Кошелёк на замок. Технология 3D-Secure в действии

В эпоху зарождения интернет-коммерции были распространены две схемы оплаты товара: банковским переводом на счёт продавца или с помощью ввода данных карты на сайте. Ни ту ни другую нельзя назвать удобным и безопасным решением.

В первом случае трудностями были межбанковские комиссии, необходимость ждать получения перевода и высокая вероятность ошибиться в реквизитах. Во втором велика вероятность, что карта украдена и покупатель мошенник. Так как для онлайн-оплаты необходимы только реквизиты карты и CVV код, то проверить это банк не в состоянии.

Получив чужую карту, злоумышленник мог воспользоваться ею, даже не зная PIN-кода. Просто совершая оплату в интернет-магазинах с чужого счёта. Такое положение дел не устраивало ни пользователей, ни банки. Поэтому было решено разработать технологию безопасных расчётов в интернете. И первой это сделала платёжная система Visa.

Компания анонсировала технологию в рамках запуска услуги Verified by Visa. Позднее этот же протокол стали использовать и другие платёжные системы. Но назывались они по-разному. К примеру, в национальной платёжной системе МИР это технология МИР Accept.

Работает 3D-Secure по принципу двухфакторной идентификации держателя платёжной карты. Благодаря этому банк уверен, что оплату совершает владелец пластика.

Название не имеет ничего общего с технологией трёхмерной реальности. D в этом случае означает Domains. То есть это тройная защита, где доменами выступают:

1. платёжная система;
2. банк-эмитент карты (сторона покупателя);
3. банк-эквайер (сторона продавца).

Не пугайтесь финансовых терминов. На практике эта технология проста и понятна для пользователя.

Давайте рассмотрим, как же происходит оплата с использованием 3D-Secure. Для этого купим товар в российском интернет-магазине с помощью карты Tinkoff Black.

1. Находим нужный товар в магазине и добавляем в корзину. Оформляем заказ, выбирая оплату по карте. После ввода её реквизитов магазин перенаправляет нас на страницу подтверждения операции.

2. Банк в это время отправляет на номер, привязанный к карте, смс-уведомление с одноразовым паролем. Не спешим его вводить. Для начала проверяем, всё ли верно указано на странице: последние цифры номера карты, название магазина-получателя платежа, номер телефона. Только после этого вводим код в нужное поле и нажимаем «отправить».

3. Нас снова перенаправляет на страницу интернет-магазина. Если пароль введён верно и средств на карте достаточно, то платёж пройдёт успешно. На этом оплата завершена.

На 2018 год практически все карты российских банков поддерживают технологию 3D-Secure. Исключением служит пластик, выпущенный до введения этого протокола для массового использования. Поэтому если ваша карта не поддерживает технологию безопасных платежей, обратитесь в банк для перевыпуска.

Повсеместное использование 3D-Secure объясняется явными его преимуществами:

• Безопасность – дополнительная идентификация по смс снижает вероятность кражи денег с карты.
• Простота  – для любого пользователя понятен механизм проведения такой оплаты.
• Удобство – мобильный телефон всегда под рукой, а значит подтвердить операцию не составит труда.

Поэтому технология быстро стала набирать популярность и используется во всех платёжных системах мира.

Увы, но полностью защитить пользователей банковских карт от кражи средств неспособна даже 3D-Secure. Проблема кроется не в уязвимости протокола. С этим как раз всё в порядке. Главная опасность – человеческий фактор. Это чаще всего является причиной обходов защиты:

1. Кража мобильного телефона + банковской карты. Преступники прекрасно знают, как работает 3D-Secure. Поэтому стараются украсть и карту, и телефон жертвы. У человека, попавшего в такую ситуацию, выход один – бежать в ближайший салон связи, чтобы заблокировать старую SIM-карту и выпустить новую. А параллельно звонить в банк, чтобы заморозить операции по счёту.
2. Выманивание защитного кода обманом. Это уже упоминалось выше, но всё же повторить будет нелишне: никому нельзя сообщать одноразовый пароль из смс-сообщения банка. Такими кражами промышляют мошенники с досок объявлений. Выдавая себя за покупателей, они сначала узнают реквизиты карты, якобы для внесения оплаты. А потом с помощью различных уловок пытаются узнать защитный код. Если жертва его сообщит, то поможет обокрасть сама себя.
3. Вирусная программа. Такой способ мошенничества довольно труден и используется преступниками экстра класса. И конечно, охотятся они не за простыми обывателями. Жертве на смартфон устанавливается вирусная программа, которая никак себя не проявляет. До тех пор, пока не дождётся смс-подтверждения и не передаст код преступникам. Обезопасить себя в такой ситуации можно, установив хороший антивирус.

Пока ни одна технология не даёт пользователям банковских карт 100% защиты от действий мошенников. Поэтому самым действенным рецептом по сохранению счёта в сохранности до сих пор остаётся бдительность.