Cloned Boy
Professional
- Messages
- 857
- Reaction score
- 695
- Points
- 93
Образовательный анализ для понимания безопасности онлайн-платежей.
Как работает:
BIN определяет → Нужна ли аутентификация, какой тип и строгость.
3DS защищает → Даже если мошенник узнал номер карты, без подтверждения платеж не пройдет.
Для легального изучения:
Хотите разобрать как работает 3DS 2.0 или как банки детектируют поддельные BIN? Спрашивайте!
1. Что такое 3-D Secure?
3-D Secure (3DS) — протокол аутентификации, используемый для защиты онлайн-платежей. Применяется в:- Visa Secure (раньше Verified by Visa).
- Mastercard Identity Check.
- MirAccept (для карт «Мир»).
Как работает:
- Пользователь вводит данные карты.
- Система проверяет BIN, чтобы определить:
- Поддерживает ли карта 3DS.
- Какой тип аутентификации требуется (SMS, push-уведомление, биометрия).
- Если требуется — перенаправляет на страницу банка для подтверждения (ввод OTP, сканирование лица и т.д.).
2. Роль BIN в 3-D Secure
2.1. Определение правил аутентификации
- Банки настраивают разные уровни проверки для разных BIN:
- Дебетовые карты (4xxxxx) → Чаще требуют SMS.
- Кредитные карты (5xxxxx) → Могут использовать push-уведомления.
- Корпоративные карты → Двухфакторная аутентификация (2FA).
- BIN 4276 29 (Сбербанк, дебетовая) → Стандартная SMS-верификация.
- BIN 5536 91 (Т-Банк, кредитная) → Push-уведомление в приложении.
2.2. Географические особенности
- BIN указывает страну выпуска карты, что влияет на правила 3DS:
- ЕС (PSD2): Для платежей >€30 обязателен SCA (Strong Customer Authentication).
- США: Чаще используется 3DS 1.0 (менее строгие проверки).
2.3. Динамическое управление рисками
Платежные системы анализируют BIN в реальном времени, чтобы:- Снижать трение (не требовать 3DS для малых платежей с низким риском).
- Блокировать мошенников: Если BIN из «опасного» диапазона → обязательная аутентификация.
3. Как мошенники пытаются обойти 3DS? (Для защиты, не для атак!)
- Использование BIN без 3DS:
- Некоторые старые BIN (например, предоплаченные карты) могут не поддерживать 3DS.
- Защита: Банки постепенно отключают такие BIN.
- Фейковые 3DS-страницы:
- Фишинг для перехвата OTP.
- Защита: Проверка домена (настоящая 3DS-страница всегда на сайте банка).
- BIN-спуфинг:
- Подмена BIN в транзакции (редко, но возможно при уязвимостях в ПО мерчанта).
- Защита: EMV 3-D Secure 2.0 (проверяет криптографическую подпись BIN).
4. Пример работы 3DS + BIN
Сценарий: Покупка на €100 с картой BIN 5154 61 (Mastercard, Германия).- Магазин отправляет запрос в платежную систему.
- Система проверяет BIN и определяет:
- Страна: Германия → Требуется SCA (PSD2).
- Тип карты: Кредитная → Способ аутентификации: Push-уведомление.
- Пользователь подтверждает платеж в мобильном приложении банка.
5. Как улучшается защита?
- 3-D Secure 2.0+:
- Безредиректа (аутентификация в приложении магазина).
- Данные устройства (цифровой отпечаток для оценки риска).
- Отказ от «слабых» BIN: Банки постепенно выводят из оборота BIN без поддержки 3DS.
Вывод
BIN и 3-D Secure тесно связаны: BIN определяет → Нужна ли аутентификация, какой тип и строгость. 3DS защищает → Даже если мошенник узнал номер карты, без подтверждения платеж не пройдет.Для легального изучения:
- Экспериментируйте с Sandbox-средой (например, Stripe 3DS тесты).
- Читайте документацию Visa/Mastercard по 3DS.
Хотите разобрать как работает 3DS 2.0 или как банки детектируют поддельные BIN? Спрашивайте!
