3D secure как обойти: На форуме в дарквебе описали методы обхода 3D Secure для банковских карт

3D secure как обойти: На форуме в дарквебе описали методы обхода 3D Secure для банковских карт

Содержание

Юлия Сакович: В Беларуси активничают телефонные мошенники. Нацбанк дал советы

Злоумышленники не оставляют попыток обмануть доверчивых граждан — в последнее время все чаще звонят по Viber якобы от имени банка. Их легенды бывают убедительными, и некоторые люди сообщают мошенникам данные карточек. Что делать в такой ситуации и есть ли шанс вернуть деньги, рассказала БЕЛТА начальник отдела финансовой грамотности управления информации и общественных связей Нацбанка Юлия Сакович.

— Как мошенники чаще всего обманывают белорусов в интернете по телефону, когда пытаются украсть деньги?

— Наиболее часто мошенники используют для выманивания денег технологии социальной инженерии. Это психологическое манипулирование людьми для побуждения их на какие-то определенные действия или разглашение конфиденциальной информации. Самые распространенные для нашей страны — вишинг (с использованием телефонной связи), фишинг (поддельные сайты, на первый взгляд идентичные оригиналу), взлом социальных сетей и рассылка сообщений от чужого имени с просьбой выслать деньги. Цель одна — хищение денежных средств.

— Какие предлоги используют злоумышленники, которые, используя телефонную связь, выманивают у людей конфиденциальную информацию?

— Вишинг-мошенники могут представляться сотрудниками банка, работниками госучреждений или, например, покупателями, которые звонят по объявлению о продаже, размещенному на виртуальных торговых площадках или в социальных сетях. Для этого используются различные схемы: возможность устранить проблему с неожиданно списанными деньгами, сообщение о якобы оформленном кредите, отмена «ошибочно» выполненного перевода на карточку жертвы, история о преступниках, которые пытаются незаконно использовать карточку, угроза блокировки карточки и др. И, конечно же, по их словам, избежать всех этих неприятностей можно только сообщив «сотруднику» персональные данные — реквизиты банковской платежной карточки, сеансовые одноразовые коды, которые приходят в СМС-сообщениях на телефоны, логины и пароли и др.

Для убедительности и правдоподобия мошенники пользуются профессиональной терминологией, говорят быстро и уверенно, при разговоре слышен офисный шум, имитирующий работу кол-центра. При этом зачастую они давят на эмоции людей, уверяя, что случится что-то непоправимое, торопят и запугивают. В большинстве случаев номера телефонов звонящих могут быть скрыты либо принадлежать операторам связи других государств. Мошенники могут также использовать специальные программы, изменяющие номера телефонов, с которых идут звонки, тогда они определяются как официальные номера, указанные на сайте банка. Они также используют официальные логотипы банков и других учреждений. Зачастую для звонков используется Viber.

Так, например, недавно зафиксированы звонки гражданам от мошенников в мессенджере Viber, которые представлялись сотрудниками Национального банка. Звонки совершались с телефонных номеров, похожих на номер контакт-центра Национального банка +375 (17) 375-20-02 с использованием официального логотипа.

Помните: сотрудники банков никогда не используют Viber для звонков клиентам. Банк никогда не будет запрашивать пароли и другие секретные данные. Сотрудник банка при звонке клиенту заранее должен знать все необходимые сведения.

— Что делать, если человеку звонят с номера банка и просят предоставить конфиденциальную информацию?

— Уточните ФИО и должность звонящего и скажите, что перезвоните ему сами. Положите трубку и наберите официальный номер банка. Но даже если у вас на телефоне высветился знакомый номер банка, ни в коем случае не делайте на него обратный звонок. Наберите номер кол-центра банка вручную. Телефон банка можно найти на обратной стороне банковской платежной карточки или на официальном сайте банка.

— А если мошенникам все же удалось получить реквизиты карточки?

— Если реквизиты банковской платежной карточки стали известны третьим лицам (реквизиты скомпрометированы), ее необходимо срочно заблокировать. Это можно сделать несколькими способами: позвонить в кол-центр обслуживающего банка, воспользоваться возможностями мобильного, интернет- или СМС-банкинга, обратиться лично в отделение банка.

В большинстве случаев придется перевыпустить банковскую платежную карточку. Это, как правило, требует временных и материальных затрат, но помогает предотвратить более серьезные финансовые потери.

— Что делать, если деньги все-таки украли?

— При наличии несанкционированного списания денежных средств со счета карточки, независимо от размера нанесенного ущерба, нужно как можно скорее обратиться в правоохранительные органы. Любые сведения о злоумышленниках помогут раскрыть преступление.

На законодательном уровне установлен принцип нулевой ответственности. Это значит, что если у вас с карточки украли деньги, то вы можете в течение 30 дней обратиться в банк, и деньги вам должны вернуть за 45 дней (если это произошло в Беларуси), а если операция по списанию денег произошла за пределами нашей страны, то срок возврата удлиняется до 90 дней.

Однако следует помнить, что нулевая ответственность действует только при условии, если были соблюдены все правила безопасного использования банковских платежных карточек. То есть нулевая ответственность не избавляет держателей банковских карточек от обязанности быть бдительным и контролировать движение средств на счете. Если клиент сам сообщит преступникам секретную информацию, которую нельзя разглашать, вернуть деньги через банк не получится.

— Давайте еще раз назовем правила безопасности, которые помогут людям защитить деньги на счетах от телефонных мошенников.

— Это простые правила, выполнять которые не составит труда. Первое — ни под каким предлогом никому не сообщать личные данные (ФИО, паспортные данные), реквизиты самой банковской платежной карточки (номер банковской платежной карточки, срок ее действия) и секретную информацию (CVC/CVV-код на оборотной стороне карточки, коды из СМС-сообщений, ПИН-код). Подключите услугу дополнительной безопасности 3D-Secure (добавочное подтверждение операций, совершаемых в интернете).

Не доверяйте слепо СМС-сообщениям. Не спешите переходить по ссылкам из сообщений «от банка». Присматривайтесь к написанию имени сайта и наличию у браузера отметки, что сайт безопасен. В любой непонятной ситуации звоните в банк по официальному номеру и уточняйте информацию. Полезно также подключить услугу СМС-оповещения, которая позволит получать уведомления о совершенных операциях и мгновенно узнавать о неправомерных действиях, а значит, и своевременно реагировать на угрозу.

БЕЛТА.-0-

Способы мошенничества в электронной коммерции

Кража персональных данных, взлом аккаунта (Identity Theft, Account Takeover)

Согласно результатам исследования (The Nilsen Report 2015), наиболее распространенными видами мошенничества, которые вызывают максимальное беспокойство, являются кражи персональных данных (identity theft) – 71%, фишинг (phishing) – 66% и взлом аккаунта (account theft) – 63%. Здесь кредитные карты являются наиболее популярным объектом, потому как мошенник может произвести транзакцию без наличия карты.

В целом, при краже персональных данных (identity theft), целью мошенников является проведение транзакций под чужой личностью. Вместо того, чтобы придумывать абсолютно новую личность, они просто используют уже существующую. Как правило, это сделать гораздо быстрее и проще.

В случае совершения кражи персональных данных (identity theft), целью мошенников обычно являются личные данные, такие как имена, почтовые адреса и адреса электронной почты, а также данные кредитных карт или информация об аккаунте (счете). Это позволяет мошенникам, например, совершать заказы товаров в интернете под чужим именем и оплачивать их, используя чужую кредитную карту или списание средств с чужого счета.

В то время как фишинг (phishing) включает в себя использование фиктивных веб-сайтов, электронной почты или текстовых сообщений для доступа к персональным данным. Есть и другой метод, известный как фарминг (pharming), когда фиктивные страницы в браузере перенаправляют ничего не подозревающих клиентов на веб-сайт мошенников.

Чаще всего для того, чтобы получить чужие персональные данные достаточно лишь иметь украденный пароль. Это может быть использовано, чтобы завладеть существующей учетной записью в интернет-магазине, ведь в большинстве случаев данные для оплаты уже хранятся в учетной записи. Конечно, хакерские атаки на провайдеров услуг электронной коммерции и похищение данных об их клиентах также подпадают под эту категорию мошенничества, так как это осуществляется с помощью вредоносных программ на компьютерах с целью совершения кражи личных данных (identity theft).

Наиболее распространенные из них – это когда используют взаимосвязи между клиентами и продавцами (или между клиентами и банками) для того, чтобы фиксировать данные для входа в систему. Также существуют возможности перехвата данных по кредитным картам через почту или при отправке копии кредитных карт в ресторанах, гостиницах или в банкоматах. При этом очевидны истинные масштабы проблемы кражи личных данных.

Какие есть ограничения при переводах в мобильном приложении Kaspi.kz? — Переводы




Обновлен
27.09.21

Все переводы доступны 24/7.

 

Ограничений по количеству переводов нет.

 

Ограничения по сумме:

 

  В день В месяц
Kaspi Gold
Между своими счетами
в разных валютах 10 млн ₸ нет
Социальный Счет → Kaspi Gold нет нет
Kaspi Депозит → Кредитная Карта нет сумма задолженности по карте
Kaspi Gold → Кредитная Карта
Клиенту Kaspi
Kaspi Gold → Kaspi Gold 1 млн ₸ нет
Карта другого банка Казахстана 2 500 $
эквивалент в ₸
10 000 $
эквивалент в ₸
Международные переводы
Kaspi Gold для ребёнка
Между своими счетами Недоступно
Клиенту Kaspi
Kaspi Gold родителя, который открыл карту → Kaspi Gold для ребенка 1 млн ₸ нет
Kaspi Gold другого клиента → Kaspi Gold для ребенка нет 50 000 ₸
Kaspi Gold для ребенка → Kaspi Gold других клиентов
Kaspi Gold для ребенка → Kaspi Gold родителя, который открыл карту 1 млн ₸ нет
Карта другого банка Казахстана Недоступно
Международные переводы
В день В месяц
Kaspi Gold
Между своими счетами
в разных валютах
10 млн ₸ нет
Социальный Счет → Kaspi Gold
нет нет
Kaspi Депозит → Кредитная Карта
нет сумма задолженности по карте
Kaspi Gold → Кредитная Карта
нет сумма задолженности по карте
Клиенту Kaspi
Kaspi Gold → Kaspi Gold
1 млн ₸ нет
Карта другого банка Казахстана
С карты на карту
2 500 $
эквивалент в ₸
10 000 $
эквивалент в ₸
Международные переводы
На карту любого банка мира
2 500 $
эквивалент в ₸
10 000 $
эквивалент в ₸
Kaspi Gold для ребенка
Между своими счетами недоступно
Kaspi Gold родителя, который открыл карту → Kaspi Gold для ребенка
1 млн ₸ нет
Kaspi Gold другого клиента → Kaspi Gold для ребенка
нет 50 000 ₸
Kaspi Gold для ребенка → Kaspi Gold других клиентов
нет 50 000 ₸
Kaspi Gold для ребенка → Kaspi Gold родителя, который открыл карту
1 млн ₸ нет
Карта другого банка Казахстана недоступно
Международные переводы недоступно
В день В месяц
Kaspi Gold
Между своими счетами
в разных валютах
10 млн ₸ нет
Социальный Счет → Kaspi Gold
нет нет
Kaspi Депозит → Кредитная Карта
нет сумма задолженности по карте
Kaspi Gold → Кредитная Карта
нет сумма задолженности по карте
Клиенту Kaspi
Kaspi Gold → Kaspi Gold
1 млн ₸ нет
Карта другого банка Казахстана
С карты на карту
2 500 $
эквивалент в ₸
10 000 $
эквивалент в ₸
Международные переводы
На карту любого банка мира
2 500 $
эквивалент в ₸
10 000 $
эквивалент в ₸
Kaspi Gold для ребенка
Между своими счетами недоступно
Kaspi Gold родителя, который открыл карту → Kaspi Gold для ребенка
1 млн ₸ нет
Kaspi Gold другого клиента → Kaspi Gold для ребенка
нет 50 000 ₸
Kaspi Gold для ребенка → Kaspi Gold других клиентов
нет 50 000 ₸
Kaspi Gold для ребенка → Kaspi Gold родителя, который открыл карту
1 млн ₸ нет
Карта другого банка Казахстана недоступно
Международные переводы недоступно

 

При переводе с карты другого банка ограничение по сумме устанавливает банк, выпустивший карту. Также если карта другого банка не поддерживает технологию 3D Secure, то перевод совершить невозможно. Для подключения 3D Secure необходимо обратиться в банк, который выпустил карту.


60% считают ответ полезным

Для Вас ответ оказался полезным?



Да


Нет


Спасибо за отзыв!

Пожалуйста, укажите причину:


  • Это не то, что я искал


  • Мне не нравится, как это работает

  • Я знаю как улучшить ответ

Отправить

Попробуйте воспользоваться поиском:

Все результаты

Что важно учитывать в системе процессинга платежей

Если вы предприниматель, занимающийся торговлей, но все еще не продаете онлайн, то пора начинать это делать. Причем, прямо сейчас. Теперь все больше бизнесменов, например, занимающихся производством, открывающих магазины в разных городах, где продают продукцию, свою или от партнеров, все внимательнее присматриваются к виртуальному миру. А для многих и вовсе продавать онлайн проще, чем в реальном мире.

Большие деньги электронной коммерции

Насколько сейчас актуально торговать в виртуальном мире, говорят следующие цифры. В Германии в прошлом году жители потратили в интернет-магазинах более 150 миллиардов евро. В России, не являющейся по части э-коммерции ведущей в мире страной, в 2018 году товарооборот онлайн превысил триллион долларов. В свою очередь в США только за один сезон зимних предпраздничных распродаж потратили в интернете более 100 миллиардов долларов. И по прогнозам мировых аналитиков, цифры, связанные с э-коммерцией, будут только расти. 

А когда речь заходит о торговле онлайн, здесь нельзя обойти тему процессинга. Об этом Bilderlings уже рассказывал подробно в своем блоге, однако – напомним ключевые моменты.

Процессинг платежей – это процесс обработки данных и информации, который происходит во время совершения платежных операций между владельцем карты, банком-эмитентом, банком держателя карты.

Процессинговые центры – провайдеры платежных сервисов, юридические лица, которые используют или координируют систему обработки финансовых операций по банковским картам. Такими центрами могут быть достаточно независимые структуры, либо они являются частью классического банка или крупной финтех-компании.

Самый быстрый выигрывает

То есть, речь идет о сервисах, которые обеспечивают проведение финансовых операций онлайн. И здесь, пожалуй, самое главное – это скорость проведения транзакций и защита финансовых операций от виртуальных мошенников, от фрода. Когда мы говорим о скорости проведения операций, необходимо учитывать разные показатели, например, пиковую нагрузку на процессинг. Здесь нормой считается показатель – 95-100 tps. Хотя самые современные системы процессинга электронных платежей (интернет-эквайринга) имеют показатели выше 110 tps, причем, в «реальном времени».

Предпринимателям, которые решили подключиться к системе процессинга, важно понимать и что такое «конверсия платежей». Под конверсией понимают количество успешных платежей от общего количества транзакций.

Конверсию платежей необходимо анализировать, поскольку это напрямую влияет на ваш бизнес. В зависимости от технологических возможностей платежного шлюза, процессингового центра, она может быть доведена до максимальной эффективности.

Логично, чем выше показатель успешных операций в системе э-коммерции, тем лучше конечному потребителю. У быстрых систем (и, конечно, надежных) показатель приближается к 100%. Хотя 99,98% – 99,99% – это тоже весьма хороший показатель.

Многие банки и финтех-компании, подключенные к системе процессинга, используют специальные аналитические модули, которые собирают и обобщают статистические данные, например, об отказах при проведении финансовой операции – между банками и тем же интернет-магазином.

Система «зависать» не имеет права

Предпринимателю важно понимать, что «пропускная способность», скорость проведения финансовой операции, напрямую зависит от количества транзакций в секунду, которое платежному шлюзу приходится обрабатывать. Обычно оплата услуг или товара на сайте интернет-торговца, где есть кнопка «Оплатить» (мерчант-аккаунт), занимает не более двух секунд. Но если система перегружена, поскольку одновременно проводится много платежей из разных мест, то клиенты выстраиваются в виртуальную очередь.

Современный клиент, привыкший получать быстрый результат, если что-то в системе одного интернет-торговца зависает, уходит на сайт конкурента. Более того, есть и такие весьма неприятные для торговца нюансы. Покупатель, попав в эту очередь, кликает по кнопке «Оплатить» один раз, не видит никакого результата и машинально нажимает ее второй, третий раз. Когда очередь клиента подошла – к тому, чтобы, наконец, провести операцию по оплате за товар, системой обрабатываются все три запроса (а то и больше, если покупатель кликнул кнопку «Оплатить» раз десять). И торговцу тогда приходится возвращать переплаченные деньги, в итоге, скорее всего, он теряет клиентов.

Если мы говорим о проверенных и серьезных процессинговых системах, как например, Bilderlings, то финтех-компания помогает клиентам в ситуациях с чарджбэками. Если клиент оформит возвратный платеж, то любая процессинговая компания должна ему помочь.

Когда предприниматель с уже готовым сайтом интернет-магазина включается в систему процессинга, ему важно узнать о том, какой будет rolling reserve (роллинг резерв, то есть, резервация денежных средств). Роллинг резервом называют процент от суммы каждой транзакции, который удерживается со счета торговца банком-эквайером обычно на 120-180 дней. Альтернативой такой схеме может служить страховой депозит, то есть фиксированная сумма, которая лежит на расчетном счету компании владельца интернет-магазина и используется в качестве гарантии для покрытия чарджбеков.

Защита от мошенников – без этого никуда

Всегда необходимо учитывать и безопасность процесса проведения финансовых операций в интернете. Системы защиты на стороне процессингового центра. Например, стандарты безопасности канала для передачи финансовой информации – Bilderlings – гарантированы сертификацией карточных систем Visa и Mastercard – PCI DSS высшего уровня.

Стандарт безопасности платежных карт PCI DSS был разработан еще в 2006 году (и он до сих пор актуален!), в процессе участвовало более 600 ведущих специалистов – и из области финансов, и из смежных отраслей. Этот стандарт обязателен для всех компаний, которые хранят на своей стороне данные владельцев карт.

Если мы говорим о системах безопасности от проведения мошеннических транзакций, то процессинговая компания, как правило, пользуется сразу несколькими одновременно. Самыми надежными считаются, например, 3d secure (Verified by VISA и MasterCard Secure Code), AntiFraud. Надежные системы интернет-эквайринга удачно комбинируют 3-4 (а то и больше) программы защиты.

В системе э-коммерции одна из важных функциональностей, что предлагает солидная процессинговая компания, – это уже готовые модули для интеграции в самые популярные CMS (Content Management System – системы управления содержимым), такие как WooCommerce, PrestaShop, Opencart, Magento, Drupal, Mozello. О них, кстати, Bilderlings подробно рассказывал в блоге ранее.

Словом, клиенту, который решает активнее развивать бизнес, открывая интернет-магазины и даже торговые площадки, важно, чтобы система процессинга была надежной и стабильной. И значит, выбирая компанию, которая будет осуществлять процессинг, нельзя ошибиться.

Big Data, ML и клей ПВА

Сравнив между собой наиболее популярные методы биометрии, сегодня мы подробнее рассмотрим, насколько они устойчивы к фальсификациям. Читайте в этой статье, как хакеры обманывают сканер отпечатков пальцев, путают Big Data системы уличной видеоаналитики и выдают себя за другое лицо с помощью модной технологии машинного обучения (Machine Learning) под названием Deep Fake.

От телефона до видеоаналитики Big Data: 7 реальных примеров взлома биометрических систем

Начнем с метода распознавания лиц в Big Data системах уличного видеонаблюдения. Существующие алгоритмы Machine Learning могут успешно распознать человека даже по 70% лица, например, если он частично скрылся под медицинской маской. Очки, головные уборы, борода и усы снижают точность распознавания примерно с 95% до 92%. При этом такие способы маскировки повышают вероятность ложного срабатывания (ошибка 1-го рода по confusion matrix) примерно в 5 раз – до уровня 0,01%. Менее сложные биометрические системы, установленные на индивидуальных устройствах типа смартфона, можно обмануть даже без использования специальных приспособлений. Отмечаются множественные случаи по взлому Face ID от Apple с помощью близнецов или визуально похожих людей.  Например, вьетнамская фирма Bkav смогла взломать это устройство с помощью недорогой маски всего за $200. А подвижные 3D-муляжи на основе случайных фотографий из соцсети Facebook помогли ученым Университета Северной Каролины обмануть 4 из 5 систем распознавания лиц в 2016 г. Сценический макияж (грим), парики и цветные стекла очков также повышают вероятность того, что алгоритм Machine Learning ошибется, совершив ложное срабатывание или ложный отказ [1].

В 2017 году хакеры смогли обмануть сканер радужной оболочки глаза смартфона Samsung Galaxy S8, подделав радужку с помощью обычной контактной линзы, на которую был помещен снимок чужого глаза. Такая имитация была сделана с помощью цифрового фото глаза с высоким разрешением в режиме ночной съемки, когда отключен инфракрасный фильтр. Распечатав на лазерном принтере фото с предварительно откорректированной настройкой яркости и контраста, злоумышленники наклеили его простую контактную линзу и показали сканеру смартфона [2]. В 2016 году подобным образом был дискредитирован дактилоскопический сканер, который принял за подлинный отпечаток пальца подделку, распечатанную токопроводящими чернилами на глянцевой бумаге. Таким образом исследователи cybersecurity из Мичиганского университета США успешно обманули встроенные сканеры смартфонов Samsung Galaxy S6 и Huawei Honor 7 [3].

А инженеры из Берлинского технического университета продемонстрировали, как можно обойти биометрическую систему аутентификации по рисунку вен на ладони. Для этого они разработали прототип прибора, который незаметно собирает эти биометрические данные с помощью одноплатного компьютера Raspberry Pi и компактной цифровой камеры без инфракрасного фильтра. Полученные фото ладоней были обработаны с целью четкого выделения вен, на месте которых были нарисованы однопиксельные линии. Затем изображение было распечатано и залито воском, имитирующим поверхность кожи. Работоспособность данного способы была показана на реальном оборудовании Hitachi и Fujitsu в 2018 году [4].

В 2019 году стало известно о возможности обмануть сканер отпечатка пальцев смартфона Samsung Galaxy S10 с помощью модели искусственного пальца, распечатанного на 3D-принтере [5]. Тогда же, в 2019 году, дактилоскопический сканер смартфона OnePlus 7 Pro был введен в заблуждение муляжом, сделанным из фольги и клея ПВА [6].

Вышеописанные инциденты были основаны на точном копировании биометрических данных конкретного человека. Однако, некоторые фрагменты папиллярных узоров у многих людей являются общими. Поэтому еще в 2017 году был предложен способ обмана биометрии с помощью универсального «мастер-отпечатка». Ученые Нью-Йоркского и Мичиганского университетов с помощью технологий Big Data проанализировали 8,2 тысяч отпечатков и обнаружили 92 универсальных фрагмента для каждой группы из 800 случайно отобранных образцов, который по крайней мере на 4% точно совпадал с остальными. Исследователи отмечают, что основе такой фрагментации можно создать целый ряд «мастер-отпечатков», способных обмануть практически любую систему дактилоскопической биометрии [7].

Обмануть дактилоскопический сканер современного смартфона возможно даже в домашних условиях

Что такое Deep Fake и насколько это опасно для биометрии

В 2019 году мир охватила истерия под названием Deep Fake, когда с помощью технологий глубокого машинного обучения (Deep Learning) начали создаваться многочисленные аудио- и видео-подделки на реальных людей. При этом используется генеративно-состязательные сети (GAN, Generative Adversarial Network), когда одна нейросеть генерирует подделку, а другая – распознает ее. Таким образом, обе сети тренируют друг друга, постепенно доводя результат до совершенства. Пока самым ярким примером практического и неправомерного применения этой технологии Machine Learning является случай с зарубежной энергетической компанией, которая потеряла около 220 тысяч евро, переведя их на счет злоумышленников в следствие телефонного звонка, где голосом руководителя фирмы было отдано распоряжение на перевод денег стороннему контрагенту. Характерно, что был правдоподобно имитирован не только голос начальника, но и его манера разговора, в частности, немецкий акцент [8]. Аналогичным образом с помощью Deep Fake возможна генерация видео в режиме онлайн, как это было продемонстрировано во второй половине 2019 года на конференции в Массачусетском технологическом институте [9].

Дополнительную опасность неправомерного использования GAN-моделей добавляет способность этих алгоритмов Machine Learning обучаться на разнородных аудио, видео и изображениях, которых полно в открытом доступе. Так могут быть созданы фейковые записи известных людей, знаменитостей и политиков, что влечет социальные, финансовые и политические риски. Кроме того, данная технология машинного обучения также потенциально опасна и для простых обывателей, которые используют лицо и голос в качестве биометрических идентификаторов, например, в российской ЕБС. Подробнее об этой системе биометрии и ее практическом внедрении в нашей стране мы рассказывали здесь.

Поэтому, даже если сгенерированные с помощью Deep Fake и опубликованные аудио и видеозаписи можно рассматривать как высокотехнологичный монтаж, то для защиты от таких приложений Machine Learning в реальных Big Data системах биометрии нужны дополнительные меры cybersecyrity. К ним относятся многофакторная аутентификация, защита биометрических шаблонов и кратная верификация, о которых мы поговорим в следующей статье.

Обеспечение информационной безопасности биометрии – одна из главных задач технологий Big Data и Machine Learning

Другие практические аспекты информационной безопасности больших данных, включая биометрию на базе машинного обучения, рассматриваются на наших образовательных курсах в лицензированном учебном центре обучения и повышения квалификации ИТ-специалистов (менеджеров, архитекторов, инженеров, администраторов, Data Scientist’ов и аналитиков Big Data) в Москве:

Источники

  1. https://www.vedomosti.ru/technology/articles/2018/03/28/755116-obmanut-sistemi
  2. https://hitech.newsru.com/article/24may2017/iris
  3. https://hitech.newsru.com/article/10mar2016/fingerprint
  4. https://nplus1.ru/news/2018/12/28/vein
  5. https://nplus1.ru/news/2019/04/08/galaxy-s10-fingerprint
  6. https://www.anti-malware.ru/news/2019-05-28-1447/29755
  7. https://www.securitylab.ru/news/485851.php
  8. https://www.securitylab.ru/blog/company/PandaSecurityRus/347085.php
  9. https://www.plusworld.ru/journal/2019/plus-9-2019/obman-sistem-biometricheskoj-identifikatsii-i-sposoby-protivodejstviya/

Bethesda Support

Запись в дневнике заданий / обзор
В задании «Уничтожитель бункеров» вам нужно получить доступ к бункеру Сэма Блэквелла и зарегистрироваться там, чтобы перехватить управление лазерной решёткой.

 

Общие сведения о задании
Нажав на кнопку «Посмотреть спойлеры» ниже, вы увидите подробности этого задания и шаги, которые необходимо предпринять для его завершения.

 

 

Выполнив задание «Дядя Сэм», вы получите задание «Уничтожитель бункеров».

 

Чтобы завершить его, вам нужно будет выполнить несколько задач: 

  • Найдите путь в бункер, обыскав окрестности.
  • Найдите «голозапись-отмычку» в пещере.
  • Проникните в бункер, используя «голозапись-отмычку».
  • Войдите в бункер.
  • Осмотрите бункер.
  • Придумайте способ обойти лазерную решётку в бункере.
  • Зарегистрируйте отпечаток ладони в системе безопасности.
  • Осмотрите тайную комнату в бункере.
  • Узнайте, что за звуки слышатся из-за картины.
  • Прослушайте голозапись «Добро пожаловать в Уайтспринг»..»

 

Прохождение задания
Нажав на кнопку «Посмотреть спойлеры» ниже, вы увидите подробное пошаговое прохождение этого задания.
Внимание: в этом руководстве описаны важнейшие сюжетные повороты этого задания, поэтому открывайте его только в том случае, если вы готовы узнать их заранее.

 

Найдите путь в бункер, обыскав окрестности.

  • Доберитесь до северной части пещеры и найдите там тело агента с записью «Сводка по операции „Блэквелл“».

     

  • Послушайте голозапись «Сводка по операции „Блэквелл“», чтобы узнать о «голозаписи-отмычке».

Найдите «голозапись-отмычку» в пещере.

  • Обыщите гнездо когтей смерти рядом с пещерой и найдите «голозапись-отмычку».

  • После этого возвращайтесь к лифту.
     

Проникните в бункер, используя «голозапись-отмычку».

  • Используйте «голозапись-отмычку», чтобы получить доступ ко всем функциям лифта. Так вы сможете попасть в бункер Сэма Блэквелла.

     

Войдите в бункер.

  • Попадите в бункер Сэма Блэквелла на лифте.

Осмотрите бункер.

  • Спуститесь вниз. Там вы увидите лазерную решётку, которая преграждает путь дальше. Снова поднимитесь наверх и выйдите из главной комнаты бункера.

Придумайте способ обойти лазерную решётку в бункере.

  • Поверните направо и пройдите через дверь.
  • Идите дальше, пока не найдёте комнату с всевозможным оборудованием синего цвета.
    • Там будет компьютерный терминал, взломав который, вы отключите лазерную решётку.

 

  • Если у вас недостаточно развит навык «Хакер», вы можете принудительно перезагрузить систему. Это делается следующим образом:
    • Идите назад тем же путём, которым вы дошли до комнаты с синим терминалом, пока не доберётесь до мостика в центре предыдущей комнаты. Пройдите по вентиляционным трубам, поверните налево и дойдите до стены, чтобы подключить электропроводку. После этого возвращайтесь в главный зал бункера и войдите в левую дверь. Откройте электрощит слева от стиральной машины и переключите рубильник.
    • Направляйтесь в противоположную сторону главного зала бункера и сверните налево при первой возможности. Там откройте вентиль подачи воздуха на трубах в верхнем левом углу комнаты.

Зарегистрируйте отпечаток ладони в системе безопасности.

  • Взломав терминал или перезагрузив систему, возвращайтесь в комнату с лазерной решёткой и при помощи сканера руки зарегистрируйтесь, чтобы получить возможность управлять решёткой. 

Осмотрите тайную комнату в бункере.
 

  • На перегородке вы найдёте клавиатуру. На этот раз вам придётся подобрать код.

     

  • Обыскав пожарные шкафы, вы найдёте 3 документа, в одном из которых и будет нужный вам код доступа:
    • Письмо с инструкциями сенату
  •  
    • «Запись о разводе: Блэквеллы»

    • Разведзаписка — 16/8/77

Узнайте, что за звуки слышатся из-за картины

  • Вернитесь к клавиатуре и введите код, который вы узнали.
  • После того, как введёте код, направляйтесь в другую половину комнаты и осмотрите картину, отмеченную маркером.

  • Прослушайте голозапись «Добро пожаловать в Уайтспринг».

Прослушайте голозапись «Добро пожаловать в Уайтспринг».

  • Прослушайте голозапись «Добро пожаловать в Уайтспринг», чтобы закончить текущее задание и начать задание «Один из нас».

 

  • Login and select «Subscribe to Article» if you would like to be notified whenever we update this article with more information as we receive it.
  • Select «Was this answer helpful?» and select «No» if you have more information on this quest and would like to submit any tips or tricks for other players.
  • If you are experiencing an issue with this quest, select «Feedback» after selecting «Submit a Ticket» below and describe your issue in detail.

Любая атака на банк неслучайна

Алексей Голенищев: Андрей, в той ситуации, которая складывается вокруг цифрового банковского рынка, включающего в себя ДБО, банкоматы, а также различные платежные сервисы, основное зло я вижу даже не в уязвимости банковских технологий, а в «уязвимости» самих клиентов — в социальной инженерии.

Бороться с ней достаточно сложно. Финансовые продукты и цифровые каналы по их дистанционной доставке достаточно хорошо защищены. Но ни один банк не может защитить каждую «голову» своего клиента. Стандартные средства безопасности — решения для аутентификации, идентификации или, скажем, защите каналов — не в состоянии ей противостоять. Это происходит потому, что мошенники добираются до клиентов по номерам их персональных телефонов, sms, почтовым адресам, которые те считают доверенными каналами. А потом в ход идут отточенные и выверенные схемотехники социальной инженерии. Благодаря им люди «добровольно» расстаются со своей персональной информацией, данными пластиковых карт, одноразовыми паролями и т.д. Поэтому, повторю, с такими атаками бороться сложно с помощью тех решений, которые есть в банках. Эти решения, конечно, можно сделать более защищенными, например, путем применения дополнительных средств аутентификации и т.п., но тогда банковские продукты и сервисы станут более тяжелыми и неудобными для клиента, что в итоге может привести к отказу клиента от них. Поэтому здесь важна разумная середина между безопасностью и бизнесом. А прекрасным дополнением к безопасности всегда является современный и эффективный онлайн-мониторинг рисковых операций, работу которого, в том числе в Альфа-Банке, курирую я.

Тем не менее мы стараемся идти в ногу со временем, добавляем в арсенал возможностей службы ИБ новые сервисы — от геолокации до поддержки технологии finger print для идентификации клиентских устройств, с которых идут запросы в банк. Когда у клиента украдены данные карты или счета, перехвачен одноразовый пароль для аутентификации операции, банку сложно определять ее несанкционированный характер, потому что для него транзакция визуально выглядит, как нормальная, законная операция. Здесь могут помочь для интеллектуального анализа указанные выше возможности. Также эффективен анализ профиля клиента для выявления нетипичных для него операций.

Андрей Бухтияров: Наверное, нужно начать с портрета атакующего. Много лет назад считалось, что атакующий — это своеобразный Робин Гуд, окруженный романтикой хакер, который сидит где-то и что-то там один доказывает всему миру, крадя деньги у злодеев. С тех пор все изменилось. Сегодня «хакеры» — это большие криминальные группы, в которых налажено разделение труда: одни исполняют роль разведчиков, другие заражают компьютеры, а третьи выводят и обналичивают деньги.

В результате мы говорим об организованной киберпреступности, группах по 50–60 человек, которые готовят атаку на банк либо на его клиента, а потом ее реализуют достаточно долгое время. Иными словами, любая атака, как правило, неслучайна, имеет свой сценарий и индивидуальный характер. Группа, анализирующая конкретный банк, ищет в нем требуемые данные, в итоге находит и нужную уязвимость, чтобы их похитить.

По нашим наблюдениям, на Россию сейчас «смотрят» несколько агрегаторов. В их числе видео-, порно- и игровые агрегаторы. В чем их роль? Покупая у них контент либо пользуясь ими бесплатно, каждый из этих субъектов что-то добавляет от себя в браузер пользователя: либо это какой-то плагин, либо в обвязку браузера подгружается кодек, либо какая-то иная «софтинка» для конспирации от начальства или членов семьи.

Эти «софтинки» и т.д. не несут никакой опасности, они только анализируют, что, например, еще есть в обвязке этого браузера. Таким образом, ПО собирает нужные данные и отправляет их злоумышленникам. А вот этот трафик не может пока «детектить» ни один интернет-банк, потому что данные отправляются, как правило, в потоке, когда подключается видео или еще что-то. Вот этим сбором пар логин-пароль от интернет-банка и занимается первая часть криминальных группировок, используя агрегаторы.

Вторая группа может заниматься выводом и угадывать sms с кодом подтверждения карточных транзакций в ДБО. Предварительно собрав через агрегаторы множество пар логин-пароль и установив какое-то гигантское количество соединений, можно начинать перевод денег и отсылать эти sms. С вероятностью 3% нужная sms угадывается, потому что длина сообщения, как правило, шесть символов и в нем только цифры. На этой статистике основано сейчас значительное количество атак.

Существует еще третья группа злоумышленников — дропперы, которые обналичивают похищенные денежные средства и запутывают следы, ведущие к организаторам. Для пресечения их деятельности делается многое, тем не менее они есть.

Надо отметить, долгое время считалось, что мы имеем дело с атакующими таким образом иностранными группировками. Позже выяснилось: тенденция такова, что происходит «импортозамещение» и появляются отечественные незаконные формирования, основанные на криминальных группировках из прошлого. О них мы слышали ранее, но занимались они тогда иными видами «бизнеса», которые наш ЦБ в свое время благополучно перекрыл. Теперь они повысили свою квалификацию и занялись более высокоуровневыми атаками: нанимают некие группы, которые исследуют наличие уязвимостей в IT-инфраструктуре и часто под предлогом анализа безопасности банков попадают внутрь и начинают по-тихому воровать. И никакие это не романтические хакеры, а организованная преступность.

Последний тренд атак — это кража номеров телефонов. В части интернет-банков злоумышленник не сможет найти номер телефона клиента, соответственно и подменить его он не в состоянии. Но в некоторых решениях хранится конфигурация клиентского окружения. Найдя номер телефона, его можно прямо онлайн и сменить. Мы видим эти атаки и наблюдаем активность соответствующего программного обеспечения. Поэтому с высокой долей вероятности можно ожидать атак подобного рода на интернет-банки, где пара логин-пароль статическая и не меняется от сессии к сессии.

Мы в этой ситуации берем количеством элементов безопасности. Понимаем, что подписи только на основании sms явно недостаточно, потому что ее злоумышленник может угадать. Это теория вероятности — и ничего более. Поэтому мы добавляем и пароль, и кодирование того, что пользователь вводит, и обратную sms, которую рассматриваем как второй фундаментальный канал соединения, благодаря которому удается перекрыть практически любую атаку.

На практике это означает, что, когда клиент заполнил нужные поля и готов к переводу денег, ему необходимо отправить в свой банк команду «провести». Не по интернет-каналу, которым он подключен к своей финансовой организации, а по sms. Пока такую схему ни один злоумышленник не смог обойти.

 

Андрей Бухтияров (Совкомбанк), Алексей Голенищев (Альфа-Банк) и Яна Шишкина («Б.О»)

 

Алексей Голенищев: Мое мнение — от sms вообще надо уходить. Это сделать сложно, потому что на такой технологии выстроено множество решений: карточные продукты с 3D-Secure, аутентификация по одноразовым паролям для интернет- и мобильных банков и т.д. Но появляются новые подходы, и они уже внедряются в некоторых отечественных банках. Часть из них основана на использовании токенов в мобильных приложениях и нового функционала стандарта 3D-Secure 2.0. Здесь клиент платежного приложения вообще не использует sms, не видит ни кодов, ни паролей, вообще ничего. Поэтому и социальная инженерия на этом участке фронта бессильна, а то, о чем говорили ранее, разделение финансовых и аутентификационных каналов, возможно, станет следующим шагом.

Андрей Бухтияров: К сожалению, пока нет провайдера, который позволял бы работать по двум каналам сразу. Кое-где вообще нет интернет-каналов.

Алексей Голенищев: В принципе, для начала движения банка в сторону повышения уровня ИБ можно стартовать с рассмотренных технологий, а дальше двигаться в направлениях, которые еще «не заняты» мошенниками. Иначе получается, что мы хронически оказываемся на шаг позади них.

Что касается вопроса обоснования бюджетов на ИБ, во многих банках, когда соответствующий менеджер выходит с предложением потратить столько-то на такую-то систему, его, как правило, спрашивают: «А сколько вы уже потеряли в этом канале?». Но в том-то и проблема, что потерь пока нет, но потом они могут стать очень большими. Об это мы говорили выше. Поэтому готовиться надо заранее, чтобы к моменту, когда мошенники будут готовы к атаке, банк уже был подготовлен и защищен.

Андрей Бухтияров: Я могу добавить, что рост роли информационной безопасности в банке очевиден, и эта роль будет только усиливаться. Причина тому — миграция классических финансовых услуг в «диджитал», вплоть до того, что через какое-то время останутся только цифровые банки с минимальным физическим присутствием. В этих отделениях будут проводиться идентификация клиентов и обмен физическими носителями (ценными и деловыми бумагами или наличными деньгами). Таким образом, «не совсем безопасный» онлайн-банк станет абсолютно проигрышным бизнес-вариантом.

Алексей Голенищев: Соглашусь с тем, что бумажные операции в каком-то объеме все равно останутся, потому что достаточно большие слои населения не пользуются Интернетом и гаджетами, они будут ходить в банк, а не входить в него.

Этот факт, естественно, должен найти свое отражение в централизованной архитектуре банковских IT и ИБ, которые должны поддерживать омниканальность. В Альфа-Банке, например, вся система мониторинга теперь завязана на один движок (ядро), в котором помимо цифровых транзакций осуществляется мониторинг «бумажных» операций. В их число, к примеру, входят операции с депозитами, закрытием счетов, заказами больших сумм наличности, переводами по распоряжению и т.д.

К сожалению, не везде антифродовые решения «затачиваются» именно на развитие систем кросс-канального мониторинга, потому что в последнее время перестали воровать в каком-то одном конкретном месте, часто мошенничество затрагивает несколько банковских каналов, например хищение в интернет-банке с переводом на карту, а потом обналичивание в банкомате.

Таким образом, слабым звеном могут стать связка карты и интернет-банка, переводы между счетами в разных банках. Именно из этой паутины технологий и транзакций сейчас приходится выявлять мошеннический характер операций. Только комплексный анализ дает понимание, фрод это или нет. По одной-единственной карточной транзакции вычислить мошенника в такой «схемотехнике» невозможно, поэтому нужны анализ клиентского досье, анализ его активности, определение поведенческого профиля и т.д.

Андрей Бухтияров: Соглашусь, у нас в банке около двух тысяч филиалов, услугами которых активно пользуется очень много пенсионеров, наших клиентов. Этот сегмент людей мошенникам легче ввести в заблуждение. Безопасность — превалирующий фактор в работе с ними, ведь защитить их никто другой, кроме нас, не сможет. Поэтому мы используем чуть более сложные технологии, например электронную подпись. Но зато мы гарантируем, что в агрессивной и недоверенной интернет-среде, например где-то в отеле в Турции при работе в публичной Wi-Fi-сети или интернет-кафе, деньги с его счета точно не украдут. Множество наших защищающих факторов этого не позволит.

Алексей Голенищев: Не могу с вами не согласиться. Банковская ИБ — сложная вещь, ведь противостоит финансистам организованное сообщество, вовсе не воришки типа хакера-одиночки или студентов, которые считают себя крупными компьютерным гениями. А сами атаки стали организованнее и сложнее. Но плюсом для нас является то, что множество преступников использует для атак цифровое пространство, а оно дает множество дополнительных данных для анализа и успешного расследования.

Но кое к чему я отношусь с определенным скепсисом, например к попыткам полностью перенести ИБ на плечи искусственного интеллекта, нейронных сетей и т.д. Проблема заключается в том, что, для того чтобы эффективно работать с такими системами, нужно иметь огромную лабораторию, укомплектованную дорогостоящими аналитиками для отработки сложных кейсов и операторами этих систем, чтобы обрабатывать эти сложные кейсы, а также сложную настройку и сопровождение таких сетей. Однако статистика говорит, что примерно 90% фрода ловится по заранее настроенным статическим правилам. Окупятся ли эти data-scientists? Деньги нужно считать!

Беседа состоялась 29 июня 2017 года в кулуарах II Практической конференции «Информационная безопасность в финансах: регулирование, экспертиза, кейсы»

Мошенников обходят 3D Secure с помощью социальной инженерии

Киберпреступники активно делятся советами и советами о том, как обойти протокол 3D Secure (3DS) для совершения мошенничества с платежами, согласно исследователям.

Команда компании Gemini Advisory по анализу угроз обнаружила дискуссии на нескольких форумах в темной сети, в которых утверждается, что тактика фишинга и социальной инженерии имеет хорошие шансы на успех в определенных ситуациях.

Хотя вторая версия протокола, разработанная для пользователей смартфонов, позволяет отдельным лицам аутентифицировать платежи с использованием биометрической информации, которую трудно подделать или украсть, более ранние, менее безопасные версии по-прежнему широко используются, утверждает компания.

Использование статического пароля для аутентификации подвергает покупателей риску мошенничества. По словам Gemini Advisory, мошенники могут купить личную информацию о пользователе, позвонить ему, выдавая себя за свой банк, а затем предоставить часть этой информации, чтобы «доказать» свою законность, прежде чем запрашивать пароль.

Аналитики компании также подслушивали известных хакеров, предлагающих советы о том, как совершать покупки в режиме реального времени, минуя коды двухфакторной аутентификации (2FA). Они вводят данные украденной платежной карты на сайт электронной коммерции, а затем звонят держателю карты, подделывая его номер, как если бы они звонили из банка.Когда приходит код 2FA, они запрашивают его у жертвы.

В отчете отмечается, что вредоносное ПО

для мобильных устройств также может использоваться для перехвата номеров 2FA, отправляемых SD3 v 1 покупателям.

Другие виды мошенничества, предназначенные для обхода 3DS, включают фишинговые страницы, которые могут использоваться для сбора статических паролей, и использование PayPal. По словам Gemini Advisory, для последнего сначала потребуется покупка данных кредитной карты и логина для банковского счета, а затем мошенник может добавить карту в соответствующий счет PayPal.

Еще одна афера, обсуждаемая на темных веб-сайтах, связана с покупками меньшего размера.

«Чтобы упростить процесс покупки, некоторые интернет-магазины отключают функцию 3DS для небольших покупок, которые, в зависимости от магазина, могут исчисляться сотнями долларов. Например, не облагаются транзакции на сумму менее 30 долларов, но не в том случае, если карта используется пять раз или если общая сумма комиссии превышает 100 долларов », — сказал Джемини.

«У других сайтов есть свои требования, иногда до 400 долларов.Киберпреступники могут протестировать эти сайты, чтобы определить, какая сумма покупки запускает 3DS, а затем сохранить покупки ниже этих сумм ».

Хотя SD3 v2 более безопасен, он не лишен «хорошо отточенных навыков социальной инженерии», говорится в отчете.

Зачем нужна 3d Secure для вашего бизнеса

Цифровая коммерция стремительно развивается прямо сейчас, поскольку потребители продолжают использовать мобильные устройства для совершения покупок в Интернете. Больше возможностей, чем когда-либо, когда дело доходит до способов оплаты и необходимости проверять транзакции и предотвращать мошенничество.Сейчас более важно, чтобы компании находили новые способы сделать это, чтобы их клиенты оставались в безопасности при совершении покупок в Интернете. Один из способов, которым это делают компании, — это использование интеллектуальных средств обнаружения мошенничества, таких как 3D Secure. Это позволяет продавцам отличать законные транзакции от мошеннических.

Давайте посмотрим на важность аутентификации клиентов. Затем мы обсудим, что именно такое 3D Secure и как он работает.

Проверка подлинности клиента

Аутентификация клиента позволяет банкам запрашивать у держателя карты дополнительные данные для подтверждения покупки.Проверка подлинности платежей снижает риск мошенничества и может уменьшить количество споров, которые получает продавец. Эта форма аутентификации используется в десятках стран по всему миру, включая Бразилию, Мексику, Сингапур, США и другие.

Процесс аутентификации обычно включает отправку кода держателю карты через текстовое сообщение, электронную почту или по телефону.

Обычно требуется следующая информация:

  • Что-то, что они знают (например, пароль или секретный вопрос)
  • Вещь, которой они владеют (e.g., телефонный или аппаратный токен)
  • Уникальная функция для их личности (например, отпечаток пальца или идентификатор лица)

Что такое 3D Secure?

3D secure — это протокол, разработанный как дополнительный уровень безопасности для онлайн-транзакций по кредитным и дебетовым картам. Имя относится к «трем доменам», которые взаимодействуют с использованием протокола: домен продавца или эквайера, домен эмитента и домен взаимодействия.

Запланировать звонок

Как работает 3D Secure?

3D Secure использует обмен сообщениями XML и SSL для аутентификации транзакций, делая их более безопасными.После того, как ваши клиенты совершат покупку и оформят заказ, им будет предложено ввести свой Verified by Visa или MasterCard SecureCode (если они использовали этот способ оплаты). Как только ваш клиент предоставит эту информацию, он будет перенаправлен на веб-сайт эмитента карты для завершения процесса авторизации. Или авторизация завершается в рамках любого платежного решения, которое вы выбрали для своего бизнеса. Если ваши клиенты производят оплату картой Discover, American Express или подарочной картой, они не смогут вводить пароль.

Клиентам, не зарегистрированным в программе Verified by Visa или MasterCard SecureCode, будет предложено зарегистрироваться и создать пароль. У ваших клиентов будет определенное количество раз, когда они смогут отказаться от создания пароля, но как только они достигнут максимума, они больше не получат эту возможность, и им придется создавать учетную запись. Количество раз, когда они могут отказаться, зависит от эмитента карты.

Однако вам решать, какая транзакция потребует аутентификации 3D Secure.

Как 3D Secure может принести пользу вашему бизнесу

Типы предприятий, которые больше всего выиграют от использования 3D Secure, — это предприятия, принимающие онлайн-платежи. Если вы владеете розничным бизнесом и принимаете платежи через Интернет, вы можете использовать 3D Secure для проверки подлинности платежей.

Защита от возвратного платежа

Как только вы начнете использовать Verified by Visa, вам больше не придется беспокоиться о возвратных платежах. Используя его, вы обезопасите свой бизнес не только от мошенничества с возвратными платежами, но и от дружеского мошенничества.К сожалению, у MasterCard другой политики.

Смена ответственности

Когда происходит возвратный платеж, вы, вероятно, уже знаете, что несете ответственность за него. Внедряя 3D Secure, вы перекладываете ответственность с себя на банк-эмитент, что является хорошей новостью для любого владельца бизнеса. Этот сдвиг распространяется на любой платеж, который был успешно аутентифицирован с помощью 3D Secure.

Даже если платеж 3D Secure будет оспорен как мошенничество держателем карты, ответственность также перейдет от вас к эмитенту карты.В подобных случаях спор будет обрабатываться внутри компании и не отображаться в Личном кабинете. Вам также не придется беспокоиться о снятии средств с вашего аккаунта Stripe.

Преимущества обмена

Использование 3D Secure для Visa или MasterCard также может обеспечить преимущества обмена в виде более низких комиссий за обмен и более длительных сроков оплаты с вашим банком-эквайером.

Повышение доверия клиентов

Повышенное доверие клиентов — это еще одно преимущество использования 3D Secure для защиты вашего бизнеса.Клиенты хотят знать, что их личные и финансовые данные в безопасности. В результате они будут намного увереннее, если узнают, что вы приняли особые меры для обеспечения дополнительного уровня безопасности.

Поговорите с экспертом

Долой старое, входите новое

Раньше 3D Secure был ограничен, когда дело касалось взаимодействия с пользователем (его практически не существовало). Некоторые пользователи не могли просматривать страницу аутентификации 3DS на своих мобильных устройствах, и скорость загрузки страницы авторизации вызвала проблемы и, как следствие, головную боль.Не говоря уже о том, что проблемы с совместимостью возникали, когда процесс аутентификации проводился в мобильных браузерах, и пользователи были не слишком довольны дополнительными шагами, которые требовались только для совершения покупки (до такой степени, что они бросали покупку на полпути).

Благодаря некоторым обновлениям до 3D Secure, в наши дни все работает намного более гладко. Во-первых, действия по аутентификации не будут видны держателю карты (биометрическая аутентификация в приложении продавца будет восприниматься как допустимая мера безопасности).С добавлением компонента SDK возможна комплексная интеграция с мобильными приложениями. Это позволяет продавцам изначально интегрировать 3D Secure в свои мобильные приложения.

Новый 3D Secure значительно улучшил взаимодействие с пользователем на мобильных устройствах, включая платформы, не основанные на браузере, и мобильную интеграцию. И теперь продавцы могут гарантировать, что процесс аутентификации выглядит и ощущается в соответствии с остальной частью приложения. Кроме того, платформа продавца требует дополнительной аутентификации только в том случае, если риск высок.Это происходит только в небольшом проценте транзакций.

Будущие функции

В будущем 3D Secure будет обеспечивать поток без трения. Он будет выполнять аутентификацию на основе рисков, что означает, что эмитенты смогут улучшить транзакцию без необходимости участия держателя карты. Больше никаких надоедливых всплывающих окон или попыток запомнить пароли.

Еще одна функция, на которую вы можете рассчитывать, — это аутентификация без оплаты.Это означает, что 3D Secure будет использоваться не только для онлайн-транзакций.

Шаг в будущее онлайн-платежей

В эту новую эру онлайн-платежей стоит принять необходимые меры для защиты вашей компании (и ее финансов) и защиты ваших клиентов, когда они делают покупки в Интернете вместе с вами. Начните внедрять процессы и меры безопасности, необходимые для реального процветания вашего бизнеса, с помощью новейших и наиболее безопасных доступных технологий.

Найдите свое решение


Чтобы получать больше новостей о платежах и отраслевых аналитических данных в течение недели, подпишитесь на нас: Facebook , Twitter или LinkedIn .

Все, что продавцы должны знать об этом

Если в последнее время вы много слышали о 3D Secure (также называемой 3DS), то, вероятно, это связано с Директивой о платежных услугах 2 (PSD2), радикальными новыми правилами, установленными Европейский Союз.PSD2 представляет собой усилия ЕС по усилению безопасности онлайн-транзакций и противодействию мошенничеству путем полного пересмотра своей системы регулирования платежных услуг и поставщиков платежных услуг.

Новые правила PSD2 вступили в полную силу 14 сентября 2019 года. Ключевым компонентом PSD2 является строгая проверка подлинности клиентов (SCA), которая обеспечивает дополнительный уровень защиты от мошенничества при электронных покупках. Один из самых простых способов соответствовать новым требованиям SCA — это новая версия 3D Secure, известная как 3D Secure 2.0.

SCA, 3DS, PSD2 — вы чувствуете, что уже тонете в сокращениях? Мы постараемся все объяснить.

Хотя 3D Secure тесно связан с PSD2, у него есть история и причины, по которым он сам по себе. В этой статье мы рассмотрим эволюцию 3D Secure от ее истоков в прошлом веке до нынешнего воплощения. Мы проясним связь между 3D Secure и SCA и поможем вам определить, применяются ли правила ЕС к вашему бизнесу.

Мы также взвесим сильные и слабые стороны 3D Secure с точки зрения как продавцов, так и потребителей электронной коммерции.

Истоки 3D Secure

3D Secure вступает в третье десятилетие своего существования. Самая ранняя версия протокола аутентификации была разработана в 1999 году компанией Arcot Systems (ныне CA Technologies, компания Broadcom). Visa была одним из первых пользователей 3D Secure, развернув его в 2001 году.

В последующие годы каждый крупный эмитент платежных карт развернул свою собственную версию 3D Secure. Вы можете узнать некоторые торговые марки в таблице ниже.

Как 3D Secure 1.0 Работ

Буква D в 3D Secure означает «домен». В аутентификации 3D Secure задействованы три домена:

  • Домен эмитента , который включает банк-эмитент и держателя карты.
  • Домен эквайера , который включает продавца и банк продавца.
  • Домен совместимости , который поддерживает протокол, предоставляя инфраструктуру на базе Интернета для соединения двух других доменов.

3D Secure 1.0 — это протокол на основе XML. Когда владелец карты вводит свою платежную информацию через платежный портал, на котором включена функция 3D Secure, он будет перенаправлен либо на отдельный сайт, либо на встроенный фрейм. Там владелец карты должен дать правильный ответ на секретный вопрос (например, пароль), чтобы подтвердить свою личность.

Если владелец карты не может ответить на вопрос, банк-эмитент отклоняет транзакцию.

Ключ к пониманию 3D Secure заключается в том, что вторая страница аутентификации обслуживается не продавцом или поставщиком платежных услуг, а банком-эмитентом.Если владелец карты ранее не был зарегистрирован в 3D Secure, банк-эмитент может попросить его зарегистрироваться до совершения покупки.

Преимущества 3D Secure 1.0

По мере того, как в начале 2000-х годов электронная коммерция набирала обороты, продавцы, потребители, банки и эмитенты карт осознали возможность мошенничества без предъявления карт. В те времена, когда совершались покупки в Интернете, преступнику было относительно легко совершить покупку, используя данные чужой платежной карты. 3D Secure был изобретен, чтобы усложнить задачу.

3D Secure требует больше, чем номер кредитной карты, код CVC и адрес для подтверждения транзакции. Мошенники также должны быть в состоянии ответить на вызов банка-эмитента.

Еще одно преимущество 3D Secure заключается в том, что ответственность за аутентификацию транзакций переходит от продавца к банку-эмитенту карты. Продавец не собирает пароли 3D Secure держателей карт (поскольку этап аутентификации происходит на отдельном сайте или во фрейме) и, следовательно, не несет ответственности за защиту паролей от хакеров.

Опасности 3D Secure 1.0

Исходная версия 3DS добавляла дополнительный уровень безопасности для проникновения мошенников. Но при этом он также добавляет дополнительный шаг, который потребители должны выполнить, прежде чем их покупки могут быть завершены, — иногда несколько дополнительных шагов.

В этом и заключается главный недостаток 3D Secure. Все, что находится между покупателем в Интернете и успешным завершением покупки, может привести к брошенным тележкам для покупок. Это называется трением.Почти 40% случаев отказа от корзины в США является результатом длительных или сложных процедур оформления заказа.

3D Secure направляет потребителей на незнакомые сайты, где потребителей просят подтвердить пароли или коды, которые они, возможно, не помнят. Вместо того, чтобы продолжать свои покупки и пытаться восстановить утерянные пароли, потребители могут просто перейти к другим продавцам.

Согласно одному анализу миллионов транзакций, 22% транзакций были потеряны при аутентификации с помощью 3D Secure.Дополнительно

  • Аутентификация 3DS заняла в среднем 37 секунд.
  • Только 9% транзакций прошли без проблем (для аутентификации потребовалось менее пяти секунд).
  • Показатели приема варьировались в зависимости от банка от 68% до 92%.

Другой анализ показал, что коэффициент конверсии упал в среднем на 43% в США после активации 3D Secure. В некоторых странах, например в Бразилии, коэффициент конверсии упал более чем на 50%.

Еще одна проблема с 3D Secure 1.0 заключается в том, что протокол был разработан в эпоху, когда еще не существовало мобильной коммерции. В настоящее время, конечно, почти у каждого есть мобильное устройство (81% американцев имеют смартфон), и многие люди используют свои устройства в качестве основного инструмента для доступа в Интернет, включая покупки.

До недавнего времени 3D Secure не отставал от мобильной революции. Мобильные браузеры не поддерживают фреймы и всплывающие окна, необходимые для некоторых реализаций 3DS, а страницы проверки пароля часто не оптимизированы для небольших мобильных экранов.Это также может подтолкнуть потребителей к более удобным сайтам.

Улучшенный протокол: 3D Secure 2.0

Очевидно, что 3D Secure нужно было обновить, чтобы перенести его в современную эпоху. Показатели внедрения 3D Secure были средними и высокими в Европе, но ужасными в Соединенных Штатах и ​​других частях мира. Американские торговцы предпочитают более простые способы предотвращения мошенничества, такие как система проверки адреса (AVS).

В 2016 году консорциум сетей кредитных карт под названием EMVco решил исправить недостатки 3D Secure и выпустил новую спецификацию, получившую название 3D Secure 2.0. Обновленный протокол постепенно набирает силу во всем мире, обгоняя первоначальную формулировку.

Сотрудники EMVco разработали 3D Secure 2.0, чтобы обеспечить более плавное взаимодействие с пользователем по сравнению с предыдущей версией и адаптироваться к широкому спектру устройств, которые люди сейчас используют для покупок в Интернете. Как он достигает этих целей?

Вот некоторые из ключевых особенностей 3D Secure 2.0:

Удаление статических паролей

Потребители сочли обременительным запоминать еще один пароль, чтобы пройти первоначальный процесс 3DS.Версия 2.0 устраняет статические пароли в пользу биометрических данных (например, отпечатков пальцев или распознавания лиц) или одноразовых паролей (например, кода, отправляемого потребителю в текстовом сообщении).

Аутентификация на основе рисков

Значительный процент покупателей (95%, по данным Visa) никогда не увидят экран вызова в 3D Secure 2.0. Вместо этого новый протокол допускает аутентификацию на основе рисков. Другими словами, после того, как владелец карты вводит свою информацию на платежном портале продавца, информация отправляется в банк-эмитент, который решает, достаточно ли у него данных для подтверждения транзакции.

В то время как более поздние версии 3D Secure 1.0 допускали некоторую проверку подлинности на основе рисков, обновленный протокол позволяет передавать гораздо больше информации. 3D Secure 2.0 использует в 10 раз больше точек данных оценки, чем предыдущая версия.

Банки-эмитенты кредитных карт используют технологию машинного обучения для оценки риска мошенничества. Рабочий процесс 3D Secure 2.0 позволяет им учитывать такие факторы, как:

  • Стоимость сделки.
  • Покупал ли покупатель у продавца раньше.
  • История транзакций клиента.
  • История поведения клиента.
  • Информация об устройстве заказчика.

Если эмитент карты определит, что ему нужна дополнительная информация, он отправит покупателя в поток проверки подлинности. В противном случае покупатель войдет в поток без трения; транзакция будет одобрена за кулисами без дальнейшего участия держателя карты.

Мобильная совместимость

Первоначальный протокол 3DS был разработан исключительно для настольных веб-браузеров.Пользовательский интерфейс мобильных устройств был неудобным, медленным или полностью нефункциональным.

С другой стороны,

3D Secure 2.0 поддерживает все типы мобильных устройств, включая смартфоны, планшеты и носимые устройства. Специальный SDK (комплект для разработки программного обеспечения) позволяет разработчикам встроить задачи проверки в свои приложения и веб-сайты — без перенаправлений, всплывающих окон или фреймов.

Например, вы можете включить в своем мобильном приложении проверку личности пользователя с помощью отпечатка пальца или сканирования лица, не отправляя его на сторонний сайт проверки.

Mobile SDK также предлагает интеграцию с мобильными кошельками, которые становятся все более популярным способом оплаты.

Действительно ли 3D Secure 2.0 лучше?

Возможно, еще слишком рано говорить о том, обеспечивает ли 3D Secure 2.0 более приятный пользовательский интерфейс, чем его предшественник, и сократит ли он количество брошенных тележек. Visa заявляет, что обновление 3D Secure приводит к снижению количества отказов пользователей на 70%, а время транзакции сокращается на 85%.

По мере того, как все больше продавцов и банков принимают этот протокол в соответствии с правительственными постановлениями, будет доступно больше данных.

3D Secure и правила ЕС

3D Secure — в любой из его форм — не единственный способ предотвратить мошенничество без предъявления карты. Это даже не обязательно самый эффективный способ. Но сети платежных карт отстаивают 3D Secure как лучший способ соответствовать требованиям SCA ЕС.

Что такое SCA?

Надежная аутентификация клиентов — важный компонент новой Директивы ЕС о платежных услугах 2 (PSD2). Регламент SCA вступил в силу 14 сентября 2019 года, но Европейское банковское управление установило крайний срок для его соблюдения на декабрь.31 января 2020 г.

Чтобы соответствовать требованиям SCA и принимать онлайн-платежи, продавцы должны подтверждать личность покупателя, используя как минимум два из трех элементов:

  • Что-то, что знает клиент , например номер кредитной карты и срок действия.
  • Что-то, что есть у клиента , например мобильный телефон или программный токен.
  • Что-то, что есть у клиента , подтверждено биометрически, например, с помощью сканирования лица или отпечатка пальца.

Этот уровень аутентификации обычно называется двухфакторной аутентификацией.

Проверка 3DS 2.0 соответствует требованиям SCA. Например, после того, как владелец карты вводит свою платежную информацию (что-то, что он знает), ему может быть отправлен одноразовый пароль на свой телефон (что-то, что у них есть) через SMS.

Важно отметить, что SCA делает поправки на транзакции с низким уровнем риска. Платежные системы могут проводить оценку рисков в реальном времени (например, встроенную в 3D Secure) и освобождать транзакции, которые они считают безопасными.

Сделки на сумму менее 30 евро также освобождаются от уплаты налога (хотя каждая пятая транзакция на сумму менее 30 евро с использованием того же метода оплаты столкнется с проблемой).

Применимо ли SCA к вашему бизнесу?

Согласно закону Европейского Союза, PSD2 будет применяться только в Европейской экономической зоне (ЕЭЗ). Если обе «части» платежа — банк-эквайер и банк-эмитент — находятся в пределах ЕЭЗ, SCA абсолютно применяется.

Если только одна ветка находится в ЕЭЗ — например, ваша компания находится в США, но клиент, проживающий в ЕС, совершает покупку с помощью кредитной карты, зарегистрированной в ЕС, — платеж по-прежнему подлежит определенным правилам PSD2, но SCA не может быть одним из них.Кроме того, ответственность за соблюдение требований лежит на провайдере платежных услуг из ЕС.

Европейская комиссия пояснила это в FAQ, опубликованном в 2018 году: «Расширение сферы действия [с PSD1 на PSD2] имеет последствия в первую очередь для банков и других поставщиков платежных услуг, расположенных в ЕС».

Если ваш бизнес находится за пределами ЕС, но вы ведете дела с клиентами, проживающими в этой зоне, вы можете узнать у своего поставщика платежных услуг, нужно ли вам или им принимать меры для соблюдения требований SCA.

Следует ли использовать 3D Secure для предотвращения мошенничества на вашем сайте электронной коммерции и в приложениях?

Если вам не требуется использовать SCA-совместимую систему предотвращения мошенничества, такую ​​как 3D Secure, следует ли вам ?

Возможно. Мошенничество без предъявления карты стремительно растет, как и его стоимость. В 2013 году средний процент мошенничества от выручки составил 0,51%. В 2018 году — 1,8%. Чтобы предотвратить дорогостоящие возвратные платежи, каждый продавец должен иметь определенную степень защиты от мошенничества.

В то же время чрезмерно усердные меры защиты от мошенничества могут блокировать законные покупки, переводя разочарованных клиентов в руки конкурентов.Ложные отклонения могут стоить продавцам до 13 раз больше, чем мошеннические покупки.

Когда вы полагаетесь на 3D Secure для защиты от мошенничества, вы полагаетесь на правила, установленные эмитентами платежных карт, чтобы обнаружить мошенничество и позволить совершить законные покупки. Компании, выпускающие кредитные карты, еще могут доказать свою надежность, но это не единственный вариант.

Решение ClearSale для защиты от мошенничества основано на многоуровневом подходе, сочетающем в себе запатентованную технологию искусственного интеллекта и экспертную ручную проверку для наивысшего уровня одобрения в отрасли.

ClearSale не зависит от способов оплаты и будет работать вместе с любыми другими службами аутентификации, которые есть у вас или вашего поставщика платежных услуг, включая 3D Secure.

Что вам нужно знать о 3D Secure 2.0 — Fidelity Payment Services

Хотя технология 3D Secure существует с 1999 года, она изо всех сил пытается набрать обороты с продавцами без карты, особенно в США. запустить в прошлом году 3D Secure 2.0 и сдвиг ответственности продавца для этой новой версии, установленный на апрель 2019 года, скоро все изменится. 3D Secure 2.0 не только учитывает новейшие платежные платформы (например, мобильные приложения) и снижает трение при оформлении заказа, но и предоставит продавцам еще большую защиту от возвратных платежей после вступления в силу сдвига ответственности. Продолжайте читать, чтобы узнать больше о 3D Secure 2.0 и его преимуществах для продавцов.

Что такое 3D Secure?

3D Secure — это протокол безопасности, который добавляет уровень защиты транзакциям без предъявления карты путем проверки личности клиента.У основных брендов карт есть собственная программа 3D Secure под такими названиями, как Verified by Visa и MasterCard SecureCode.

С 3D Secure 1.0 держателям карт предлагается ввести пароль при оформлении заказа, когда это предложено участвующими розничными продавцами. Держатель карты должен выбрать 3D Secure 1.0, зарегистрировавшись в своем банке-эмитенте.

Почему 3D Secure 1.0 стал непопулярным?

Несмотря на то, что предлагается дополнительная защита от мошенничества, многие продавцы не воспользовались преимуществами 3D Secure 1.0, поскольку он добавляет шаг к процессу оформления заказа и, следовательно, может увеличить количество отказов от корзины покупок.

Как 3D Secure 2.0 меняет это

3D Secure 2.0, выпущенная в 2017 году, обменивается гораздо большим объемом данных между держателем карты, продавцом и банком-эмитентом для оценки риска и идентификации клиента. Благодаря более широким возможностям проверки личности клиента потребность в аутентификации клиента значительно снижается, а оформление заказа ускоряется.

Еще больше преимуществ 3D ​​Secure 2.0

Помимо ускорения оформления заказа, 3D Secure 2.0 предлагает продавцам дополнительные преимущества, такие как:

1. Поддержка периодических платежей

3D Secure теперь имеет специальную поддержку для продавцов, которые взимают регулярные платежи / услуги подписки, что снизит затраты для продавцов и уменьшит трение для клиентов.

2. Поддержка MOTO

3D Secure 1.0 поддерживал только транзакции, которые происходили в веб-браузерах. Напротив, 3D Secure 2.0 совместим с широким спектром транзакций без предъявления карты, включая заказы по почте или телефону.

3. Поддержка мобильных приложений / мобильных платежей

3D Secure 2.0 повышает безопасность платежей в приложениях, мобильных и цифровых кошельков.

4. Расширенная проверка подлинности

В случае, если клиенту необходимо подтвердить свою личность, он сможет воспользоваться усовершенствованными методами аутентификации, которые быстрее, чем ввод пароля, такими как биометрия и технология распознавания лиц.

5. Повышенная защита от возвратных платежей для продавцов

Начиная с апреля 2019 года, продавцы, использующие 3D Secure 2.0, будут защищены от мошеннических возвратных платежей, вне зависимости от того, принял ли банк-эмитент новую технологию.

Взгляд вперед

Продавцы

должны до апреля 2019 года убедиться, что их решение 3D Secure поддерживает правила производителей карт для 3D Secure 2.0. Если вы готовы начать получать выгоду от сокращения числа случаев мошенничества и возвратных платежей с помощью транзакций без предъявления карты, свяжитесь с нами сегодня, и мы поможем вам начать работу с 3D Secure 2.0.

Директива о платежных услугах 2, Надежная аутентификация клиентов и 3D Secure v2

Директива о платежных услугах

Новая Директива ЕС о платежных услугах (PSD2) вступила в силу в январе 2018 года и должна внести существенные изменения в платежную отрасль в 2019 году.

PSD2 был введен как продолжение первоначальной Директивы о платежных услугах (PSD).Ключевым элементом PSD2 является введение дополнительных средств аутентификации для транзакций электронной торговли.

Цель состоит в том, чтобы принять новые законы для расширения прав потребителей, стимулирования инноваций и стимулирования общеевропейской конкуренции.

Opayo здесь, чтобы помочь вам пройти через изменения, которые вступят в силу в течение следующих 18 месяцев, и убедиться, что у вас есть инструменты, которые можно использовать и соответствовать новым правилам.

Зачем нужна строгая аутентификация клиентов?

Убытки от мошенничества с платежами неуклонно росли в течение почти десятилетия, и никаких признаков ослабления не наблюдалось.Европейская комиссия вмешалась, установив строгих требований аутентификации клиентов (SCA) для участников, чтобы уменьшить мошенничество в качестве одного из основных компонентов PSD2.

Ожидается, что с марта 2021 года все транзакции электронной торговли будут обрабатываться с помощью защищенного отраслевого протокола, такого как 3D Secure. Транзакции электронной торговли потребуют дополнительной аутентификации (с некоторыми исключениями).

Строгие требования к аутентификации клиентов?

SCA требует наличия как минимум двух независимых факторов в процессе аутентификации.Три доступных фактора для аутентификации перечислены ниже.

  1. Что-то, что знает ваш клиент [знания]: например, PIN
  2. Что-то, что у вашего клиента есть [во владении]: например, карта, смартфон
  3. То, что ваш клиент [присуще]: например, отпечаток пальца

Каждый электронный платеж (за исключением некоторых исключений) должен быть подтвержден как минимум двумя из этих факторов. Это известно как многофакторная аутентификация (MFA) или двухфакторная аутентификация (2FA).

Так что же будет по-другому?

Платежный путь клиентов может немного отличаться. Сегодня, если 3D Secure включен, выполняется аутентификация, и владелец карты всегда будет перенаправлен на страницу своего банка 3D Secure. Если банк-держатель карты считает, что риск транзакции «высокий», владелец карты должен будет подтвердить свою личность. Это широко известно как «повышение».

Когда SCA вступит в силу, аутентификация станет новым параметром по умолчанию, и ее нельзя будет обойти (если не применяется исключение).Хотя аутентификация будет выполнена, ожидается, что только от 5% до 10% аутентификации приведет к тому, что держателя карты придется перенаправить на страницу 3D Secure своего банка для входа в 2FA (аутентификация с вызовом). Большинство запросов на аутентификацию приведут к безупречной аутентификации, когда владелец карты не будет перенаправлен на страницу 3D Secure своего банка для входа в двухфакторную аутентификацию.

Операции с бесконтактными карточными автоматами (также «электронная торговля») будут регулироваться новыми правилами.Когда SCA вступит в силу, эмитенты карт будут обязаны предлагать держателю карты выполнить транзакцию с чипом и пин-кодом каждый раз, когда их совокупные бесконтактные расходы достигают 150 евро с момента их последней транзакции с чипом и пин-кодом.

Нормативно-технический стандарт

Одной из многих вещей, включенных в законодательство PSD2, была директива, подготовленная EBA / ECB, нормативно-технический стандарт (RTS) по надежной аутентификации клиентов (SCA). [Статья 98 PSD2]. В ноябре 2017 года был подписан РТС по SCA.

Когда применяются правила?

Надежная аутентификация клиентов должна была вступить в силу 14 сентября 2019 года. Управление по финансовому регулированию и надзору (FCA) признало сложность и проблемы реализации этой директивы в платежной среде и продлило первоначальный срок, предоставив британским предприятиям, банкам и онлайн у поставщиков аккаунтов больше времени для внедрения инструментов и процессов для обеспечения соответствия.

Текущая реализация 3D Secure будет по-прежнему поддерживаться до конца 2020 года, после чего 3DSv2 станет обязательной во всем мире.Новый крайний срок для соответствия требованиям электронной торговли в Европе — 31 декабря 2020 года. В Великобритании новый крайний срок соответствия требованиям электронной торговли — 14 сентября 2021 года.

Несмотря на то, что мы ожидаем постепенного перехода к применению SCA банками и эмитентами по всему ЕС, к установленному сроку вы должны предпринять шаги, чтобы подготовить свой бизнес. В Opayo мы работали над тем, чтобы свести к минимуму негативные последствия для вас и вашего бизнеса, обновив наши системы для поддержки 3D Secure. Первый шаг к достижению соответствия SCA — убедиться, что для ваших платежей электронной торговли включена первая версия.Вы можете узнать, как это сделать, на странице 8 нашего Руководства пользователя MySagePay.

Аутентификация против авторизации?

Аутентификация — это акт подтверждения того, что клиент является тем, кем он себя называет. Это отличается от авторизации, которая представляет собой акт проверки того, что на счете достаточно средств для транзакции и что счет (или карта) не заблокирован по какой-либо причине. Сегодня для транзакций электронной торговли мы используем 3D Secure (также известный как Verified by Visa, Mastercard Securecode или Amex Safekey) для аутентификации клиента.

3D Secure v2

Опубликована новая версия протокола аутентификации для транзакций электронной торговли, 3D Secure. Он содержит множество улучшений, упрощающих достижение SCA для транзакций электронной торговли. Основные улучшения:

  • Адаптивные платежные страницы для хорошей работы на любом устройстве
  • Поддержка биометрической аутентификации (отпечаток пальца / идентификатор лица)
  • Возможность беспрепятственного процесса аутентификации — когда клиент даже не подозревает, что аутентификация имела место.

Во время аутентификации 3D Secure, как будет выполняться аутентификация, зависит от эмитента карты. Можно достичь SCA с помощью 3DSv1, однако 3DSv2 значительно упрощает достижение SCA.

Что делают Опайо?

Мы находимся в процессе обновления нашего шлюза для поддержки 3DSv2 и внесения необходимых изменений для транзакций с помощью бесконтактных карт. В ближайшие месяцы мы проведем сертификацию нашего обновленного шлюза по схемам карт и эквайерам.Мы стремимся внести эти изменения таким образом, чтобы минимизировать изменения, которые необходимо внести нашим клиентам.

Что произойдет, когда SCA вступит в силу?

Европейские эмитенты, вероятно, начнут отказываться от транзакций электронных платежей, в которых отсутствует аутентификация. Текущая реализация 3D Secure [3DSv1] будет по-прежнему поддерживаться до конца 2020 года (после чего 3DSv2 станет обязательной во всем мире).

Чтобы узнать, что нужно делать клиентам сейчас и в будущем, нажмите здесь

Обзор

EMV 3D Secure — Портал разработчиков Elavon

EMV® Three-Domain Secure (3DS) — это протокол обмена сообщениями, разработанный EMVCo, чтобы позволить потребителям аутентифицировать себя у эмитента карты при совершении покупок в электронной коммерции без карты (CNP).Эти три домена состоят из домена продавца / эквайера, домена эмитента и домена взаимодействия (например, платежных систем).

Решение

Elavon Fraud Services Gateway использует 3D Secure 2 для предотвращения несанкционированных транзакций и защиты продавцов от мошенничества. Транзакции, которые были аутентифицированы эмитентом, перекладывают ответственность на продавцов за мошеннические транзакции. Для продавцов, которым требуется управление надежной аутентификацией клиентов PSD2, наше решение также является каналом для удовлетворения этих требований и применения обработки исключений.

Начать работу с 3D Secure 2

Обзор

Узнайте о 3D Secure 2 и различных доступных вариантах интеграции.


3D Secure 2 Обзор

Прямая интеграция с сервером 3DS

Используйте этот параметр, чтобы лучше контролировать процесс аутентификации транзакции 3D Secure.


Этапы интеграции

Интеграция с использованием 3DS Web SDK

Используйте этот параметр, чтобы разрешить веб-SDK выполнять проверку 3D Secure от вашего имени.


Интеграция с веб-SDK

Что нового в этой версии

Чтобы узнать о новых функциях, обновлениях и исправлениях ошибок в каждом выпуске, см. Примечания к выпуску

Проверочные данные

Чтобы получить учетные данные для аутентификации, которые потребуются для тестирования различных вариантов интеграции в среде песочницы, заполните информацию, запрашиваемую в этой форме.

Форма запроса тестовых учетных данных 3D Secure 2
open_in_new
Открыть ссылку в новом окне

Свяжитесь с нами

  • Если вы хотите получить дополнительную информацию, чтобы начать работу с нами, или если вы новичок и нуждаетесь в помощи с сертификацией, напишите нам по адресу websales @ elavon.com.

  • Если у вас уже есть учетная запись и вам нужна помощь, свяжитесь с нами по телефону 1-800-377-3962 или отправьте электронное письмо по адресу #[email protected]

  • Если вы интегрируетесь с EMV 3-D Secure и вам нужна помощь, обратитесь к своему специалисту по интеграции.

Кому нужна 3D Secure? Проверено Visa и MasterCard SecureCode Проверено

В благородном стремлении к борьбе с онлайн-мошенничеством интернет-магазины испытывают давление со стороны компаний, выпускающих кредитные карты, и банков, требующих внедрения технологий 3D-безопасности, а именно проверенных Visa и MasterCard SecureCode.В некоторых странах участие продавца является обязательным для обработки определенных карт.

3D Secure предлагает дополнительный уровень защиты для держателей карт и продавцов. Клиентов просят ввести дополнительный пароль после завершения оформления заказа, чтобы «подтвердить», что они действительно являются держателем карты. Но, как и любой дополнительный шаг в процессе оформления заказа, 3D Secure может негативно повлиять на коэффициент конверсии. Держатели карт часто забывают созданные ими пароли и отказываются от долгих процессов и форм.

Каждый интернет-магазин должен принять решение о внедрении, отказе от технологии 3D Secure или отказе от нее.Как определить, подходит ли это вашему бизнесу? Как можно минимизировать влияние на коэффициент конверсии, если вы внедрили 3D Secure?

Как работает 3D Secure

Разработанный Visa и лицензированный MasterCard, 3D Secure расшифровывается как «Three Domain Secure» — доменами являются банк-эквайер (банк продавца), банк-эмитент (банк держателя карты) и инфраструктура, которая поддерживает протокол 3D Secure.

На участвующих сайтах, после завершения процесса оформления заказа продавца, покупателя просят указать пароль (если он был ранее зарегистрирован) или настроить свои учетные данные Verified By Visa или MasterCard SecureCode.Клиент либо перенаправляется на веб-сайт банка-эмитента для авторизации, либо остается в рамках собственного процесса оформления заказа через фрейм.

Карты

не соответствуют требованиям, такие как Discover и American Express (у которых есть собственный продукт аутентификации Safekey, доступный только в Великобритании и Сингапуре), подарочные карты Visa и бизнес-кредитные карты с несколькими именами в учетной записи обнаруживаются системой и не предлагается зарегистрироваться или ввести пароль.

Незарегистрированный клиент Visa, Maestro или MasterCard может отказаться от схемы минимум 3 раза (в зависимости от эмитента карты), вплоть до неограниченного числа отказов.В некоторых случаях эмитент карты может принять решение, основанное на оценке риска, потребовать аутентификации в первый, второй или третий раз). Если владелец карты откажется от максимального количества раз, ему больше не будет отображаться кнопка «Нет, спасибо», и он, возможно, не сможет делать покупки в Интернете в интернет-магазинах, которые используют 3D Secure, пока не будет зарегистрирован (это зависит от карты. эмитент).

С Visa интернет-магазин может решить, обрабатывать ли заказ для отказа или неверного пароля, и защищен от возвратных платежей просто от попытки аутентификации через программу Visa Attempts.MasterCard не предлагает такой же защиты в случае отказа держателя карты.

Плюсы и минусы 3D Secure

Плюсы

Сдвиг ответственности . Обычно, когда транзакция оспаривается, цену оплачивает продавец. 3D Secure обеспечивает перенос ответственности с продавца на банк-эмитент. Уже одно это может сделать внедрение 3D Secure во всем мире полезным для вашего бизнеса.

Защита от возвратных платежей . Проверено Visa гарантирует, что вы никогда не получите возвратный платеж на свой торговый счет.Это может помочь предотвратить «дружеское мошенничество», когда клиент сознательно совершает покупку и подает возвратный платеж, зная, что банк встанет на сторону клиента. (MasterCard не поддерживает блокировку возвратных платежей).

Преимущества обмена . К ним относятся более низкие комиссии за обмен и, в некоторых случаях, более длительные сроки оплаты с вашим банком-эквайером.

Увеличение количества покупок в Интернете . Страх онлайн-мошенничества удерживает многих потребителей от совершения покупок в Интернете. Verified by Visa утверждает, что ее продукт увеличивает количество покупок в Интернете, и предполагает, что клиенты более охотно совершают покупки через сайт, использующий 3D Secure.

Минусы

Клиенты ненавидят это . Не только продавцы жалуются на 3D Secure. Если есть сомнения, посмотрите прямую трансляцию твитов о проверке Visa. Многие из них — NSFW.

@anyagrace сетует: «Lloyds TSB Click Safe / Verified by Visa — это абсолютное проклятие в моей жизни. Я каждый раз придумываю новый пароль, и он становится все длиннее и длиннее ». Это сообщение ретвитнули несколько ее подписчиков.

Клиенты этого не понимают .На рынках, где это не предусмотрено, клиенты не всегда знают, что им делать. Столкнувшись с дополнительным этапом оформления заказа, многие просто сдаются и ищут продавца, который им не пользуется.

Блокировка карты . Оскорбленные клиенты, которые не могут совершать покупки в Интернете, увеличивают количество обращений с жалобами в вашу службу поддержки клиентов. Они также могут пообещать никогда не совершать с вами сделок в будущем.

Не говоря уже о том, что 3D Secure не так уж и безопасен…

Действительно ли 3D Secure делает покупки в Интернете безопаснее?

Для незарегистрированных карт, первый человек, использующий карту в Интернете, получает возможность установить пароль.Похитители личных данных часто знают дату рождения жертвы или последние цифры номера социального страхования, необходимого для активации в банке-эмитенте. Киберпреступники также хорошо знают, насколько легко сбросить пароль 3D Secure. Их тоже можно легко угадать. Например, проверка Visa предполагает, что «ваш пароль должен быть легко запоминающимся», что в конечном итоге делает его менее безопасным.

Еще одна широко разрекламированная проблема, 3D Secure, подвержена фишингу. Чтобы повысить уверенность, во время регистрации Verified by Visa просит держателя карты выбрать фразу, которая будет отображаться в окне, например «с днем ​​рождения».”

Наконец, 3D Secure направлен на повышение доверия потребителей к покупкам в Интернете путем защиты зарегистрированных карт от использования без аутентификации. Но поскольку 3D Secure принят не всеми банками-эмитентами или всеми розничными торговцами, а также из-за возможности отказа, только некоторые из них защищены — иногда. 3D Secure также не может защитить держателя карты от утечки данных (номер карты скомпрометирован через записи продавца), что является серьезной проблемой среди «задержек» онлайн-покупок.

Где требуется 3D Secure?

MasterCard сделала ее обязательной для продавцов, желающих принимать карты Maestro в Великобритании, а в Италии требуется проверка Visa.Это настоятельно рекомендуется в других странах, особенно в странах с высоким риском мошенничества, и может стать обязательным в будущем. Торговцы, которые отказываются участвовать, могут столкнуться с штрафами и другими штрафами, если их «поймают».

В Великобритании самый высокий уровень проникновения кредитных карт в Европе, и она часто является «песочницей» для новых продуктов безопасности, таких как AVS, 3D Secure, бесконтактные платежи и обратная авторизация. По данным Cybersource, 73% британских интернет-магазинов в настоящее время используют 3D Secure, а еще 10% планируют внедрить в этом году.

В сочетании с агрессивной осведомленностью и стремлением к регистрации со стороны банков-эмитентов, покупатели в Великобритании, похоже, привыкли к этой схеме, и ее влияние на конверсию менее драматично, чем на других рынках.

Тем не менее, некоторые продавцы предпочитают продержаться с 3D Secure как можно дольше. Либо отказавшись принимать карты Maestro в Великобритании, либо рискуя быть оштрафованным.

Amazon Holdout

Amazon.co.uk — яркий пример сайта электронной коммерции, который игнорирует «правила» для карт Maestro.Есть несколько причин, по которым Amazon может уйти от этого.

У Amazon также есть высокоразвитая команда по предотвращению и разрешению мошенничества, которая включает в себя передовые инструменты, процессы и людей. (В следующем посте мы рассмотрим, что делает надежную систему борьбы с мошенничеством, следите за обновлениями). Amazon также может быть менее уязвим для мошенничества, чем другие продавцы, потому что он не ориентирован на привлечение новых клиентов. Информация о кредитной карте хранится в учетных записях пользователей и нечасто обновляется.

Скорее всего, Amazon предпочтет платить штрафы и принимать возвратные платежи, чем жертвовать объемом продаж, который может быть потерян из-за дополнительных проблем при оформлении заказа.Amazon также может позволить себе передать ответственность сторонним торговцам и продавцам на торговых площадках, которые приносят 30% дохода.

Малые и средние предприятия с меньшей вероятностью имеют отдел по борьбе с мошенничеством и могут представлять больший риск для банков-эмитентов. Таким образом, давление на МСП выше, чем на более крупные предприятия, хотя оно также зависит от объема возвратных платежей, которые получает продавец, независимо от того, легко ли покрываются эти расходы или нет. Продавцы цифровых товаров, например, имеют низкие издержки производства, а накладные расходы могут оказаться в более выгодном положении.

Рекомендации

Как вы решили использовать 3D Secure? И если вы решили его использовать, как можно минимизировать «ущерб»?

1. Оцените риски и преимущества неиспользования 3D Secure.

Чтобы получить полное представление о преимуществах или недостатках использования 3D Secure, вы должны принять во внимание вашу текущую частоту и объем возвратных платежей, ручную работу, связанную с расследованием и урегулированием претензий, расходы на комиссию за обработку вашей кредитной карты, процент от продажи с карт, требующих схемы, и потенциальные штрафы, которые вы можете понести, не участвуя.Не сосредотачивайтесь исключительно на снижении коэффициента конверсии или дохода.

Учитывайте себестоимость проданных товаров. Мошенничество сильнее всего сказывается, когда прибыль невелика. Кроме того, более высокие билеты и определенные категории товаров более уязвимы для мошенничества. Снижение риска для таких продуктов может потребовать внедрения 3D Secure на всем сайте.

2. Рассмотрите возможность выборочной реализации.

В некоторых странах повышен риск мошенничества, что может потребовать внедрения в этих странах, если вы ведете глобальный бизнес с локализованными веб-сайтами.Для других стран, где использование 3D Secure не является обязательным, а осведомленность и распространение низки, потеря конверсии / дохода может перевесить выгоду.

Есть основания для A / B-тестирования 3D Secure на разных рынках, при условии, что это не является обязательным в этом регионе. Однако вы не можете протестировать на одном рынке и применить результаты к другим. Например, держатели карт в Великобритании более склонны к 3D Secure из-за его повсеместного распространения, а влияние конверсии ожидается ниже, чем во Франции, США или Германии.

3.Если вы решили использовать 3D Secure, следуйте лучшим практикам.

Использовать встроенные фреймы . У вас есть выбор: обслуживать отдельную страницу или встроить фрейм в процесс оформления заказа с вашим брендингом в URL страницы и блокировкой SSL, а не в банке. Хотя некоторые клиенты могут опасаться, что их банковская информация передается розничному продавцу, собственное исследование Visa показывает более высокие показатели аутентификации при использовании этого подхода.

Информируйте клиентов о 3D Secure

Verified by Visa и MasterCard SecureCode имеют преамбулу, которую вы можете использовать при оформлении заказа, чтобы помочь покупателю, который не знает, что происходит, понять преимущества схемы.Вы можете создать свою собственную копию, если хотите, но убедитесь, что вы рассказываете о повышенной безопасности, которой владелец карты будет пользоваться во время регистрации в программе, на языке, не использующем жаргонизмы (и не придумывая такие слова, как жаргонные).

Следует отметить, что услуга бесплатна, и включить ссылку на дополнительную информацию (которая открывается в новом окне). Разместите сообщение там, где оно будет наиболее заметно, рядом с рамкой или кнопкой «Отправить заказ».

Также очень важно сообщить клиентам, что использование кнопок «Обновить» или «Назад» приведет к нарушению заказа.Использование диалогового окна при выполнении такого действия (типа «вы уверены, что хотите сделать это») может помочь сохранить заказ.

4. Проявите должную осмотрительность при выборе поставщика внедрения.

Для достижения вышеуказанного важно, чтобы поставщик внедрения 3D Secure предоставил как возможность изменять элементы, находящиеся под вашим контролем, так и инструменты аналитики, которые включают надежные инструменты аналитики. Например, вы хотите отслеживать данные о транзакциях, процент защищенных заказов и количество раз, когда клиенты «видели» фрейм 3D Secure.

5. Поймите, что борьба с мошенничеством — это больше, чем 3D Secure.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *