EMV 3-D Secure, или кто украл SMS с одноразовым паролем. Часть 1 / Хабр

Что такое liability shift (перенос ответственности)

3DS аутентификация не гарантирует полную безопасность счета. Например, если воры завладели и картой, и телефоном, они смогут вводить коды и списывать деньги со счета жертвы. Но если телефон остался при владельце, то использовать карточку будет сложнее. Перехватить отправленные коды можно с помощью вредоносного ПО, установленного на телефон жертвы.

Помните, что не все интернет-магазины поддерживают 3D Secure. Заблокируйте карту сразу же после утери, чтобы сохранить деньги, и не тратить время на их возврат.

Процедура Liability Shift применяется для переноса ответственности. Банк имеет право оспорить транзакцию при следующих условиях:

  1. К карточке клиента подключена трехдоменная аутентификация.
  2. Интернет-магазин не поддерживает эту технологию и списывает деньги сразу.

Чтобы вернуть деньги по Liability Shift, владелец карты должен обратиться в банк с заявлением и доказать, что он не совершал транзакции. Если банк сочтет требования убедительными, он может обязать интернет-магазин вернуть деньги. Но отменить платеж нельзя, если уникальный код был введен верно (даже если цифры ввел не владелец).

Технология 3DS аутентификации обеспечивает безопасность электронных переводов. Опция по умолчанию доступна держателям карт VISA, MasterCard, МИР и т.д. За использование услуги нет комиссии. При возникновении ошибок при аутентификации следует проверить реквизиты и номер телефона.

Введение

Обеспечение безопасности при проведении платежей было и остается одной из главнейших задач любой платежной системы. Инженеры и криптографы работают над созданием новых алгоритмов и систем защиты, а злоумышленники пытаются найти в этой защите уязвимые места.

Значительный рост безопасности платежных карт пришелся на период с 2000 по 2021 годы, когда внедрение стандарта EMV для физических карт и 3-D Secure для платежей в интернете сильно ограничили возможности мошенников в подделке карт и эксплуатации украденных реквизитов.

В итоге технически платежные карты оказались защищены настолько хорошо, что самым слабым звеном при совершении платежей оказался человек, и внимание злоумышленников во всем мире начиная с 2021-х годов все сильнее акцентируется именно на нем.

В то же время реальный опыт показал, что внедрение дополнительных ступеней защиты не только снижает удобство для конечного пользователя, но и уменьшает долю успешно завершающихся платежей, так называемую конверсию.Потеря конверсии обозначает, что магазин недополучит прибыль, а держатель карты не совершит желанную покупку. Таким образом, проигравшими оказываются все.

Меня зовут Алексей Касякин, я технический владелец платформы 3-D Secure в НСПК. Вместе с Сергеем Лысенко (в НСПК руководит развитием EMV 3DS 2.0) и Алексеем Крутиковым (лидер команды разработки платформы) мы хотим рассказать про технологию 3-D Secure, ее историю, основные проблемы и перспективы развития. А также о том, почему не надо бояться, если перестал приходить одноразовый пароль.

Что такое технология 3d secure

3D Secure — это разновидность XML-протокола, который используется в виде дополнительного уровня безопасности при совершении операций с банковскими картами в интернете. Протокол предусматривает проведение двухфакторной аутентификации клиента до завершения транзакции.

Впервые 3D Secure использовалась компанией VISA в рамках пакета услуг Verifled by VISA (VBV). Основная цель работы с протоколом — повышение уровня безопасности банковских карт при совершении операций в онлайне. Протокол применяется по кредитным и дебетовым картам.

Позже, пакет услуг стали применять все крупнейшие мировые платежные системы. Подключение производилось компаниями в следующем порядке:

  • Mastercard — Mastercard Secure Code (MCC).
  • JCB International — J/Secure.
  • Amex — Safe Key.
  • НСПК МИР — МИР Accept.
  • American Express — American Express Safe Key.

Национальная система платежных карт МИР подключилась к 3D Secure в 2021 году. Сейчас все банковские карты выпускаются с подключенным по умолчанию пакетом. Отключить его нельзя — услуга оказывается бесплатно, вне зависимости от наименования банковской карты.

Протокол 3D Secure не следует рассматривать как 100% гарантию сохранности средств на счете. Он всего лишь предусматривает дополнительный шаг со стороны клиента при совершении CNP-операций (card not present) — когда не предъявляется карта.

Практика показала, что разовый код может быть перехвачен мошенниками: достаточно подвергнуть устройство воздействию вируса или вредоносного программного обеспечения. Технология снижает вероятность применения фишинга, но не исключает ее полностью.

Что потребовало улучшений в 3ds 1.0

Более двадцати лет первая версия протокола 3DS решает поставленную перед ней задачу обеспечения безопасности дистанционных платежей. Однако, любая технология устаревает, и с течением времени проявились некоторые особенности 3DS 1.0, которые потребовали следующих улучшений:

  • Повышение конверсии. Какой бы способ аутентификации ни использовался, любое дополнительное подтверждение платежа клиентом создает дополнительный барьер для завершения оплаты, от чего страдает и сам клиент, и магазин. Причины, по которым платеж не завершается, могут быть самыми разными:

  • Адаптация к мобильным устройствам. Платежные системы при сертификации Эмитентов по технологии 3-D Secure 1.0 накладывали определенные требования по размеру и содержанию страницы аутентификации. Данные требования сильно ограничивают веб-разработчика в верстке этих страниц. В результате может получиться, что при попытке оплаты в красивом, современном интернет-магазине, нас переадресовывает на маленькую страницу где-то в углу экрана. При этом форма ввода кода в некоторых случаях может быть даже не видна. В случае использования мобильного устройства (доля оплат с которых растет каждый год), пользователь сталкивается с похожей проблемой: HTML-форма, предъявляемая Эмитентом, выглядит инородно в GUI мобильного приложения, ее масштаб и положение могут быть неудобны для пользователя.

  • Повышение уровня защиты от мошенничества с применением социальной инженерии. Ни один метод аутентификации по 3DS 1.0 не обеспечивает действительно надежной защиты платежа от методов мошенничества, известных под общим названием “социальная инженерия”. Одноразовый код мошенники могут узнать непосредственно у клиента, введя его в заблуждение. Например, мошенник представляется сотрудником службы безопасности банка и сообщает о совершении подозрительной операции по карте клиента. Для ее отмены необходимо назвать код, который придет по SMS или PUSH. В это время по скомпрометированным реквизитам карты мошенником совершается операция денежного перевода, для которой и запрашивается код подтверждения. Аналогичным образом мошенники при звонке могут представляться сотрудниками полиции, ФСБ, судебными приставами, представителями лотереи и т.д. При этом цель у них неизменна: спровоцировать клиента на компрометацию реквизитов карты и/или одноразового кода.

  • Улучшение пользовательского опыта. За прошедшие 20 лет банки приучили клиентов, что ввод OTP – это нормально. Но в действительности менее 0,05 % всех операций являются мошенническими. То есть почти по всем операциям с вводом OTP на самом деле он не требуется, т.к. ее проводит легитимный владелец карты.

Про сертификаты:  Свидетельство ДОПОГ водителям

Для решения этих задач и была разработана следующая версия протокола – EMV 3DS 2.0. О его зарождении, возможностях и преимуществах, а также о его запуске в ПС “Мир” мы расскажем в следующей статье

Возможные ошибки при 3d secure авторизации

Описание ошибкиВозможные причиныКак исправить ошибку
Ошибка аутентификацииНеверно введены реквизитыПроверьте правильность данных
Не поддерживается валюта платежаПроверьте список доступных валют
Не приходит кодК счету привязан другой номерПроверьте привязанный номер в личном кабинете на сайте банка
Ошибка на этапе генерации и отправкиПовторите попытку через несколько минут
Память телефона заполненаУдалите старые SMS и повторите попытку
Плохая сотовая связьНайдите место, где телефон стабильно ловит сеть
Введенный код не срабатываетОшибка при вводе данныхПроверьте номер и повторите ввод
Истек срок действияЗапросите генерацию нового кода
Не открывается поле для ввода, деньги списывают сразуИнтернет-магазин не поддерживает 3DS

История запуска 3-d secure в пс “мир”

В платежной системе “Мир” вопрос запуска технологии 3-D Secure встал вместе с запуском самой платежной системы в 2021 году. Пускать в полномасштабный тираж в масштабах страны карту без защиты платежей в интернете было невозможно, поэтому параллельно с наладкой и запуском платежной системы, проводилась работа по реализации сервиса 3-D Secure и подготовка сопутствующих правил и регламентов для банков.

На старте было заключено соглашение с другой платежной системой, владеющей лицензионными правами на технологию 3DS 1.0.2. Это решение, с одной стороны, гарантировало корректность работы всей платежной инфраструктуры, включая сайты торгово-сервисных предприятий (ТСП), банков и платежных сервис-провайдеров.

Дальнейшее развитие сервис получил вместе с выходом новой версии протокола – EMV 3DS 2.0. Анализ возможностей нового протокола показал, что он будет востребован в платежном пространстве РФ, т.к. предлагает решение многих имеющихся проблем 3DS 1.0.2. В 2021 году был запущен проект по созданию 3DS-сервиса для ПС “Мир” на базе ее оператора – Национальной системы платежных карт (НСПК).

Для НСПК это была новая, нетривиальная задача. Стоит заметить, что если компоненты 3DS для банков и магазинов широко распространены на рынке и предлагаются как коробочные решения, то разработка компонента в домене платежной системы – Directory Server – это задача штучная, на рынке готовых предложений таких продуктов нет.

Запуск собственной платформы MirAccept занял почти два года. За это время было подготовлено техническое задание, выполнена разработка, проведено тестирование, приемка и внедрение. Запускалась платформа с поддержкой одновременно двух протоколов: MirAccept 1.

0, основанного на 3-D Secure 1.0.2, и MirAccept 2.0, основанного на современном стандарте EMV 3-D Secure 2.0. Одновременно с запуском платформы решался еще целый ряд задач, таких как создание сертификационной среды для проверки соответствия банков правилам и стандартам сервиса, разработка тестовых сценариев, написание руководств и регламентов по сертификации и подключению, разработка бизнес-процессов подключения и прочее.

Про сертификаты:  Как подписать ПДФ (PDF) файл электронной подписью (ЭЦП)

На момент запуска нового протокола MirAccept 2.0 (в 2021 году) о протоколе EMV 3-D Secure 2.0, на котором он основан, в банковской среде практически не знали. ПС “Мир” в этом смысле стала новатором, запустив этот протокол первой из всех крупнейших платежных систем (и, возможно, первой вообще).

НСПК фактически стала драйвером по продвижению новой технологии в платежном пространстве РФ. С 2021 года начинаются обучающие семинары и лекции, причем не только для банковских специалистов, которым вскоре предстояло внедрять соответствующие программные комплексы в своих банках, но и для разработчиков и поставщиков программных решений.

Для разных целевых аудиторий были разработаны курсы различной степени погружения и детализации. Они включали широкий круг тем – от верхнеуровневого обзора технологии, до рассмотрения деталей реализации требований спецификации, криптографических операций и программных методов интегрируемого в платежное приложение SDK.

В настоящий момент платежный рынок с технологией знаком уже достаточно тесно, и потребность в обучении снизилась. Тем не менее периодически мы и сейчас проводим семинары (а в текущих условиях вебинары), посвященные принципам работы технологии, процессам сертификации, а также подключения к сервису Банков и платежных провайдеров.

Вскоре после запуска Платформы MirAccept стало понятно, что Банкам нужна помощь в проведении рисковой оценки операций, т.к. на внедрение собственных систем рискового анализа не всегда есть время и ресурсы. С другой стороны, без этой функциональности переход на новый протокол обозначал лишь замену старых сообщений 3DS 1.0.

2 новыми сообщениями EMV 3DS 2.0 без изменения пользовательского опыта. Именно frictionless-аутентификация без дополнительного подтверждения от держателя карты, при сохранении уровня безопасности, является главным преимуществом нового протокола. И для того чтобы она работала, была необходима система рискового анализа.

Исходя из этих соображений, уже в конце 2021 года было проведено предпроектное исследование, а в 2021 году запущен проект по созданию собственной RBA-машины, которая получила название Сервис принятия решений (СПР).

К августу 2021 года (менее чем за два года) проект был завершен, и сервис был запущен в пилотную эксплуатацию. Для его работы была разработана собственная рисковая модель, которая учитывает десятки атрибутов совершаемого платежа, начиная от характеристик пользовательского устройства и заканчивая статистикой подтвержденных мошеннических операций в данном торгово-сервисном предприятии. Т.к. платежная система находится на пересечении всего межбанковского платежного трафика, СПР имеет возможность анализировать значительный объем данных, и по каждому платежу оценивать, насколько операция соответствует типичному пользовательскому поведению.

Результат работы сервиса передается банкам в виде значения рискового балла, чтобы они могли принять окончательное решение, требуется ли запросить дополнительное подтверждение операции у держателя или ее можно провести в режиме frictionless. Первые по-настоящему аутентифицированные операции по frictionless-сценарию пошли уже в конце 2021 года.

Если говорить про перспективы рискового анализа в целом, то уже сейчас возможно с высоким качеством оценивать 40-60 % операций в так называемую “зеленую зону”, то есть не требовать по ним дополнительного подтверждения платежа от держателя. Некоторые банки используют для этого СПР, другие пользуются собственными решениями по рисковому анализу.

На сегодняшний день развитием Платформы 3-D Secure в НСПК занимается выделенная команда. Совсем недавно ядро нашей Платформы (компонент Directory Server) успешно прошло сертификацию в независимой тестовой лаборатории EMV, и мы получили подтверждение соответствия нашего компонента требованиям последней действующей версии спецификации EMV 3DS 2.2.0.

Как подключить 3d-secure в втб 24

В ВТБ 24 3D-Secure подключается автоматически и является абсолютно бесплатной услугой, предоставляемой всем клиентам банка, имеющим карты выпущенные с 12 декабря 2021 года и новее. Всем остальным владельцам банковских карточек защитную функцию необходимо подключать самостоятельно. Есть два способа, как подключить 3D-Secure, ВТБ 24 на своем сайте детально разъясняет поэтапно процедуру активации услуги.

В первом варианте предлагается посетить любое отделение банка и, написав заявление, предоставить номер карты и номер мобильного телефона, которые будут совместно использоваться для аутентификации во время онлайн-платежей.


Второй вариант подключения предусматривает использование сервиса банкомата для самообслуживания. Для этого нужно войти в меню банкомата:

  • выбрать в пункте настроек «3D-Secure»;
  • отыскать пункт меню «Подключение телефона»;
  • далее, воспользовавшись интуитивно-понятным интерфейсом, ввести номер телефона и подтвердить действие.

В ответ на вашу заявку о подключении защитной услуги, банк отправит подтверждающее SMS, в котором будет указано, что услуга для карточки активирована и связана с вашим номером мобильного телефона.

Если возникла необходимость сменить номер телефона, привязанный к карточке, можно его сменить при помощи меню банкомата.  После отправки заявки о смене номера телефона для 3D-Secure, ВТБ отправит вам SMS с уведомлением об изменениях. Это является дополнительной мерой безопасности, и в случае, если вы не вносили изменения, рекомендуется незамедлительно посетить отделение банка и выяснить вопрос.

Про сертификаты:  Приложение. Положение о порядке выдачи гигиенических сертификатов на продукцию | ГАРАНТ

Как происходит 3ds аутентификация

При оформлении заказа в интернет-магазине клиент вводит реквизиты карточки. После введения реквизитов открывается новое окно с логотипом банка-эмитента. В новом окне есть пустое поле, в которое нужно ввести одноразовый код (не путать с CVV2 и CVC2).

Последовательность состоит из 6 цифр, каждая из них генерируется отдельно. Поскольку услугой пользуются миллионы клиентов, последовательности цифр могут совпадать. Но каждый номер действителен для одной транзакции. Номер действует ограниченное время после его генерации.

Методы получения уникального кода:

  • SMS сообщение на номер, привязанный к счету.
  • Push уведомление на телефоне.
  • Мобильное приложение банка.

При ошибке или задержке ввода платеж отклоняется. Система работает при оплате заказов с ПК, смартфонов, планшетов. Некоторые организации автоматически блокируют счета, если цифры введены неверно 3-5 раз подряд.

Видео на тему:

Краткая история 3-d secure 1.0

В конце 1990-х годов наблюдалось стремительное проникновение интернета в повседневную жизнь человека. Появившийся канал продаж через интернет открыл новую страницу в истории торговли и вызвал взрывной рост дистанционных платежей по банковским картам.

Платежные системы реагируют на новую угрозу вводом нового защитного параметра, который печатается на обратной стороне карты. Он призван гарантировать, что платеж совершает именно владелец карты. Однако из-за малой длины кода (3 символа) существует возможность подсмотреть его при оплате товаров на кассе или заполучить его путем кражи физической карты.

Тогда острая необходимость защитить дистанционные платежи и привела к появлению первого стандарта безопасности 3-D Secure. Он позволяет банку в момент оплаты запросить у держателя карты дополнительное подтверждение, без которого оплата не проводится.

Проблемы безопасности

Увы, но полностью защитить пользователей банковских карт от кражи средств неспособна даже 3D-Secure. Проблема кроется не в уязвимости протокола. С этим как раз всё в порядке. Главная опасность – человеческий фактор. Это чаще всего является причиной обходов защиты:

  1. Кража мобильного телефона банковской карты. Преступники прекрасно знают, как работает 3D-Secure. Поэтому стараются украсть и карту, и телефон жертвы. У человека, попавшего в такую ситуацию, выход один – бежать в ближайший салон связи, чтобы заблокировать старую SIM-карту и выпустить новую. А параллельно звонить в банк, чтобы заморозить операции по счёту.
  2. Выманивание защитного кода обманом. Это уже упоминалось выше, но всё же повторить будет нелишне: никому нельзя сообщать одноразовый пароль из смс-сообщения банка. Такими кражами промышляют мошенники с досок объявлений. Выдавая себя за покупателей, они сначала узнают реквизиты карты, якобы для внесения оплаты. А потом с помощью различных уловок пытаются узнать защитный код. Если жертва его сообщит, то поможет обокрасть сама себя.
  3. Вирусная программа. Такой способ мошенничества довольно труден и используется преступниками экстра класса. И конечно, охотятся они не за простыми обывателями. Жертве на смартфон устанавливается вирусная программа, которая никак себя не проявляет. До тех пор, пока не дождётся смс-подтверждения и не передаст код преступникам. Обезопасить себя в такой ситуации можно, установив хороший антивирус.

Пока ни одна технология не даёт пользователям банковских карт 100% защиты от действий мошенников. Поэтому самым действенным рецептом по сохранению счёта в сохранности до сих пор остаётся бдительность.

Технология 3d-secure visa и mastercard

Благодаря 3D-Secure каждая покупка в онлайн-магазинах в обязательном порядке должна быть подтверждена одноразовым кодом, который высылается на мобильный телефон. Такая система безопасности эффективна для расчетов только на сайтах, поддерживающих данную систему, о чем свидетельствуют соответствующие логотипы.

На непроверенных ресурсах, которые не поддерживают сервис, данная программа не работает. Прежде чем совершать покупку, обратите внимание на наличие соответствующих логотипов, которые свидетельствуют о том, что сайт поддерживает безопасный протокол денежных платежей:

  • у платежных систем Visa 3D-Secure называется Verified by Visa;
  • в системе MasterCard 3D-Secure названа MasterCard SecureCode.

Данная технология проста, понятна и предельно эффективна. Применение трех-доменной защиты для каждой транзакции предполагает наличие дополнительной аутентификации владельца карты. Отсюда и появилось в названии 3D, обозначающие три домена защиты, которые участвуют в осуществлении платежа:

  • эмитент – банк, который выдал карту клиенту и отвечает за снятие денежных средств и переведение их эквайеру;
  • эквайер – банк, который обслуживает интернет-магазин и принимает платеж от эмитента;
  • Interoperability Domain – домен, поддерживающий протокол защиты

При подключенной защите карточки, каждая онлайн-покупка на сайтах, поддерживающих безопасный протокол перевода денег, происходит в несколько этапов, не требует особых знаний и не занимает лишнего времени:

  • выбор товара;
  • заполнение формы для онлайн-оплаты;
  • автоматический переход на защищенную страницу с одновременной отправкой банком SMS с одноразовым паролем;
  • после введения полученного пароля в форму на безопасной странице, выполняется автоматический возврат на сайт интернет-магазина;
  • окончательное подтверждение покупки на сайте продавца.
Оцените статью
Мой сертификат
Добавить комментарий