Как функционируют протоколы безопасности, такие как 3D-Secure?

Mutt

Mutt

Professional
Messages
1,314
Reaction score
906
Points
113
Протокол 3D-Secure — это дополнительный уровень безопасности для онлайн-транзакций с использованием платежных карт, разработанный для предотвращения мошенничества. Он добавляет этап аутентификации владельца карты, чтобы убедиться, что транзакцию совершает именно законный пользователь. Основные платежные системы, такие как Visa (Verified by Visa), Mastercard (SecureCode) и другие, используют свои версии 3D-Secure. Вот как он функционирует:

1. Общая структура работы 3D-Secure​

3D-Secure расшифровывается как "Three Domain Secure", где три "домена" — это:
  • Домен эмитента: банк, выпустивший карту (проверяет подлинность держателя карты).
  • Домен эквайера: банк или платежная система магазина (обрабатывает транзакцию).
  • Домен взаимодействия: инфраструктура платежной системы (например, Visa или Mastercard), обеспечивающая связь между эмитентом и эквайером.

Протокол добавляет шаг аутентификации перед завершением транзакции, чтобы минимизировать риск несанкционированных платежей.

2. Как работает 3D-Secure (на примере версии 1.0 и 2.0)​

3D-Secure 1.0 (устаревающая версия):​

  • Шаг 1: Ввод данных карты. Покупатель вводит данные карты (номер, срок действия, CVV) на сайте магазина.
  • Шаг 2: Перенаправление на страницу банка. Если магазин поддерживает 3D-Secure, покупателя перенаправляют на страницу банка-эмитента карты.
  • Шаг 3: Аутентификация. Покупатель подтверждает свою личность, вводя пароль, одноразовый код (OTP), отправленный по SMS, или отвечая на секретный вопрос.
  • Шаг 4: Подтверждение транзакции. После успешной аутентификации банк подтверждает магазину, что транзакция одобрена, и платеж завершается.
  • Ограничения: Эта версия часто требовала запоминания пароля, что вызывало неудобства, а перенаправление на другую страницу снижало конверсию в магазинах.

3D-Secure 2.0 (современная версия, внедрена с 2019 года):​

  • Шаг 1: Сбор данных. При вводе данных карты магазин передает банку-эмитенту дополнительную информацию: IP-адрес устройства, тип устройства, историю покупок, геолокацию и т.д. (до 100 параметров).
  • Шаг 2: Анализ риска (Risk-Based Authentication). Банк анализирует данные с помощью алгоритмов машинного обучения, чтобы оценить риск мошенничества:
    • Если транзакция считается низкорисковой (например, покупка у знакомого магазина на привычном устройстве), она одобряется без дополнительной проверки ("frictionless flow").
    • Если риск высокий, запускается дополнительная аутентификация ("challenge flow").
  • Шаг 3: Аутентификация (при необходимости). Покупателю предлагается подтвердить личность через биометрию (отпечаток пальца, распознавание лица), OTP по SMS, push-уведомление в банковском приложении или другие методы, соответствующие стандартам SCA (Strong Customer Authentication).
  • Шаг 4: Завершение транзакции. После успешной проверки банк подтверждает транзакцию, и магазин завершает платеж.

3. Ключевые особенности 3D-Secure 2.0​

  • Улучшенный пользовательский опыт: Меньше перенаправлений на отдельные страницы, аутентификация чаще происходит в фоновом режиме или через мобильное приложение.
  • Биометрия и SCA: Соответствие требованиям PSD2 (Европейская директива о платежных услугах), которая требует двухфакторной аутентификации (например, знание + владение, владение + биометрия).
  • Анализ рисков: Использование больших данных и машинного обучения для минимизации ненужных проверок, что повышает конверсию.
  • Поддержка мобильных платежей: Интеграция с Apple Pay, Google Pay и другими системами, где аутентификация часто проходит через биометрию устройства.

4. Преимущества 3D-Secure​

  • Для покупателей: Защита от несанкционированных транзакций, снижение риска кражи данных.
  • Для магазинов: Снижение числа мошеннических chargeback’ов (возвратов средств), так как ответственность за проверку ложится на банк-эмитент.
  • Для банков: Уменьшение убытков от мошенничества и повышение доверия клиентов.

5. Недостатки​

  • Возможное снижение конверсии из-за дополнительных шагов аутентификации (особенно в версии 1.0).
  • Зависимость от технической реализации магазина и банка (не все сайты поддерживают 3D-Secure).
  • Риск компрометации OTP (например, через фишинг), хотя биометрия в 2.0 снижает этот риск.

6. Пример сценария​

Вы покупаете товар за 500 рублей на сайте. При оплате магазин отправляет данные транзакции вашему банку. Банк видит, что вы уже покупали в этом магазине с того же устройства, и одобряет транзакцию без дополнительных проверок. Если же вы используете новое устройство в другой стране, банк запросит подтверждение через push-уведомление в приложении или отпечаток пальца.

7. Технические детали (для интересующихся)​

  • Протоколы связи: 3D-Secure использует XML-сообщения для обмена данными между магазином, банком и платежной системой через защищенные каналы (SSL/TLS).
  • Токенизация: В некоторых случаях данные карты заменяются токеном, чтобы минимизировать риск утечки.
  • Стандарты SCA: В ЕС 3D-Secure 2.0 соответствует требованиям PSD2, требующим два из трех факторов аутентификации (знание, владение, биометрия).

Если хотите углубиться в конкретный аспект (например, как банки анализируют риски или как защититься от перехвата OTP), дайте знать!
 
You must log in or register to reply here.

Similar threads

chushpan
3D-Secure 2.0 — анализ поведения пользователя для блокировки мошенничества
Replies
2
Views
393
Cloned Boy
Cloned Boy
chushpan
Как работает 2D-Secure
Replies
1
Views
537
Cloned Boy
Cloned Boy
Cloned Boy
Связь BIN-номеров и 3-D Secure: Как это работает
Replies
0
Views
256
Cloned Boy
Cloned Boy
BadB
2D Secure (2DS) в контексте кибербезопасности: анализ уязвимостей и эволюция защиты
Replies
1
Views
393
Professor
Professor
Cloned Boy
Как работает 3-D Secure 2.0 (3DS2): Полное руководство
Replies
0
Views
271
Cloned Boy
Cloned Boy
Back
Top