3D-Secure

Содержание
  1. 3D Secure, или что скрывают механизмы безопасности онлайн-платежей
  2. Версии протокола 3D Secure
  3. Как это устроено?
  4. Как это работает?
  5. А поподробнее?
  6. Pareq
  7. Раскрутим XXE
  8. 3D Secure на карте банка: что это такое, как подключить и отключить
  9. Что такое технология 3D Secure
  10. Расшифровка термина
  11. Как работает 3D Secure
  12. 3D Secure с многоразовым паролем
  13. Проблемы с безопасностью при наличии 3D Secure
  14. Что такое Liability Shift
  15. Как подключить и отключить 3D Secure на карте
  16. Как узнать, есть ли на карте 3D Secure
  17. Зачем нужен 3D-Secure и как подключить?
  18. Что такое 3D-Secure?
  19. Что такое 3D-Secure на банковской карте
  20. Технология 3D-Secure Visa и MasterCard
  21. Как подключить 3D-Secure?
  22. Как подключить 3D-Secure в Сбербанке
  23. Как подключить 3D-Secure в ВТБ 24
  24. Рекомендации
  25. 3D Secure — что это такое?
  26. Технология 3D Secure — что это такое
  27. Как происходит 3DS аутентификация
  28. Многоразовый пароль
  29. Как подключить 3D Secure
  30. В личном кабинете
  31. Банковский офис
  32. Меню банкомата
  33. Возможные ошибки при 3D Secure авторизации
  34. Что такое Liability Shift (перенос ответственности)
  35. 3D-Secure: как работает система, как подключить или отключить ее на карте Сбербанка
  36. Два способа подтверждения платежа
  37. Алгоритм действия
  38. Какие у системы преимущества и недостатки?
  39. Как подключить систему дополнительной безопасности?
  40. В офисе банка-эмитента
  41. По телефону call-центра
  42. Через мобильный банк
  43. С помощью банкомата
  44. Через личный кабинет
  45. Отключение услуги дополнительной защиты

3D Secure, или что скрывают механизмы безопасности онлайн-платежей

3D-Secure

Электронная коммерция — одна из самых больших и быстро растущих областей, в связи с чем она привлекает внимание как исследователей информационной безопасности, так и злоумышленников. Поэтому хотелось бы разобраться в некоторых аспектах механизмов безопасности, применяемых при проведении онлайн-платежей.

Один из протоколов, используемых для увеличения безопасности онлайн-платежей — 3D Secure.

Это протокол, который был разработан на основе XML в качестве дополнительного уровня безопасности платежей, проводящихся без физического участия карты (card not present payment).

VISA создала первую версию этого протокола, но вскоре его начали использовать и другие компании (Master Card, JCB International, AmEx, Мир), впоследствии объединившиеся с VISA в содружество EMV. EMV занимается поддержкой и развитием протокола 3DS.

Почему протокол 3D Secure называется именно так?

Полное название этого протокола — Three Domain Secure.
Первый домен — домен эмитента — это банк, выпустивший используемую карту.
Второй домен — домен эквайера — это банк и продавец, которому выплачиваются деньги.

Третий домен — домен совместимости (interoperability domain) — инфраструктура, используемая при оплате картой (кредитной, дебетовой, предоплаченной или другими типами платежных карт) для поддержки протокола 3D Secure.

Он включает в себя Интернет, подключаемый модуль продавца (merchant plug-in), сервер контроля доступа (access control server) и других поставщиков программного обеспечения.

Зачем это нужно?

3D Secure обеспечивает новый уровень безопасности путем предоставления дополнительной информации.
Еще одним важным моментом является «перенос ответственности».

Это означает, что в случае мошенничества вся ответственность ложится на банк-эмитент. Этот момент является очень важным для продавца (мерчанта), т.к.

до появления 3D Secure урегулированием спорных вопросов приходилось заниматься мерчанту.

Также не стоит забывать о двух важных психологических аспектах: повышении доверия к онлайн-платежам и увеличении конверсии.
Конверсия может быть увеличена за счет обновлений протокола 3DS, направленных на сокращение взаимодействия с пользователем.

Версии протокола 3D Secure

v1.0 — 2001 г -…v2.0 — 2014 г — Устарелоv2.1 — 2017 гv2.2 — 2018 г

В настоящее время большинство платежных сервисов используют версию 1.0.2 при проведении онлайн CNP-платежей, запрашивающих OTP-код.
Версия 1.0.2 была создана в 2001 году и в ней есть некоторые проблемы.

На данный момент актуальной версией является v2.2, и EMV планирует, что к концу 2020-го года она будет использоваться везде.

Как это устроено?

Это основная схема, необходимая для понимания всего процесса платежа с использованием механизма 3DS.

На этом рисунке мы видим все три домена, используемые в протоколе, а также последовательность сообщений между всеми участниками платежной операции.

Как это работает?

Главное, что необходимо понять, — это то, что при использовании своей карты (виртуальной или реальной) для онлайн-оплаты, вы сталкиваетесь именно с протоколом 3DS. Поэтому сейчас мы проиллюстрируем все этапы совершения онлайн-платежа.

1 — Покупатель уже добавил все необходимые ему товары в корзину и нажал кнопку «Оплатить». В этот момент он попадает на страницу MPI-сервиса, где вводит данные своей карты.

После нажатия кнопки оплаты продавец (MPI) инициализирует старт платежного потока и, согласно протоколу, отправляет CRReq-запрос (Card Range Request). Данный запрос необходим, чтобы найти банк-эмитент вашей карты и получить CRR из домена взаимодействия. Этот запрос нас мало интересует.

После этого MPI отправляет VeReq (Verification Request). Этот запрос отправляется банку-эмитенту для проверки того, что 3DS для данной карты включен и карту можно использовать для оплаты.

VeRes (Verification Response) содержит дополнительную информацию для следующего этапа платежа.

Клиенты не могут видеть эти два типа сообщений.

2 — MPI создает PaReq (Payment Request) — запрос на оплату. Этот запрос отправляется через редирект в браузере клиента.

Итогом отправки PaReq становится отображение запроса на ввод OTP-кода.

3 — Клиент вводит OTP-код и возвращается на сайт продавца. Опять же в процессе этого через редирект от банка-эмитента к MPI передается PaRes (Payment Response), который содержит информацию о статусе проверки.

А поподробнее?

CRReq/CRRes для нас не очень важны. А вот VeReq/VeRes рассмотреть нужно.

1.0.2 4444333322221111 411111 99000001 99000001 0 */* curl/7.27.0

В VeReq самым важным параметром является идентификатор сообщения, информация о продавце и PAN карты.

1.0.2 Y A0fTY+pKUTu/6hcZWZJiAA== https://dropit.3dsecure.net:9443/PIT/ACS ThreeDSecure

VeRes возвращает message id, который необходим, чтобы сопоставить запрос с этим ответом. А status enrolled показывает, что карта поддерживается.
Однако наиболее важным параметром в данном сообщении является URL-адрес. Этот параметр указывает, где находится ACS сервер эквайера и куда нужно отправить PaReq.

Pareq

Браузер клиента, совершающего оплату, может произвести достаточно много редиректов по различным компонентам, участвующим в совершении платежа. Так, в России есть некоторое количество запросов, обрабатывающихся на стороне Национальной Системы Платежных Карт. Но сегодня нас интересует только традиционный этап, описанный в спецификации протокола. А именно этап передачи PaReq.

URL: https://site.ru/acs/pareq MD=5ebde4d3-3796-7a4d-5ebd-e4d300003dd0&PaReq=eJxVUstywjAM%2Um98QPDDiMcIc2dMoh0AedKb2ljiDpNAFMUgJfXzuFPnzSrjQraWW4aoqPziea4pRx4LqNUm%2FSvFyPvOfFrS%2B9KwWLzCBGT6hrgwpi3O%2BTNXbydOS96VDocEX9FePaF1IIPwlF6qeoV7Inqeyh9hTcjx9xp%2BDcSNk%2BAQdygVbR6CwpKwWJ3l1PZ0rwQZ9SIGcIBZpppAaSuse7POwC%2BeagTApUy%2FEsmrwE8Xw2WQJpKdCbuqzMUfWFLb4AqM2HyqpqOyTkcDgExabEY3BMyhSbwNRAXB7I70D3tYv2Vq%2FJUzU7Teg8ejjE7xMWn9Z8Hk35fKEtNx4BcRWQJhUqTplklIoOC4c9NuwOgLQ8JIUbRDHK2vW%2BEWxdk%2FG%2F1F8KrO%2FGnuWyywUBNls7v62wZv7EQH5nvrlzlurKGsUGNOwy0ZfhXf5udlkmV7ey98rfmnjpjG6LnGJubeKUslbSASBOhpxvSM7nt9G%2%2FEFnkK9RA%3D%3D&TermUrl=https%3A%2F%shop.ru%2Fgates%2F3ds

Платежный запрос, содержащий PaReq (метод POST), имеет три параметра: 1) MD — данные продавца. Он нужен MPI, чтобы сопоставить PaReq и PaRes одной транзакции; 2) PaReq — параметр этого платежного запроса. Он содержит всю важную информацию о платеже;

3) TermUrl — URL-адрес, на который клиент будет возвращен в конце процесса аутентификации 3D Secure.

Параметры TermURL и MD всегда отражаются в ответе на данный запрос. Поэтому могут встречаться имплементации ACS, уязвимые к атакам типа reflected XSS. В процессе аудита различных систем такие сервера были найдены.

Важный момент №1: ACS сервера обрабатывают все входящие PaReq!

Что входит в параметр PaReq?
Вы можете получить его значение, раскодировав PaReq. Это сделать достаточно легко, потому что PaReq — это Xml-> zlib-> base64-> urlencode. Для упрощения работы с этими запросами был написан плагин для burp.

Теперь мы видим, что из себя на самом деле представляет PaReq, а именно сообщение формата xml. Это сообщение содержит информацию о сумме платежа (purchAmount, amount и currency), некоторую информацию о продавце и MessageId (из VeReq).

При отправке правильно сформированного PaReq (в большинстве случаев вам не нужен полный набор запросов на оплату — требуется отправить лишь PaReq, содержащий параметры правильного типа и длины), мы получим PaRes — ответ на платеж, подобный следующему:

Первая мысль, которая может прийти в голову веб-исследователю, который видит XML-запрос — это попробовать выполнить XXE. И это правильный путь!

Но для начала посмотрим на то, что случится, если отправить некорректно сформированный PaReq. Мы получим ошибку! Вот несколько примеров таких ошибок:

1.0.299Permanent system failure.Failed to build error message. 5Format of one or more elements is invalid according to the specification. 98Transient system failure 4Critical element not recognized

Ошибка может помочь получить дополнительную информацию о версии ACS. Некоторые из них могут также оказаться полезными для получения данных из XXE.

Раскрутим XXE

Рассмотрим следующий пример:

Источник: https://habr.com/ru/company/dsec/blog/517268/

3D Secure на карте банка: что это такое, как подключить и отключить

3D-Secure

В рамках обслуживания банковских карт эмитенты обязаны гарантировать сохранность денежных средств клиентов. На это банк тратит по-настоящему большие деньги. С развитием современных технологий разрабатываются новые инструменты безопасности. Один из них — 3D Secure: что это такое и как работает, расскажет портал Бробанк.ру.

Что такое технология 3D Secure

3D Secure — это разновидность XML-протокола, который используется в виде дополнительного уровня безопасности при совершении операций с банковскими картами в интернете. Протокол предусматривает проведение двухфакторной аутентификации клиента до завершения транзакции.

Впервые 3D Secure использовалась компанией VISA в рамках пакета услуг Verifled by VISA (VBV). Основная цель работы с протоколом — повышение уровня безопасности банковских карт при совершении операций в онлайне. Протокол применяется по кредитным и дебетовым картам.

Позже, пакет услуг стали применять все крупнейшие мировые платежные системы. Подключение производилось компаниями в следующем порядке:

  • Mastercard — Mastercard Secure Code (MCC).
  • JCB International — J/Secure.
  • Amex — Safe Key.
  • НСПК МИР — МИР Accept.
  • American Express — American Express Safe Key.

Национальная система платежных карт МИР подключилась к 3D Secure в 2016 году. Сейчас все банковские карты выпускаются с подключенным по умолчанию пакетом. Отключить его нельзя — услуга оказывается бесплатно, вне зависимости от наименования банковской карты.

Протокол 3D Secure не следует рассматривать как 100% гарантию сохранности средств на счете. Он всего лишь предусматривает дополнительный шаг со стороны клиента при совершении CNP-операций (card not present) — когда не предъявляется карта.

Практика показала, что разовый код может быть перехвачен мошенниками: достаточно подвергнуть устройство воздействию вируса или вредоносного программного обеспечения. Технология снижает вероятность применения фишинга, но не исключает ее полностью.

Расшифровка термина

Инструмент получил такое наименование по причине одновременной работы трех доменов сразу (отсюда и название 3-D). Первый — домен продавца и кредитной организации, в которую перечисляются деньги.

Второй — домен эмитента, выпустившего банковскую карту. Третий — домен совместимости (Interoperability Domain), предоставляемый платежной системой для поддержки работы протокола безопасности 3D Secure.

Как работает 3D Secure

При совершении операции в интернете, держатель карты, поддерживающей технологию 3D Secure проходит аутентификацию в два этапа. Протокол не нужно путать с кодами безопасности CVV2 и CVC2. Использование протокола производится следующим образом:

  1. Клиент завершает оформление операции, и нажимает на кнопку «Оплатить».
  2. Банк высылает разовый пароль (числовой код), который вводится в форму подтверждения платежа.

Если код указывается неверно, эмитент блокирует проведение транзакции. Как правило, разовый код 3D Secure состоит из шести случайных чисел, которые генерируются отдельно по каждой операции. Протокол работает на телефонах, смартфонах, персональных компьютерах, и все остальных устройствах.

У некоторых банков действует правило, согласно которому 3-5 раз неверно введенный код приводит к автоматической блокировке банковской карты. Таким образом, эмитент исключает доступ к карте со стороны третьих лиц.

Числовой код отправляется в виде СМС-сообщения, либо другим способом. Отдельные кредитные организации используют в этих целях push-уведомления. Для совершения операции необходимо иметь при себе телефон, привязанный к карте. За отправку кода плата не взимается.

3D Secure с многоразовым паролем

По некоторым картам технология 3D Secure используется виде многоразового пароля. Его клиент получает при активации карты. Этот вариант намного экономичнее, чем отправка числового кода, но уровень безопасности при его использовании еще ниже.

По стандартной схеме мошенникам потребуется перехватить одноразовый числовой код, либо завладеть телефоном держателя карты. Намного проще получать доступ к счету, когда по всем транзакциям используется один и тот же пароль.

Достаточно узнать этот самый пароль, чтобы по карте совершать практически любые операции. В этом виде технология используется небольшими банками, продукты и услуги которых не пользуются хорошим спросом у потребителей. Причина заключается в дороговизне подключения XML-протокола.

Проблемы с безопасностью при наличии 3D Secure

Часть держателей банковских карт совершенно ошибочно полагают, что наличие технологии 3D Secure полностью исключает несанкционированный доступ к счету. Подобное заблуждение часто приводит к непоправимым последствиям.

Дело в том, что некоторые интернет-магазины и прочие торговые площадки не поддерживают данную технологию безопасности. Покупки на этих ресурсах совершаются без аутентификации клиента.

По такому сценарию любой человек, знающий номер карты, инициалы держателя, срок действия и защитный код, может сделать покупку по карте в обход разрешения со стороны законного держателя. И подобных случаев встречается масса. Наличие 3D Secure никак не влияет на такие проблемы. За год с банковских карт пропадает огромная сумма, и вопрос сохранности средств пока для банков остается открытым.

Узнать, поддерживает ли интернет-магазин технологию безопасности можно на его титульной странице. Здесь должны быть отображены логотипы Mastercard Secure Code, Verifled by VISA, МИР Accept (для пользователей из Российской Федерации). Если соответствующих обозначений на сайте интернет-магазина нет, значит, покупки здесь производятся без дополнительной аутентификации клиентов.

Что такое Liability Shift

Использование 3D Secure по карте не исключает доступ к счету со стороны третьих лиц. При утрате денежных средств кто-то должен понести ответственность.

Клиенты, в первую очередь, возлагает всю вину на банк, который может применить Liability Shift — перенос ответственности.

Эта процедура подразумевает, что банк может оспорить транзакцию, и вернуть деньги на счет клиента. Для этого необходимо:

  • Наличие опции 3D Secure на карте.
  • Отсутствие технологии в интернет магазине — когда торговая точка работает без дополнительной аутентификации клиента.

Если мерчант (торгово-сервисное предприятие) не проводит дополнительную аутентификацию покупателей, и кто-то воспользуется ворованной картой, то банк-эмитент может перенести ответственность на интернет-магазин по требованиям, которые ему (банку) предъявляет клиент.

Причина этого: банк позаботился о безопасности счетов своих клиентов, а магазин — нет. Следовательно, конечная вина может быть возложена на мерчанта. Но для этого держатель карты должен предпринять первичные действия — обратиться с требованиями о возврате суммы к банку-эмитенту, а также доказать, что операция совершена несанкционированно.

Как подключить и отключить 3D Secure на карте

3-DS в большинстве случаев подключается по умолчанию. Клиент для этого не совершает никаких действий. После активации карты технология начинает действовать в автоматическом режиме. При этом в некоторых банках подключать опцию необходимо вручную. Делается следующими способами:

  • Через банкомат.
  • В офисе банка.
  • В интернет-банкинге.
  • По телефону.

К примеру, у Сбербанка, Тинькофф Банка, Альфа-Банка и других крупных кредитных организаций технология подключена по умолчанию. Клиенту для ее активации никаких действий совершать не нужно. У Промсвязьбанка и ВТБ услуга подключается клиентом самостоятельно.

Отключение опции в ряде случаев не предусматривается. У Сбербанка ранее можно было подключать и отключать технологию безопасности в Сбербанк Онлайн. Сейчас, по современным картам, деактивация по желанию клиента не производится.

Как узнать, есть ли на карте 3D Secure

Самый простой и верный способ — изучение описания к продукту. Специалисты сервиса Brobank.ru составляют экспертные описания к банковским картам. Цель этой работы — дать пользователю полную картину о предложении, за которым он собирается обратиться в банк. Если карта оформлена после 2016 года, то технология безопасности, скорее всего, подключена по умолчанию.

Второй вариант — попытаться совершить какую-нибудь операцию в интернет-магазине, в котором используется двухэтапная аутентификация покупателей. Найти такой магазин не составит труда — крупнейшие площадки уже продолжительное время работают с повышенными мерами безопасности. После того, как подходящий магазин будет найден, необходимо совершить следующие действия:

  1. Оформить к покупке любой товар.
  2. Заполнить форму с реквизитами карты.
  3. Перейти к оплате.

Завершать операцию покупкой товара нет необходимости. Если на телефон придет числовой код, который система предложит ввести в отдельное поле, значит, на карте полноценно работает технология безопасности 3D Secure. Если СМС-сообщение с кодом не придет, то, соответственно, опция отсутствует, либо ее нужно подключать вручную (активировать).

Об авторе

Анатолий Дарчиев — высшее экономическое образование по специальности «Финансы и кредит» и высшее юридическое образование по направлению «Уголовное право и криминология» в Российском Государственном Социальном Университете (РГСУ).

Более 7 лет проработал в Сбербанке России и Кредит Европа Банке. Является финансовым советником крупных финансовых и консалтинговых организаций. Занимается повышением финансовой грамотности посетителей сервиса Бробанк.

Аналитик и эксперт по банковской деятельности. darchiev@brobank.ru

Эта статья полезная?

Источник: https://brobank.ru/chto-takoe-3d-secure/

Зачем нужен 3D-Secure и как подключить?

3D-Secure

Для чего нужна технология 3D-Secure, нужно ли подключать и как защитить себя от мошенников?

Что такое 3D-Secure?

Современное технологическое решение, позволяющее максимально обезопасить платежные операции через онлайн-ресурсы, называется 3D-Secure.

Данная услуга разработана для международных платежных систем и является сертифицированным продуктом, помогающим владельцу банковской карты исключить риски мошенничества в сети Интернет.

Программа безопасности осуществляется благодаря дополнительной идентификации для подтверждения платежа при помощи OTP-пароля (One Time Password). 

Технология 3D-Secure – XML-протокол, применяемый в качестве дополнительного уровня защиты.

Эффективность данного метода двухфакторной аутентификации помогает участникам банковской операции (эквайеру и эмитенту) убедиться, что оплата проводится именно владельцем карты.

Суть технологии заключается в появлении третьего независимого домена для обеспечения работы системы безопасности и подтверждения транзакции. 

Что такое 3D-Secure на банковской карте

Многие банки Российской Федерации используют данный тип защиты при расчетах в сети Интернет и подключают услугу автоматически. В некоторых случаях защиту нужно подключать самостоятельно, отправив запрос в банк и активировать автоматическое «SMS-информирование» на выбранный и подтвержденный вами номер.

Рассмотрим детальнее, что такое 3D-Secure на банковской карте и как она работает.

Программа была разработана для защиты онлайн-платежей от несанкционированного снятия денежных средств с дебетовой или кредитной карты через Интернет.

Банковская карта связана с номером мобильного телефона, на который в случае совершения покупок в Интернете, высылается код подтверждения. Без этого одноразового пароля карта защищена от снятия денег в онлайн-магазине.  

Технология 3D-Secure Visa и MasterCard

Благодаря 3D-Secure каждая покупка в онлайн-магазинах в обязательном порядке должна быть подтверждена одноразовым кодом, который высылается на мобильный телефон.

Такая система безопасности эффективна для расчетов только на сайтах, поддерживающих данную систему, о чем свидетельствуют соответствующие логотипы. На непроверенных ресурсах, которые не поддерживают сервис, данная программа не работает.

Прежде чем совершать покупку, обратите внимание на наличие соответствующих логотипов, которые свидетельствуют о том, что сайт поддерживает безопасный протокол денежных платежей:

  • у платежных систем Visa 3D-Secure называется Verified by Visa;
  • в системе MasterCard 3D-Secure названа MasterCard SecureCode.

Данная технология проста, понятна и предельно эффективна. Применение трех-доменной защиты для каждой транзакции предполагает наличие дополнительной аутентификации владельца карты. Отсюда и появилось в названии 3D, обозначающие три домена защиты, которые участвуют в осуществлении платежа:

  • эмитент – банк, который выдал карту клиенту и отвечает за снятие денежных средств и переведение их эквайеру;
  • эквайер – банк, который обслуживает интернет-магазин и принимает платеж от эмитента;
  • Interoperability Domain – домен, поддерживающий протокол защиты

При подключенной защите карточки, каждая онлайн-покупка на сайтах, поддерживающих безопасный протокол перевода денег, происходит в несколько этапов, не требует особых знаний и не занимает лишнего времени:

  • выбор товара;
  • заполнение формы для онлайн-оплаты;
  • автоматический переход на защищенную страницу с одновременной отправкой банком SMS с одноразовым паролем;
  • после введения полученного пароля в форму на безопасной странице, выполняется автоматический возврат на сайт интернет-магазина;
  • окончательное подтверждение покупки на сайте продавца.

Как подключить 3D-Secure?

Вся суть трех-доменной защиты основана на получении уникального пароля на мобильный номер телефона и дальнейшем введении его для подтверждения оплаты. Поэтому для активации двойной аутентификации при онлайн-платежах необходимо подключить в своем банке услугу «SMS-информирование». Как правило, в банках подключение 3D-Secure возможно двумя способами:

  • можно посетить офис лично и, написав заявление, активировать услугу;
  • или подключить защиту самостоятельно, воспользовавшись специализированными банковскими сервисами для самообслуживания.

Активация защиты банковской карточки занимает минимум времени, а ее эффективность доказана и признана ведущими мировыми платежными системами. Всего несколько простых действий и ваши средства на карте надежно защищены самой современной и высокотехнологичной системой безопасности.

Также обратите внимание, что номер мобильного телефона, который указан для отправки одноразового пароля, при необходимости можно сменить.

Дополнительно стоит отметить, что рассылка сообщений уникальными паролями в роуминге не работает, поэтому во время путешествий за границей этот фактор нужно учесть.

Далее детально рассмотрим особенности, наиболее удобные варианты и этапы, как подключить 3D-Secure для своей банковской карты на примере Сбербанка и ВТБ 24.

Как подключить 3D-Secure в Сбербанке

Не во всех банках предоставляется данная услуга по защите банковской карточки, но в Сбербанке она абсолютно бесплатная и активируется автоматически без каких-либо требований со стороны клиента.

Если у вас совсем новая карта, и еще не активирована защита 3D-Secure, Сбербанк как подключить эту услугу, подскажет в любом своем отделении и выполнит активацию сразу же после обращения.

Для того, чтобы проверить, работает ли сервис, достаточно совершить любую мелкую покупку в Интернете или пополнить счет на мобильном телефоне.

Некоторые владельцы дебетовых или кредитных карт задают вопрос, можно ли отключить 3D-Secure? Сбербанк настоятельно рекомендует пользоваться трех-доменной защитой для денежных транзакций при онлайн-покупках и оплате услуг при помощи сети Интернет.

  Сервис 3D-Secure Сбербанк считает и называет дополнительной защитой от мошенников, поэтому отказываться от его использования нецелесообразно.

Кроме того, при использовании шестизначного одноразового пароля, полную ответственность за неправомерное снятие денежных средств в интернет-магазине автоматически переносится на банк. 

Службой безопасности рекомендуется к применению технология 3D-Secure, Сбербанк также напоминает, что нельзя пользоваться услугами сайтов, которые не поддерживают безопасный протокол оплаты при помощи дополнительной аутентификации. Доверять таким ресурсам нельзя и лучше воздержаться от покупок при отсутствии безопасной системы платежей.

Как подключить 3D-Secure в ВТБ 24

В ВТБ 24 3D-Secure подключается автоматически и является абсолютно бесплатной услугой, предоставляемой всем клиентам банка, имеющим карты выпущенные с 12 декабря 2016 года и новее.

Всем остальным владельцам банковских карточек защитную функцию необходимо подключать самостоятельно.

Есть два способа, как подключить 3D-Secure, ВТБ 24 на своем сайте детально разъясняет поэтапно процедуру активации услуги.

В первом варианте предлагается посетить любое отделение банка и, написав заявление, предоставить номер карты и номер мобильного телефона, которые будут совместно использоваться для аутентификации во время онлайн-платежей.

Второй вариант подключения предусматривает использование сервиса банкомата для самообслуживания. Для этого нужно войти в меню банкомата:

  • выбрать в пункте настроек «3D-Secure»;
  • отыскать пункт меню «Подключение телефона»;
  • далее, воспользовавшись интуитивно-понятным интерфейсом, ввести номер телефона и подтвердить действие.

В ответ на вашу заявку о подключении защитной услуги, банк отправит подтверждающее SMS, в котором будет указано, что услуга для карточки активирована и связана с вашим номером мобильного телефона.

Если возникла необходимость сменить номер телефона, привязанный к карточке, можно его сменить при помощи меню банкомата.

  После отправки заявки о смене номера телефона для 3D-Secure, ВТБ отправит вам SMS с уведомлением об изменениях.

Это является дополнительной мерой безопасности, и в случае, если вы не вносили изменения, рекомендуется незамедлительно посетить отделение банка и выяснить вопрос.

Рекомендации

Защитная технология 3D-Secure является наиболее оптимальным способом защиты при оплате товаров или услуг в режиме онлайн через Интернет-ресурсы.

Данная услуга абсолютно бесплатна, активно используется крупнейшими платежными системами в мире и не имеет недостатков.

Банки, использующие данный тип защиты для карточек, рекомендуют не отключать услугу, так как при ее использовании можно получить:

  • дополнительную защиту в виде одноразового пароля, который доступен только вам;
  • отсутствие сложностей для аутентификации, так как все дополнительные диалоговые окна для подтверждения платежей открываются автоматически, а пароль отправляется моментально;
  • подключение защитной функции для карточки выполняется банком либо автоматически, либо сразу же по запросу;
  • смена номера мобильного телефона выполняется без проблем;
  • дополнительная плата или комиссия за пользование защитой не взимается.

Если у вас уже подключена функция 3D-Secure на карточке, будьте уверены, что ваши покупки в Интернете надежно защищены современной системой, и отключать ее не рекомендуется.

В случае же отсутствия данной защиты, стоит задуматься о ее активации, так как повышение уровня безопасности без лишних затрат и сложностей, является не просто удобной функцией, но средством эффективной защиты денежных средств и платежных операций.  

Источник: https://credits.ru/news/novosti-rynka/zachem-nuzhen-3d-secure-i-kak-podklyuchit/

3D Secure — что это такое?

3D-Secure

Принимая денежные средства на хранение, банки обязаны гарантировать их безопасность. Одним из способов обеспечить безопасность транзакция является технология 3D Secure. Эта методика была разработана для безопасности электронных платежей. Мы расскажем, что такое 3D Secure на банковской карте, как ее подключить, и с какими ошибками можно столкнуться при отправке платежей.

Технология 3D Secure — что это такое

3D Secure — это двухфакторная аутентификация пользователя, владельца карты при совершении платежа.

Простыми словами, это подтверждение того, что именно владелец карты совершает платеж, путем ввода пароля, отправленного по смс на номер телефона держателя карточки.

Технология применяется для подтверждения личности клиента.

Она основана на XML-протоколе (протоколе расширяемого языка разметки). Название технологии расшифровывается как Three Domain Secure. Это значит, что в процессе обработки данных участвуют 3 домена:

  1. Домен интернет-магазина, в пользу которого перечисляются деньги (эквайера).
  2. Домен банка, который выпустил кредитную или дебетовую карту (эмитента).
  3. Домен совместимости, который предоставляет платежная система VISA, MasterCard и пр.

Изначально технология входила в пакет Verified by VISA и была доступна только держателям карт VISA. Сейчас 3DS аутентификация широко применяется платежными системами разных стран. Рассмотрим подробнее, что это такое.

Как происходит 3DS аутентификация

При оформлении заказа в интернет-магазине клиент вводит реквизиты карточки. После введения реквизитов открывается новое окно с логотипом банка-эмитента. В новом окне есть пустое поле, в которое нужно ввести одноразовый код (не путать с CVV2 и CVC2).

Последовательность состоит из 6 цифр, каждая из них генерируется отдельно. Поскольку услугой пользуются миллионы клиентов, последовательности цифр могут совпадать. Но каждый номер действителен для одной транзакции. Номер действует ограниченное время после его генерации.

Методы получения уникального кода:

  • SMS сообщение на номер, привязанный к счету.
  • Push уведомление на телефоне.
  • Мобильное приложение банка.

При ошибке или задержке ввода платеж отклоняется. Система работает при оплате заказов с ПК, смартфонов, планшетов. Некоторые организации автоматически блокируют счета, если цифры введены неверно 3-5 раз подряд.

на тему:

Многоразовый пароль

Некоторые банки выдают клиентам многоразовый пароль для подтверждения операций. Не стоит путать его с PIN Code. PIN используется для работы с банкоматом и оплаты покупок в магазинах. Пароль 3DS применяется для подтверждения онлайн платежей.

Использование многоразового пароля менее надежно, чем генерация одноразовых кодов. Один и тот же пароль злоумышленникам легче подсмотреть (или перехватить с помощью вредоносного ПО).

Как подключить 3D Secure

Технология 3DS аутентификации доступна владельцам дебетовых и кредитных карт VISA, MasterCard, МИР и т.д. Эта услуга предоставляется по умолчанию с 2016 года. Не нужно подключать ее в настройках личного кабинета. Отключить функцию по желанию клиента невозможно. Сбербанк, Тинькофф, ВТБ24 и другие банки подключают услугу автоматически.

Проверить, подключена ли услуга, можно на сайте любого интернет-магазина, где есть логотипы Verified by VISA, MasterCard SecureCode, МИР Accept. Если при оформлении заказа не приходит код, функция не подключена. Так бывает с продуктами непопулярных банков.

В личном кабинете

Вопрос, как подключить 3D Secure, редко бывает актуален. Но если ваш банк не предоставляет функцию по умолчанию, подключить ее можно в личном кабинете или мобильном приложении:

  1. Найдите нужную карточку в списке.
  2. Зайдите в меню настроек.
  3. Выберите пункт: «Установить 3D Secure».
  4. Подтвердите выбранное действие.

Трехдоменная аутентификация будет подключена к банковскому счету. За генерацию одноразовых кодов не взимается комиссия. Также подключить услугу можно в меню банкомата, в офисе банка, по горячей линии для держателей.

Банковский офис

Для подключения услуги следует прийти в банковское отделение с паспортом. Некоторые банки могут потребовать предъявить саму карточку. В других организациях это не требуется: сведения обо всех открытых счетах есть в базе данных.

Сотрудник организации выдаст форму заявления, которую следует заполнить и подписать. Услуга станет активной при совершении первой покупки в интернет-магазине, который поддерживает 3D Secure.

Меню банкомата

Прежде чем искать нужную функцию в меню банкомата, следует уточнить, поддерживает ли банк эту систему. Получить ответ можно, позвонив на горячую линию. Также эту информацию можно найти на сайте организации.

Если возможность подключения доступна, активировать функцию можно через банкомат. Для этой цели подойдет только банкомат эмитента. Как активировать функцию:

  • Вставить пластиковую карточку в банкомат.
  • Ввести PIN Code для доступа к меню.
  • Найти пункт: «Прочие операции».
  • Указать телефонный номер для отправки SMS.

После подтверждения операции услуга будет активирована.

Лучше обратиться на горячую линию банка или в отделение. Так у Сбербанка, при смене дизайна сайта, исчезла возможность подключения и отключения 3D Secure.

Возможные ошибки при 3D Secure авторизации

Описание ошибкиВозможные причиныКак исправить ошибку
Ошибка аутентификацииНеверно введены реквизитыПроверьте правильность данных
Не поддерживается валюта платежаПроверьте список доступных валют
Не приходит кодК счету привязан другой номерПроверьте привязанный номер в личном кабинете на сайте банка
Ошибка на этапе генерации и отправкиПовторите попытку через несколько минут
Память телефона заполненаУдалите старые SMS и повторите попытку
Плохая сотовая связьНайдите место, где телефон стабильно ловит сеть
Введенный код не срабатываетОшибка при вводе данныхПроверьте номер и повторите ввод
Истек срок действияЗапросите генерацию нового кода
Не открывается поле для ввода, деньги списывают сразуИнтернет-магазин не поддерживает 3DS

Что такое Liability Shift (перенос ответственности)

3DS аутентификация не гарантирует полную безопасность счета. Например, если воры завладели и картой, и телефоном, они смогут вводить коды и списывать деньги со счета жертвы. Но если телефон остался при владельце, то использовать карточку будет сложнее. Перехватить отправленные коды можно с помощью вредоносного ПО, установленного на телефон жертвы.

Помните, что не все интернет-магазины поддерживают 3D Secure. Заблокируйте карту сразу же после утери, чтобы сохранить деньги, и не тратить время на их возврат.

Процедура Liability Shift применяется для переноса ответственности. Банк имеет право оспорить транзакцию при следующих условиях:

  1. К карточке клиента подключена трехдоменная аутентификация.
  2. Интернет-магазин не поддерживает эту технологию и списывает деньги сразу.

Чтобы вернуть деньги по Liability Shift, владелец карты должен обратиться в банк с заявлением и доказать, что он не совершал транзакции. Если банк сочтет требования убедительными, он может обязать интернет-магазин вернуть деньги. Но отменить платеж нельзя, если уникальный код был введен верно (даже если цифры ввел не владелец).

Технология 3DS аутентификации обеспечивает безопасность электронных переводов. Опция по умолчанию доступна держателям карт VISA, MasterCard, МИР и т.д. За использование услуги нет комиссии. При возникновении ошибок при аутентификации следует проверить реквизиты и номер телефона.

Источник: https://zaym-go.ru/sovety-ekspertov/2020-3d-secure-chto-jeto-takoe.html

3D-Secure: как работает система, как подключить или отключить ее на карте Сбербанка

3D-Secure

Чтобы обеспечить сохранность средств своих клиентов, банки регулярно совершенствуют старые и внедряют новые системы безопасности. Одним из самых серьезных инструментов защиты стал протокол 3D-Secure, который обеспечивает двустороннюю аутентификацию клиента во время проведения оплаты в интернете. О том, что это за система, как она подключается и применяется, разберем детальнее.

3D-Secure – это технология, которая применяется для обеспечения дополнительной безопасности деньгам пользователя во время проведения им платежей в интернете.

Программа предусматривает проверку человека, который совершает платёж – для подтверждения нужно ввести единоразовый пароль, который высылается на закрепленный за карточным счетом клиента номер телефона.

Так клиент еще раз подтверждает, что именно он хочет совершить транзакцию.

Система получила название 3D, так как она сформирована за счет участия трех доменов (Three Domains) или, другими словами, электронных адресов, которые взаимодействуют между собой в процессе проведения транзакции:

  1. Домен банка (эмитента) – то откуда будет осуществляться перевод средств пользователем;
  2. Домен продавца (эквайера) – он чаще всего представлен системой банка (счет), куда продавец получает переводы в качестве Оплаты за товары и услуги;
  3. Домен совместимости – это платежная система, которая обеспечивает перевод средств с одного счета на другой (Visa, Mastercard).

Соответственно система 3D-Secure может быть установлена отдельно как банком-эмитентом, так и магазином, а может быть установлена в двустороннем режиме.

Кстати, для карт «Мир» эта система тоже существует, но называется она MirAccept, принцип действия тот же – для проведения платежа нужно дополнительное подтверждение.

Два способа подтверждения платежа

В зависимости от применяемой банком системы дополнительной защиты клиентам подключают услуг 3D-Secure с одним из двух способов аутентификации.

Первый использует большинство банков, которые серьезно относятся к вопросам безопасности и защиты денег их клиентов.

При каждом платеже отправляется код, который можно использовать только один раз, и он действителен на протяжении всего нескольких минут. Такая система защиты стоит дороже для банка, но и является более эффективной.

Клиенту не нужно ничего придумывать и запоминать, а значит уменьшается вероятность, что паролем завладеет мошенник.

Второй используется небольшими банками в целях экономии средств.

Клиенту нужно придумать уникальный код, который затем придется указывать при совершении каждой операции (то есть, он действует по типу пин-кода).

Это тоже хороший способ защиты платежей, но при нем гораздо выше риск, что код «утечет» к злоумышленникам. При этом подтвердить платеж можно без ведома клиента, мошеннику достаточно вписать тайный код.

Следовательно, более эффективным и надежным способом защиты будет первый вариант с отправкой одноразового СМС-пароля.

Алгоритм действия

На практике же процедура будет следующей:

  • Клиент выбирает товар и переходит к оплате;
  • Вносит данные карты: номер, срок действия, фамилию и имя держателя, а также CVV-код, указанный на обратной стороне карты;
  • Запрос отправляется в банк-эмитент для проверки личности пользователя, а банк, в свою очередь, отправляет уникальный код (чаще всего состоит из 4 или 6 цифр) на мобильный номер клиента;
  • Получив код, клиент вводит его в специальное поле, тем самым подтверждает оплату покупки;
  • После проверки правильности кода банк держателя карты осуществляет перевод средств.

Важно! Если у клиента не установлена подобная защита, и не приходят уведомления от банка, а магазин установил систему защиты 3D-Secure, тогда, скорее всего, провести операцию будет невозможно.

Система откажет в проведении транзакции, даже если ранее вы проводили оплаты без проблем. Возможно, программа была установлена недавно. Узнать информацию можно на странице продавца в разделе «оплаты».

Какие у системы преимущества и недостатки?

Любая технология имеет свои преимущества, и не всегда лишена недостатков. В нашем случае явные плюсы и минусы технологии 3D-Secure таковы:

ДостоинстваНедостатки
  • Гарантируется дополнительный контроль и проверка личности клиента;
  • Пароли высылаются при каждой операции новые и их нет необходимости запоминать;
  • Система работает бесплатно;
  • Система самостоятельно проводит проверку, клиенту не нужно ничего делать;
  • Если карту украли, без кода осуществить оплату не получится.
  • Так как уведомления приходят только при наличии доступа к телефонной сети, то при отсутствии связи или севшем мобильном, проведение операции будет недоступно.
  • Срок действия отправленного кода не более 5 минут. Если по какой-то причине уведомление долго не приходило, тогда, возможно, придется запрашивать повторный код.
  • Современные мошенники посредством вируса могут перехватить отправленное на мобильный СМС с кодом.

Важно! Для сохранности денег нужно постоянно обновлять антивирусную систему на устройстве, с которого осуществляются платежи и на смартфоне. Это убережет от установки программ «шпионов».

Как подключить систему дополнительной безопасности?

Как сказано выше, в последнее время банки устанавливают данную услугу как базовую в момент выдачи карты.

При этом отказаться от использования ее не так уж и просто – от этого зависит не только безопасность клиента, но и репутация самого банка.

Если по каким-то причинам услуга не была включена автоматически, то клиенту можно подключить ее самостоятельно, воспользовавшись одним из доступных способов, предложенных банком-эмитентом.

В офисе банка-эмитента

Клиенту достаточно обратиться в отделение банка (в случае Сбербанка и некоторых других банков – желательно в то, что выдало карту).

С собой нужно взять паспорт и саму карту, на которую будет подключаться услуга. Операционист выдаст бланк для заполнения заявления и проверит ваши данные, проведя идентификацию.

Услуга будет подключена сразу, проверить ее действие можно будет при первом же платеже через интернет.

По телефону call-центра

Часть банков поддерживает возможность настройки во время обращения на горячую линию. Клиент соединяется с оператором, говорит, что хочет подключить услугу 3D-Secure и называет данные, которые запросит оператор для проверки личности. Затем консультант подключит нужную услугу.

Через мобильный банк

Как правильно отправить заявку, стоит уточнить в своем банке. В случае со Сбербанком достаточно отправить СМС «Полный» на короткий номер 900, после чего придет код активации. Его нужно повторно отправить по номеру 900. После проверки системой информации будет отправлено сообщение с подтверждением проведенной операции.

С помощью банкомата

Если ваш банк поддерживает установку услуги 3D-Secure, тогда настроить ее можно будет с помощью банкомата или терминала самообслуживания. Для этого нужно сделать следующее:

  • вставить карту и ввести пин-код;
  • найти пункт «Другие операции»;
  • найти услугу «3D-Secure» и выбрать «подключить».

Важно! В зависимости от настроек, установленных банком, разделы могут иметь другое названия. В конце может потребоваться введение мобильного номера, закрепленного за клиентом.

Через личный кабинет

Еще один наиболее часто используемый способ – настройка в онлайн-банке. Для этого нужно авторизоваться в своей учетной записи, и в разделе с картами выбрать ту, к которой требуется настройка системы 3D-Secure. В меню действий с картой можно найти настройку нужной функции.

Отключение услуги дополнительной защиты

Что же касается деактивации, то отключить услугу вручную получится далеко не во всех в банках. Связанно это с тем, что в этом случае безопасность карты и денег на ней будет под угрозой.

Чаще всего отключение этой услуги требуется, если необходимо заменить номер мобильного или при выезде за границу.

Но и на этот случай частью банков предусмотрена возможность замены номера без предварительного отключения защиты.

Если же такая необходимость возникла, то на примере Сбербанка можно отметить, что отключить услугу можно в личном кабинете самостоятельно в разделе карт. Для этого нужно выбрать карту, где следует деактивировать функцию, и найти соответствующую задачу в выпадающем меню.

Как видим, работа с 3D-Secure не вызывает сложностей, поэтому настроить и использовать ее сможет каждый любым удобным для себя способом. Если вы проводите платежи, и вам не приходит код для подтверждения операции на мобильный, значит услуга у вас не подключена.

Позабудьтесь о своей финансовой безопасности и подключите своевременно дополнительную защиту для своей карты.

Источник: https://bankstoday.net/last-articles/kak-rabotaet-sistema-3d-secure-dlya-platezhnyh-kart-kak-ee-podklyuchit-i-zachem-eto-nuzhno

Все термины
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: