Как стать автором
Обновить

Комментарии 44

Может вы знаете - почему при покупке на АлиЭкспресс сбербанк не требует подтверждения транзакции одноразовым паролем, а в остальных местах требует?

Я понимаю, что не вы за это ответственны, но получается что 3d secure это всего лишь опция?

Это не только с АлиЭкспресс такое. Очень многие известные интернет магазины и сервисы (например Steam) не требуют повторного подтверждения всех транзакций через 3D Secure после первого подтверждения при добавлении карты. Вероятно это связанно с доверием банков конкретному магазину или платёжной системе.

То есть вероятность того, что мою учетку там стырили они считают невысокой? Накупить-то с привязанной карты можно много всякого. Я бы наверное хотел таки переключатель, причем со стороны банка - "параноик моде он". Впрочем, фокус с разными счетами пока вроде спасает...

В таких магазинах нужно сразу после 'накупить много всякого' оформлять формальную заявку на отмену операции (банк может сопротивляться и увиливать, но по правилам платежной системы, как я понимаю, принять ее обязан). Поскольку карта имела возможность использовать 3D Secure, но магазин решил ей не пользоваться — то деньги должны вернуть.

И вместо возврата денег получить приговор. Отличный совет!

Не понял вывода. Магазин же сам честно согласился деньги возвращать по сомнительным операциям. Вот с него банки и платежная система эти деньги и возьмут. 'накупить много всякого' — это не совет самому так делать, а если это событие произошло, когда данные карты сперли и воспользовались.


Разумеется, если такое будет происходить постоянно, то появятся вопросы.

Т.е. Вы предлагаете заказать товар, оплатить, и сразу же потребовать возврат денег, не получая сам товар? Тогда лишь гражданский иск можете получить + внесение в черный список банков, которого, разумеется, нет, но вот в обслуживании они почему-то отказывают. Хотя все равно могут вменить покушение на мошенничество.

Я такого не предлагаю. Я объясняю, что 'вероятность того, что мою учетку там стырили они считают невысокой' — оно соответствует действительности.
А если кредитку/учетку все-таки стырили и воспользовались — то заранее согласны деньги вернуть. Точнее они считают, что от возврата денег в случае редких мошенничеств убытков меньше, чем от лишнего шага авторизации.


И вероятность описанного жульничества — про него тоже так же думают, потому что к таким хитрым достаточно быстро применяют меры.

Есть подозрение, что дело не в доверии а в том, что магазин согласился не глядя возмещать возврат денег, если плательщик его потребует.

Всё верно, проводя операцию по карте без 3DS подтверждения магазин тем самым принимает на себя ответственность по возмещению ден.средств в случае, если держатель карты обратится к Эмитенту с заявлением, что операцию не совершал.

Интернет-магазин (вместе с эквайрером) решает — оно ему надо иметь дополнительный риск фрода ценой улучшения пользовательского опыта (и работы с клиентами у которых почему то не работает 3d secure вообще в принципе(ну там — карты Payoneer например)? (Amazon например решил что им пользователи — важнее а антифрод свой есть).
Эмитент в свою очередь решает — оно ему надо без 3d secure транзакцию авторизовать?
(может даже без сvv авторизовать)

в ЕС по крайней мере влияет ещё размер транзакции, некоторые даже ограничения вводятся на версию 3-d, точную не скажу, но, кажется, с января v1 не более 150 евро было, но вполне может быть что на токенизированные карты ограничения другие, т.к. выше безопасность формально и есть давление переходить на них

Спасибо за Ваш комментарий. Действительно, в общем случае правила платежных систем переносят ответственность за фрод на ту сторону, которая не обеспечила проведение 3DS-аутентификации. Если магазин не пошел в 3DS, то и отвечать ему. Но в некоторых случаях, несмотря на формальные правила ПС, Эмитенты тоже могут не принимать авторизации без 3DS, т.к. не хотят нести репутационные риски, связанные с фродом по их картам.
По факту каждая сторона самостоятельно определяет итоговый алгоритм принятия решения, который учитывает бизнес-цели и рисковый профиль.
Это вроде дело самого магазина — хочет он запрашивать 3D Secure при транзакции или нет. И сама эта 3D Secure это больше защита именно магазина нежели покупателя, т.к. если транзакция была с вводом кода 3D Secure её плательщик оспорить не сможет, а если без ввода кода — сможет. Считается, что ввод кода осложняет покупателю процесс расставания с деньгами, поэтому крупные магазины предпочитают его не спрашивать, что бы не осложнять процесс оплаты. Соответственно беря на себя определённые риски.

Не совсем так. Отключение 3ds это обычно дополнительные согласования со стороны эквайера (т.к. это и его риски) и просто так по желанию мерчанта не делается. Подозреваю что вряд-ли кто-то из банков разрешит работать без 3ds условному магазину с оборотом 500-1000 тыс. руб. в месяц.

Этот момент регулируется договором между ТСП и Эквайрером, и нюансов тут может быть много. Для крупных ТСП Эквайрер зачастую просто переносит на них ответственность за фродовые операции без 3DS, так что ТСП самостоятельно решает, в каких случаях оно готово проводить такие операции.
Да, действительно, использовать ли 3-D Secure при совершении конкретной операции крупные ТСП решают, как правило, самостоятельно.
При большом торговом обороте потеря конверсии из-за включения 3DS может выливаться в значительные суммы, поэтому они зачастую используют собственные системы анализа рисков и пытаются балансировать между снижением конверсии из-за включения 3DS и увеличением фрода с сопутствующими фин.потерями на его оплату.
Если карта токенизируется через платежную систему (насколько я помню в частности Steam, PS, много кого еще) — то данная операция априори более надежнаяя нежели нетокенизированная. Да, угон акка конечно возможен, но в данном случае token requestor (площадка) может просто отозвать токен и платежи перестанут проходить. Зато если акк в руках корректного юзера достаточно просто авторизовывать (или запрашивать пароль к акку/или как-то еще верифицировать если прошло какое-то время с последней покупки).
CAP-ридер (Chip Authentication Program). Это устройство, похожее на современные мобильные терминалы, при получении карты выдавалось клиенту. В него вставлялась карта, вводился код доступа, и на экране генерировался одноразовый пароль. Такой подход обеспечивал высокую криптографическую защиту, но не получил массового распространения ввиду большой цены CAP-ридера и неудобства использования.

Ой да ладно. Ни за что не поверю, что при массовом производстве этот ридер стоит больше карманного калькулятора за сто рублей. Причина состоит в том, что банки/платежные системы не захотели договориться о стандартной железке, которая бы подходила к карте любого банка в пределах платежной системы.


Например, мошенник представляется сотрудником службы безопасности банка и сообщает о совершении подозрительной операции по карте клиента. Для ее отмены необходимо назвать код, который придет по SMS или PUSH.

Смотрим внимательно на первую часть вот этого. Там, где сотрудник банка подтверждает, что он именно сотрудник, пользуясь генератором одноразовых паролей.


Про представление 'сотрудниками полиции, ФСБ, судебными приставами, представителями лотереи', в принципе, верно, но сделать так, чтобы 'по скомпрометированным реквизитам карты мошенником совершается операция денежного перевода' было невозможным, потому что у них физически на руках карты нет — я думаю, вполне осуществимо.


После этого останется только случай, когда сам держатель карты, пользуясь ей, переводит деньги мошенникам.

Технология ОТП на основе EMV криптограммы была на слуху буквально год/два. Почему она не пошла - лично я не очень понимаю. Но как то вот умерла младенцем.

И отдельные ридеры на Cartes массово чуть ли не на каждом стенде были и даже карты со встроенным экраном и генератором (в форм факторе банковской карты).

Возможно это скорее проблемы не цены самих железок, а накладные организационные расходы (выдать/учесть).

И вообще банки даже для своих сотрудников плохо идут на покупку аппаратных токенов для 2-го фактора. Предпочитают SMS.

Я не очень понимаю, что там нужно учитывать. Никто же особо не учитывает обычные калькуляторы.


А что касается 'умерла' — ну это не совсем верно. Google: chipTAN. Но в данном случае, я так понимаю, регулятор постарался, чтобы начали использовать.

В моём банке последнее время используется подтверждение прямо на мобильном телефоне. То есть никакого кода на cайте банка, после переадресации из магазина, вообще вводить не надо.
На экране телефона появляется уведомление, по клику на которое, открывается прога, где написаны цели платежа, получатель, сумма и тд. И кнопка apply или decline. После нажатия на apply требуется подтверждение биометрией. То есть отпечаток пальца или FaceID.
Как мне кажется, самая удобная реализация. В том числе, когда жена что-то покупает с моей карты, я не должен ей диктовать код, просто на своём телефоне сразу подтверждаю, и платёж проходит. И с точки зрения социальной инженерии, тут даже не код, а именно подтверждение платежа, сразу всё видно и понятно. Сложнее обмануть.

А отложить решение и вечером, пользуясь уже десктопным банк-клиентом, одобрить присланную платежку можно?

Так речь не про платёжку. Речь про покупку в онлайн магазине. Тот же 3d secure. Просто вместо ввода кода на странице банка, появляется уведомление на телефоне.

Какая-та платежка, которая потом показывается на телефоне, очевидно, куда-то присылается. Я подозреваю, что в банк-эмитент, который и показывает ее, пользуясь своим приложением.


Поэтому технически ее можно было бы запомнить и одобрить не сразу, а потом. А магазину просто придется ждать подтверждения оплаты подольше.

Если я не ошибаюсь, 3d secure такого вообще не предполагает. То есть в момент оплаты, с сайта платёжного шлюза происходит переадресация на страницу банка, который или подтвердил платёж, или запретит. После этого происходит переадресация обратно на страницу платёжного шлюза и потом на страницу магазина. Сразу. Не получится это сделать через несколько часов.
Предположим покупка на распродаже, количество товара ограничено. Что в таком случае будет делать магазин, ждать подтверждения покупки, или продаст товар другому. Если продаст другому, то потом можно его заставить продать мне такой же товар за эту же цену. Если будет ждать, может и не дождаться.
Вы совершенно правы. Причем у ПС, использующих 3DS 1.0, есть довольно жесткие требования по времени ответа от ACS Эмитента с результатом аутентификации. В случае, если результат пришел позже, по правилам ПС он должен быть отклонен платежным шлюзом, и операция завершается неуспешно.
В следующей версии спецификации, EMV 3DS 2.0, появляется функционал отложенного подтверждения операции. Об этом мы расскажем в следующей статье.

Немножко позанудствую и к делу это не сильно относится, но формально 3-D secure — это аутентификация, а не авторизация, т. е. вы не подписываете платёж, а подтверждаете что вы — это вы.


Для этого используются разные правила, разные пины, если есть и т. п.


Такая вот странная ситуация, что при "подтверждении" платежа в интернет банке идёт одно, а при похожем действии с 3д — другое

Справедливое замечание. Но в целом Эмитент карты вправе самостоятельно определять способ аутентификации своего клиента при совершении операций в тех или иных каналах.

долю успешно завершающихся платежей, так называемую конверсию.

Обычно конверсией называют долю посетителей, которые совершили покупку. У вас типичная проблема оплаты, причем оплата дебитной картой.

Кстати, при оплате кредитной картой, риски несет банк, и в случае не санкционированного использования, обычно, достаточно позвонить, заявить, платеж отменится, карта перевыпустить.

А вы не слишком много читали про правила США?
В России разве есть разница на тему кто риск несет?

находясь за границей было весьма непросто получить код через SMS. Еще 5 лет назад это был ужасный головняк. Любые смс приходили нормально, но только не от банка. Потом они что-то поменяли в SMS и они перестали появляться на экране, а стали приходить как обычные смс с гораздо большей успешностью

А почему нельзя использовать google authenticator или ему подобные? СМС скомпрометированы давно и это хорошо известно. В любом случае как-то уходить от смс в другую сторону

В компании, где я покупаю технику, недавно появилась оплата через QR коды СБП. Я платил через нее два раза, и, я хочу сказать, пора прощаться со всякими заплатками в виде 3D Secure, SMS кодами, CVC. Все эти W/A были созданы потому, что истории банковских карт более 50 лет, это древняя допотопная технология. Я рад, что хоть в банковском секторе Россия впереди планеты всей, нигде (за исключением, может быть, Китая) нет такой крутой фишки. Когда все сайты российские (+Али) поддержат платежи QR кодами, на 99% надобность в онлайн оплате картами исчезнет. И, соответственно, исчезнут проблемы с кражей денег мошенниками, где идет перехват одноразовых кодов на телефон.

Я понимаю, что мой совет покажется Вам забавным - надо фокусироваться не на EMV 3DS 2.0, а на законодательном принуждении к внедрению платежей через QR, как в онлайне, так и в оффлайне. И с банковскими картами тогда совсем можно будет попрощаться (в России), хотя пока к этому не готовы ни банки, ни продавцы, ни покупатели, но это будущее.

И с банковскими картами тогда совсем можно будет попрощаться (в России)

Прошу прощения, но нет. Средства платежа (банковскую карту с чипом), пожалуйста, отдельно, а средство связи — отдельно. Не надо все в одну кучу мешать. Я бы предпочел, чтобы и всех этих платежей/переводов по номеру телефона не существовало (номера карты/счета/IBAN/любого отдельного идентификатора, который тоже можно записать в контакты — совершенно достаточно), но если уж сделали, то пусть будет.

C QR кодами оплата не очень хорошо выходит:


  • нет по факту аналога MCC-кода (пусть это кривые но все же данные для аналитики о том на что примерно деньги потрачены)
  • идентификаторы мерчантов выглядит странновато (по сравнению с картами).
  • некоторые банки в России поддерживают оплату QR-кодом через СБП как… перевод через СБП (в случае кредиток — есть разница перевод или платеж)
  • платеж картой возможен при полном отсутствии связи на терминале и это иногда используется (пусть и с лимитами)(в транспорте например).
  • если платим по NFC телефоном/часами — нам вообщем то не обязательно иметь прямо в этот момент связь на телефоне. С QR-кодом — магазин в подвале и приплыли.
  • QR-код требует смартфона. Именно смартфона. С (например) смарт-часами уже проблемы.
  • как быть со всякими подписками? А с "сохранением" карты (видимо токен сохраняется) и оплаты потом по нажатию пары кнопок на сайте? Запретить? Каждый раз требовать QR?

как дополнение — ну допустим. Так в эту сторону и так работают.


проблему с кражами при интернет-платежах проще решить заставив банки реализовать опцию когда отправка 3DSecure — кодов идет только пушами (без отката на СМС, если клиент это себе включает — так и говорить) (связь то все равно есть в этот момент).
А лучше вообще опциональный вариант когда не код 3D Secure приходит а пуш "вы хотите купить X в Y за Z", кликаешь и тебе подробно экран с данными о платеже и кнопками да/нет (а не веб-сайте процессинга магазина показано в это время (вместо окна ввода кода) "вам отправлен сообщение в приложение")

Меня интересуют в первую очередь свои интересы и безопасность, поэтому отсутствие MCC и прочих вещей для продавца мне без разницы. Если это нужно развивать - пожалуйста, делайте.

Отсутствие интернета на кассе/терминале в нынешних реалиях онлайн касс - практически ЧП.

Магазин в подвале - хороший кейс, я надеюсь, в следующих версиях терминалов/касс будет встроенная точка доступа со связью только до гейтов банков, реализация копеечная, профит несомненный.

Да, QR-код требует смартфона, но разве это проблема сейчас? Кроме того, карты ведь никто не запрещает, но пусть их пользователи больше не утомляют своими историями про 'звонок из банка' и кражу денег.

Подписки - это особый разговор. Они затрагивают небольшой процент пользователей и в суммовом выражении просто копейки в общем объеме трат. Хорошим решением было бы (дайте помечтать!) отвязаться от карт в сторону непосредственного взаимодействия с банком путем subscription API - продавец заявляет подписку, клиент подтверждает ее в банке. Отписаться можно в самом банке, а если добавить лимиты на операции, будет вообще сказка же.

А с сохраненной карты у Вас никогда каршеринг не списывал надцать тысяч рублей за не вашу царапину? Амазон за виртуалку не высасывал все деньги за перерасход ресурсов? Я сторонник безопасности, а не удобства.

Отправка кодов только пушами - Вы в курсе, что во некоторых банках для активации мобильного приложения достаточно знать номер карты и один (!!!) раз ввести СМС? Хватить уже этой вакханалии с отправкой сообщений.

"вы хотите купить X в Y за Z" - именно это и делает QR оплата, правда X там пока нет, возможно будет в следующих версиях.

Я считаю, что перечисленные Вами кейсы не относятся к повседневным операциям, я бы с удовольствием уже завтра перешел бы на платежи по QR в большинстве случаев.

С моей точки зрения как покупателя — MCC именнно как покупателю нужен
Даже у онлайн-касс предусмотрен режим с оффлайном (там 30 дней судя по заявлением продавцов этих же касс https://astral.ru/info/operator-fiskalnykh-dannykh/esli-privysit-vremya-oflayn-ofd/ например), ну и для удаленных местностей.
Кстати как будет оплата с QR в общественном транспорте работать? Карты там сейчас обычно принимают. При этом в маршрутка видимо СПЕЦИАЛЬНО указано что ТОЛЬКО карты, не смартфоны/часы (видимо потому что там надо надо карту водителю дать, ну так вот сделано). В обычных автобусах у кондукторов все терминалы что мне встречались — работают именно в оффлайне (а транзакция прилетает в конце дня). Онлайн наверно можно но видимо те кто делали эту систему — решили что не могут гарантировать наличие связи у терминала в момент оплаты а то что в некоторых случаях может получится что денег у пассажира на самом деле не было — ну так карта(в случае смартфоном — токен тот) просто улетает в блок.
Как это реализовать с QR? Ну кроме обеспечения 100% покрытия во всех местах где есть общественный транспорт?


Со спецточкой доступа… я правильно понимаю что теперь при оплате на кассе придется смартфон к этой точки доступе еще и подключать? При этом нужно учитывать и то, как это все реализовано в типовых прошивках iOS/Android (например то что если телефон посчитает что нет интернета потому что не достучатся до гугла — то будут запросы к пользователю). При этом доступ нужно обеспечивать не на конкретные гейты банков на все адреса что потребуются приложениям всех банков что работают с физиками. Кстати а как быть с тем что точки доступа в России должны идентифицировать пользователя всегда. И типовой способ идентификации — каптив-портал и СМС (это хорошо еще если эта СМС дойдет в подвал такой а если нет?). При этом техподдержкой первой линии будет заниматся, правильно, кассир. Кому еще то? А если кассир этим заниматся НЕ будет — сцены вида — я хочу оплатить это у ВАС все глючит, нет, смартфон в руки не дам (тем более с залогиненным приложением банка — безопасность ж) — будут регулярными.
Да, оплата часами/смартфоном — вызвать интерфейс SamsungPay/ApplePay/GooglePay, авторизоватся платформенными средствами. Поднести к терминалу. С QR — зайти в приложение банка, подождать пока оно загрузится (зайти на точку доступа — опционально, но тоже не так быстро), вызвать интерфейс оплаты через QR, отсканировать(возможно не с первой попытки попытки потому что камера заляпана, или потому что камера… ну какая есть, а свет — не идеальный)…
Сколько на все это развлечение времени уйдет? И кто будет виноват в том что оплата проходит долго? Особенно с точки зрения очереди что позади стоит.


Если же это тот же общественный транспорт — все становится еще веселее.


Да, с иностранцами что делать? У них ж карты останутся точно


И как все же сделать оплату с часов чтобы не таскать смартфон за собой? (да — это повседневная операция у меня). Пример с магазином в подвале тоже вовсе не надуманный.
Получается нужна дублирующая инфраструктура чисто под QR?


Пример про подписки — он не столько про подписки сколько про покупке в Steam, Amazon Kindle Store (прям с Kindle), Google Play, Author.Today и прочих таких случаях. И да я этим часто пользуюсь.


Кстати как в рамках схемы с QR кодом оплачивать покупку в Google Play/AppStore? Смартфон то есть но вот считать QR код он не сможет, потому что единственное где это код отображен — это экран этого же смартфона.


Amazon с виртуалками — есть алерты, есть достаточно лояльная техподдержка.
Каршеринг — а лимиты на что?


про идиотскую активацию мобильного приложения — это не значит что такую реализацию и надо использовать, она должна быть сложнее конечно. Ну и надеюсь что в том банке (Если я правильно понимаю про какой банк речь) фродчек реально проверяет такие входы и все же запросит пароль если будет аномалия.


"вы хотите купить X в Y за Z" — именно это и делает QR оплата, правда X там пока нет, возможно будет в следующих версиях.

Нет, я именно про интеграцию в существующий процесс 3D Secure. Потому что такую штуку может сделать конкретный банк (ну если как то решить вопрос с таймаутами), не напрягая всех мерчантов и покупателей.


Хорошим решением было бы (дайте помечтать!) отвязаться от карт в сторону непосредственного взаимодействия с банком путем subscription API — продавец заявляет подписку, клиент подтверждает ее в банке. Отписаться можно в самом банке, а если добавить лимиты на операции, будет вообще сказка же.

Отписка — технически это возможно как минимум с одной из трех широко используемых в России карточных платежных систем. (как раз игра с токенами со стороны банка). То что ни один банк в России такое пока не сделал, вопрос отдельный. Возможно — временный. Лимиты не проблема сделать если банку это надо. А если не надо — их и с QR не будет. Рудиментарные — есть например у альфа-бака (интернет-платежи/оффлайн точки/снятие наличных)


это я еще с точки зрения мерчанта не пишу проблемы.


И при этом — оплату через QR все равно — внедряют потихоньку. В дополнение а не вместо. Причем ЦБ заманивает мерчантов низкими комиссиями а банки — принуждением. Реализовано правда гемморойно (в тех интернет-магазинах где у меня получилось это проверить), но работает.

Банковский терминал для транспорта стоит 80т.р., сколько стоят смартфоны (даже NFC не нужен), думаю, рассказывать не надо. Сейчас нет проблем с покрытием интернетом, кроме уж совсем дальних далей. Знаете, что происходит, когда платеж картой не проходит? Кондуктор принимает наличные или выставляет пассажира за двери.

теперь при оплате на кассе придется смартфон к этой точки доступе еще и подключать

Только в подвале при отсутствии мобильной связи

Кстати а как быть с тем что точки доступа в России должны идентифицировать пользователя всегда

Это только для доступа в инет, тут его не будет

с иностранцами что делать

Я уже говорил, что карты остаются, сколько же можно повторять?

Получается нужна дублирующая инфраструктура чисто под QR

Да, т.к. технологии развиваются, это неизбежность. Деньги же наличные все еще в ходу, несмотря на все их недостатки

Steam, Amazon Kindle Store (прям с Kindle), Google Play

Это тот самый 1% платежей, который не делает погоды. Сейчас все еще есть места, где принимают только наличные, хотя казалось бы, 2021 год на дворе

Amazon с виртуалками — есть алерты, есть достаточно лояльная техподдержка

Забавно, но именно на Хабре я читал грустную историю про противоположный исход

Каршеринг — а лимиты на что?

На крупные списания по инцидентам

В дополнение а не вместо

Именно, и каждый пусть сам выбирает, что удобнее и безопаснее. Когда начался вал мошенничества по картам, мне было жалко людей. Сейчас, с появлением альтернативы - уже нет, каждый, кто еще на своей шкуре не почувствовал, что карты это опасно, должен быть предупрежден, и если продолжил пользоваться - ССЗБ

А почему при оплате QR кодом проблема с MCC кодом? Его нет в текущих реалиях?

По моему опыту как клиента — нету

Есть мсс как атрибут QRки и транзакции. Показывать его клиенту или нет - это уже как банк реализовал. У меня есть, только проверил

как быть со всякими подписками? А с "сохранением" карты (видимо токен сохраняется) и оплаты потом по нажатию пары кнопок на сайте? Запретить? Каждый раз требовать QR?

вот кстати с привязкой счета для рекуррентных платежей в СБП все отлично. В приложении своего банка можно видеть список подписок и их мерчантов и тут же отозвать любую привязку. Это новинка, но реализации уже есть

в НСПК руководит развитием EMV 3DS 2.0

Но ведь 2.0 как минимум с 2017 года не развивается?..)
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.