезна, потому что в каждой транзакции используются зашифрованные динамические данные. Не за горами использование таких же токенов и при оплатах в интернете по технологии EMV® Secure Remote Commerce.
Вот несколько способов скомпрометировать данные карты:
- Держать банковскую карту на виду, например, на рабочем столе. Или хранить ее в кошельке вместе с пин-кодом.
- Хвастаться картой с необычным дизайном в соцсетях, публиковать ее фото.
- Оплатить покупку на непроверенном поддельном ресурсе. Прежде чем вводить реквизиты, проверяйте данные магазина, свяжитесь с продавцом, почитайте отзывы в интернете, позвоните по указанному телефону и проверьте через 2ГИС, «Яндекс.Карты» или другой сервис, что за организации находятся по физическому адресу магазина.
- Оплатить доставку товара по письму от «продавца». Если вы договорились о покупке и продавец прислал ссылку на сайт доставки — внимательно изучите адрес страницы, куда вы перешли, найдите номер телефона доставки через поисковую систему и сверьте с сотрудником правильность адреса. Киберворы пользуются сайтами-дублерами, очень похожими на оригинальные, где оплата доставки или покупки — это перевод с карты на карту, не более.
- Сообщить номер карты и код «службе безопасности» банка. Если вам звонят из банка, обращаются по имени, называют последние операции и уверяют, что счет под угрозой — не верьте. Положите трубку, подумайте пять минут, вспомните новости об обманутых клиентах и перезвоните по номеру клиентской службы, указанному на обратной стороне банковской карты. Цифры нужно набрать самостоятельно.
- Делиться данными карты с другими людьми.
Если вы подозреваете, что карта скомпрометирована, сразу блокируйте ее с помощью звонка или письма в банк. После этого никто не сможет потратить деньги со счета, даже зная пин-код, CVV2 и другие данные.
Что делать, если деньги украли?
Срочно сообщите об этом банку. Тогда вы с большой вероятностью сможете опротестовать мошеннические операции, особенно когда 3D-Secure не использовался. Это плюс карт по сравнению с наличными, которые воры вам вряд ли вернут.
Даже если оспорить покупку или перевод не выйдет, есть возможность заморозить ваши деньги на счетах мошенников, чтобы впоследствии вернуть их по требованию правоохранителей.
Редакция 66.RU благодарит банк для предпринимателей «Точка» за помощь в подготовке материала.
За что не любят CVV и 3D Secure. И почему разработчик не виноват. Разбор
Случай с белорусским приложением О!плати, которое позволило нам провести платежи c неправильным CVV и без 3D Secure, породил много вопросов — как о работе конкретного сервиса, так и вообще о том, как устроена защита интернет-платежей. Комментарий относительно О!плати готовит сейчас банк-эквайер Белинвестбанк. С теоретическими вопросами dev.by обратился к основателю и директору по развитию бизнеса ООО «ИКомЧардж» Александру Михайловскому. Его компания известна в Беларуси как сервис приёма онлайн-платежей bePaid.
О неправильном CVV: а был ли код?
Александр, давайте начнём с азов: что такое CVV и зачем нужна его валидация?
CVV (card verification value) — название кода у Visa, СVC (card verification code) — название аналогичного кода у Mastercard, это дополнительная мера безопасности при приеме CNP-транзакций (card not present). Платёж в интернете — это пример CNP-транзакции.
Как и в случае с PIN-кодом, предполагается, что CVV/CVC известен только держателю карты.
Это своего рода пароль, подтверждающий эмитенту, что запрос на списание денег с карты его клиента действительно пришёл от клиента. Со временем, когда стало очевидно, что этот код уже не является достаточно надёжной гарантией аутентичности держателя карты, была придумана технология 3D Secure.
Валидация CVV/CVC обязательна?
Нет. Наличие этого кода не является обязательным условием для проведения CNP-транзакции.
Как вообще происходит валидация CVV/CVC? От чего она зависит — от разработчика, от банка-эквайера, от платежной системы?
От разработчика необходимость валидировать CVV/CVC вообще никак не зависит: разработчик делает то, что ему говорит заказчик. Валидация CVV/CVC зависит от конкретной ситуации, в которой формируется транзакционный запрос от эквайера к эмитенту.
Международные платёжные системы (МПС), заинтересованные в снижении мошеннических транзакций, настоятельно рекомендуют мерчантам запрашивать CVV/CVC у своих клиентов. И как правило, эквайеры требуют от мерчантов эти рекомендации выполнять.
Вместе с тем бывают ситуации, когда CVV/CVC не запрашивается и не передается — например, при рекуррентных (повторяющихся) платежах. И вообще говоря, если эквайер решит не передавать CVV/CVC в запросе эмитенту, ничто не помешает ему это сделать. Если же CVV/CVC был запрошен и передан, эмитент в своём ответе сообщает эквайеру, совпал ли переданный CVV/CVC с оригинальным кодом или нет. И это исключительное право эмитента решать, одобрять ли платёж, если CVV/CVC не совпадает.
Почему некоторые сервисы не проверяют CVV? Может, это дорого или сложно в разработке?
Передача CVV/CVC — это стандартная процедура. Добавление ещё одного поля в запросе и обработка ответа для этого поля — это недорого и несложно. Правильнее говорить не о сервисах, а о ситуациях или типах транзакций, когда CVV/CVC не требуется или можно обойтись без него. По стандартам безопасности, принятым в платежной индустрии, введённый держателем карты CVV/CVC нельзя хранить ни на стороне процессора платежей, ни на стороне эквайера. Отсюда возникают ситуации, когда CVV/CVC можно не передавать (рекуррентные платежи) или когда он не нужен.
Если эмитент имеет возможность другими способами убедиться в том, что транзакция инициирована держателем карты, то ни CVV/CVC, ни 3D Secure ему не нужны.
А как ещё эмитент может убедиться, если не с помощью CVV/CVC и 3D Secure?
Бывают ситуации, когда эквайер и эмитент — это один и тот же банк, который к тому же проводит идентификацию клиента. Например, в О!плати при регистрации кошелька пользователь проходит идентификацию, следовательно, Белинвестбанк знает, что Иван Иванов, зарегистрировавшийся в приложении — это действительно Иван Иванов. Далее, если Иван Иванов пытается пополнить свой счет в О!плати картой Белинвестбанка, последний и без CVV/CVC и 3D Secure может проверить, действительно ли именно эта карта была выдана им Ивану Иванову.
Да, в такой ситуации отсутствие проверки понятно. Но в случае с О!плати платежи проходили без проверки CVV c карт других банков. Как такое может быть? Белорусские банки-эмитенты не запрашивают CVV/CVC?
Сложно сказать, этот вопрос надо адресовать банкам-эмитентам. Я могу сказать только одно: CVV/CVC известен лишь эмитенту, ни эквайер, ни разработчик ничего о нём не знает. Задача разработчика — принять код от клиента и отправить его на шлюз эквайера. Задача эквайера — сформировать запрос по протоколам Visa и Mastercard и передать в сети МПС. А уже эмитент, знающий, какой CVV/CVC на самом деле, даёт ответ: совпали цифры или нет. Почему проходят платежи с неправильными CVV/CVC? У меня две версии. Либо эмитент разрешил транзакции с неправильными CVV/CVC, и тогда это на совести эмитента. Либо эквайер CVV/CVC не отправляет.
(Вторая догадка Александра оказалась правильной. Наш сотрудник обратился в банк-эмитент карты, участвовавшей в тестировании, с вопросом о некорректном CVV. Пришёл такой ответ: «Банк, обслуживающий данную платформу, не передал нам поле, содержащее значение CVV-кода, введёного вами, соответственно проверки CVV-кода на нашей стороне не было. Согласно правилам международной платёжной системы, авторизовать операцию, мы как эмитент можем и без CVV-кода. По этой причине операция прошла успешно»).
А какая выгода эквайеру не передавать CVV?
Это может быть забота об удобстве плательщиков. Приём платежей в электронной коммерции — это вечный поиск баланса между защитой информации и удобством для клиентов. Например, во многих приложениях карточку можно ввести путём фотографирования — данные распознаются автоматом, но CVV/CVC в этих случаях не считается, так как он указан на обратной стороне карты. Такая практика не так уж и редка. Например, магазин Amazon тоже не запрашивает CVV/CVC — у них просто нет такого поля.
Но тут-то поле есть. И я всё равно ввожу код!
Можно предположить, что в целях упрощения платежей эквайер отказался от CVV/CVC, но разработчики не успели убрать это поле: оно есть, но данные никуда не передаются. Но это всего лишь моё предположение. Точный ответ знает только Белинвестбанк.
А почему эмитенты не отклоняют транзакции без CVV?
Трудно сказать. Для эмитентов тоже важно найти баланс между защитой своих клиентов от мошенничества и удобством карточных платежей для них же. CVV/CVC — это один из способов верификации держателя карты. Но если этот код не передан, верифицировать нечего. Однако отсутствие кода не обязательно означает, что транзакция — мошенническая.
Вот если бы код был передан и не совпал, это был бы сильный аргумент в пользу отклонения платежа. А если кода просто нет…
Принимая решение о том, одобрить или нет платёжную транзакцию, эмитент смотрит не только на наличие-отсутствие CVV/CVC, но и на другие параметры транзакции.
Может, это всё-таки стоит дополнительных денег?
Нет. По крайней мере, здесь нет расходов, которые бы делали экономически целесообразным отказ от CVV/CVC. Это стандартные протоколы, формированием запросов и обработкой ответов занимается специализированное ПО, которое само по себе дорогое, но CVV/CVC входит в его базовый функционал. Для разработчиков добавление поля тоже не представляет никакой сложности.
Давайте резюмируем эту часть: отсутствие валидации CVV/CVC — это нормально?
Это отличается от общепринятых подходов проверки пользователя, которые практикуют другие системы электронных кошельков. Обычно сперва к кошельку привязывается карта с валидацией CVV/CVC и проверкой по 3D Secure, а потом все последующие платежи идут как рекурренты, без каких-либо дополнительных проверок.
Как отсутствие валидации CVV влияет на безопасность платежей? А на риск мошеннических действий с картами?
Конечно же, отсутствие CVV/CVC при CNP-транзакции обычно увеличивает риск того, что кто-то заплатит не своей картой. Номер карты и срок её действия легко подсмотреть, запомнить, украсть. Увидеть CVV/CVC, которые расположены на обратной стороне карты — сложнее. Именно поэтому эмитенты, как правило, отклоняют транзакции, в которых CVV/CVC не совпадает с оригинальным.
Исключение в плане рисков — если банк является и эмитентом, и эквайером для собственных карт, плюс к этому он заранее идентифицировал пользователя как своего клиента — в этом случае проверка CVV/CVC уже не играет роли.
О валидации имени кардхолдера: не нужна?
Отсутствие валидации имени держателя карты — это нормально?
Да, это нормально.
Имя вообще никто и никогда не проверяет?
Я могу ошибаться, но, по-моему, имя держателя обычно не проверяется. Опять же, если кто-то и может его верифицировать, то только эмитент.
А зачем тогда это поле?
С точки зрения процессинговой компании, я бы сказал, что это поле является своего рода источником статистических данных. Если наша система фрод-мониторинга засекает две транзакции с одним номером карты, но разным именем держателя карты, для нас это сигнал о том, что одна из этих транзакций, возможно, мошенническая. Или обе. Обычно настоящие держатели карт пишут свои настоящие имена. Если эмитент решит проверять присылаемые имена и по результатам проверки будет принимать решение одобрять или отклонять транзакцию, это его право.
Опять же, как и в случае с CVV/CVC, если эмитент имеет какой-то иной способ убедиться, что транзакция действительно была инициирована его клиентом, то ему всё равно, что написано в поле «имя держателя карты».
О 3D Secure: почему им пренебрегают
О чём свидетельствует отсутствие СМС с динамическим паролем? О том, что карта или сервис не подключены к 3D Secure?
СМС с OTP (one time password), по идее, должен приходить клиенту от эмитента всякий раз, когда тот проходит проверку по 3D Secure. Отсутствие такой СМС не обязательно означает неучастие карты в программе 3D Secure. У эмитента может банально сбоить сервис проверки. Или может глючить оператор мобильной связи.
Проверка карты на участие в 3D Secure происходит в момент совершения платежа путём обращения к специальному серверу платежной системы, под брендом которой выпущена карта. МПС отвечает, участвует карта в программе 3D Secure или нет. Если участвует, в ответе указывается URL ACS (access control server) сервера эмитента, куда плательщик перенаправляется для ввода OTP. Если карта не участвует в программе 3D Secure или ACS-сервер недоступен, запрос на авторизацию передаётся эмитенту.
Если ACS-сервер доступен, но СМС не приходит из-за проблем с сотовой связи, то через 15 минут сессия закрывается и транзакция автоматически считается неуспешной.
А если карта участвует в 3D Secure, но СМС не приходит и платёж при этом успешен, значит, платёжный сервис не участвует в программе?
Да, бывает и такое. Это значит, что эквайер сервиса позволил мерчанту принимать платежи без проверки транзакций по 3D Secure. Почему он разрешил? Потому что мерчант каким-то образом гарантировал ему возмещение убытков по фрод-транзакциям. Вторая возможная причина — ACS-сервер в момент прохождения платежа был недоступен. В этом случае платёж тоже пропустят.
Почему некоторые сервисы не подключены к 3D Secure? Это сложно, дорого? Как и между кем происходят расчёты за эту услугу?
Трудно сказать почему, в каждом конкретном случае есть своя причина. Использование 3D Secure уже стало стандартом в платёжной индустрии. Международные платёжные системы создали такие условия, когда эмитенты стремятся включить все свои карты в программу 3D Secure. Дело в том, что если карта не участвует в этой программе, то ответственность за мошеннический платеж по такой карте, согласно правилам МПС, возлагается на эмитента. А кому хочется терять деньги?
Однако, если эквайер соглашается отправить эмитенту запрос на авторизацию по карте, участвующей в 3D Secure, без проверки транзакции по этому протоколу, ответственность за мошенническую транзакцию по такой карте переносится на эквайера. Если эквайер по каким-либо причинам готов принять на себя такую ответственность, он будет принимать и проводить платежи без 3D Secure.
Эквайер как-нибудь экономит, согласившись на отказ от 3D Secure? Кто платит за СМС с подтверждающим кодом?
За СМС платит эмитент, но мне кажется, что расходы там не такие уж большие. Эквайер за счёт отказа от 3D Secure никак не экономит — более того, он рискует.
Это просто, ничего не стоит, убирает риски — в чём тогда смысл отказа от защиты?
В том, чтобы клиентам мерчанта было удобнее и приятнее делать платежи, чтобы они не зависели от СМС. Как правило, отказ разрешается крупным мерчантам — мелким мерчантам такое не позволяется.
Для эквайера смысл в том, чтобы угодить крупному клиенту. Допустим, есть сервис, который обслуживает крупных мерчантов. Если крупный мерчант убеждается, что без 3D Secure объём платежей увеличивается на 5-10%, то он, конечно, захочет отказаться от защиты. Он подписывает допсоглашение с эквайером о том, что гарантирует покрытие всех убытков банка, связанных с мошенничеством. Если банк-эквайер ему откажет, есть вероятность, что мерчант пойдёт к другим банкам-эквайерам и весь оборот перейдёт к конкуренту.
Так как Белинвестбанк в описанном случае является и мерчантом, и эквайером (и эмитентом для некоторых транзакций), то понятно желание банка сделать пользование кошельком простым и приятным.
Но отсутствие проверки CVV и 3D Secure это, конечно, недосмотр. Он увеличивает риск того, что какой-нибудь жулик воспользуется приложением, соберёт ворованные карты и начнёт ездить в маршрутках налево и направо.
Это обычная история, мошенники в Беларуси склонны к странным поступкам: они воруют карты, платят ими в кафе и ресторанах, потом попадаются и идут в тюрьму.
В комментарии под материалом dev.by вы выразили мнение, что отсутствие проверки — зона ответственности банков, а не разработчика. Ответственности разработчика вообще нет?
Мы — сами разработчики и имеем опыт интеграций с сотней разных банков-эквайеров по всему миру. Разработчик делает то, что сказано в API, который он получает от эквайера. Сказано в API передавать значение CVV/CVC — разработчик будет запрашивать его у плательщика и передавать эквайеру. Но валидировать это значение может только эмитент, и никто другой. Соответственно разработчик за валидацию CVV/CVC отвечать никак не может. Решение о том, одобрять ли транзакцию с некорректным CVV/CVC, принимает эмитент. А решение о том, проводить ли такую транзакцию, принимает эквайер на основе ответа по валидации от эмитента. Так же, как и решение о том, передавать ли вообще CVV/CVC эмитенту. Как видите, разработчик здесь ни на что не влияет.
3D Secure
Оплата покупок и услуг в Интернете под защитой
3D Secure — система обеспечения безопасности платежей в сети Интернет, основанная на технологии проверки подлинности держателя карты. |
|
Система 3D Secure является частью глобальной программы Verified by Visa и MasterCard SecureCode и объединяет тысячи Интернет-магазинов по всему миру. |
Зачем нужен 3D Secure?
3D Secure позволяет Вам удостоверить свою личность во время проведения платежа в сети Интернет путем введения пароля. Проверка подлинности основана на принципе трех доменов.
Домен 1: Вы можете быть твердо уверены, что карта не будет использована в сети Интернет без Вашего ведома.
Домен 2: В свою очередь, Продавец также защищен от мошенничества и может предоставить Вам свои продукты и услуги без промедления и дополнительных затрат.
Домен 3: Банк, со своей стороны, может удостовериться в том, что платеж был проведен с соблюдением всех требований безопасности.
Как подключить 3D Secure?
В момент Вашей первой покупки в Интернет-магазине, участвующем в программе, Вам будет предложено активировать сервис 3D Secure для Вашей дебетовой или кредитной карты.
Сервис в обязательном порядке предоставляется всем клиентам Кредит Европа Банка, использующим карты для расчетов в сети Интернет.
Сколько стоит 3D Secure?
Сервис 3D Secure предоставляется бесплатно (включая SMS-сообщения, отправляемые банком).
Как 3D Secure защитит мою карту от мошенников?
После активации сервиса, каждый раз при совершении покупки в Интернет-магазинах, участвующих в программе, Вам будет предлагаться ввести пароль.
Пароль является одноразовым (действует для одной покупки) и направляется на номер Вашего мобильного телефона в SMS-сообщении.
После успешного ввода пароля Ваш платеж будет одобрен.
Как это работает?
- Вы вводите данные карты.
- Вы вводите одноразовый пароль.
ВАЖНО: одноразовый пароль действителен в течение пяти минут. - После ввода пароля и подтверждения его подлинности со стороны Visa или MasterCard Ваш платеж будет проведен!
Что мне делать, если я не получил SMS-сообщение с паролем?
- повторно проведите операцию;
- убедитесь в том, что Кредит Европа Банк располагает актуальным номером Вашего мобильного телефона;
- убедитесь в том, что Вы находитесь в зоне приема сигнала Вашего мобильного оператора;
- убедитесь в том, что в Вашем телефоне достаточно свободной памяти для получения SMS-сообщения;
- убедитесь в том, что у Вас подключен роуминг (в случае, если Вы находитесь за пределами домашней сети), Ваш тарифный план предполагает получение SMS-сообщений и Ваш счет не заблокирован.
Могу ли я совершать покупки в Интернет-магазинах, не участвующих в программе Verified by Visa / MasterCard SecureCode?
Да, но в таком случае платеж не будет защищен технологией 3D Secure. Интернет-магазины, участвующие в программе, можно установить по наличию логотипов Verified by Visa / MasterCard SecureCode на веб-странице.
Что такое 3D Secure? Принцип работы технологии
В тех местах, где люди тратят деньги, всегда есть риск нарваться на мошенников. Интернет не исключение. Скорее, наоборот: здесь жуликов значительно больше.
Прожженные аферисты, сидя за решеткой, находят способы подключиться к сети, чтобы украсть деньги добропорядочных обывателей. Даже школьники, которых не научили уважать закон, пользуясь мнимой анонимностью, рады обмануть в интернете.
Поэтому безопасность платежей с помощью банковской карты в виртуальном пространстве находится на высоком уровне. Если пользователь сам не сообщит мошенникам конфиденциальную информацию, у них не будет ни единого шанса.
Технология 3D Secure как раз об этом. Авторизация платежей происходит максимально надежно, и беспокоиться стоит только о собственной внимательности в интернет-магазинах, где пользователь вводит данные карты.
3D Secure: что это
3D Secure – это протокол защиты при авторизации, без присутствия карты, когда происходит оплата товара или услуг. Впервые он был задействован международной платежной системой Visa, затем, с небольшими изменениями, был принят и другими МПС.
Протокол добавляет дополнительную ступень аутентификации пользователя при совершении сделки онлайн. Это позволяет банку или торговой точке убедиться, что операцию проводит держатель карты, а не мошенники.
3D в этом случае означает, конечно, не спецэффекты, как в кинотеатре. Это система, когда в процессе оплаты происходит проверка трех доменов: домена банка, сотрудничающего с интернет-магазином, домена банка владельца карты и домена платежной системы.
Как работает технология 3D Secure
Чаще всего, с помощью СМС.
Клиент, совершая покупку на сайте, перенаправляется на страницу банка, выпустившего карту. Здесь, в специальном поле, надо ввести одноразовый код, который пришел в сообщении на телефон, привязанный к карте. Срок действия кода не превышает 5 минут, затем придется запросить новый пароль.
Не сообщайте пароль из СМС посторонним людям, даже сотрудникам банка. Эта информация только для вас.
Некоторые банки не используют одноразовые коды, а требуют только пароль, который пользователь задал при регистрации, что не так надежно.
Функция бесплатна и является стандартной для карт Visa и MasterCard. Если она не подключена, есть четыре способа исправить ситуацию:
- Через интернет банкинг, в личном кабинете.
- В банкомате, принадлежащем финансовому учреждению, выпустившему карту.
- Совершив звонок в банк.
- Сделав заявку менеджеру в офисе.
Не все интернет-магазины поддерживают технологию 3D Secure. На таких ресурсах для покупки необходимо знать только реквизиты: номер и код CVV2/CVC2. Любой, кто обладает этой информацией, может воспользоваться картой, так как платежи пройдут без подтверждения по СМС или логину и паролю.
Если торговая площадка поддерживает безопасные платежи, это отмечается надписью: Verified by Visa (VbV) или MasterCard Secure Code.
Иногда возникает необходимость отключить услугу, например, за границей или сменив номер телефона. Если такой возможности нет в личном кабинете онлайн-банкинга, придется обращаться в банк с письменным заявлением. Некоторые банки дают возможность изменить номер телефона без отключения защиты.
Еще немного о безопасности
Технологии сделали все возможное для повышения безопасности онлайн-платежей. Сохранность сбережений зависит, в основном, от действий пользователя.
- Игнорируйте звонки и сообщения с вопросами о личных данных и реквизитах карты. Это конфиденциальная информация.
- Проверяйте остаток средств на карте. Если подозреваете несанкционированное списывание денег со счета – свяжитесь с банком.
- Запомните номер банка, с которого приходят СМС с информацией. Не доверяйте другим коротким номерам.
- Контролируйте документы с реквизитами карты: выписки, чеки и тому подобные. Если они не нужны, лучше их уничтожить.
- Проверяйте надежность сайта, где вводите данные карты. Это можно увидеть в адресной строке: защищенный протокол https://.
- Проверяйте на вирусы программное обеспечение на компьютере и смартфоне.
В случае, если и телефон и карта утеряны владельцем, стоит немедленно связаться с сотрудниками банка и заблокировать движения по счету.
Non 3D Secure Sites
3D Secure — это система безопасности, в которой на личный номер телефона владельца карты отправляется «код» для обеспечения безопасности карты в случае покупок, совершаемых в Интернете с помощью кредитной карты или банковской карты. Код вставлен на страницу перенаправления, и покупка завершена. Это означает, что код на самом деле является разрешением. Следовательно, без 3D Secure будет нарушение безопасности. Однако, даже если у нас есть безопасная оплата, наступит момент, когда нашего телефона не будет рядом с нами.В такие моменты вы можете совершить покупку на веб-сайтах без 3D Secure без каких-либо проблем. Если вы знаете об этих веб-сайтах, вы можете делать покупки без 3D Secure по своему усмотрению.
О незащищенных веб-сайтах
Чтобы покупать что-либо в Интернете, не обязательно иметь код 3D Secure. Некоторые веб-сайты позволяют делать покупки без этого метода безопасности. Этот метод — лишь одна из мер безопасности. Сайты без 3D secure не оставляют пользователей полностью беззащитными.Большинство из них имеют собственные методы оплаты и внимательно следят за незаконными платежами. Однако рекомендуется соблюдать осторожность при совершении покупок на этих веб-сайтах. Вам необходимо как можно чаще использовать 3D Secure, чтобы не допустить кражи карты. Добавьте к этому, что покупки на упомянутых веб-сайтах появляются на вашем банковском счете. В случае кражи карты доказать это можно без проблем.
Сайты без 3D Secure
На указанных ниже сайтах 3D Secure не используется.Они безопасны и качественно обслуживаются на протяжении многих лет в индустрии интернет-магазинов.
- Steam не использует 3D Secure. Это всемирно признанная платформа для распространения цифровых игр, созданная в 2003 году корпорацией Valve. Вы можете купить любую игру в Steam с помощью кредитной или банковской карты.
- Amazon не использует 3D Secure. Amazon — компания, начинающая с продажи книг, компания, которая за короткое время стала центром мировой онлайн-торговли. На Amazon можно купить практически все, что угодно, например DVD-диски, книги, электронные книги, предметы домашнего обихода или предметы личного пользования.
- Trendyol не использует 3D Secure. Trendyol — это зона безопасных покупок в Интернете, где вы можете найти тысячи товаров различных категорий, таких как женщины, мужчины, дети, дом и быт, супермаркет, косметика, обувь, сумки, часы и аксессуары, а также электроника.
Аутентификация карты и 3D Secure
Что такое 3D Secure?
Для дополнительной защиты от мошенничества 3D Secure требует от клиентов выполнения дополнительных этапов проверки у эмитента карты при оплате.Обычно вы направляете клиента на страницу аутентификации на веб-сайте его банка, и он вводит пароль, связанный с картой, или код, отправленный на его телефон. Этот процесс знаком клиентам по торговым маркам карточных сетей, таким как Visa Secure и Mastercard Identity Check. Посмотрите наше видео, чтобы увидеть пример процесса оформления заказа с аутентификацией.
Правила строгой аутентификации клиентов в Европе требуют использования 3D Secure для платежей по картам. 3D Secure не является обязательным в других регионах, но все же может использоваться в качестве инструмента для уменьшения мошенничества.
Stripe поддерживает 3D Secure 2. Ваша интеграция запускает 3D Secure 2, если поддерживается банком клиента, и возвращается к 3D Secure 1 в противном случае.
Хотите использовать службу Stripe 3D Secure с другими процессорами? Контактная поддержка.
Спорные платежи и смена ответственности
Платежи, которые были успешно аутентифицированы с помощью 3D Secure, покрываются смещением ответственности . Если платеж 3D Secure будет оспорен держателем карты как мошеннический, ответственность переходит от вас к эмитенту карты.Эти типы споров обрабатываются внутри компании, не отображаются в Личном кабинете и не приводят к снятию средств с вашей учетной записи Stripe.
Если покупатель оспаривает платеж по любой другой причине (например, продукт не получен), применяется стандартный процесс оспаривания. Таким образом, вы должны принимать соответствующие решения в отношении своего бизнеса и того, как вы управляете спорами, если они возникают, и как полностью их избежать.
Сдвиг ответственности может также произойти, если для сети карты требуется 3D Secure 1, но 3D Secure недоступен для карты или эмитента.Это может произойти, если сервер 3D Secure эмитента не работает или если эмитент не поддерживает 3D Secure, несмотря на то, что сеть карт требует поддержки 3D Secure. В процессе оплаты держателю карты не предлагается пройти аутентификацию 3D Secure, поскольку карта не зарегистрирована. Хотя владелец карты не выполнил аутентификацию 3D Secure, ответственность по-прежнему перекладывается на эмитента.
Существуют определенные обстоятельства, при которых платежи, успешно аутентифицированные с помощью 3D Secure, не претерпевают изменения ответственности.Это редко и может произойти, например, если в вашей учетной записи наблюдается чрезмерный уровень мошенничества и вы участвуете в программе мониторинга мошенничества.
Несмотря на то, что платежи, которые были успешно аутентифицированы с помощью 3D Secure, не могут быть оспорены как мошеннические с помощью авансового финансового платежа, эмитенты могут инициировать запрос на извлечение. Этот тип спора не является финансовым и в основном представляет собой запрос информации.
Важно отметить, что ответ на запросы извлечения важен для любой платы, но жизненно важен , когда речь идет об оплате с проверкой подлинности 3D Secure.Хотя банку держателя карты не разрешается подавать авансовый финансовый платеж за мошенничество, ему разрешается инициировать финансовый возвратный платеж, если продавец не отвечает на запрос извлечения, известный как возвратный платеж без ответа . Чтобы предотвратить возвратные платежи по платежам 3D Secure без ответа, не забудьте предоставить достаточную информацию о платежах. Вы должны включить информацию о том, что было заказано, как это было доставлено и кому было доставлено (будь то товары или услуги и т. Д.).
Контроль времени представления потока 3D Secure
Stripe запускает 3D Secure автоматически, если это требуется нормативными требованиями, такими как строгая проверка подлинности клиентов. Вы также можете использовать правила Radar или API, чтобы контролировать, когда клиентам предлагается завершить аутентификацию 3D Secure, делая определение для каждого пользователя на основе желаемых параметров.
Чтобы отследить, применялась ли 3D Secure к платежу по карте, прочтите свойство three_d_secure информации о карте в разделе payment_method_details
начисления.Stripe заполняет свойство three_d_secure
, когда клиент пытается аутентифицировать карту — three_d_secure.succeeded
указывает, прошла ли аутентификация успешно.
Когда вы запускаете 3D Secure, Stripe требует, чтобы ваш клиент выполнил аутентификацию для завершения платежа, если аутентификация 3D Secure доступна для карты. Если 3D Secure не поддерживается картой или во время аутентификации возникает ошибка, платеж проходит нормально. Когда это происходит, ответственность обычно не перекладывается на эмитента, поскольку успешная аутентификация 3D Secure не состоялась.
Использование правил радара на панели инструментов
Stripe предоставляет три правила по умолчанию для динамического запроса 3D Secure при создании или подтверждении PaymentIntent или SetupIntent. Вы можете настроить эти правила 3D Secure Radar на панели инструментов Stripe. На следующем снимке экрана показаны эти правила Radar, которые запрашивают дополнительную аутентификацию от клиентов, когда эмитент их карты требует 3D Secure:
Первое правило включено по умолчанию, но вы можете отключить его.
Если у вас есть Radar for Fraud Teams, вы можете добавить собственные правила 3D Secure, используя синтаксис, описанный в нашем справочнике по правилам. Radar запрашивает аутентификацию 3D Secure для платежей, соответствующих этим правилам. В приведенном ниже примере включенное правило запрашивает аутентификацию 3D Secure для попыток платежа, когда сумма платежа превышает 500 долларов США, а уровень риска не считается нормальным.
Запросить 3D Secure вручную с помощью API
Методом по умолчанию для запуска 3D Secure является использование Radar для динамического запроса 3D Secure на основе уровня риска и других требований.Запуск 3D Secure вручную предназначен для опытных пользователей, интегрирующих Stripe со своим собственным механизмом защиты от мошенничества.
Чтобы запустить 3D Secure вручную, установите payment_method_options [card] [request_three_d_secure] с
на любой
при создании или подтверждении PaymentIntent или SetupIntent. Этот процесс аналогичен единовременным платежам или будущим внесезонным платежам. Если указан этот параметр, Stripe пытается выполнить 3D Secure и отменяет любые динамические правила 3D Secure Radar в PaymentIntent или SetupIntent.
Когда предоставлять этот параметр, зависит от того, когда ваша система защиты от мошенничества обнаруживает риск. Например, если ваша система защиты от мошенничества проверяет только данные карты, вы знаете, следует ли запрашивать 3D Secure, прежде чем создавать PaymentIntent или SetupIntent. Если ваша система защиты от мошенничества проверяет и данные карты, и транзакции, укажите этот параметр во время подтверждения — как только у вас появится дополнительная информация. Затем передайте полученный PaymentIntent или SetupIntent своему клиенту, чтобы завершить процесс.
Изучите использование параметра request_three_d_secure
для каждого случая в справке по API:
Когда вы устанавливаете request_three_d_secure
на любой
, Stripe требует, чтобы ваш клиент выполнил аутентификацию для успешного завершения платежа, если аутентификация 3D Secure доступна для карта.Если 3D Secure недоступен для данной карты, оплата происходит в обычном режиме.
Правила SCA Stripe запускаются автоматически, независимо от того, запрашиваете ли вы 3D Secure вручную. Любые запросы 3D Secure от вас являются дополнительными и не требуются для SCA.
Отображение 3D Secure Flow
Stripe автоматически отображает пользовательский интерфейс аутентификации во всплывающем модальном окне при вызове confirmCardPayment
и handleCardAction
. Вы также можете выбрать перенаправление на веб-сайт банка или использовать iframe.
Stripe.js собирает основную информацию об устройстве во время аутентификации 3D Secure 2 и отправляет ее в банк-эмитент для анализа рисков.
Перенаправление на веб-сайт банка
Чтобы перенаправить вашего клиента на страницу аутентификации 3DS, передайте return_url
в PaymentIntent при подтверждении на сервере или на клиенте. Вы также можете установить return_url
при создании PaymentIntent.
После подтверждения, если PaymentIntent имеет статус requires_action, проверьте значение next_action
для PaymentIntent.Если это redirect_to_url, это означает, что требуется 3D Secure.
next_action: { тип: 'redirect_to_url', redirect_to_url: { url: 'https: //hooks.stripe.com / ...', return_url: 'https://mysite.com' } }
В браузере перенаправьте клиента на url
в хэше redirect_to_url для завершения аутентификации.
var action = intent.next_action; if (action && action.type === 'redirect_to_url') { окно.location = action.redirect_to_url.url; }
Когда клиент завершает процесс аутентификации, перенаправление отправляет его обратно на return_url
, который вы указали при создании или подтверждении PaymentIntent. Перенаправление также добавляет параметры запроса URL payment_intent
и payment_intent_client_secret
, которые ваше приложение может использовать для идентификации PaymentIntent, связанного с покупкой клиента.
Отображение в iframe
Вы не можете настроить пользовательский интерфейс аутентификации в Интернете в соответствии с дизайном вашего веб-сайта — банк, выпустивший карту, контролирует шрифты и цвета интерфейса.
Однако вы можете выбрать , как и , где отображается пользовательский интерфейс 3D Secure. Большинство продавцов показывают его в модальном диалоговом окне над своей платежной страницей. Если у вас есть собственный модальный компонент, вы можете разместить внутри него рамку 3D Secure. Вы также можете показать содержимое аутентификации в форме оплаты.
1 Подтверждение PaymentIntent на стороне сервера
Когда ваш клиент готов завершить свою покупку, вы подтверждаете PaymentIntent, чтобы начать процесс сбора его платежа.
Если вы хотите контролировать отображение 3D Secure, укажите return_url
, куда будет перенаправляться 3D Secure
после завершения аутентификации. Если ваш сайт использует политику безопасности контента, убедитесь, что iframe из https://js.stripe.com
, https://hooks.stripe.com
и источник URL-адреса, который вы передали на return_url
, являются разрешается.
Если вы подтверждаете из внешнего интерфейса, используйте метод confirmCardPayment
в Stripe.js. Например, если вы собираете информацию о карте с помощью Stripe Elements:
stripe.confirmCardPayment ( '{{PAYMENT_INTENT_CLIENT_SECRET}}', { payment_method: {card: cardElement}, return_url: 'https://example.com/return_url' }, {handleActions: false} ) .then (функция (результат) { });
Если вы подтверждаете со своего сервера, обязательно укажите return_url
. В зависимости от вашей интеграции вы можете захотеть передать другую информацию , а также подтвердить
.
curl https://api.stripe.com/v1/payment_intents/{{PAYMENT_INTENT_ID}}/confirm \
-u sk_test_4eC39HqLyjWDarjtT1zdp7dc
: \
-d "return_url" = "https://example.com/return_url"
2 Проверить статус PaymentIntent На стороне сервера
Затем проверьте свойство статуса подтвержденного PaymentIntent, чтобы определить, успешно ли завершился платеж. В следующем списке описаны возможные значения статуса
и их значение:
requires_payment_method | Запрос не выполнен с кодом статуса 402 HTTP, что означает, что платеж не прошел.Проверьте свойство last_payment_error и попытайтесь повторить попытку, собрав при необходимости новую платежную информацию от клиента. |
requires_action | Для завершения платежа требуется дополнительный шаг, такой как 3D Secure. Попросите клиента вернуться в ваше приложение для завершения оплаты. |
выполнено успешно | Платеж завершен, создается Начисление с предоставленным способом оплаты. Никаких дальнейших действий не требуется. |
Обратите внимание, что в версиях API до 11.02.2019 requires_payment_method
отображается как requires_source
, а requires_action
отображается как requires_source_action
.
3 Визуализация iframe 3D Secure на стороне клиента
Когда значение свойства status
равно requires_action
, требуется некоторый дополнительный шаг перед обработкой платежа. Для платежа по карте, требующего 3D Secure, статус PaymentIntent будет иметь вид
requires_action
, а его свойство next_action будет иметь значение redirect_to_url
.Полезная нагрузка redirect_to_url
содержит URL-адрес, который необходимо открыть в iframe для отображения 3D Secure:
var iframe = document.createElement ('iframe'); iframe.src = paymentIntent.next_action.redirect_to_url.url; iframe.width = 600; iframe.height = 400; yourContainer.appendChild (iframe);
Для 3D Secure 2 эмитенты карт должны поддерживать отображение содержимого 3D Secure в размерах 250x400, 390x400, 500x600, 600x400 и в полноэкранном режиме (размеры - это ширина по высоте).Пользовательский интерфейс 3D Secure может быть лучше, если вы откроете iframe точно с одним из этих размеров.
Атрибут песочницы
нельзя использовать в iframe 3D Secure. В режиме реального времени часть содержимого внутри этого iframe контролируется эмитентом карты. Реализации некоторых эмитентов потерпят неудачу, если будут помещены в песочницу, и платеж никогда не будет успешным.
4 Обработка перенаправления на стороне клиента
После того, как клиент завершит 3D Secure, iframe перенаправляет на return_url
, который вы указали при подтверждении PaymentIntent.Эта страница должна отправить сообщение на вашу страницу верхнего уровня, чтобы сообщить ей, что аутентификация 3D Secure завершена. Затем ваша страница верхнего уровня должна определить, был ли платеж успешным или требует дальнейших действий от вашего клиента.
Например, ваша страница return_url
может выполняться:
window.top.postMessage ('3DS-authentication-complete');
Ваша верхняя платежная страница должна прослушивать это сообщение, чтобы знать, когда аутентификация завершена.Затем вы должны получить обновленный PaymentIntent и проверить статус платежа. Если аутентификация не удалась, статус PaymentIntent будет requires_payment_method
. Если платеж завершен успешно, статус - успешно
. Если вы используете отдельные авторизацию и захват, вместо этого будет установлен статус requires_capture
.
function on3DSComplete () { yourContainer.remove (); stripe.retrievePaymentIntent ('{{PAYMENT_INTENT_CLIENT_SECRET}}') .then (функция (результат) { if (result.error) { } еще { if (result.paymentIntent.status === 'успешно') { } else if (result.paymentIntent.status === 'requires_payment_method') { } } }); } window.addEventListener ('сообщение', функция (ev) { if (ev.data === '3DS-authentication-complete') { on3DSComplete (); } }, ложный);
Тестирование потока 3D Secure
Используйте тестовую карту Stripe с любым CVC, почтовым индексом и будущей датой истечения срока действия, чтобы запустить поток запросов аутентификации 3DS в тестовом режиме.
Когда вы создаете интеграцию с тестовыми ключами API, в процессе аутентификации отображается фиктивная страница аутентификации. На этой странице вы можете либо авторизовать, либо отменить платеж. Авторизация платежа имитирует успешную аутентификацию и перенаправляет вас на указанный URL-адрес возврата. Нажатие на кнопку Failure имитирует неудачную попытку аутентификации.
4000000000003220 | Обязательно | Проверка подлинности 3D Secure 2 должна быть завершена для успешной оплаты.По умолчанию ваши правила радара будут запрашивать аутентификацию 3D Secure для этой карты. |
4000000000003063 | Обязательно | Проверка подлинности 3D Secure должна быть завершена для успешной оплаты. По умолчанию ваши правила радара будут запрашивать аутентификацию 3D Secure для этой карты. |
4000008400001629 | Требуется | Требуется аутентификация 3D Secure, но после аутентификации платежи будут отклонены с кодом ошибки card_declined .По умолчанию ваши правила радара будут запрашивать аутентификацию 3D Secure для этой карты. |
4000000000003055 | Поддерживается | Аутентификация 3D Secure может выполняться, но не требуется. По умолчанию ваши правила радара не запрашивают аутентификацию 3D Secure для этой карты. |
4242424242424242 | Поддерживается | 3D Secure поддерживается для этой карты, но эта карта не зарегистрирована в 3D Secure. Это означает, что если 3D Secure запрашивается вашими правилами радара, клиент не будет проходить дополнительную аутентификацию.По умолчанию ваши правила радара не запрашивают аутентификацию 3D Secure для этой карты. |
378282246310005 | Не поддерживается | 3D Secure не поддерживается на этой карте и не может быть запущен. PaymentIntent продолжится без аутентификации. |
Все другие тестовые карты Visa и Mastercard не требуют аутентификации от эмитента карты клиента.
Вы можете написать собственные правила радара в тестовом режиме для активации аутентификации на тестовых картах.Узнайте больше о тестировании ваших правил радара.
незащищенных сайтов 3D - учетные записи и ключи
3D Secure, это система отправки кода на номер телефона держателя карты для обеспечения безопасности карты в случае оплаты кредитной или дебетовой картой в интернет-магазинах. Отправленный код вводится на странице банковских маршрутов сайтов, и покупка завершается. Так что эта запись кода на самом деле является разрешением. Следовательно, отказ от использования 3D secure может привести к уязвимости системы безопасности. Однако, даже если мы хотим совершать безопасные платежи, могут быть случаи, когда нашего телефона нет с нами.В такое время мы без проблем можем делать покупки на сайтах, не защищенных 3D-безопасностью. Когда вы узнаете, что это за сайты, вы можете делать покупки по своему усмотрению, не используя 3D secure.
О незащищенных сайтах
Чтобы покупать что-либо в Интернете, не требуется код 3D-безопасности. Некоторые сайты позволяют торговать без использования этой меры безопасности. Этот метод - лишь одна из мер безопасности. Сайты без 3D secure не оставляют пользователя полностью уязвимым.Многие из них имеют собственные способы оплаты и тщательно отслеживают незаконные платежи. Однако при совершении покупок на таких сайтах рекомендуется соблюдать осторожность.
Вы должны как можно чаще использовать 3D secure, чтобы избежать инцидентов, связанных с кражей карт. Однако покупки, сделанные на этих сайтах, также появятся на вашем банковском счете. Таким образом, вы можете легко доказать, что ваша карта была украдена в случае кражи карты.
Сайт без защиты 3D
3D secure не используется на сайтах, представленных ниже.Эти сайты надежны и предоставляют качественные услуги в сфере электронной коммерции на протяжении
лет.- Steam не использует 3D Secure. Steam - это платформа для распространения цифровых игр, разработанная Valve Corporation в 2003 году и в короткие сроки представленная миру. В Steam вы можете купить нужную игру на свою кредитную или дебетовую карту.
- Amazon не использует 3D Secure. Amazon - компания, которая начала торговлю с продажи книг, быстро распространилась по миру и стала одним из центров деловой активности в Интернете.Вы можете купить все, от DVD до компьютеров, от книг до электронных книг, от предметов домашнего обихода до личных вещей на Amazon.
- Trendyol не использует 3D Secure. Trendyol, где вы можете найти десятки тысяч товаров для женщин, мужчин, детей, дома и быта, супермаркетов, косметики, обуви, сумок, часов и аксессуаров, а также электроники, является одним из самых безопасных адресов для покупок в Интернете.
Что такое 3D Secure?
3D Secure (3-доменная структура), также известная как аутентификация плательщика, представляет собой протокол безопасности, который помогает предотвратить мошенничество при онлайн-транзакциях с кредитными и дебетовыми картами.Эта дополнительная безопасность была инициирована и создана Visa и MasterCard, и она имеет маркировку «Verified by Visa» и «MasterCard SecureCode» соответственно.
Аутентификация плательщика - это трехэтапный процесс, поэтому в нем участвуют три стороны: эмитент (например, Visa или MasterCard), эквайер и домен взаимодействия (например, платежная система).
Как работает 3D Secure
Когда вы, как продавец, включили 3D Secure на своем веб-сайте, а ваш покупатель использует карту, зарегистрированную в программе 3D Secure, процесс выглядит следующим образом:
- Клиент вводит информацию о своей кредитной или дебетовой карте в форму оплаты
- SecurionPay связывается с сервером каталогов и получает сообщение о том, что карта зарегистрирована в программе
- Клиент видит страницу 3D Secure, когда ему необходимо пройти аутентификацию в банке-эмитенте, введя пароль или одноразовый PIN-код
- Результат аутентификации 3D Secure поступает в SecurionPay, а затем мы отправляем детали транзакции в банк-эквайер.
- Сделка санкционирована эквайером
- Клиент может увидеть ответ о том, успешна ли транзакция или нет
Преимущества 3D Secure
Одним из преимуществ 3D Secure является сокращение числа случаев мошенничества.Он также делает покупки / коммерцию более безопасными в Интернете, поддерживает лояльность к бренду, прост в использовании, повышает доверие клиентов на веб-сайтах и, следовательно, увеличивает расходы в Интернете.
Ограничения обслуживания
3D Secure имеет определенные ограничения: во-первых, не все карты в настоящее время участвуют в схеме аутентификации плательщика программы, а во-вторых, это не ограничивает возможность возвратных платежей, но снижает стоимость мошеннических возвратных платежей.
Ответственность за возврат средств для 3D Secure
Что касается ответственности за возврат платежа, 3D Secure следует рассматривать как дополнительный уровень защиты, обеспечиваемый эмитентом карты.Фактически, в случае мошеннической транзакции, она аутентифицируется с помощью 3D Secure, очень вероятно, что ответственность перейдет на эквайера. Короче говоря, розничные продавцы защищены от вводящих в заблуждение возвратных платежей, поскольку ответственность передается.
рабочих процессов на основе рисков с аутентификацией 3D-Secure или без нее
По данным Due, прогнозируемый объем продаж электронной коммерции к 2020 году должен был достичь 632 млрд долларов, что повысит стимулы интернет-мошенников к новаторству своей тактики. 1 По мере того, как люди продолжают оставаться дома и больше совершать транзакции на цифровом уровне, мы ожидаем, что прогнозируемые цифры будут и дальше расти. Если не будут приняты дополнительные меры, прогнозируется, что убытки от мошенничества со стороны CNP со стороны банков и других продавцов в Соединенных Штатах могут составить более 12 миллиардов долларов к 2020 году. залив. В этой статье мы узнаем больше о рабочих процессах, основанных на оценке риска, с использованием или без использования 3DS.
Что такое 3DS?
3DS или 3D-Secure - это безопасный протокол, разработанный для обеспечения повышенной безопасности и более строгой аутентификации для клиентов, когда они используют свои дебетовые или кредитные карты для покупок в Интернете.Выгоды для продавцов включают снижение риска мошенничества и перенос ответственности за мошенничество с продавца на эмитента. Версия 1 протокола 3DS была разработана в 1999 году, и по мере развития технологий недостатки протокола стали очевидны. 3DS 2.x был разработан для устранения недостатков 1.x и содержит разработки, которые включают дополнительные контекстуализированные данные (более 100 полей), которые могут быть предоставлены продавцом эмитенту, согласованность в способе представления экранов аутентификации покупателю, удобные для мобильных устройств варианты и возможность для специализированных сторонних устройств и поставщиков цифровой информации об идентификации обогатить процесс принятия решений о рисках - лучше выявлять доверенных, возвращающихся клиентов, обеспечивая при этом улучшенную защиту от мошеннических действий.
Удовлетворяет ли 3DS2 требованиям SCA?
PSD2 требует соблюдения принципов строгой аутентификации клиентов (SCA). PSD2 еще не применяется для транзакций 3DS, но он будет в какой-то момент в будущем, и мы должны быть готовы. Для успешной транзакции требуется сочетание как минимум двух из следующих факторов аутентификации:
- Что-то, что знает клиент: OTP (одноразовый пароль), SMS-код, PIN-код, пароль, секретный вопрос и т. Д.
- То, что принадлежит клиенту: Мобильное устройство, носимое устройство и т. Д.
- Что-то, что является клиентом: Биометрические данные, такие как отпечаток пальца, сканирование радужной оболочки глаза, распознавание лица или голоса.
С учетом вышесказанного, 3DS предоставляет механизм для SCA, который должен выполняться во время процесса оплаты электронной коммерции - сама аутентификация осуществляется не через 3DS, но ее взаимодействие в процессе оплаты позволяет выполнять действия аутентификации.
Как выглядит клиентский опыт с поддержкой 3DS?
Риск транзакции оценивается поставщиком услуг 3D-Secure эмитента кредитной или дебетовой карты.3DS используется для аутентификации события онлайн-платежа. Если транзакция определена как высокорисковая, транзакция проходит проверку или сразу отклоняется. Другими словами, он предлагает держателю карты подтвердить свою личность, используя один из трех факторов аутентификации, выбранных поставщиком 3DS. Если транзакция считается малорисковой, со стороны держателя карты не требуется никаких дальнейших действий. После аутентификации транзакция отправляется для окончательной авторизации и утверждения.
Есть ли у продавцов выбор в США?
Торговцы борются между трением и конверсией, и поскольку 3DS действительно создает некоторое трение, некоторые торговцы не предпочитают использовать протокол безопасности 3DS.Если они не используют 3DS, они берут на себя ответственность и контролируют уровень риска, который они готовы принять, как часть риска продавца и аппетита потребителей. Если они решат внедрить 3DS, ответственность за мошенничество перекладывается с продавцов на эмитентов карт, но они несут расходы в результате проталкивания транзакций через 3DS. Да, они платят за такой уровень безопасности, но они также знают, что не понесут никаких убытков от мошенничества или дополнительных операционных расходов для управления возвратными платежами.Это также означает, что торговцы будут оставлять деньги на столе и больше не будут контролировать уровень риска, который они готовы взять на себя.
Как продавцы обеспечивают эффективный баланс между мошенничеством, трением и аутентификацией клиентов?
Независимо от того, внедряют ли продавцы 3DS или нет, для них важно оценить рабочие процессы, основанные на оценке риска, по этим двум причинам:
- Если у продавца включена 3DS, на онлайн-мероприятии проводится оценка риска, и 3DS позволяет продавцам и эмитентам карт принимать информированное решение о рисках
- Если у продавца не включена 3DS, чтобы уменьшить потери от мошенничества и эксплуатационные расходы
На что обращать внимание стороннее решение при оценке рабочих процессов?
Идея использования стороннего решения заключается в снижении ответственности, такой как потери от мошенничества и операционные потери.Продавцам следует обратить внимание на следующие характеристики в решении:
Атрибуты, связанные с устройством и цифровой идентификацией: Независимо от того, применяется ли оно продавцом напрямую в рамках собственной оценки рисков или через 3DS как часть оценки рисков эмитента карты, устройства и Анализ цифровой идентичности может предоставить совершенно новый набор данных о компонентах.
Решение: Продавцы должны использовать глубокую и обширную информацию для оценки риска - будь то вся информация, которой располагает продавец (включая такие данные, как адрес доставки, активность веб-страницы и т. Д.) или расширенный объем данных, передаваемых эмитенту карты через 3DS. Для получения дополнительной информации продавцы могут подняться еще на один уровень и использовать данные своих коллег, используя существующие консорциумы.
Когда дело доходит до принятия решений, важнее всего скорость и точность. Использование большего количества данных, как упомянуто выше, может повысить точность. Чтобы обеспечить скорость, продавцы могут использовать модели машинного обучения, возможности пассивной аутентификации, такие как поведенческая биометрия и флагманские модели.
Простота развертывания: Возможность развертывания нескольких типов клиентских маршрутов на основе оценки риска может создать дополнительный уровень защиты от мошенничества. Это также обеспечит направление клиента по соответствующему пути на основе этого результата и позволит продавцам и / или эмитентам карт найти эффективный баланс между мошенничеством и трениями.
Подводя итог, можно сказать, что рабочие процессы, основанные на оценке рисков, могут повысить ценность как аутентификации на основе 3DS, так и аутентификации, не основанной на 3DS. Для аутентификации 3DS подход, основанный на оценке риска, поможет продавцам завоевать доверие эмитентов кредитных и дебетовых карт.Если эмитент доверяет рабочим процессам, реализованным продавцом, он будет менее консервативным и будет принимать больше транзакций. Для аутентификации, не основанной на 3DS, рабочие процессы, основанные на оценке рисков, становятся еще более важными, потому что это может помочь продавцам максимизировать защиту и конверсию.
1. https://due.com/blog/addressing-rising-payment-fraud-rates-us/
2. https://www.forbes.com/sites/rogeraitken/2016/10/26/us- card-fraud-loss-might-превосходит-12 млрд-к 2020 году / # 6caf744ad243
киберпреступников адаптируются к обходу 3D Secure - Fraud Intelligence
03.03.2021
Ключевые выводы
- Gemini обнаружил на форумах темной сети нескольких человек, занимающихся деятельностью, связанной с обходом меры безопасности 3D Secure (3DS), которая представляет собой протокол, разработанный как дополнительный уровень безопасности для онлайн-транзакций по кредитным и дебетовым картам.
- Тактика киберпреступников для обхода мер 3DS включает различные методы социальной инженерии и фишинговые или мошеннические страницы. Вредоносные программы и технические атаки с меньшей вероятностью будут работать в новой версии 3DS 2.0.
- Хотя технология 3DS 2 повысит уровень безопасности онлайн-транзакций, уровни глобального внедрения были разными. Осуществление мандата Европейского союза возглавляет эти усилия.
- Хотя 3DS 2 сложнее обойти киберпреступникам, она не лишена хорошо отточенных навыков социальной инженерии.Gemini Advisory с умеренной уверенностью оценивает, что киберпреступники, вероятно, продолжат использовать социальную инженерию и фишинг для обхода мер безопасности 3DS
Фон
Gemini обнаружил на форумах темной сети нескольких человек, которые занимаются деятельностью, связанной с обходом меры безопасности 3D Secure (3DS). 3DS - это протокол, разработанный как дополнительный уровень безопасности для онлайн-транзакций по кредитным и дебетовым картам. Начиная с версии 1 существовало несколько версий этого протокола.0; последняя версия - 2.0. 3D Secure 2.0 (3DS 2) был разработан для работы со смартфонами. Аутентификация платежа может принимать форму отпечатка пальца или распознавания лица, а не просто паролей или текстовых сообщений с подтверждением, что обеспечивает более удобное обслуживание клиентов. Это важно для широкого внедрения, учитывая сдерживающий эффект, который дополнительные шаги проверки 3DS оказали на клиентов, размещающих платежи, которые иногда отказывались от своих транзакций после того, как они стали слишком обременительными.
Согласно Emerchantpay, последние версии 3DS также используют самые передовые функции безопасности, такие как 3DS 2. Он анализирует более 100 ключевых точек данных, включая контекстные данные продавца, выступая в качестве расширенного уровня защиты от мошенничества. Владелец карты вводит данные своей карты при оформлении заказа. На этом этапе поставщик услуг 3DS продавца отправляет эмитенту запрос аутентификации с расширенными данными. Эти данные включают различный объем информации о держателях карты и устройстве в зависимости от региональных или рыночных ограничений, таких как идентификатор устройства, MAC-адрес, географическое положение, предыдущие транзакции и т. Д.
Киберпреступники могут использовать различные тактики для обхода мер 3DS, большинство из которых включает в себя различные методы социальной инженерии. Кроме того, киберпреступники могут использовать фишинговые или мошеннические страницы, чтобы обманом заставить своих жертв предоставить информацию о своей карте, а также информацию для проверки платежа, которую преступники могут затем использовать для совершения мошеннических покупок.
Углубленный анализ
Пароль
Согласно исследованию Gemini, более ранние версии 3DS имели уязвимости, которые киберпреступники могли использовать для обхода этих функций безопасности.Одним из этих недостатков было требование пароля для транзакции, который иногда принимал форму личного идентификационного номера (PIN). Киберпреступники могут найти различные способы получения пароля, в том числе с помощью социальной инженерии, чтобы обманом заставить жертву предоставить свой пароль. Ниже приведены некоторые из способов, которыми киберпреступники могут этого добиться.
Социальная инженерия
Социальная инженерия может принимать разные формы. Особенно опытные киберпреступники могут обманом заставить своих жертв предоставить пароли, выдавая себя за представителя банка.Например, некоторые украденные платежные карты, продаваемые на торговых площадках дарквеба, содержат полную информацию о держателях карты, включая имя, номер телефона, адрес электронной почты, физический адрес, девичью фамилию матери, идентификационный номер, номер водительских прав и т. Д. Используя эту информацию, киберпреступник может позвонить клиенту, выдать себя за работника банка, сначала предоставив жертве некоторую личную информацию (PII), а затем запросить у жертвы свой пароль для окончательного подтверждения личности.
Изображение 1: PII на запись за последние 12 месяцев карточек, выставленных на продажу в даркнете.
Подобные методы социальной инженерии можно было использовать в более поздних версиях 3DS. 5 сентября 2020 года аналитики Gemini заметили, что известный хакер описал метод социальной инженерии, с помощью которого киберпреступники могут совершать мошеннические покупки в режиме реального времени, обманывая свою жертву. По словам хакера, киберпреступники сначала должны иметь карту с полной информацией о жертве, а затем загрузить приложение для подделки телефонных номеров и устройство для смены голоса.На следующем этапе хакер порекомендовал перейти на сайт покупок по выбору мошенника и ввести карту покупок и платежную информацию. Затем хакер рекомендовал подделать номер телефона банка, который обычно находится на обратной стороне банковской карты, и позвонить жертве, используя те же шаги, что и описанные выше, чтобы жертва могла спокойно делиться своей информацией. На последнем этапе хакер сообщает жертве, что она получит код подтверждения для окончательной проверки личности, после чего киберпреступник должен разместить заказ в магазине; когда будет предложено ввести проверочный код, который был отправлен на телефон жертвы, мошенник должен получить этот код у жертвы.
Изображение 2: сообщение benten777, объясняющее, как обойти 3DS.
Фишинговые страницы
Поиск на форумах в темной сети показал, что различные киберпреступники занимаются деятельностью, связанной с продажей информации, собранной с фишинговых сайтов, продажей инъекций, собирающих информацию о жертвах, и созданием фишинговых сайтов. Фишинговые сайты часто имитируют реальные сайты и обманом заставляют жертв вводить информацию об их аккаунтах, которую киберпреступники затем собирают и обрабатывают на реальном сайте.В этом типе мошенничества киберпреступники могут представить жертве интернет-магазин, который выглядит идентичным реальному магазину. Когда жертва невольно делает покупки на фишинговом сайте, киберпреступники передают платежные реквизиты на законный сайт для оплаты своих покупок, которые затем жертва невольно проверяет с помощью 3DS.
Изображение 3: фишинговая страница Amazon.
Мелкие покупки
3DS иногда может затруднять покупки, и поэтому дополнительные шаги проверки могут удерживать клиентов от совершения покупок.Чтобы упростить процесс покупки, некоторые интернет-магазины отключают функцию 3DS для небольших покупок, которые, в зависимости от магазина, могут составлять сотни долларов. Например, транзакции на сумму менее 30 долларов не облагаются налогом, но не в том случае, если карта используется 5 раз или общие расходы превышают 100 долларов. У других сайтов есть свои требования, иногда до 400 долларов. Киберпреступники могут протестировать эти сайты, чтобы определить, какая сумма покупки запускает 3DS, а затем сохранить покупки ниже этих сумм.
PayPal
Другой способ, которым киберпреступники могут обойти 3DS, - это использование PayPal. В этой схеме киберпреступники добавляли информацию о украденной платежной карте в учетную запись PayPal и использовали метод оплаты PayPal при совершении покупок. Чтобы эта схема работала с дебетовой картой, злоумышленникам потребуется доступ к банковскому счету для подтверждения мини-депозита вместе с кодом PayPal. Однако для кредитной карты им потребуется только доступ к онлайн-счету PayPal, поскольку PayPal не всегда выдает код проверки для подтверждения.На торговых площадках и форумах темной сети продаются платежные карты с данными для входа в банковский счет. Затем киберпреступники могут приобрести такую информацию и успешно добавить платежные карты в PayPal. После добавления карты в PayPal киберпреступники могут совершать покупки на торговых площадках, которые позволяют совершать платежи PayPal без использования 3DS, даже если она включена на этом сайте.
Изображение 4: Русскоязычный хакер, продающий банковские счета с доступом в Интернет.
Вредоносное ПО
Как упоминалось выше, часть проверки 3DS версии 1 включает отправку текстового сообщения с кодом безопасности держателю карты для подтверждения покупок.Киберпреступники могут установить вредоносное ПО на мобильный телефон жертвы, чтобы перехватить такие сообщения. Во многих случаях такое вредоносное ПО прикрепляется к вредоносным приложениям в Android-приложениях в магазине Google Play, которые устанавливаются ничего не подозревающими жертвами. Магазин Google Play позволяет предлагать своим пользователям приложения с открытым исходным кодом, и поэтому пользователи Android особенно восприимчивы к приложениям, которые могут заразить их телефоны. Затем эта вредоносная программа будет перехватывать любые входящие текстовые сообщения, включая коды проверки 3DS, которые затем используются при совершении покупок.
3DS 2 и SCA
3DS был обновлен до 3DS 2, который был разработан для работы со смартфонами. Аутентификация платежа может принимать форму отпечатка пальца или распознавания лица, а не просто паролей или текстовых сообщений с подтверждением, что обеспечивает более удобное обслуживание клиентов. Это важно для широкого внедрения, учитывая сдерживающий эффект, который дополнительные шаги проверки 3DS оказали на клиентов, размещающих платежи, которые иногда отказывались от своих транзакций после того, как они стали слишком обременительными.
14 сентября 2019 годаEurope представила новый набор требований к платежам, чтобы повысить стандарты аутентификации онлайн-платежей. Эти требования известны как строгая проверка подлинности клиентов (SCA) и включают сроки соблюдения в 2020 и 2021 годах для каждой страны. SCA предназначен для защиты инициируемых клиентом платежей (в отличие от повторяющихся платежей) и может выполняться с помощью 3DS 2, которая, как ожидается, будет основной формой соблюдения платежных требований. Как и в более ранних версиях 3DS, он включает положения, освобождающие транзакции на сумму ниже определенных от дополнительной проверки.
Несмотря на то, что технология 3DS 2 повысит уровень безопасности онлайн-транзакций, уровни глобального внедрения были разными. Европа лидирует среди правительств в распространении мандатов на усыновление. Соединенные Штаты выбрали менее прямой подход; Защита от ответственности за мошенничество в США для продавцов, использующих 3DS 1.0, истекает 17 октября 2021 года. Американские эмитенты должны перейти на 3DS 2.0 до 31 августа 2020 года, а продавцы, которые не обновятся до 3DS 2.0 до 17 октября 2021 года, не смогут Преимущество перехода ответственности за мошенничество от продавца к банку-эмитенту.AsiaPay, ведущий азиатский сервис цифровых платежей и технологий, анонсировал свое решение Xecure 3DS 2.0, которое имеет сертификат EMV 3-D Secure (3DS) версии 2.2. Таким образом, благодаря прямым предписаниям, нормативным стимулам или инициативам частного сектора внедрение 3DS 2.0 растет во всем мире, хотя реализация в разных странах различается.
По мере того, как Европа принимает эти новые требования, безопасность основных транзакций улучшается. Однако это повысит спрос на киберпреступные средства обхода 3DS 2.Более технические методы взлома, нацеленные на 3DS, вряд ли найдут такой же успех в 3DS 2, но схемы фишинга и социальной инженерии часто выходят за рамки технических обновлений. Это может сделать многие из описанных выше методов более ценными в киберпреступном подполье.
Заключение
Старые версии 3DS, такие как версия 1.0 (которая до сих пор широко используется во всем мире), уязвимы для хакеров, которые находят способы обойти свои функции безопасности.Новую версию 3DS 2 сложнее обойти киберпреступникам, особенно с помощью технических средств, но она не лишена хорошо отточенных навыков социальной инженерии. Кроме того, киберпреступники используют фишинговые страницы, чтобы обманом заставить жертв предоставить свои пароли и PIN-коды для совершения мошеннических покупок. Gemini Advisory с умеренной уверенностью оценивает, что киберпреступники, вероятно, будут продолжать полагаться на социальную инженерию и фишинг, чтобы обойти меры безопасности 3DS.
Заявление о консультативной миссии Близнецов
Gemini Advisory предоставляет крупнейшим финансовым организациям действенную информацию о мошенничестве, чтобы снизить постоянно растущие киберриски.В нашем запатентованном программном обеспечении используются асимметричные решения, которые помогают в реальном времени выявлять и изолировать активы, нацеленные на мошенников и онлайн-преступников.
Вам это действительно нужно?
Содержание
- Что такое 3-D Secure 2.0?
- Как работает 3D Secure?
- В чем разница между 3-D Secure 2.0 и 1.0?
- Каковы плюсы и минусы 3-D Secure?
- Стоит ли внедрять 3-D Secure на мобильных устройствах?
- является 3-D Secure 2.0 обязательно?
- Как включить 3-D Secure 2.0?
Каждый раз, когда обсуждение безопасности электронной коммерции, мошенничества с кредитными картами и возвратных платежей продолжается достаточно долго, неизбежно возникает тема 3-D Secure 2.0.
3-D Secure 2.0 - это новый стандарт безопасности, который позволяет продавцам более надежно аутентифицировать клиентов, не добавляя больших проблем в процесс оформления заказа.
Эта технология уже стала обязательной в некоторых странах и на некоторых рынках, так почему же еще не все ее используют? Давайте поговорим о том, что такое 3-D Secure, как он работает и какие преимущества дает продавцам.
Что такое 3-D Secure 2.0?
3-D Secure 2.0 - это протокол, предназначенный для предоставления дополнительной информации для проверки личности для онлайн-транзакций, позволяя продавцам связываться с банком держателя карты и, при необходимости, с держателем карты.
3-D Secure изначально был разработан сторонней компанией, но вскоре был приобретен Visa. В то время как исходная версия 3-D Secure могла быть неуклюжей, когда требовалась дополнительная аутентификация, 3-D Secure 2.0 оптимизирует процесс, чтобы процесс оформления заказа был максимально простым, без ущерба для безопасности. Mastercard и American Express с тех пор создали свои собственные протоколы с функциональностью, аналогичной 3-D Secure.
Как работает 3D Secure?
Когда владелец карты совершает покупку у продавца с включенным 3-D Secure, определенная информация о транзакции и устройстве отправляется в банк-эмитент держателя карты, который либо одобряет транзакцию, либо отправляет владельцу карты текстовое сообщение с одноразовым паролем для входа. .
Информация, отправляемая продавцом, может включать такие вещи, как адрес выставления счета, адрес доставки, идентификатор устройства, IP-адрес и т. Д.
Согласно Visa, банк-эмитент может передать более 100 полей. После того, как данные получены эмитентом, они проходят через автоматизированную систему обнаружения мошенничества, которая классифицирует транзакцию как с низким, так и с высоким риском.
Транзакции с низким уровнем риска утверждаются автоматически, и у клиента обычно возникает задержка в 1-5 секунд при обработке платежа.Для транзакций с высоким риском держателю карты отправляется одноразовый пароль в виде текстового сообщения, а приложение или веб-сайт открывает поле для ввода этого пароля. Клиенты также могут аутентифицировать свою покупку, открыв свое банковское приложение и используя биометрическую аутентификацию, такую как отпечаток пальца или распознавание лица.
В чем разница между 3-D Secure 2.0 и 1.0?
В октябре 2016 года EMVCo опубликовала спецификацию 3-D Secure 2.0. Версия 2.0 была разработана, чтобы исправить некоторые ограничения исходной 3-D Secure, не мешая взаимодействию с клиентами.
Между первой и второй версиями 3-D Secure есть два ключевых различия:
- 3-D Secure 2.0 поддерживает мобильные устройства.
- 3-D Secure 2.0 решает несколько проблем безопасности и удобства использования, присутствующих в версии 1.0. Это включает замену статических паролей одноразовыми паролями и биометрическую идентификацию.
Переход на 3-D Secure 2.0 соответствует переходу потребителей к мобильным устройствам и портативным покупкам, и многие продавцы используют этот факт в рамках своей бизнес-стратегии.
Каковы плюсы и минусы 3-D Secure?
Основным преимуществом 3-D Secure является повышенная защита от возвратных платежей в результате настоящего мошенничества. Основными недостатками являются затраты на внедрение и обслуживание, а также небольшое увеличение трения во время оформления заказа для некоторых клиентов.
3-D secure по существу добавляет двухфакторную аутентификацию только к покупкам, которые считаются рискованными, повышая безопасность, не затрагивая большинство клиентов. Это не только значительно снижает риск мошенничества, но и продавцы, как правило, не несут ответственности за любые связанные с мошенничеством возвратные платежи, возникающие при транзакциях, в которых использовалась 3-D Secure.
Наша аналитика показала, что продавцы, использующие 3-D Secure, могут сократить количество возвратных платежей на целых 70%.
Согласно Visa, 95% транзакций с использованием 3-D Secure относятся к категории низкого риска и не требуют дополнительной аутентификации, что означает, что только 5% ваших клиентов испытают какие-либо существенные различия в процессе оформления заказа.
Для этих 5% дополнительная задержка при оформлении заказа может быть не оценена, но с распространением двухфакторной аутентификации на многих веб-сайтах и приложениях электронной коммерции и финансовых услуг большинство клиентов, вероятно, не будут слишком удивлены или раздражены дополнительным шагом в проверка.
Основным недостатком 3-D Secure является то, что, в зависимости от вашей реализации и вашего платежного процессора, могут возникнуть или не возникнуть дополнительные расходы, связанные с установкой и / или использованием 3-D Secure. Однако эти расходы могут быть компенсированы защитой от возвратных платежей.
Стоит ли внедрять 3-D Secure на мобильных устройствах?
Продавцы, которые уже интегрировали технологию 3-D Secure в свои настольные веб-сайты, также должны решить, использовать ли 3-D Secure для мобильных веб-страниц или приложений.
Хотя нельзя отрицать, что 3-D Secure повышает безопасность и снижает вероятность мошенничества, недостаток дополнительного шага аутентификации может быть несколько более значительным на мобильных устройствах, где пользователей может раздражать необходимость переключения на другое приложение и обратно.
В конечном счете, выбор, внедрять ли 3-D Secure для мобильных устройств, может зависеть от покупательских привычек ваших клиентов и коэффициента возвратных платежей.
Если большой процент ваших клиентов совершает покупки на вашем мобильном сайте, а коэффициент возвратных платежей выше, чем должен быть, это веский аргумент в пользу добавления 3-D Secure.Вы можете потерять часть продаж из-за этого, но необходимо устранить опасность перехода на территорию чрезмерного чарджбэка.
Чтобы решить, следует ли включать 3-D Secure в мобильной версии вашего сайта электронной коммерции, необходимо учитывать несколько факторов:
- Требуется ли технология 3-D Secure правилами, которым вы подчиняетесь, или скоро это произойдет?
- Сталкиваетесь ли вы с высоким уровнем мошеннических транзакций?
- Вы сталкиваетесь с большим объемом возвратных платежей, так что процент возвратных платежей приближается или превышает 1%?
- Насколько велика вероятность того, что процент отказа от корзины увеличится из-за того, что 3-D Secure «прервет» процесс оформления заказа?
Продавцам в некоторых странах все просто - их правительства решили за них, что им нужна 3-D Secure.Если вы по-прежнему можете выбирать тот или иной путь, тщательно подумайте, как это может повлиять на ваших клиентов. В большинстве случаев у этого нового протокола гораздо больше преимуществ, чем недостатков, но у каждого продавца есть свои уникальные соображения.
FAQ
Является ли 3-D Secure 2.0 обязательной?
Это зависит от действующих в вашей стране правил. По умолчанию это не так. Некоторым структурам соответствия, таким как PSD2, требуется 3-D Secure 2.0.
Как включить 3-D Secure 2.0?
Свяжитесь с вашим платежным процессором или представителем сети карт, чтобы узнать, как вы можете задействовать свои торговые платформы с помощью 3-D Secure 2.0 без проблем.
Спасибо, что подписались на блог Chargeback Gurus . Не стесняйтесь присылать предложения по темам, вопросы или запросы о совете по адресу: win@chargebackgurus.com
.
Welcome to our blog!