3d secure защита в сбербанке
Содержание:
- Как защитить себя от мошенников
- Как бороться с мошенничеством
- Как подключить 3D Secure от Сбербанка?
- Распространенные проблемы при использовании 3D-Secure
- 3D Secure от Сбербанка — как подключить
- Способы подключения 3D-Secure.
- Перевод с карты на карту бесплатно через Систему быстрых платежей: полезный лайфхак
- Плюсы и минусы 3D-Secure.
- Как подключить 3D Secure
- Что такое технология 3d-secure
- Перевод с карт без 3D Secure
- Несколько слов о безопасности
- 3D Secure Сбербанк
- Является ли использование технологии 3D Secure для владельца карты гарантией защиты от мошенничества?
- Что такое 3D-Secure?
- Как работает 3D Secure
- Что это такое
- Pareq
- Алгоритм действия
Как защитить себя от мошенников
Есть несколько способов защитить себя от злоумышленников при отсутствии технологии защиты 3ds во время совершения платежей:
- подключить данную технологию, обратившись в банк. В зависимости от кредитной организации, способ и сроки подключения могут отличаться;
- использовать карты разных банков. Например, одна – зарплатная. Она используется только для получения денег с места работы. Вторая – дебетовая. Она открывается для совершения различных финансовых операций. На ней не должно быть средств или их количество незначительное;
- использовать виртуальные одноразовые карты;
- работать только с надежными контрагентами.
Никакие IT-технологии не смогут защитить, если клиент сам не позаботится о собственной безопасности, поэтому надо осуществлять платежи через проверенные сервисы.
Как бороться с мошенничеством
Из выше сказанного можно сделать вывод о том, что ни одна современная система не может создать 100% защиту от мошеннических действий. Однако ситуация может оказаться подвластна каждому владельцу карты. Расплачиваться в любимых магазинах, которые не используют в своей работе 3D Secure можно, однако не стоит забывать о самых простых мерах безопасности:
- Если оплата происходит посредством ПК, то рекомендуется не забывать обновлять антивирусную систему. Кроме того, многие современные системы уже обновили свой функционал, который защищает устройства пользователей от шпионских программ и прогрессирующих видов вируса.
- Не рекомендуется сотрудничать с неизвестными сайтами или хотя бы не совершать покупки на большие суммы. Если условия сотрудничества максимально привлекательные, имеет смысл оформить пробный заказ, чтобы удостовериться в честной работе онлайн-магазина. Одним из популярных видов мошенничества является создание стороннего ресурса, посредством которого злоумышленники забирают оплату товара на свои одноразовые счета. Как правило, вернуть денежные средства в данном случае практически невозможно.
- Формирование ограниченного снятия денежных средств для кредитного или дебетового продукта. Кроме того, состояние своего финансового счета всегда возможно контролировать посредством банковского приложения. Некоторые клиенты, которые не работают с приложениями, могут позвонить по горячей линии в банк и также уточнить состояние своего счета и на какую сумму была проведена транзакция.
- Еще одним распространенным упущением покупателей является отсутствие внимательности, когда приходят смс оповещения, с просьбой указать данные карты, пин код, пароль и прочую информацию, которую банк никогда не запрашивает.
Если подобные сообщения поступили на телефон, рекомендуется позвонить в банк и уточнить информацию.
Как подключить 3D Secure от Сбербанка?
Риск при расчете через интернет всегда будет существовать, какие бы современные технологии не использовались бы. Если изучить все возможные системы защиты, то технология 3D Secure является одной из самых надежных. Услуга может быть подключена автоматически при выдаче карточного продукта. Если подключения не было, то клиент может обратиться в банк с соответствующим заявлением.
Эту услугу можно подключить и с помощью Сбербанк Онлайн. Стоит отметить, что технология 3D Secure отличается высокой стоимостью, поэтому не все банки предлагают своим клиентам к ней подключиться.
Для лидера российской банковской системы важен вопрос внедрения новых технологических разработок, так как это может повысить количество оборотов по эмитируемым картам. Если услуга будет подключена по умолчанию, то за подключение не придется платить никаких денег.
MasterCard для безопасности платежей предусмотрел введение SecureCode
Ввиду того, что технология довольно дорогостоящая, некоторые интернет магазины могут ее не поддерживать. Тем не менее, таких магазинов становится все меньше и меньше, хотя технология и не является обязательной. Существуют и такие интернет магазины, которые работают исключительно с пластиками, использующие защищенный протокол. Для того чтобы отказ от операции на сайте интернет магазина не стал для пользователя неприятным сюрпризом, нужно заранее уточнить, работает ли онлайн магазин с данной технологией или, наоборот, принимает к оплате только обычные пластики.
Вам может быть интересно:
Распространенные проблемы при использовании 3D-Secure
Протокол безопасности редко доставляет неудобства. Обычно все транзакции проходят за несколько секунд. Однако иногда возникают незначительные проблемы или сбои в работе программы.
Не приходит код подтверждения операции
Самый частый сбой, который возникает при использовании системы защиты, — отсутствие кода подтверждения. Он не приходит на телефон. Что можно предпринять в этом случае:
- через несколько минут запросить повторную отправку кода;
- проверить корректность введенных данных, если допущена ошибка в одном из полей анкеты – исправить и заново запросить пароль;
- уточнить, есть ли место для приема новых сообщений, не переполнена ли память у телефона, при необходимости – очистить место для СМС;
- проверить, активна ли сеть, возможно, код не приходит из-за проблем у сотового оператора;
- не исключено, что телефон выключен, заблокирован или требует перезагрузки;
- при нахождении вне пределов сети региона – проверить, включен ли роуминг, возможен ли прием СМС.
Если СМС с кодом не приходит после нескольких попыток запросить код, следует обратиться в отделение банка, обслуживающего карту.
Ошибка авторизации
Другая распространенная проблема – ошибка авторизации. Она возникает в 2 случаях:
- Был введен неверный пароль. В этом случае необходимо проверить его и ввести повторно.
- Истек период действия одноразового кода. Как правило, пароль действителен в течение 5 минут. Если пользователь его ввел позднее, то авторизоваться не получится. В этом случае следует повторно запросить отправку пароля и ввести его сразу же.
3D Secure от Сбербанка — как подключить
Технология 3D Secure обеспечивает наивысшую степень защиты ваших платежей в интернете. Если у вас есть карта от Сбербанка, то 3D Secure в большинстве случаев уже включено в стандартный пакет. У карты может быть не включена услуга 3D Secure, если её уровень является начальным. Таким образом, 3D Secure — услуга, которая предоставляется большинству клиентов Сбербанка по умолчанию. Ещё одним огромным преимуществом является и то, что услуга 3D Secure совершенно бесплатна. Хотя для самого Сбербанка использование подобной современной технологии стоит больших денег.
- Если вы только оформили карту от Сбербанка, то 3D Secure обычно уже входит в комплект. Нет необходимость активировать её или совершать ещё какие-либо действия для её активации.
- Если вы являетесь владельцем карты от Сбербанка и столкнулись с тем, что она не поддерживает 3D Secure, то обратитесь в отделение Сбербанка. Там потребуется написать заявление о подключении данной услуги. Если вы не хотите тратить своё время на поход в отделение Сбербанка, то можете подключить 3D Secure прямо у себя дома при помощи сервиса Сбербанк Онлайн.
Способы подключения 3D-Secure.
Сегодня практически все карты имеют уже подключенную 3D-Secure. Но если пластик выпущен давно, в принципе подключить её не составляет особого труда. Для этого необходимо:
- Подойти в офис банка-эмитента и составить заявление на подключение, в котором указывается номер карточки и мобильного телефона для возможности получения одноразовых кодов;
- В банкомате обслуживающего карту банка, перейти в пункт «настройки» и подключить 3D-Secure. При этом вам необходимо будет ввести номер своего мобильного телефона.
Подключение данной услуги совершенно бесплатно. Сразу после подключения, при первой же онлайн-оплате, вы получите код подтверждения операции. Если же код не пришел, можно воспользоваться функцией «Отправить код еще раз».
Причины отсутствия кода подтверждения могут быть следующие:
- Отсутствие номера телефона у банка, обслуживающего карту, либо номер неверен;
- Клиент находится вне зоны действия сети;
- Телефон разрядился, либо заблокирован;
- Память телефона переполнена;
- Получение смс сообщений зависит от выбранного тарифа.
Если самостоятельно не удалось устранить причину, необходимо обратиться в банк за консультацией. При блокировке одноразового пароля, повторите запрос еще раз.
Перевод с карты на карту бесплатно через Систему быстрых платежей: полезный лайфхак
С 2019 года в России работает Система быстрых платежей (СБП). Она позволяет переводить деньги без комиссии клиентам российских банков по номеру телефона мгновенно. Причем бесплатные переводы до 100 тыс. рублей в месяц работают даже в том случае, когда люди имеют счета в разных кредитных организациях. К СБП подключены все крупные финансовые организации, включая Сбербанк, ВТБ, Газпромбанк, Альфа-Банк, Тинькофф банк, Россельхозбанк и ещё 110 банков. Что интересно, о бесплатных переводах с карты на карту через Систему быстрых платежей до сих пор мало кто знает. А если и знают, то сталкиваются со сложностями при подключении к сервису. Команда нашего проекта решила помочь рядовым пользователям и публикует подробную инструкцию по подключению переводов без комиссии через СБП.
В СБП списание денежных средств со счёта и на счёт (даже если к ним не привязаны карты) происходит мгновенно. Сервис работает в круглосуточном режиме. Кроме того, для перевода не нужно знать ни номер карты, ни номер счёта получателя. Достаточно номера телефона и название банка.
Сумма одного перевода или платежа ограничена законодательством и не может превышать 600 тыс. рублей. При этом банки — участники СБП могут устанавливать дополнительные лимиты на суммы переводов или платежей согласно внутренней политике управления рисками. С мая 2020 года все банки обязаны выполнять переводы на сумму до 100 тыс. рублей в месяц без взимания комиссии. За перевод больших сумм банки вправе брать до 0,5 % от суммы перевода, но не более 1500 рублей.
Безопасность переводов в СБП обеспечивается на всех уровнях — банков, Банка России и Национальной системы платёжных карт (НСПК) — с использованием современных систем защиты. СБП соответствует всем стандартам информационной безопасности.
Главное условие для проведения переводов – привязка номера мобильного телефона к банковской карте, а также подключение к Системы быстрых платежей на приём и отправку денег в приложении банка. По умолчанию у клиентов некоторых финансовых учреждений СБП отключена, и не все могут разобраться, как подключиться к сервису. Чаще всего сложности возникают у клиентов «Сбербанка.
Расскажем о том, как можно подключить переводы без комиссии на примерах крупнейших российских банков.
Плюсы и минусы 3D-Secure.
У данной технологии есть свои достоинства и недостатки. К основным преимуществам можно отнести повышенный уровень безопасности, обеспечиваемый получением одноразовых паролей при совершении каждой операции через интернет. Ведь доступ к смс-сообщениям имеет, как правило, собственник карты, либо очень узкий круг людей. При этом нет необходимости помнить постоянный пароль, что тоже достаточно удобно. Такая процедура позволяет быстро, и без особого труда, оплачивать покупки даже таким клиентам, которые никогда раньше не покупали в интернете.
Еще одним недостатком является подверженность используемого оборудования заражению вирусами. Сейчас основная часть телефонов работает на базе Андроид. Мошенниками разработано немало вирусов, способных инициировать расчет и считать данные с поступившим паролем. Для избежание подобной ситуации необходимо обязательная установка антивирусной программы. Еще одним способом мошенничества стало хищение карты, либо данных с карты, и совершение ею расходной операции. При возникновении момента ввода кода, производится звонок владельцу от имени сотрудников банка с просьбой предоставления кода, якобы для отмены операции. После получения информации, мошенниками производится снятие денег.
Конечно, обеспечение безопасности новой технологией, дает определённую гарантию сохранности средств на карте. Однако и сами нужно быть бдительными. Ведь человека обмануть тоже достаточно легко. При соблюдении определенных мер безопасности и следованию простых советов, вы обеспечите полную гарантию безопасности своих денежных средств.
Как подключить 3D Secure
Функция является бесплатной. Если у пользователя данная услуга не подключена, то он ее может активировать одним из способов:
- в офисе банка;
- по телефону;
- через банкомат;
- через онлайн-банкинг.
Примеры банков, которые подключают карты к 3D Secure:
Наименование банка | Подключение | Стоимость подключения | Ежемесячная комиссия |
Сбербанк | Автоматическое, при получении карты | Бесплатно | Нет |
Тинькофф | Автоматическое, при получении карты | Бесплатно | Нет |
ВТБ 24 | По заявлению владельца, через онлайн-банкинг | Бесплатно | Нет, взимается единоразовая плата за входящее смс с баланса телефона |
Обратившись в офис местного филиала банка
Подключение этой услуги осуществляется бесплатно. Владельцу карты необходимо сделать следующее:
- Прийти в банк с паспортом и картой.
- Написать заявление о подключении. Форму для заполнения выдаст сотрудник.
- Активация произойдет после совершения первого платежа.
По телефону
Подключить услугу можно по телефону, не выходя из дома. Например, для Сбербанка:
- Отправить Слово «Полный» в смс на номер 900.
- Дождаться сообщения с динамичным кодом (одноразовым паролем) из четырех цифр.
- Ввести эти цифры в ответном сообщении и отправить снова на номер 900.
- Дождаться смс с подтверждением о подключении.
- Теперь можно безопасно оплачивать услуги и товары по интернету.
Через банкомат
Чтобы осуществить подключение через банкомат, пользователю необходимо будет позвонить в банк и узнать о том, есть ли функция 3D на у его карты. Если ответ положительный, то владелец может смело отправляться в ближайший банкомат и подключать услугу.
- Вставить карту в банкомат именно того финансового учреждения, которое выпустило ее.
- Кликнуть по пункту «Другие операции».
- Найти и выбрать «3D Secure».
- Ввести номер мобильного, привязанного к карте.
Теперь динамичные коды для оплаты посредством технологии 3D Secure будут приходить на телефон при проведении платежа.
Через онлайн-банкинг
Подключить услугу можно в личном кабинете Сбербанка или любого банка, поддерживающего технологию. Будет показано на примере Сбербанка:
1 Открыть главную страницу банка и войти в личный кабинет.
2 Нажать на вкладку «Карты».
3 В выпавшем меню выбрать «Подключение 3D Secure».
Что такое технология 3d-secure
Это дополнительная мера защиты данных банковской карты, которая применяется при совершении операций через интернет, например, через сервис Сбербанк Онлайн или непосредственно на самом сайте магазина. Обычно, когда оплачивается покупка или услуга в интернет магазине, для проведения оплаты требуется указать номер карты, срок ее действия и код СVV (CVC). Если она защищена системой 3d-secure, к этому добавляется один шаг, обеспечивающий дополнительную защиту. А именно, система после введения основных данных автоматически направляет вас на сайт Сбербанка, где нужно будет ввести одноразовый код, к которому по идее должны иметь доступ только вы. Затем происходит идентификация, проходит оплата, и вас возвращают на сайт продавца.
Смысл данной технологии состоит в том, что к запрашиваемому одноразовому коду доступ имеет только владелец карты, а время действия кода всего 10 минут. Обычно секретный шифр, состоящий из 6 цифр, приходит на номер телефона, который привязан к вашему пластику. Поэтому, данная услуга актуальна при подключенном сервисе «Мобильный банк».
Для банка внедрение такой системы стоит больших денег, для торговых площадок тоже. Хотя 3d-secure не является обязательным к применению, многие торговые интернет ресурсы подключают данную услугу к своей платформе для усиления защиты покупателей от действий мошенников.
Технология изначально была разработана для платежной системы Visa, носила название Verified by Visa. В дальнейшем была внедрена в систему Mastercard. Называется она 3D, потому что финансовая авторизация при оплате проходит с использованием трех доменов – экваейра (обслуживающий банк магазина), эмитента (это уже ваш банк) и домена платежной системы (visa, mastercard).
Мнение эксперта
Анастасия Яковлева
Банковский кредитный эксперт
Подать заявку
Прямо сейчас вы можете бесплатно подать заявку на займ, кредит или карту сразу в несколько банков. Предварительно узнать условия и рассчитать переплату на калькуляторе. Хотите попробовать?
Данная система не гарантирует 100% защиты денежных средств от мошеннических действий, но все же многократно усиливает ее.
Перевод с карт без 3D Secure
Многие торговые площадки и интернет ресурсы предусматривают использование 3D Secure. Но некоторые из них такой технологией не наделены. Обычно, это касается мелких сервисов, которым не выгодно оплачивать ее поддержание. Но в последнее время все больше компаний склоняются к необходимости подключить 3D Secure, так как это выступает гарантией безопасности для клиента.
Есть компании, которые принимают деньги без пароля по 3D Secure, но по раннее сформированным шаблонам. Например, после регистрации, пользователю предоставляется доступ в Личный Кабинет, из которого он и выполняет действия на сайте. Он считается проверенным, и дополнительно использовать технологию аутентификации по отдельному паролю не требуется.
С другой стороны, еще остаются ресурсы, в т.ч. достаточно крупные, сознательно отказывающиеся от протокола 3D Secure. Делается это для облегчения процесса покупки для пользователя. Считается, что это способствует увеличению роста покупателей, предпочитающих скорость в ущерб безопасности.
Будьте предельно внимательны, при совершении покупок в интернете на ресурсах, которые по какой-либо причине не используют технологию 3D Secure
Опасностью таких сервисов выступает то, что выполнить перевод без 3D Secure сможет любой покупатель, завладевший данными чужой карты.
Также стоит знать об ответственности. Так, если сервис проводит переводы без 3D Secure с MasterCard, Visa, МИР и др., банковская организация перекладывает ответственность за безопасность сделки на него. В случае воровства ваших данных и использования для перевода на подобной площадке, обращаться необходимо к последней, банк помочь ни чем не сможет. Если же платеж происходит с защитой, то ответственность несет эмитент, обслуживающий карточку. При своевременном обращении, он сможет оспорить сделку и возвратить клиенту деньги.
Несколько слов о безопасности
Что такое 3D-Secure? Технология призвана дополнительно защищать ваши накопления на банковской карте. Даже если вы не планируете в будущем совершать виртуальные покупки, все же стоит задуматься о ее подключении как создании еще одного барьера для мошенников. Советуем при активации данной технологии выбирать в качестве кодов подтверждения одноразовые пароли. Они становятся недействительными сразу после введения вами, отчего и более надежны, безопасны.
Еще один важный момент: никогда, никому и ни при каких обстоятельствах не сообщайте код подтверждения покупки, пришедший вам на телефон. Почти каждый месяц появляются новые мошеннические схемы выманивания такой информации. Напомним вам, что шифр вы вводите собственноручно в окошко формы подтверждения покупки.
Технология может быть уязвимой перед вредоносными программами, поражающими смартфон, которые могут производить без вашего ведома покупки, используя секретный код, приходящий в СМС. Поэтому защитите гаджет надежным антивирусом и не храните на нем фотографии вашего «пластика», данные, связанные с ним.
3D-Secure — дополнительная ступень защиты средств на банковской карте. Технология незаменима при совершении виртуальных покупок. Но надо помнить о том, что она не дает стопроцентной гарантии сохранности ваших средств на карте, отчего соответствующие личные данные всегда нужно держать в секрете от третьих лиц.
3D Secure Сбербанк
Платежные системы предложили свой вариант для проведения безопасных онлайн-покупок — защищенный протокол авторизации пользователя. Как действует защита? Если плательщик выполняет финансовую транзакцию, то на сайте магазина ему сначала потребуется ввести карточные данные (срок действия, номер, имя держателя и код на обратной стороне). Это первый шаг.
При использовании сервиса дистанционного обслуживания клиентов также может применяться защищенный протокол авторизации
После ввода нужной информации плательщик будет перенаправлен на сайт Сбербанка. 3D Secure — это технология, которая работает через одноразовые пароли. После того как плательщик будет перенаправлен на сайт банковского учреждения, ему потребуется ввести одноразовый пароль, который ему был выдан ранее. Ввод одноразового пароля нужен для того, чтобы удостовериться в том, что платежный инструмент находится в руках его хозяина. Пароль можно получить несколькими методами:
- Пароль будет выслан на номер владельца карты в том случае, если банковский продукт подключен к такой услуге как Мобильный банк. Данный метод является не только самым быстрым, но и самым простым.
- Если такая услуга как Мобильный банк не подключена, то можно использовать список одноразовых кодов для оплаты. Что представляет собой данный список паролей? Это распечатка, на которой указаны 20 паролей, а получить ее можно в любом банкомате банка. Для того чтобы подтвердить оплату, необходимо указать именно тот пароль, чей порядковый номер запрашивает сайт банка.
Вам может быть интересно:
Если код из СМС будет верен, то оплата будет произведена успешно.
Эксперты полагают, что внедрение защищенного протокола авторизации в несколько раз повышает уровень безопасности карточных счетов. Это не защитит владельца пластика от потери денег на 100%, однако сведет к минимуму попытки мошенников украсть ваши деньги.
При оплате услуг или покупок через интернет на некоторых ресурсах у вас потребуют ввести одноразовый пароль
В целях сохранности средств необходимо вникнуть во все тонкости использования 3D Secure, так как несоблюдение некоторых нюансов может спровоцировать и появление проблем. Для многих клиентов не всегда является удобным держать телефон все время включенным. Многие картодержатели часто выезжают за пределы страны, и тогда использование телефона становится менее доступным. Кроме того, телефон может в любой момент разрядиться. Даже если выбрать способ подтверждения оплаты кодом из списка паролей, то не все хотели бы носить этот список с собой вместе с пластиком. Можно конечно установить многоразовый пароль 3D Secure, но тогда этим могут воспользоваться злоумышленники.
Является ли использование технологии 3D Secure для владельца карты гарантией защиты от мошенничества?
Однозначно нет! Для банков эта технология потому и является привлекательной, что перекладывает всю ответственность на клиента.
Да, в случае, если что-то в процессе обработки пойдет неверно, например введенный неправильно код будет воспринят как правильный, то виноват будет банк или процессинговый центр. Но вероятность такого события практически равна нулю.
Другое дело, что клиент может иметь, например, зараженный вирусом сотовый телефон, который будет читать его SMS и отправлять верные коды. Или доверить кому-то постороннему код, который будет введен вместо владельца карты (в чистом виде социальная инженерия). Или просто забыть, что он хотел заплатить ту или иную сумму в магазин. Но в любом случае ответственность за платеж будет лежать на клиенте. Банк существенно экономит средства и силы на разборе спорных транзакций, просто напросто отказывая клиентам.
Следует, однако, иметь в виду, что общий объем мошенничества с применением пластиковых карт снижается. Еще одной потенциальной «дырой» может являться готовность банка выполнять транзакций без отправки кода на телефон. В этом случае клиент должен добиваться своих прав и требовать возврата денег, так как операция была проведена без использования 3D Secure.
Что такое 3D-Secure?
В связи с постоянно растущим числом мошенничеств с безналичными транзакциями, ввод этой системы вполне оправдан. Принцип действия заключается в последовательном проведении определённых действий:
- Клиентом вводятся стандартные данные:
- номер карты;
- дата окончания действия карты;
- имя и фамилия владельца карты;
- код CVC, расположенный на обороте пластика.
- Далее владелец карты переводится на сайт банка, где будет необходим ввод специального защитного кода. Такой код можно получить из разных источников:
- Смс сообщением на телефон;
- По запросу в банкомате постоянного кода;
- По запросу в банкомате разового пароля.
В других же банковских организациях такая технология является обязательной, и возможности отказаться от её использования нет.
Как работает 3D Secure
При совершении операции в интернете, держатель карты, поддерживающей технологию 3D Secure проходит аутентификацию в два этапа. Протокол не нужно путать с кодами безопасности CVV2 и CVC2. Использование протокола производится следующим образом:
- Клиент завершает оформление операции, и нажимает на кнопку «Оплатить».
- Банк высылает разовый пароль (числовой код), который вводится в форму подтверждения платежа.
Если код указывается неверно, эмитент блокирует проведение транзакции. Как правило, разовый код 3D Secure состоит из шести случайных чисел, которые генерируются отдельно по каждой операции. Протокол работает на телефонах, смартфонах, персональных компьютерах, и все остальных устройствах.
У некоторых банков действует правило, согласно которому 3-5 раз неверно введенный код приводит к автоматической блокировке банковской карты. Таким образом, эмитент исключает доступ к карте со стороны третьих лиц.
Числовой код отправляется в виде СМС-сообщения, либо другим способом. Отдельные кредитные организации используют в этих целях push-уведомления. Для совершения операции необходимо иметь при себе телефон, привязанный к карте. За отправку кода плата не взимается.
3D Secure с многоразовым паролем
По некоторым картам технология 3D Secure используется виде многоразового пароля. Его клиент получает при активации карты. Этот вариант намного экономичнее, чем отправка числового кода, но уровень безопасности при его использовании еще ниже.
По стандартной схеме мошенникам потребуется перехватить одноразовый числовой код, либо завладеть телефоном держателя карты. Намного проще получать доступ к счету, когда по всем транзакциям используется один и тот же пароль.
Достаточно узнать этот самый пароль, чтобы по карте совершать практически любые операции. В этом виде технология используется небольшими банками, продукты и услуги которых не пользуются хорошим спросом у потребителей. Причина заключается в дороговизне подключения XML-протокола.
Что это такое
Осталось мало интернет-ресурсов, где возможна оплата без 3d secure. Это новейшая система защиты платежей, которую поддерживают платежные системы Visa и Mastercard. Изначально она была разработана для системы Visa, а со временем изменения коснулись и Mastercard.
Главные достоинства и недостатки системы
К основным преимуществам системы безопасности относят следующие аспекты:
Вся информация, указанной карты, не передается на сайт магазина, а остается только в компетенции банковской структуры.
Пароль, который высылается, чтобы подтвердить перевод, одноразовый, поэтому повторное использование в мошеннических целях невозможно.
Как и любое новшество, здесь стоит обратить внимание на один важный недостаток. Даже при такой, на первый взгляд прочной, системе, пароль может быть использован или перехвачен мошенниками
А значит она не формирует максимальную безопасность для свершения платежа. Сегодня разработана масса шпионских и других вирусных программ, которые могут украсть пароль с любого гаджета или телефона.
Кроме того, обойти такую систему для тех пользователей, которые не могут с ней работать все же возможно.
Как работать без системы 3D Secure
И хотя, на первый взгляд может показаться, что система не имеет абсолютно никаких нюансов, все же многие мошенники ее обходят. В большинстве случаев это касается магазинов, которые не поддерживают данный протолок и не используют его для обеспечения собственной защиты
Важно отметить, что для ее работы, в качестве обязательного условия является поддержка со стороны обслуживающего банка и самого продавца
Для того, чтобы совершить покупку, достаточно только ввести данные от карты:
- номер карты;
- срок действия;
- код CVC, с обратной стороны.
Однако владельцы магазинов, которые все же желают обезопасить себя и своих покупателей используют небольшой хитрый вариант. Вначале они отправляют запрос в банк, чтобы он заблокировал некую сумму денег на карте клиента (как правило, она составляет не более 10 рублей). Далее, клиент перезванивает в банк и отвечает на ряд основных вопросов, чтобы пройти идентификацию в системе. Некоторые банки создают специальную электронную форму, где нужно ввести заблокированную сумму денег.
Pareq
Браузер клиента, совершающего оплату, может произвести достаточно много редиректов по различным компонентам, участвующим в совершении платежа. Так, в России есть некоторое количество запросов, обрабатывающихся на стороне Национальной Системы Платежных Карт. Но сегодня нас интересует только традиционный этап, описанный в спецификации протокола. А именно этап передачи PaReq.
Платежный запрос, содержащий PaReq (метод POST), имеет три параметра:
1) MD — данные продавца. Он нужен MPI, чтобы сопоставить PaReq и PaRes одной транзакции;
2) PaReq — параметр этого платежного запроса. Он содержит всю важную информацию о платеже;
3) TermUrl — URL-адрес, на который клиент будет возвращен в конце процесса аутентификации 3D Secure.
Параметры TermURL и MD всегда отражаются в ответе на данный запрос. Поэтому могут встречаться имплементации ACS, уязвимые к атакам типа reflected XSS. В процессе аудита различных систем такие сервера были найдены.
Важный момент №1: ACS сервера обрабатывают все входящие PaReq!
Что входит в параметр PaReq?
Вы можете получить его значение, раскодировав PaReq. Это сделать достаточно легко, потому что PaReq — это Xml-> zlib-> base64-> urlencode. Для упрощения работы с этими запросами был написан плагин для burp.
Теперь мы видим, что из себя на самом деле представляет PaReq, а именно сообщение формата xml. Это сообщение содержит информацию о сумме платежа (purchAmount, amount и currency), некоторую информацию о продавце и MessageId (из VeReq).
При отправке правильно сформированного PaReq (в большинстве случаев вам не нужен полный набор запросов на оплату — требуется отправить лишь PaReq, содержащий параметры правильного типа и длины), мы получим PaRes — ответ на платеж, подобный следующему:
Первая мысль, которая может прийти в голову веб-исследователю, который видит XML-запрос — это попробовать выполнить XXE. И это правильный путь!
Но для начала посмотрим на то, что случится, если отправить некорректно сформированный PaReq. Мы получим ошибку! Вот несколько примеров таких ошибок:
Ошибка может помочь получить дополнительную информацию о версии ACS. Некоторые из них могут также оказаться полезными для получения данных из XXE.
Алгоритм действия
На практике же процедура будет следующей:
- Клиент выбирает товар и переходит к оплате;
- Вносит данные карты: номер, срок действия, фамилию и имя держателя, а также CVV-код, указанный на обратной стороне карты;
- Запрос отправляется в банк-эмитент для проверки личности пользователя, а банк, в свою очередь, отправляет уникальный код (чаще всего состоит из 4 или 6 цифр) на мобильный номер клиента;
- Получив код, клиент вводит его в специальное поле, тем самым подтверждает оплату покупки;
- После проверки правильности кода банк держателя карты осуществляет перевод средств.
Важно! Если у клиента не установлена подобная защита, и не приходят уведомления от банка, а магазин установил систему защиты 3D-Secure, тогда, скорее всего, провести операцию будет невозможно. Система откажет в проведении транзакции, даже если ранее вы проводили оплаты без проблем
Возможно, программа была установлена недавно. Узнать информацию можно на странице продавца в разделе «оплаты».