Горячий ветер 2018

Коломенский кайт клуб "Семь ветров" при поддержке Комитета по физической…

Как Валерий Шувалов снег убирал в 2016 году

Руководитель администрации города Валерий Шувалов проверил лично, как происходит расчистка…

В доме красногорского стрелка нашли долговые расписки Рассказова

В доме убийцы нашли черную бухгалтерию, где фигурируют крупные суммы,…

Дальнобойщики против "Платона"

Дальнобойщики бастуют по всей России. «Недовольство растет. Власти это замалчивают».…

«
»

9 секретов онлайн-платежей. Часть 1: настройка 3-D Secure. 3D secure оплата без


Порядок оплаты картой без технологии 3D Secure

После того как вы нажмете кнопку «Все понятно, оплачиваю!»,система перенаправит Вас на специальную «платежнуюстраницу UNITELLER» для электронных платежей,где потребуется ввести нижеуказанные данные:

1. Номер Вашей банковской карты (от 12 до 19 символов)

2. Cрок действия Вашей карты — месяц / год

3. Имя держателя карты — в точном соответствии с данными на Вашей карте

4. Код CVV2 / CVC2 — это три последние цифры, расположенные на полосе для подписи,или рядом с полосой для подписи

Как правило, подтверждение оплатыпоступает немедленно, но Нам потребуетсянебольшое время, чтобы обработать платеж.

После этого мы подготовим и вышлем Вам необходимые документыи SMS-сообщения. Как правило, документы и сообщения (e-mail и SMS) доставляются получателюв течение 3-4 минут.

После совершения платежа сообщать о факте оплаты не требуется. Платежная система автоматически проинформирует нас о завершении оплаты, а Вас отдельным электронным письмом обо всех существенных реквизитах платежа.

Дополнительная комиссия или какие-либо платежные сборы при платеже банковской картой не предусматриваются и не взимаются. Вы оплачиваете только итоговую сумму по заказу.

Справочно:

UNITELLER является одной из наиболее защищенных систем электронных платежей, прошла международную сертификацию, использует защищенный протокол SSL 3.0.

Это означает, что обработка данных, включая номер карты и другой информации, соответствует правилам конфиденциальности платежных систем Visa и MasterCard, и абсолютно защищена от несанкционированного использования.

bigbilet.ru

Объясняем на пальцах. Почему одни площадки требуют 3D-Secure, а другие нет?

При оплате через мобильное приложение покупок на AliExpress платежи проходят без 3D-Secure. Да, и сервис от Google под названием AdWords также требует только номер карты, имя держателя и CVV-код. Сегодня мы выясним, почему так происходит, и насколько в этом случае защищены наши платежи?..

Сегодня самый популярный способ платежей в Интернете — оплата  с помощью банковской карты. Расплачиваясь на таких площадках как Amazon, AdWords и AliExpress, мы заметили, что некоторые сайты не запрашивают пароль 3D-Secure при оплате. К примеру, при оплате через мобильное приложение покупок на AliExpress платежи проходят без 3D-Secure. Да, и сервис от Google под названием AdWords также требует только номер карты, имя держателя и CVV-код. Сегодня мы выясним, почему так происходит, и насколько в этом случае защищены наши платежи? Кажется уже аксиомой, что каждый раз, когда мы указываем реквизиты своей карты в Интернете, деньги на наших счетах подвергаются потенциальной опасности. К примеру, фишингу — популярному виду интернет - мошенничества.  Напомним, при оплате покупок в Сети вам могут попасться «поддельные» сайты, на которых велика вероятность оставить реквизиты своей карты. Как только это произойдет, мошенник  сразу же может использовать эти данные на другом, настоящем, сайте, но предназначенном, к примеру, для перевода денег. 

В безопасности платежей заинтересованы не только держатели карточек, но и банки, интернет-магазины и платежные системы, которые рискуют не только своими деньгами, но и репутацией

Как защищены наши платежи при оплате?

 Сначала небольшой ликбез, если вы не хакер :)  За безопасность интернет - операции отвечают все, кто принимает в ней участие. Чаще всего: банк-эмитент, выдавший вам карту, банк-эквайер, который «помогает» торговцу  принимать платеж, сам интернет-магазин и платёжная система. Когда вы совершаете покупку в Интернете, при оплате используется ряд протоколов и правил. Среди них SSL— протокол шифрования, который безопасно передаёт информацию. Обнаружить SSL просто — адреса сайтов, которые используют этот протокол, начинаются с HTTPS. А эти пять букв — первое свидетельство того, что ваша конфиденциальная информация передаётся в зашифрованном виде, и как следствие — она защищена. Также есть стандарты защиты, которые разработаны самими платёжными системами (PCIDSS). Любая компания, которая собирается осуществлять интернет - платежи, должна ежегодно проходить проверку на соответствие этим стандартам. Они позволяют исключить переход покупателя на сайт сторонней организации. На защиту ваших платежей, в том числе становятся противомошеннические системы, которые называются «Антифрод». Они оценивают ваши финансовые операции в реальном времени и ищут аномальные и подозрительные. Система «изучает» операции, которые происходят не в той стране, где выпущена карта, отслеживают ограничения по сумме, лимиты, количество покупок и время их совершения, а также — «ведут» другую статистику. Но и это далеко не вся защита. Сегодня одной из самых надёжных систем защиты в Беларуси считается технология 3D-Secure. Она позволяет убедиться, что карточкой расплачивается именно владелец. Если ваша карта поддерживает эту технологию, то для оплаты на любом из сайтов понадобится пароль, который придет к вам на мобильный телефон через СМС. Естественно — угадать пароль преступник не сможет. Кстати, вся информация, которую вы вводите, сохраняется на платежном сервере вашего банка, и интернет-магазин не имеет к ней доступа, поэтому стоит внимательно следить, где вы указываете свои данные. Некоторые сайты, конечно, могут сохранить часть информации по реквизитам платёжной карты, но в объёме не большем, чем разрешают протоколы  платёжных систем. 

А теперь самое интересное. Дело в том, что в мире технология 3D-Secure не является обязательной, и как следствие не все магазины, как и не все банки, её поддерживают

 Другими словами, если ваша карта поддерживает 3D-Secure, а магазин нет (или — наоборот), то оплата пройдёт, а ответственность за несанкционированную транзакцию ляжет на ту сторону, по чьей вине не была использована технология 3D-Secure. На AliExpress мы оплачивали покупки картой Беларусбанка, поэтому первым делом обратились именно туда. Оказалось, что оплачивать покупки мы  можем как на ресурсах, которые поддерживают технологию безопасности 3D-Secure, так и на тех, которые её не поддерживают. Получается, если на сайте для оплаты нужны только реквизиты пластика — платёж пройдёт и без дополнительного пароля. По крайней мере, если ваша карта, как и наша, на AliExpress уже «привязана» — оплата пройдёт без подтверждения.  

 

 А вот специалист поддержки AdWords (сервис Google) просто ответил, что на некоторых сервисах пароль 3D-Secure не требуется, а по вопросам  безопасности предложил обращаться в банк, который нас обслуживает. 

 

Кстати, хоть такие платежи защищены и без дополнительно пароля, наши банки не уверены в их безопасности. Поэтому рекомендуют не пользоваться такими сервисами без дополнительной защиты! Вот что нам рассказали в белорусских банках… 

Белгазпромбанк 

БПС-Сбербанк 

СтатусБанк 

 Поэтому возникает вопрос, как в таком случае себя обезопасить? 

Мы составили небольшую инструкцию по безопасности 

  • Не стоит использовать подозрительные сайты. Всегда обращайте внимание на адрес сайта, на котором вы расплачиваетесь. Он должен начинаться с https://, что гарантирует шифрование ваших данных
  • Также, чтобы понять, безопасно ли открывать тот или иной сайт, проверьте информацию в адресной строке, там должна быть иконка в виде закрытого замка. Это значит, что подключение защищено и данные, которые вы сообщаете сайту (например, пароли или номера банковских карт) защищены
  • Специального списка, где будут перечислены сайты, поддерживающие необязательную в других странах технологию 3D-Secure, конечно, нет. Поэтому ищите на сайте надпись Verified by Visa или MasterСard SecureCode — это значит, что сайт использует технологию 3D-Secure.  Или — заранее обратитесь в техподдержку сервиса и уточните, как защищена оплата
  • Нельзя сообщать данные своей банковской карты работникам интернет-магазинов. Возможно, это будут мошенники
  • Если сайт, на котором вы расплачиваетесь, вызывает у вас подозрение, то лучше использовать электронные кошельки. При их использовании вам не нужно будет делиться данными карты 

Помимо основных мер безопасности, лучше всего подключить СМС - оповещение к карте, чтобы отслеживать операции в режиме реального времени. Также покупки в Интернете не рекомендуется  совершать с использованием вашей основной (зарплатной) карточки. Лучший вариант — открыть отдельную карту для интернет - платежей. Приятного и безопасного шопинга :)

Еще больше самых свежих и интересных банковских новостей на нашем канале в Telegram!

mogu.by

Порядок оплаты картой без технологии 3D Secure

После того как вы нажмете кнопку «Все понятно, оплачиваю!»,система перенаправит Вас на специальную «платежнуюстраницу UNITELLER» для электронных платежей,где потребуется ввести нижеуказанные данные:

1. Номер Вашей банковской карты (от 12 до 19 символов)

2. Cрок действия Вашей карты — месяц / год

3. Имя держателя карты — в точном соответствии с данными на Вашей карте

4. Код CVV2 / CVC2 — это три последние цифры, расположенные на полосе для подписи,или рядом с полосой для подписи

Как правило, подтверждение оплатыпоступает немедленно, но Нам потребуетсянебольшое время, чтобы обработать платеж.

После этого мы подготовим и вышлем Вам необходимые документыи SMS-сообщения. Как правило, документы и сообщения (e-mail и SMS) доставляются получателюв течение 3-4 минут.

После совершения платежа сообщать о факте оплаты не требуется. Платежная система автоматически проинформирует нас о завершении оплаты, а Вас отдельным электронным письмом обо всех существенных реквизитах платежа.

Дополнительная комиссия или какие-либо платежные сборы при платеже банковской картой не предусматриваются и не взимаются. Вы оплачиваете только итоговую сумму по заказу.

Справочно:

UNITELLER является одной из наиболее защищенных систем электронных платежей, прошла международную сертификацию, использует защищенный протокол SSL 3.0.

Это означает, что обработка данных, включая номер карты и другой информации, соответствует правилам конфиденциальности платежных систем Visa и MasterCard, и абсолютно защищена от несанкционированного использования.

www.bigbilet.ru

9 секретов онлайн-платежей. Часть 1: настройка 3-D Secure

В данном выпуске, первом из серии «9 секретов онлайн-платежей», содержащей восьмилетний опыт работы команды PayOnline, мы поделимся правилами настройки протокола 3-D Secure для успешной обработки платежей на вашем сайте.

Российский рынок e-commerce живет в условиях кризиса, сейчас то время, когда одной из ключевых задач для успешного «выживания» является настройка всех «винтиков» механизма вашего сайта. Один из таких «винтиков» — это сервис приема онлайн-платежей на сайте. При правильном подходе он может стать фактором успеха, а при неверном использовании — привести к серьезным проблемам.

Часть 1. Настройка 3D SecureЧасть 2. Регулярные платежиЧасть 3. Страница выбора способа оплатыЧасть 4. Платежная формаЧасть 5. Мобильные платежиЧасть 6. Оплата в один кликЧасть 7. Система fraud-мониторингаЧасть 8. Возвраты и как их избежатьЧасть 9. Настройки платежного сервиса под тип бизнеса

Краткий экскурс в историю вопроса

Создатель протокола 3-D Secure (3DS) – международная платежная система Visa (программа Verified by Visa). 3DS поддерживается ключевыми мировыми платежными системами: MasterCard SecureCode и J/Secure от JCB International.

Основная задача 3DS – защитить плательщиков и предприятия от мошенников. Поддержка протокола 3DS практически ликвидирует опасность совершения мошеннических операций с помощью банковской карты, так как является ещё одним способом подтверждения личности плательщика.

Почему 3-D Secure так называется? В обработке платежа с использованием протокола 3DS участвует три домена (3D), на которых создаются и проверяются транзакции (платежные операции по банковским картам): домен эквайера, домен эмитента и домен взаимодействия.

Как это работает?

80% банковских карт в России подписаны на протокол 3-D Secure. 30 миллионов россиян совершают покупки в Интернете. Значит, более 24 миллионов россиян хотя бы раз проходили через процесс авторизации платежа с помощью 3DS. Как это происходит с точки зрения плательщика?

Человек оформляет заказ на сайте, нажимает «Оплатить» и, заполнив платежную форму, попадает на страницу, расположенную на домене банка-эмитента (банка, выпустившего карту), для ввода уникального кода проверки.

Код в большинстве случаев поступает в виде SMS, иногда используются другие механизмы (набор кодов на карте, уточнение кода по телефону в банке и т.д.). Всё, что нужно сделать плательщику – ввести код в соответствующее поле и закончить процедуру оплаты.

С точки зрения интернет-магазина всё не так просто. Не все банковские карты в России подписаны на 3DS: ряд банков просто не поддерживает протокол, в некоторых банках решение о подключении услуги 3DS авторизации принимает плательщик. Таких карт – около 20% от общего числа. России было выпущено более 220 миллионов карт, по полторы карты на человека. Конечно, стоит учитывать, что люди, совершающие покупки в интернете, стараются защитить себя, а карты без 3DS в основном выпускаются в рамках зарплатных, пенсионных, стипендиальных проектов.

Но, все-таки, в аудитории каждого коммерческого сайта есть клиенты с картами, не подписанными на 3DS (их доля зависит от типа бизнеса компании, географии ее работы и других факторов). Нужно принять решение о том, как работать с этими клиентами, как настроить протокол 3-D Secure.

Именно здесь интернет-магазин сталкивается с вопросом безопасности и необходимостью оценки рисков. Пропускать все транзакции подряд – шаг рискованный, можно «нарваться» на мошенников, получить чарджбэки и потерять заметную часть прибыли. С другой стороны, отклонять платежи по картам, не подписанным на 3DS, значит терять лояльных клиентов и собственную прибыль.

Компромисс между безопасностью и конверсией

Настройка 3D-Secure на сайте – дело «тонкое». Она требует понимания уровня рисков в том сегменте интернет бизнеса, в котором работает компания.

Можно условно выделить три основных типа настроек протокола 3DS:

  1. Минимальный 3DS;
  2. FULL 3DS;
  3. Двухступенчатый 3DS.

Подробнее о настройке протокола 3-D Secure мы расскажем далее. Отметим сразу, что далее мы будем говорить о настройке приема платежей по картам, подписанным на Verified by Visa или MasterCard SecureCode.

Full 3DS

Full (полный) 3DS – это базовая настройка протокола 3DS, рекомендованная международными платежными системами. Эта настройка минимизирует риск возникновения мошеннических операций и, соответственно, вероятность чарджбэков и финансовых рисков для компании.

Как это работает? Очень просто. Платежи одобряются только после прохождения авторизации с помощью протокола 3DS. Действует для всех карт без исключения. Все транзакции проходят по протоколу 3DS.

Если проверка по 3DS на стороне эмитента не работает или карта не подписана на 3DS, транзакция пройдет только с согласия эмитента, в противном случае будет отклонена.

Такая настройка протокола соответствует международным стандартам безопасности и минимизирует уровень рисков возникновения мошеннических операций. В рамках нашего базового коробочного платежного решения Pay-Start (решение разработано для сайтов с оборотом до 30 тысяч рублей в сутки), используется только базовая, Full, настройка протокола 3DS. Это обеспечивает небольшим компаниям практически полную безопасность при приеме платежей. Платежный сервис несет ответственность за безопасность платежей и никогда не порекомендует клиенту «поставить себя под удар» мошенников.

Однако, в случае с крупным бизнесом, вопрос увеличения конверсии становится настолько критичным, что может заставить предпринимателя пойти на уступки в отношении безопасности. В этой ситуации часть или все платежи по банковским картам обрабатываются без проверки с помощью 3DS. Это касается минимальной и двухступенчатой настроек протокола.

Минимальный 3DS

Минимальные настройки протокола 3DS позволяют проверить карты, подписанные на 3DS, а остальные пропустить без проверки (точнее с проверкой – но с помощью других инструментов системы безопасности, так называемых фильтров безопасности).

Итак, при выборе минимальных настроек 3DS:

  • Если карта не подписана на 3DS, транзакция проходит без 3DS.
  • Если карта подписана на программу Verified by Visa или Mastercard SecureCode, транзакция проходит по 3DS.
  • Если по каким-то причинам проверка по 3DS на стороне эмитента (банка, выпустившего карту) не работает, решение о судьбе транзакции принимается в соответствии с заранее заданным алгоритмом.

Двухступенчатый 3DS

Эта настройка протокола 3DS похожа на минимальную, но имеет одно существенное отличие. В этом случае все запросы на одобрение транзакций направляются в банк-эмитент по протоколу 3DS. И банк-эмитент принимает решение о возможности проведения транзакции, если карта плательщика не подписана на протокол 3DS. Если банк отклоняет транзакцию, она направляется на проверку повторно, но уже не по протоколу 3DS.

Можно пойти дальше и выбрать один из трех возможных вариантов, настроив 3-D Secure ещё «тоньше», учитывая тип бизнеса и географию стран, в которых представлены интересы компании. Например, включить 3DS для определенных стран или заданного типа карт, а также в зависимости от различных параметров платежа — суммы, географии плательщика и т.д.

Нужно еще раз отметить, что минимальный и двухступенчатый 3DS при непрофессиональном использовании могут повысить уровень риска возникновения мошеннических операций и, соответственно, финансовых потерь. В общем, настройка 3DS – это совсем не игрушка.

Перед изменением настроек протокола проводится совместный анализ аудитории и специфики бизнеса компании (средний «по больнице» уровень рисков в данном сегменте, география приема платежей, размер среднего чека и т.д.). Анализ проводится специалистами платежного сервиса при участии представителей компании клиента. По результатам проведенного анализа предоставляются рекомендации по возможности изменения настроек и сопряженному с ними уровню рисков. Финальное решение принимает клиент, так как он берет на себя ответственность за возможность возникновения мошеннических операций. Стоит отметить, что изменения чаще всего внедряются в случае, если нет серьезных опасений о появлении фрода.

Что же делать?

Здесь встает вопрос, по какой же схеме удобнее, выгоднее и безопаснее работать интернет-магазину или другому сервису, принимающему платежи онлайн?

Единственная слабость Full 3DS очевидна – платежи по картам, не подписанным на 3DS (в России их около 20% и их число постоянно уменьшается), будут отклоняться. Такие карты обычно эмитируются банками, не входящими в ТОП-50, зачастую региональными. Главным плюсом же является практически полная безопасность: в соответствии с установленными международными платежными системами правилам ответственность за операции, обработанные по протоколу 3DS, несет банк-эмитент (банк, выпустивший карту).

Выбирая двуступенчатый или минимальный 3DS, интернет-магазин берет на себя риски, связанные с возможностью возникновения фрода (мошеннических операций). Однако, при профессиональном анализе рисков, тонкой настройке системы фрод-мониторинга на стороне платежного партнера доля успешных транзакций заметно увеличивается, иногда на десятки процентов.

От теории к практике

Рассмотрим кейс одного из наших клиентов, авиабилетного агентства «Посошок» (pososhok.ru). Оборот компании в 2013 году составил 4,5 млрд. рублей, на сегодняшний день компания может похвастаться полутора миллионами обслуженных пассажиров.

В марте 2014 года компания столкнулась с проблемой: авторизация покупателей с помощью протокола 3-D Secure давала высокую степень защиты, но перед компанией стояла задача увеличить конверсию в оплаты: одобрялось лишь 79% транзакций.

На тот момент использовалась двустадийная авторизация платежей. Первая стадия авторизации проводилась по протоколу 3D-Secure. Если платеж совершался с карты, не подписанной на 3DS, на второй стадии авторизации проверка выполнялась системой мониторинга мошеннических операций PayOnline (о ней будет рассказано подробнее в следующих статьях) на основании настроек её фильтров.

Проанализировав аудиторию покупателей, ядро которой составляли россияне, специалисты «Посошка» совместно с консультантом PayOnline приняли решение об изменении настроек безопасности для платежей из России, совершаемых картами, эмитированными в России. Для таких платежных операций была отключена авторизация по протоколу 3DS. Их проверяла система мониторинга мошеннических операций PayOnline, каждый из 154 фильтров, которой был настроен в соответствии со спецификой бизнеса «Посошка». Для остальных типов транзакций продолжала применяться авторизация по 3DS.

Результат не заставил себя долго ждать: уже через полгода конверсия «взлетела» до 91%, и продолжала расти.

При этом количество «чистых» операций, отклоненных системой мониторинга за этот период, можно пересчитать по пальцам – и все они впоследствии были идентифицированы и проведены вручную. А благодаря профессионализму специалистов, занимавшихся настройкой протокола 3DS, изменения не сказались на уровне безопасности.

В следующем выпуске мы расскажем, как привязать клиента к своему сервису при помощи регулярных платежей, что это такое, какие вопросы на этапе подключения могут возникнуть у вас, а в процессе использования – у плательщиков, и какой «профит» ожидает в результате. Если вы хотите подключить и настроить платежи, обращайтесь, наши специалисты помогут вам в этом.

 

web-payment.ru

Яндекс игнорирует проверку 3D Secure при оплате рекламы в Яндекс.Директ с помощью банковских карт

Примерно полгода назад в публикации на Geektimes «Дешевые авиабилеты… Или сеть мошеннических сайтов, ворующих деньги с карт. Мое расследование», я описал случай, как у моего знакомого помимо денег за «фейк-авиабилеты» дополнительно украли с карты 35200руб, которые ушли на пополнение счета мошенников в рекламной сети Яндекс.Директ. Украденная сумма ограничивалась только остатком средств на карте. Если бы на карте оставались еще деньги, то украли бы больше. В комментариях списания средств было указано «YM*Yandex.Direct». Ниже фрагмент банковской выписки, взятый из упомянутой публикации: В описанном случае номер банковской карты «потерпевшего» был украден, точнее получен обманным путем на мошенническом сайте. Перевод средств за фейк-авиабилеты потерпевший подтверждал с помощью кодов 3D Secure, которые приходили в СМС от банка. Однако средства на опалату Yandex.Direct уходили в разное время без каких-либо дополнительных запросов владельцу карты, без проверок 3D Secure итп.

Хотя на теневых форумах мошенники писали, что Яндекс действительно не использует 3D Secure при оплате Яндекс.Директа, подтвердить это не получалось. При собственном тестировании пополнения баланса Яндекс.Директа через сайт, всегда проводилась дополнительная проверка с помощью смс-кодов от банка. Я даже думал, что Яндекс по результатам первой публикации быстро исправил свои сервисы. Для меня и, думаю, для многих долгое время оставалось непонятно, каким же образом мошенники обходили эту проверку. И вот я случайно нашел этот несложный способ, который лежал на поверхности, и который работает до сих пор. Всем, кто в комментариях к первой статье хвалился «суперзащищенностью» своих карт и хвалил свои банки, предлагаю проверить их на прочность при оплате Яндекс. Директа. Прежде чем мы продолжим, под спойлером можно посмотреть, как выглядит форма оплаты, если пополнять баланс через личный кабинет Яндекс.Директа, используя браузер и полную версию сайта. К полной версией сайта вопросов не возникает.

Пополнение баланса Яндекс.Директа через сайт

Я даже не могу сказать, что я что-то открыл. Способ предельно простой и для его использования нужно всего лишь установить приложение Яндекс.Директ для мобильных телефонов и осуществлять оплату банковскими картами через это приложение. Вероятно, что большое количество добропорядочных пользователей Директа использовали этот способ пополнения баланса, но не обращали внимания на отсутствие проверок, либо оставляли этот момент на совести разработчиков. Ниже описана несложная последовательность оплаты на примере мобильного приложения для IOS.Нажимаем на надпись «пополнить общий счет».Вводим сумму и выбираем оплату по карте.Вводим данные карты. Данные карты сохранены. При первом сохранении для проверки с карты автоматически списывается 2рубля, а потом возвращается обратно та же сумма. Всё это происходит без использования 3D Secure! Не приходит никаких СМС итп. Для оплаты достаточно знать номер карты, ее срок и CVV. При тестировании использовалась карта Сбербанка, по которой при любых других покупках через Интернет, всегда приходят СМС с проверочными кодами.Скриншот с СМС проверки карты и первой оплаты. Данные карты по-умолчанию сохраняются в телефоне. При этом мобильное приложение даже не спрашивает пользователя, действительно ли он хочет хранить данные карты в телефоне. При последующих оплатах с использованием ранее проверенной карты, процесс пополнения баланса в Яндекс.Директе еще больше ускоряется. Достаточно выбрать ранее сохраненную карту и нажать внизу экрана кнопку «Оплатить». Сумма по-умолчанию уже вписана такая же, как была при предыдущем платеже. Деньги улетают моментально. Пользователю даже не выводится дополнительный вопрос, действительно ли он хочет перевести сумму.

В личном кабинете Яндекс.Директа, в журнале оплат, платежи картой с использованием 3D Secure и платежи без полноценной проверки подписываются по-разному. Платежи через форму в личном кабинете в полной версии сайта подписаны «Банковская карта», платежи через мобильное приложение подписаны «Trust, банковской картой». «Trust» здесь к названию банка отношения никакого не имеет.

Для того, чтобы существовал любой мошеннический сайт, он должен любым способом заманивать к себе посетителей, часть из которых может стать жертвами обмана. Мошеннические сайты живут недолго из-за того, что их со временем вычисляют и закрывают. Новым сайтам мошенников практически нереально без рекламы честным способом получить большую посещаемость из поисковых систем. Даже если такие сайты раскручивать целый год, на первые страницы выдачи они обычно не попадают. Остается единственный способ привлечь посетителей, — размещать платную рекламу. Реклама по полярным запросам (например, «дешевые авиабилеты в анапу») стоит дорого и свои средства мошенники тратить не будут. Для этого у них есть данные ворованных карт, с которых можно легко переводить десятки и сотни тысяч рублей в рекламную сеть Яндекса. Чужие деньги не жалко и ради того, чтобы попасть на первое место в выдаче, мошенники могут оплачивать Яндексу любую стоимость клика: 100руб., 200руб итп. Думаю, что ни одна рекламная сеть не будет возражать, что кто-то хочет с ней поделиться деньгами.

Яндекс создал программу, которая идеально подходит для включения в арсенал мошенников. Достаточно купить старенький подержанный смартфон и «левую» симкарту. На смартфон устанавливается приложение. Вводится в него номер ворованной карты. И из любого уголка земного шара, где есть мобильная сеть или wifi, одним кликом можно воровать деньги. Для особо подозрительных через неделю или через месяц смартфон и симкарту можно поменять. Отследить таких мошенников практически нереально.

Все довольны, кроме владельцев карт, с которых уводят деньги. На основании реального случая, описанного в первой статье, даже если по горячим следам обратиться в Яндекс менее чем через 12 часов после перевода средств в Директ, Яндекс оперативно отвечает: «По Вашему запросу мы провели расследование и приняли все необходимые меры. К сожалению, деньги уже потрачены, и вернуть их нам не удалось...». Если быстро обратиться в свой банк, то попытаться вернуть средства можно, особенно учитывая то, что их списали без проверки 3D Secure. Как показала первая статья, деньги в отдельно взятом случае после заявления в банк отправителя даже вернули. Но прежде чем деньги вернутся, жертвы мошенников вынуждены писать в Яндекс, в свой банк, в полицию итп, и ждать возврат месяц, надеясь на чудо. Тем временем мошенники за пару кликов вводят в приложение ворованные данные очередной карты и запускают новую серию бесконечного сериала.

А может быть все-таки добавить проверку 3D Secure при пополнении баланса в Яндекс.Директе?

habr.com

3D Secure: как обеспечить безопасность при платежах онлайн - finstok.ru

3D Secure: как обеспечить безопасность при платежах онлайн

Подробности Категория: Пластиковые карты Создано 14.09.2012 10:19

Здравствуйте, уважаемые читатели блога finstok.ru. Неоспоримым преимуществом пластиковых карт,  является возможность использовать карту в качестве средства платежа в Интернете. Согласитесь, удобно: подобрали по Интернету авиарейс, гостиницу, оплатили услуги с помощью Вашей карты, распечатали электронный билет -  и вот Вы уже сидите в кресле самолета, любуясь отражением солнечных лучей от облаков, которые завораживают своей красотой и безграничностью.

Однако использование банковской карты в качестве средства платежа таит в себе и определенный риск: мошенник, зная реквизиты Вашей карты, может незаконно воспользоваться Вашими деньгами. При этом для банка, выпустившего карту, транзакция будет абсолютно легитимной – для банка данная операция была совершена Вами, и банк переведет денежные средства с Вашего счета.

Правилами международных платежных систем  предусмотрены определенные механизмы оспаривания операции, и незаконно списанные денежные средства в определенных случаях можно вернуть. Но данный процесс занимает очень много времени, да к тому же и нервов придется потратить достаточно, поэтому о безопасности, сохранности Ваших денежных средств лучше побеспокоиться на самом раннем этапе пользования картой.

Одним из способов свести данный риск к минимуму является использование виртуальной карты с заранее установленными лимитами, предназначенными для оплаты, например, одного платежа. При этом данный вид карт, как правило, имеют ограниченный, по сравнению с классическими картами, срок действия. Да и за выпуск виртуальных карт банки берут определенную комиссию. Поэтому необходимость каждый раз выпускать новую карту, а именно это позволит обеспечить необходимую безопасность, может в конечном итоге вылиться в достаточно круглую сумму.

Помимо виртуальных карт есть еще один механизм, призванный обеспечить безопасность платежей в интернете – 3D Secure. О нем и будет идти разговор в данной статье.

Как работает 3D Secure?

Основным предназначением технологии 3D Secure, как уже было сказано, является обеспечение безопасности при платежах без присутствия карты – card not present (CNP). 3D в названии протокола обозначают не трехмерное графику по аналогии с 3D фильмами и телевизорами,  набравшие популярность в последнее время, а технологию авторизации, основанную на 3 доменах. Я думаю, читателям нашего блога знаком термин домен, и останавливаться на этом подробно не будем.  Если же  требуются более подробные разъяснения – пожалуйста, напишите об этом в комментариях.

При этом авторизация платежей по данному протоколу несколько отличается от классических платежей. Мы уже говорили о том, что в классических CNP платежах, когда протокол 3D secure не применяется, авторизация проводится по следующему алгоритму. Например, Вы решили приобрести некий товар или услугу в сети Интернет, и решили оплатить покупку с помощью банковской карты.

Выбрав товар, либо услугу, и нажав кнопку «Оплатить» на сайте продавца, Вы, как правило, переходите на страницу банка-эквайера данного продавца.    Именно на данной странице происходит непосредственно оплата Ваших покупок. После получения от Вас реквизитов карты: номер карты, срок действия, данные о держателе, а также код CVV2 либо CVC2 банк-эквайер связывается с банком эмитентом – банком, выпустившим Вашу пластиковую карту. На Вашем счете происходит блокировка требуемой суммы, а в дальнейшем и непосредственно списание денежных средств.

В случае использование протокола 3D Secure на этапе проверки подлинности держателя карты происходит еще один шаг – после ввода реквизитов карты на сайте банка-эквайера держателя карты перебрасывает на специальную страницу банка-эмитента карты. На данной странице держателю карты предлагается дополнительно ввести дополнительный защитный код. При этом данный код может быть либо постоянным – клиент задает его во время получения карты, либо переменным: код может быть получен с помощью карточки одноразовых паролей, приходить на телефон в виде смс-сообщения, а также сгенерирован с помощью специального устройства.

 Таким образом проверка подлинности при проведении платежей происходит с использованием 3 доменов:

- домен эквайера, на котором происходит авторизация на первом этапе

- домен  эмитентам – второй шаг авторизации

- домен совместимости – домены международных платежных систем, функции которых поддержание протокола 3D secure.

Именно эти 3 домена эти 3 домена и определили название протокола 3D Secure. Важным моментом при применении протокола является так называемый перенос ответственности. В классических платежах, без использования протокола 3D Secure, ответственность за платежи по украденным карточкам несет мерчант – продавец товара, на сайте которого была произведена оплата с помощью украденной карты. В случае использования протокола 3D Secure ответственность ложится на банк-эмитент карты.

История развития протокола 3D Secure

Изначально протокол 3D Secure был разработан и предложен компанией Visa, а в дальнейшем был принят и другими международными платежными системами. Реализация протокола в компании Visa называется  Verified by Visa (VbV), у MasterCard - MasterCard SecureCode (MCC).  В настоящее время использование протокола не является обязательным, и количество магазинов, использующих протокол чрезвычайно мало. Узнать о возможности использования протокола можно по специальным логотипам Verified by Visa и MasterCard SecureCode, размещенным на страницах продавцов. Кроме того, количество банков, предлагающих клиентам карты 3D Secure в России также немного. Но учитывая тот факт, что количество онлайн-платежей постоянно растет, и также тот факт, что проблема воровства денег и оплата товаров и услуг в Интернете с помощью украденных карт становится актуальным с каждым днем, количество банков, занимающихся эмиссией карт, а также количество онлайн-магазинов, принимающих оплату по протоколу 3D Secure, несомненно, будет увеличиваться.

 

Подписка на наши новости очень важна – она позволит не пропустить ни одной темы нашего сайта. Возможно, Вам также будут интересны  услуги в сфере финансов, которые мы готовы предложить Вам. Для более подробной информации перейдите, пожалуйста, по ссылке.

Также не забываем делиться с друзьями с помощью кнопок социальных сетей

  • < Назад
  • Вперёд >
Добавить комментарий

finstok.ru

3D Secure технология - как подключить

Большинство держателей банковских карт, используют их для покупок товаров через интернет, а для того, чтобы совершить платеж за товар, необходимо ввести реквизиты карты. Некоторые из тех людей, которые активно пользуются интернетом, знают, что мошенники всегда начеку и стоит только зазеваться и твои данные с карты будут украдены.

Поэтому многие поначалу настороженно относились к оплате с вводом CVC-кода, номера своей карты и срока её действия, но на сегодняшний момент можно уверено заявить, что используя все современные механизмы защиты, можно избежать воровства денег с вашей карточки. Благодаря платежным системам и кредитным организациям было разработано и внедрено множество способов защиты интернет платежей, наиболее значимым считается 3D-Secure. Данная технология поддерживается многими банками и позволяет совершенно спокойно совершать платежи через интернет. Как подключить эту полезную услугу и обезопасить свои покупки, мы расскажем в данной статье.

Для чего используется технология 3D Secure

Технология 3D-Secure первоначально была разработана международной платежной системой VISA, называлась она Verified by VISA (VbV). Затем такую дополнительную защиту стала применять Mastercard, она носила название Mastercard SecureCode (MCC), а у платежной системы American Express чуть позже тоже появилась подобная защитная технология, которая называлась American Express Safekey. 3D-Secure представляет собой хорошо защищенный протокол авторизации пользователя, с помощью которого добавляется еще один шаг, делающий процедуру авторизации намного безопаснее.

Как выглядит процесс авторизации без технологии 3D-Secure: ввод номера карты, имени и фамилии, срока действия, а также ввод CVC-кода, который прописан на обратной стороне карточки.

Что меняется в авторизации с технологией 3D-Secure: помимо всех введенных выше карточных реквизитов, вы должны указать одноразовый или постоянный пароль, который вы получаете в СМС сообщении от банка или еще это можно сделать через банкомат. Вот и вся защита, казалось бы, ничего необычного нет, но работает она замечательно, ведь сообщение, которое присылается на номер вашего телефона, не может быть перехвачено злоумышленниками.

Исходя из этого, 3D-Secure можно считать дополнительной защитой для оплаты покупок товаров и услуг, которые вы производите через интернет. Однако не всегда можно воспользоваться данной технологией защиты, во-первых, далеко не во всех банках выпускаются карты с поддержкой 3D-Secure, а во-вторых, не все интернет магазины поддерживают эту технологию. Потому как всё упирается в стоимость её внедрения, а она прямо скажем не маленькая, и еще эта технология на сегодняшний момент не является обязательной, то есть интернет магазин вполне законно может работать без неё. Узнать магазины, которые поддерживают 3D-Secure, вы сможете по соответствующему логотипу на сайте.

Кстати говоря, некоторые интернет магазины иногда отказываются принимать обычные карты, которые не поддерживают данную технологию. Другими словами, пытаясь оплатить картой без 3D-Secure, магазин исходя из своих соображений, платеж не проведет. Именно поэтому, когда захотите что-то купить на интернет-магазине, прежде всего, уточните какие он принимает карты и, конечно же, узнайте, поддерживается 3D-Secure вашей карточкой.

Как подключить технологию безопасных платежей в интернете

Как мы говорили ранее, не все банки внедряют технологию 3D-Secure из-за её дороговизны, однако ведущие кредитные организации данную технологию не оставили без внимания, так как это определяющий фактор – эмитировать самые безопасные карты со всеми последними методами защиты. Поэтому в таких крупных банках, как Сбербанк, Тинькофф, Альфа-банк, ВТБ-24, Русский Стандарт, Промсвязьбанк и многие другие ведущие банки страны такая технология внедрена одними из первых.

Кстати говоря, в большинстве из перечисленных банков данная технология защиты карты подключена по умолчанию, причем совершенно бесплатно. В остальных банках эту услугу могут подключить только после подачи письменного заявления с просьбой о подключении, либо самостоятельно осуществить подключение 3D-Secure через интернет банк.

credit-cards-online.info