Три вопроса к 3D Secure, или Как изменят протокол в будущем

Мировая киберпреступность растет. По прогнозам Cybersecurity Ventures, в 2023 году ущерб от мошенников в сети достигнет $8 трлн, а к 2025 году увеличится до $10,5 трлн. При этом заметную долю среди жертв могут занять обычные граждане – пользователи банковских карт, полагают эксперты.

Защищать пользователей от мошенников при онлайн-платежах помогает 3D Secure. Но насколько эффективна технология сегодня? И что может прийти ей на смену? Ответы – в этой статье.

3DS-платежи – что это сейчас?

3D Secure (3DS) – протокол обработки онлайн-транзакций, который изначально создали в корпорации Visa и назвали Verified by Visa (VbV). Позже и с небольшими поправками технологию приняли в Masterсard и JCB International. Там она называется Masterсard SecureCode (MCC) и J/Secure соответственно.

3D Secure – дополнительная степень защиты данных в онлайн-платежах. Чтобы минимизировать риски, также используют: пин-код банковской карты, нейминг – указание имени и фамилии, а также CVV – код на обороте. Задача 3D Secure сводится к верификации клиента при платежах в интернете. Делается это с помощью динамического кода, который покупатель получает в SMS.

Благодаря 3D Secure поддерживается безопасность оплаты товаров и услуг по банковским картам в интернете, а 3DS-платежи – это транзакции с защитой по такому протоколу.

Название технологии – сокращение от three domains (три домена). В 3DS-эквайринге участвуют адреса:

• магазина – получателя денег от покупателя или клиента. На этой стороне вводятся данные для оплаты,
• банка, с клиентской карты которого списываются деньги за товар или услугу,
• платежной системы, которая обеспечивает техническую сторону транзакции.

Как это работает: пользователь вводит данные банковской карты для онлайн-оплаты. В то же время с его счета списывается планируемая стоимость покупки. Она временно замораживается на домене платежной системы. И будет находиться там, пока пользователь не введет верные данные из SMS. Если он этого не сделает, то деньги вернутся на карту. Магазин даже не увидит деньги, которые планировал направить покупатель. Впрочем, как и подтверждающую информацию. Она хранится на сервере банка.

Актуален ли протокол сегодня?

Все технологии защиты данных имеют преимущества и недостатки. И 3DS – не исключение.

К плюсам протокола обычно относят следующие факты:

• 3D Secure гарантирует повышенный контроль и безопасность: если пользователь потерял банковскую карту, то другой человек купить что-то с ней не сможет;
• проверочный код каждый раз генерируется заново – покупателю не нужно запоминать одну комбинацию, чтобы в разное время приобретать товары в магазине;
• аутентификация проходит автоматически – без участия владельца банковской карты;
• система работает бесплатно, чего не скажешь о большинстве средств защиты данных в ритейле и банковском секторе;
• технология помогает онлайн-магазинам в борьбе с фродом – она доказывает, что покупатель сам оплачивал покупки и подтвердил свое согласие тем, что ввел пароль из SMS.

При этом 3D Secure не является обязательной технологией. И несмотря на очевидные плюсы, некоторые банки и онлайн-магазины игнорируют ее ради скорости совершения покупки – без протокола пользователи совершают меньше действий. Другие указывают на сомнительную эффективность защиты данных. Есть случаи, когда киберпреступникам удавалось пробить защиту платежей с 3D Secure.

Валерий Степанов

Руководитель направления Центра компетенций по информационной безопасности Т1 Интеграции

Если говорить про действия злоумышленников, то обычно это кража одноразовых кодов с помощью социальной инженерии либо вредоносных программ. Еще известны кейсы, когда преступники используют имитацию страниц 3D Secure для перехвата полученного кода из SMS.

Помимо рисков ИБ, к минусам протокола также относят неудобства с запросами кода. Если телефон пользователя недоступен – села батарея или находится вне сети, то совершить онлайн-покупку не получится.

Что ждет технологию в будущем?

Сегодня технология 3D Secure, или 3DS1, уже не считается самой эффективной. Страны Европы постепенно отказываются от нее в пользу нового протокола 3DS2 – отмечают эксперты.

Константин Корсаков

Главный архитектор IT-компании RooX

Основная проблема 3DS1 в том, что метод защищает данные банковских карт, но не самих пользователей платежных сервисов. При использовании технологии велики риски, связанные с человеческим фактором. Так, мошенники могут физически украсть у жертвы смартфон или карточку, обманом выманить защитный код, перехватить одноразовые коды, отправленные через 2FA или SMS и т.д. Кроме того, при попытке оплаты пользователю нужно пройти несколько лишних шагов в новых окнах, что также не нравится клиентам.

По словам Константина Корсакова, 3DS2 более интересен для рынка по нескольким причинам. В их числе UX – удобно работать с сервисом на разных платформах и форм-факторах. Также в новой версии есть возможность адаптивной работы в зависимости от риска по транзакции (от frictionless до MFA) и выполнять не только платежные операции.

Константин Корсаков

Главный архитектор IT-компании RooX

На мой взгляд, российские платежные сервисы уже начали рассматривать переход с 3D Secure на более современные технологии. Подобными разработками занимается Ассоциация ФинТех и Банк России. Скорее всего, в основе нового протокола будут лежать технологии СБП.

В ближайшее время на рынке может появиться другая апдейт-версия 3D Secure. Во всяком случае, аналитики уже изучают ее как будущую альтернативу текущему протоколу.

Валерий Степанов

Руководитель направления Центра компетенций по информационной безопасности Т1 Интеграции

Существует экономическое исследование, которое предлагает добавить четвертый домен безопасности – контроль продавца. Название технологии – 4D Secure соответственно. Дополнительный домен в рамках всех совершаемых транзакций агрегирует данные о продавце: результаты транзакций и доставки, жалобы клиентов и т.д. Он же индикативно дает оценку о благонадежности его торговой деятельности.

Далее, по словам эксперта, матрица с индикаторами передается в банк. Он либо отменяет транзакцию, либо проводит дополнительное подтверждение. Это необходимо, чтобы обезопасить клиента от неблагонадежных онлайн-продавцов. Например, если магазин или маркетплейс несколько лет работал без проблем, принимая платежи в рамках стандарта 3D Secure, но вдруг перестал отправлять товар.

Выводы

Несмотря на критику, 3DS-платежи пока остаются одним из самых безопасных способов оплаты в интернете. Популярность технологии – тому подтверждение.

Однако мировые объемы онлайн-мошенничества в последние годы не снижаются. Действующий протокол 3D Secure может утратить эффективность – если не сейчас, то через пару-тройку лет точно. Именно поэтому банкам и ритейлерам стоит подготовиться к апдейту протокола уже сегодня – считают эксперты. Более того, нельзя исключать, что 3D Secure обновится уже в следующем году — раньше, чем многие того ожидают.