Протокол 3D-Secure

3D-Secure (Three-Domain Secure)


защищенный протокол авторизации пользователей для CNP-операций (без присутствия карты). Данная технология разработана для безопасности оплаты товаров и услуг в Интернете. Изначально протокол был предложен платежной системой VISA, но потом с некоторыми изменениями был принят и другими. У VISA протокол называется Verified by Visa (VbV), у MasterCard - MasterCard SecureCode (MCC), а у JCB International - J/Secure.

Данный протокол добавляет дополнительный шаг авторизации пользователя при оплате покупки в интернет-магазине. На первом шаге используется: номер карты, срок ее действия, имя держателя карты и код проверки ее подлинности (например, CVC2). На втором шаге, используя протокол 3D-Secure, сайт магазина показывает страницу банка-эмитента карты, на которой предлагается ввести дополнительный защитный код. Его клиент банка может получить: посредством СМС-сообщения на свой мобильный телефон, с помощью карточки разовых кодов или специального устройства, а также код может быть постоянным, заранее установленным самим клиентом. Собственно название метода Three-Domain Secure возникло из-за того, что в онлайн-транзакции в данном случае участвуют три домена - или торговой точки (мерчанта) или эквайрера, где вводятся данные платёжной карты, платёжной системы, которая прозводит переадресацию платежа страницу подтверждения паролем либо разовым кодом и домен эмитента карты или специализированного сервиса, где формируется страница подтверждения и проверяется правильность введённых защитных кодов.

Вся передаваемая подтверждающая информация от покупателя сохраняется на платежном сервере банка-эмитента, и интернет-магазин не имеет к ней никакого доступа (магазин может только сохранить часть информации по реквизитам платёжной карты, но в объёме не более чем это предписано в PCI DSS). Это защищает данные от хищения

Не все онлайновые магазины и банки поддерживают 3D-Secure. Эта технология не является обязательной и защищает в первую очередь торговую точку и банк от мошеннических операций. При возможности использования 3D-Secure, но не задействованном сервисе (например, карта клиента поддерживает данную технологию, а онлайн-магазин нет; или же наоборот платёжный сервис готов предоставить авторизацию по 3DS, а карта клиента не подключена к этому сервису), ответственность за несанкционированную транзакцию возлагается на сторону, по чьей вине не была использована технология 3DS. На текущий момент (июль 2016 г.) 3D-Secure поддерживают банки из 195 стран мира. Узнать онлайн-магазины, поддерживающие технологию 3D-Secure, можно по размещенным на сайте или платёжной странице логотипам: MasterCard SecureCode и/или Verified by Visa .

Материалы Banki.ru по теме:

3D-Secure: кто в защите?

31 комментарий 68 438 просмотров

Комментарии 31

Mikhail Kuznetcov
#
3d secure защищает от мошенничества только продовца услуг! Клиента 3d secure полноценно защитить не может. Это значит что клиента с легкостью может обворовать любой человек, кто хоть раз в жизни видел банковскую карту, даже несмотря на наличие 3d secure на его карте.

От того факта, что на одном сайте 3d secure работает, а на соседнем уже нет - клиенту легче не станет, даже если он НЕ платил на обоих. Дело все в том, что Банк все равно проведет платеж по карте с подключенной 3d secure БЕЗ ПОДТВЕРЖДЕНИЯ ПО СМС. Как бы удивительным это не казалось. Это произойдет на всех сайтах, которые не используют для оплаты данную технологию, а их миллионы. И даже если клиент ни разу в жизни не платил в интернете вообще, его все равно с легкостью обворуют. Именно потому что 3d secure его не защищает полноценно!

Как это происходит? Элементарно. С 3d secure вас может обворовать пожалуй даже 6-ти летний ребенок. Хаккером для этого становиться совсем не обязательно.

Даже сотрудник вашего банка выдавший вам вашу карту и подключивший к ней 3d secure может сразу же после активацией вами вашей карты воровать оттуда деньги. Легко и не принужденно! Не верите?

Он может купить в любом интернет магазине не использующем 3d secure (коих в сети миллионы) товар по вашей карте. Для этого ему потребуется, ВДУМАЙТЕСЬ, всего лишь ввести номер и срок действия вашей карты, а также трехзначный код с обратной стороны карты. Все эти данные нанесены на вашу карту и в момент выдачи карты даже сотрудник вашего банка мог их запомнить\записать\сфотографировать. Вы же получили вашу карту не опечатанную в конфиденциальный конверт, не так ли? Я уже не говорю о любом официанте или кассире, который видел или держал в руках вашу карту.

Таким образом в любой момент сотрудник вашего банка, как и любой другой человек, кто хоть раз в жизни держал в руках вашу карту, или просто имел возможность внимательно на нее посмотреть, - может платить вашей картой в интернете. И именно благодаря 3d secure ваш платеж пройдет без подтверждения, если злоумышленник выберет интернет магазин, который не поддерживает технологию 3d-secure. А что-то мне подсказывает, что выберет он именно его... Что они и делают.

Удивительно, но они именно это называют интернет мошенничеством. Много ли нужно ума, чтобы так смошенничать!???

Всего-то надо запомнить номер карты, срок ее действия и три цифры с обратной стороны и даже несмотря на технологию 3d secure карту можно обчистить за считанные секунды просто купив по ней товар в интернет магазине! И никаких подтверждение по смс не будет!

Не верите? Действительно звучит весьма не безопасно для того, чтобы такое могло происходить в банке... Просто позвоните в свой банк и спросите! Вы будите крайне удивлены жалкими и увилистыми ответами сотрудника банка, которые подтвердят вышеизложенное.

Веселее всех конечно держателям кредиток. Их могут еще и в долги по карте вогнать!

Так что безопасность 3d secure для клиентов выглядит по меньшей мере смехотворно.

Но есть решение. Вы можете завести себе карту в нормальном банке. Например в альфабанке или банке тинькофф, возможно в каких-то еще. У них есть приложения для телефона, которые позволяют мгновенно включать и выключать платежи по карте. Таким образом вы всегда можете одним кликом на телефоне включить платежи по карте, совершить платеж и после этого одним кликом выключить платежи по карте. В этом случае, уже не получается ничего украсть с карты, потому что она практически все время будет выключена.

Так, что не надейтесь на 3d secure. Открывайте карту в банках с нормальным интернет банком и мобильным приложением, которое позволяет включать и выключать платежи по карте. И тогда ваши деньги будут в безопасности.
booksolos
#
m.v.kuznetsov@gmail.com
неужели ? а вы не подумали над тем прежде чем состряпать столь не малобуквенную статью что в банке к тому же вам выдали конвертик запечатанный в котором указан четырёхзначный код . А именно его вас попросят ввести когда вы переходите с интернет магазина на страницу оплаты вашего банка ,или же банк может попросить вас вести смс код подтверждения которое он отправил вам на зарегистрированный телефон.
KiraSoft
#
booksolos пишет:
а вы не подумали над тем прежде чем состряпать столь не малобуквенную статью что в банке к тому же вам выдали конвертик запечатанный в котором указан четырёхзначный код .


Чего?
Покажите хоть один интернет-магазин/он-лайн сервис, где требуют ввод пин-кода для подтверждения оплаты?
Пин-код нужен только для операций с физическим присутствием карты (да и то на многих картах приоритет подписи)

booksolos пишет:
А именно его вас попросят ввести когда вы переходите с интернет магазина на страницу оплаты вашего банка ,или же банк может попросить вас вести смс код подтверждения которое он отправил вам на зарегистрированный телефон.


Не попросят, если торговая точка не использует технологию 3D Secure (собственно весь текст Михаила про это) - вот вам как минимум две крупные торговые площадки - Aliexpress и eBay - на них ни на одном шаге оплаты покупки не происходит переход на "страницу оплаты банка". Так что только лимиты и запрет CNP-операций по карте помогут защититься от fraud-операций.
booksolos
#
ну если с вас спишут средства таким образом тогда пора менять банк smile:D ,я когда платил с вебмани то всегда появлялась страница ихняя. А как вы можете получить чужие деньги у банков ,допустим я в трамвае запомнил вашу карточку что мне прийти в банк и сказать типо мол вот такой то номер давайте мне денюжку ? Согласитесь бред.
Если так тогда есть такая тема : банк сам берёт на себя отвественность за сделки с использованием украденых реквизитов или возлагает отвественность на тот интернет магазин которому он разрешил торговать по таким правилам .Получается что вам однозначно ничего не угражает не так ли ?
KiraSoft
#
booksolos пишет:
Согласитесь бред.


да, я согласен - ваши сообщения содержат полный бред
если вы никогда не сталкивались с оплатой только по реквизитам карты (без использования 3D Secure), то это еще не значит, что такого не существует

booksolos пишет:
Получается что вам однозначно ничего не угражает не так ли ?


да, банк, который умеет вести претензионную работу с МПС, умеет возвращать украденные деньги
взять бы хотя бы тот же Сбербанк - он возвращает деньги при компрометации реквизитов
статистика возвратов, основанная на отзывах в Народном рейтинге, есть в моем блоге

но, естественно, лучше на это не надеяться и пользоваться банками, которые умеют управлять лимитами на картах и запрещать CNP-операции
booksolos
#
Использовать нужно карту которой нельзя платить в интернете ,в вашем случае ,и не придумывать велосипеды .
Остальным просто выбрать банк который всегда спрашивает у клиента разрешение на совершение платежа .
KiraSoft
#
booksolos пишет:
Остальным просто выбрать банк который всегда спрашивает у клиента разрешение на совершение платежа .


таких банков нет и не бывает
booksolos
#
проверил сейчас свою карту на первом попавшимся интернет магазине называется розетка ком уа . Ввёл придуманные на лету данные адрес ,телефон ,почту , далее ввожу номер своей карты но срок действия ввожу специально неправильный и код cvv2 не правильный . Меня перебрасывает на страницу моего банка и сообщает что мне выслано смс ,смс действительно приходит и я указываю в поле проверочный код но неправильный .Страница банка мне сообщает что у вас осталось 2 попытки.
Проверено на картах двух разных банков сценарий один в один одинаковый .
Вы говорите вот на ебей там нет такого ,но ебей принимает оплату только через PayPal ? Там наверно другая система где вы допустим перед оплатой должны войти в PayPal введя свой логин и пароль а платить можно будет только картой привязанной к вашему аккаунту .
Интересно проверить интернет магазин пробным заказом где можно будет платить без подтверждения ,если вы напишите название сайта .
KiraSoft
#
booksolos пишет:
Вы говорите вот на ебей там нет такого ,но ебей принимает оплату только через PayPal


так я и говорю, что paypal не использует 3D Secure - один раз привязал карту (опять же без использования 3D Secure, причем во время привязки с вас списывают 60 рублей и вы эту операцию никак не подтверждаете), а дальше списывает с карты без всяких подтверждений на сайте банка
как реализовать ваши фантазии "выбрать банк который всегда спрашивает у клиента разрешение на совершение платежа" в этом случае?

booksolos пишет:
Интересно проверить интернет магазин пробным заказом где можно будет платить без подтверждения ,если вы напишите название сайта .


http://ru.aliexpress.com/ru_home.htm - личный опыт
а это сообщения пользователей про games.mail.ru: http://www.banki.ru/services/response...e/6614397/
(кстати отзыв про воровство денег с карты Сбербанка и Сбербанк в этом случае деньги вернул)

так хочу напомнить про сервисы автоплатежей - это реализовано у многих сотовых операторов, у skype
(да карта "привязывается" возможно даже с использованием 3D Secure, но в дальнейшем с карты списывается без всяких подтверждений)
так же реализовано у некоторых сотовых операторов пополнение с привязанной заранее банковской карты с помощью USSD запросов: билайн, мегафон
booksolos
#
Когда привязываете на ебей(PayPal) карта привязывается к вашему аккаунту один раз и для этого скорее всего нужно подтвердить привязку через банк. Злоумышленник не может знать логин и пароль вашего аккаунта к которому привязана карта, а привязать заного у него не получится, так как не позволит система ебей(PayPal) привязать второй раз или не позволит банк привязать без смс подтверждения.
Только что попробовал купить фишки в нардах от мейл ру картой, перекинуло на сайт банка и пришло смс.
По вашей ссылке на алиэкспресс то же самое перебрасывает на сайт банка и требует смс которое было выслано.
И вопрос остаётся актуальным: где вы видели такое, покупки без подтверждения банка?
На этом сайте есть статья про "Слип чек". Это единственный известный мне способ расплатиться без связи с банком.
banki.ru/wikibank/slip/
KiraSoft
#
booksolos пишет:
для этого скорее всего нужно подтвердить привязку через банк.


мы тут не обсуждаем, как устроена проверка легальности привязки карты в конкретной платежной системе
а выясняем вопрос о том, существуют ли банки, которые всегда (с ваших слов) требуют подтверждения платежа на своем сайте
я еще раз повторяю, что для проверочная сумма в PayPal ( в т.ч. и в описании которой будет проверочный код для привязки) списывается с вас без всякого подтверждения на сайте банка, как и последующие операции по покупкам
то что paypal для привязки карты требует указать какую-то уникальную информацию из выписки банка - это защита PayPal от fraud-операций, а не защита вашего банка.
Вы разницу понимаете где код подтверждения вводится - на сайте вашего банка или на сайте платежной системы/магазина/сервиса?

booksolos пишет:
По вашей ссылке на алиэкспресс то же самое перебрасывает на сайт банка и требует смс которое было выслано.


не верю - покажите screenshot станичники банка, на которой он запрашивает код из СМС и было бы видно, что это операция от aliexpress
если на банки.ру сделать поиск, то можно найти массу сообщений о проведении платежей без применения 3D Secure, вот или вот

booksolos пишет:
вопрос остаётся актуальным: где вы видели такое, покупки без подтверждения банка?


и еще раз повторяю PayPal/eBay и AliExpress или, например, пополнение лицевого счета мобильного телефона МТС с сайта http://pay.mts.ru/. Покажите, что ваш банк (какой кстати?), запрашивает 3D Secure код на paypal или aliexpress.
booksolos
#
Вам надо взять любой номер карты и проверить на алиэкспресс .Я вчера проверял со своей карты Сбербанка .
Тоже самое на мейл ру проверено с карты сбербанка .
Уверен что и на ебей тоже вы ничего не купите зная чужой номер карты .
А вопрос остаётся открытым "Где можно купить что либо зная только номер банковской карты" ,я с удовольствием проверю .
Мейл ру и алиэкспресс я проверил используя карту сбербанка. Без подтверждения смс ничего купить нельзя.
Всё это так же проверено с карты Газпромбанка . Врядли какой то нормальный банк позволить вам это сделать.
Рисунок
Mikel
#
booksolos пишет:
Вам надо взять любой номер карты и проверить на алиэкспресс .Я вчера проверял со своей карты Сбербанка .
Значит Али недавно ввел проверку 3DS, раньше не было. Видать потери от фрода, стали слишком велики.
booksolos пишет:
А вопрос остаётся открытым "Где можно купить что либо зная только номер банковской карты" ,я с удовольствием проверю .
Ищите американские магазины, среди них больше всего не поддерживающих 3DS. Так же этим славятся точки, где покупатель не анонимен, скажем оплата электричества, ЖКХ не через агрегаторов, авиакомпании и т.д.
booksolos пишет:
Врядли какой то нормальный банк позволить вам это сделать.
Использовать 3DS при покупке или нет, решает магазин и только магазин, банк принудительно его включить не может! Т.ч. позволит, еще как позволит smile;)
booksolos
#
Я надеюсь что с моим банком такое не произойдёт и всякий раз когда по моему счёту будет происходить списание мне будет приходить смс что бы я разрешил или запретил это smile:)
Mikel
#
booksolos пишет:
Я надеюсь что с моим банком такое не произойдёт и всякий раз когда по моему счёту будет происходить списание мне будет приходить смс что бы я разрешил или запретил это
smile:omg: Надейтесь! Раз вас не интересует реальность, живите в выдуманном мире smile:pardon:
KiraSoft
#
booksolos пишет:
алиэкспресс я проверил используя карту сбербанка.


Аналогично только что проверил и дебетовую Visa и кредитную от Mastercard от Сбербанка - нет никакого запроса 3D Secure - сразу приходит СМС с сообщением о покупке.
Покупаю почти каждую неделю - плачу разными картами ни разу запросов 3D Secure не было, но покупаю исключительно в долларах.
Предлагаю попробовать провести платеж как в рублях, так и в долларах (похоже они идут через разные шлюзы)
Какой вам текст приходит в СМС с кодом в том и другом случае (в рублях/долларах)?
Mikel
#
KiraSoft пишет:
Покупаю почти каждую неделю - плачу разными картами ни разу запросов 3D Secure не было, но покупаю исключительно в долларах.
Предлагаю попробовать провести платеж как в рублях, так и в долларах (похоже они идут через разные шлюзы)
Более вероятно, что просто ваш аккаунт уже проверенный и ему доверяют, экономя копеечку на пропуске 3DS smile:uncap:
KiraSoft
#
Mikel пишет:
Более вероятно, что просто ваш аккаунт уже проверенный и ему доверяют, экономя копеечку на пропуске 3DS


Нет, у меня 6 аккаунтов на алиэкспресс - я бы запомнил И к тому же я проверил на аккаунте, где была всего 1 покупка.

booksolos пишет:
верен что и на ебей тоже вы ничего не купите зная чужой номер карты


Вот это утверждение не эквивалентно утверждению, что на любую операцию по реквизитам карты банк требует подтверждения. В четвёртый раз обращаю внимание на то, что все покупки через PayPal идут без подтверждения
Mikel
#
KiraSoft пишет:
Нет, у меня 6 аккаунтов на алиэкспресс - я бы запомнил
Что бы вы запомнили, в случае, если 3DS подключили недавно?
KiraSoft пишет:
И к тому же я проверил на аккаунте, где была всего 1 покупка.
Но она же, успешно завершилась smile;)

P.S. Чтобы проверить более достоверно, надо сейчас создать новый аккаунт и проверять на нем smile:pardon:
KiraSoft
#
Mikel пишет:
Что бы вы запомнили, в случае, если 3DS подключили недавно?


Если бы недавно подключили, то об этом бы и новости были и соответствующие логотипы бы на сайте появились и т.д.

Mikel пишет:
Но она же, успешно завершилась


это же глупость первую покупку проводить через 3D Secure, а остальные нет - затрат лишних, как мерчант, AliExpress не несет, а риску подвергается - нет смысла не использовать 3D Secure, если он есть
тем более на AliExpress карты не привязываются (если не рассматривать их кошелек AliPay)
а этими картами я никогда не платил на AliExpress

Mikel пишет:
P.S. Чтобы проверить более достоверно, надо сейчас создать новый аккаунт и проверять на нем


проверил на вновь созданном аккаунте, с помощью карт Сбербанка - 3D Secure код не запрашивает
да фиг с ним с AliExpress - вернемся к PayPal - там тоже нет и не было никогда 3D Secure и все списания проходят без подтверждения на сайте банка
JBGrenouille
#
Студенческие стипендиальные и пенсионные карты не всегда снабжены функцией 3ds. По крайней мере такие были еще год-два назад. Если агрегатор предоставляет способы защиты от мошеннических операций в т.ч. 3ds, например, как в NetPay, то этими карточками не расплатишься, в интернет магазине. Это защищает и продавца и покупателя, если у него украли или подглядели карту. А если в ИМ не стоит тот же 3ds, то будет на твоей карте эта функция или нет, ты или кто-то другой смогут оплатить/зафродить покупку. И поплатится за это и сам ИМ и тот, у кого украли/подглядели карту.
oldman_99
#
Евгений (JBGrenouille) пишет:
Студенческие стипендиальные и пенсионные карты не всегда снабжены функцией 3ds. По крайней мере такие были еще год-два назад.

Пенсионные с лета прошлого года уже с чипом и кодом CVV/CVC. Сам получал новую после перевыпуска.
Но это не гарантирует ведь наличие функции 3D Secure, как я понимаю?
СОП
#
oldman_99 пишет:
Но это не гарантирует ведь наличие функции 3D Secure, как я понимаю?

Не гарантирует. Подключена ли карта к 3ds нужно уточнять у эмитента. В Сбере де-факто сейчас подключены все карты (возможно, кроме виртуальных)
ShpurloS
#
Вчера оплачивал сервер на ovh, списало более 100 евро без 3ds. Карта ТКС. Впал в легкий шок)
Костанция
#
Мikkela (oldman_99) пишет:
Евгений (JBGrenouille) пишет:
Студенческие стипендиальные и пенсионные карты не всегда снабжены функцией 3ds. По крайней мере такие были еще год-два назад.

Пенсионные с лета прошлого года уже с чипом и кодом CVV/CVC. Сам получал новую после перевыпуска.
Но это не гарантирует ведь наличие функции 3D Secure, как я понимаю?


не гарантирует, конечно, нужно у банка уточнять. нужно подключение услуг типа "мобилный банк" Но и не все агрегаторы эту функцию используют, вот у Нэтпей точно есть, причем и включается-выключается при желании
Mikhail Kuznetcov
#
появились банки по картам которых теперь можно включить интернет операции только по 3ds!!! Т.е. оплатить ею без подтверждения по 3ds будет невозможно. Банк отклонит такую операцию.

В общем теперь можно просто выбрать нормальный банк и включить опцию (оплаты только по 3ds) и спать спокойно.

Просто нужно уточнять в банке, могут ли они не просто подключить 3ds к карте, а могут ли они дополнительно запретить абсолютное все операции без 3ds, чтобы даже если магазин или там другой банк не могут провести операцию с 3ds подтверждением, чтобы банк в этом случае блокировал операцию, а не списывал деньги с карты без подтверждения. В общем в некоторых банках уже умеют, но не в крупных пока еще.

Рисунок
@mike
#
Mikhail (m.v.kuznetsov@gmail.com) пишет:
В общем в некоторых банках уже умеют, но не в крупных пока еще.
Рисунок
Логотип-то Вы закрасили. А вот копирайт внизу вкупе с номером лицензии ЦБ - нет smile:)

@.
andronchik
#
это всё замечательно, но многие зарубежные экваеры не проводят операции по 3D-secure, например из последнего что мне встречалось- регистратор GoDaddy оплату картами проводит через эваера без поддержки 3D-secure.
Отказаться от операций без 3D,- сродни выдиранию магнитной ленты из чипованой карты. Так-то оно конечно безопаснее smile:D
@mike
#
За рубежом во многих странах проще, почитайте про "нулевую ответственность". У нас же почти каждая ситуация с несанкционированным списанием превращается в эпопею, сравнимую по затратам сил, нервов и времени со строительством БАМа.

@.
FHC
#
Mikhail Kuznetcov пишет:
появились банки по картам которых теперь можно включить интернет операции только по 3ds!!! Т.е. оплатить ею без подтверждения по 3ds будет невозможно. Банк отклонит такую операцию.В общем теперь можно просто выбрать нормальный банк и включить опцию (оплаты только по 3ds) и спать спокойно.


Нафига клиентам такое выбирать? Вы же сами писали:

Mikhail Kuznetcov пишет:
3d secure защищает от мошенничества только продовца услуг!


Так какой смысл клиентам ставить себе такие ограничения?! А потом каждый раз отключать эту опцию, чтобы купить билет в Аэрофлоте и прочих уверенных в своих силах продавцов??? Логично или постоянно включать/отключать все интернет-операции или не усложнять себе жизнь!
Nerevar
#
Лично я хотела бы избавиться от этой заразы. Я отказалась от услуги СМС у оператора, банки, с кем я работаю, были предупреждены неоднократно. Интернет-банкинг был переведён или на генератор или на скретч-карту, но вот платежи в веб-формах остались по СМС-кодам из-за 3D-Secure. Я несколько раз просила банки отключить эту мерзкую услугу. И? Да, как обстенку горох все мои просьбы!
В итоге лежат все платежи с использованием веб-форм для банковских карточек.
Навязывают всем и вся это гэ под названием 3D-Secure, хочет человек, не хочет - по барабану.
Комментарии и отзывы могут оставлять только зарегистрированные пользователи.
Авторизуйтесь или зарегистрируйтесь.

Популярные предложения