Visa и Mastercard вводят дополнительные сборы с банков за обработку интернет-платежей. Эксперты почти единогласно объяснили это жадностью платежных систем. На деле все оказалось немного сложнее.
На прошлой неделе банки получили от платежных систем Visa и Mastercard информационные письма о введении сборов за аутентификацию карточных платежей в Интернете с помощью кодов. За вычетом несколько пространного комментария пресс-службы Visa, основная часть заметок, написанных по этой новости, приводит читателей к мысли, что каждый платеж картой в Интернете будет обходиться банку на несколько рублей дороже, а там и недалеко до введения надбавок со стороны продавцов, минимальных сумм покупок и т. п. — прощай, Aliexpress.
По факту же оказалось, что, устав ждать от неповоротливых банков прогресса в переходе с более старой версии подтверждения платежей на более новую, платежные системы придумали взимать плату за менее совершенную старую.
Систему 3D Secure придумал для Visa в начале 2000-х разработчик корпоративного софта Arcot Systems. Она добавляла в процесс платежей в Интернете еще один шаг: ввод ПИН-кода для подтверждения конкретной трансакции. Со временем другие платежные системы, разработавшие аналогичные инструменты (Mastercard, American Express, Discover, JCB и т. д.), передали их в общий котел — консорциум EMVCo. Общее решение за последующие годы приобрело привычный нам вид, с вводом кодов, полученных в текстовых сообщениях СМС.
Однако даже такая малость, как ввод кода, отсекает достаточно большое количество покупателей — кому-то не приходит СМС из-за сбоя сотовой сети, кто-то забыл телефон в другом месте, кто-то очнулся и передумал покупать. Разные источники оценивают долю прерванных трансакций в 3—15% — многовато. Кроме того, первая версия была уязвима и для фишинговых схем, в которых мошенники создавали сайты магазинов, похожие на настоящие, а пользователи доверчиво вводили на них данные карты, да еще и подтверждали операции вводом одноразового кода.
Все эти моменты консорциум учел к 2016 году, когда представил новую версию 3D Secure 2.0. В ней ввод кода для подтверждения становится исключительным событием, в остальном система полагается на анализ гораздо большего количества данных о пользователе в попытке понять, несет трансакция риск или нет. Два основных элемента 3DS 2.0 — это алгоритм оценки риска RBA и сервер авторизации со стороны банка-эмитента ACS.
Работая в паре, эти подсистемы сравнивают браузер, IP-адрес, информацию об устройстве, с которого делается покупка, и многое другое. То есть если вы, как правило, покупаете товары на сумму 1—2 тыс. рублей в районе 17:00 буднего дня через браузер Safari на своем обычном iPhone 11 через провайдера «Ростелеком», то похожие покупки система пропустит бесшовно. А вот если внезапно попытаетесь сделать крупную покупку в иностранном магазине за доллары глубокой московской ночью с гондурасского IP-адреса, используя браузер Firefox для ОС Linux, то попросит подтвердить покупку, например, внутри мобильного приложения банка. Это очень грубый пример, но RBA действительно собирает намного больше данных и создает более надежный «отпечаток» поведения пользователя.
Несмотря на то что новой версии в этом году исполняется пять лет и она обладает несомненными достоинствами, множество банков до сих пор на нее не перешли. «Если продавец заключает договор с банком или с платежным сервисом, то вся интеграция протокола 3DS 2.0 ложится на последних. В свою очередь, если, например, платежный сервис работает с несколькими банками-эквайерами, то ему необходимо будет провести интеграцию и доработать этот протокол с каждым банком», — пояснили сложность процесса в CloudPayments.
Кроме того, процесс запуска и отладки алгоритмов RBA и серверов контроля ACS требует как дорогого труда IT-специалистов, так и прохождения всевозможных сертификаций. Устав ждать, Visa и Mastercard ввели сборы, чтобы сделать переход на новую версию очевидно более выгодным для участников платежного рынка.
Корреспондент Банки.ру поинтересовался у нескольких крупных российских финансовых организаций, реально ли было за пять лет осмыслить, освоить и внедрить очевидно более прогрессивное решение и, если нет, сколько еще может потребоваться времени. По каким-то причинам все опрошенные от комментариев отказались.
Антон НЕХАЕНКО, Banki.ru
Комментарии
Класс.
Сдается мне, визу с МК не устраивают не столько уязвимости 3DS1, сколько те самые 3-15% недополученного бабла.
В старой схеме аутентификация транзакции находилась под контролем обладателя карты.
В новой схеме списывать деньги с карты или нет вместо держателя карты будет решать пара неких серваков на "основании" х/з какой аналитики. Крайних потом не найдешь.
Зная привычки и ресурсы объекта атаки, при похищении реквизитов карты вычистить ее - никаких проблем.
Сбор цифровых следов еще надо как-то утрясти с законодательством о ПДн.
Почему подключение 3DS2 надо специально программно адаптировать для каждого банка? Проблемы со стандартизацией?
У 90% винда, 90% хром, ip так он серый и на всех, куки/жуки/производительность браузеры современные обладают уже защитой от этой грязи.