24 февраля, среда 23:57
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

В чем польза от функции 3-D Secure?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • В чем польза от функции 3-D Secure?

    Пару лет назад прознал про такую функцию как 3-D Secure для банковских карт. Мол защит (насколько это вообще возможно) операции от злоумышленников.
    Вроде бы как при платежах через интернет нужно вводить пароль/код.
    И действительно совершая платежи, а это как правило 2-3 проверенные компании я всегда водил нужный мне пароль.
    Будучи уверенным, что злоумышленнику, который вдруг прознаем реквизиты карты все равно не удаться воспользоваться ей, ибо он упрется в эту защиту (да, наверное можно и её сломать, но сейчас не об этом речь).
    И вот я на одном сайте зарубежном оплачивал услугу. Сайт вроде бы вызывает доверие: сайт авиакомпании easyjet - есть поддержка https, но при оплате никаких запросов от 3-D Secure не поступило. Прошла оплата и вуаля.

    Озабоченный таким моментом, звоню в банк, где кукушка, по-другому её назвать никак нельзя начинает мне объяснять, что да есть такие, которые не поддерживают данную функцию, мол не пользуйтесь ими. {Кстати узнать, что функции такой нет можно только когда операция уже совершена}
    Я ей говорю, мол понятно, что такие сайты небезопасны, но объясните в чем смысл этой функции защиты, если она обходится таким способом? Она же продолжает мне втолковывать, что не которые сайты такое не поддерживают, потому не нужно ими пользоваться. В общем я ей про Фому. а она мне про Ерему.
    Не добившись ответа, положил трубку, но вопрос остался.

    Что ж получается. Если какой-нибудь злоумышленник прознает нужные данные, а это может быть, например кассир в магазине, то зайдя на такой сайт (злоумышленнику-то как раз этот будет в радость) спокойненько воспользуется моей картой?
    Да я знаю, что не нужно махать ею перед всеми (что, собственно и не делаю), но вопрос про т.н. защиту 3-D Secure открыт:
    Нахрена она вообще нужна тогда?

    Интересны мнения, м/б даже специалистов.

  • #2
    Вы не правы оба.
    Знаете почему?
    Вы не правы потому что считаете, то 3D Sec обязательна, а сотрудник банк на хелпдеске рассказывает Вам про то - какими сайтами вам пользоваться или нет и почему.
    Причина проста - использование 3D Sec не более чем аутентификация клиента, которая служит доп. защитой для интернет транзакций.
    При этом, если эквайрер и мерчант ее не использовали при оформлении сделки, то перенос отвественности при чардбеке переносится на них т.е. при оспаривании такой сделки они булут вынуждены взместить средства клиенту и эмитенту.
    Наша жизнь состоит из цитат. Лишь немногим удается написать что-то своё. (с)

    Комментарий


    • #3
      Сообщение от ValentineS Посмотреть сообщение
      Вы не правы оба.
      Знаете почему?
      Вы не правы потому что считаете, то 3D Sec обязательна, а сотрудник банк на хелпдеске рассказывает Вам про то - какими сайтами вам пользоваться или нет и почему.
      Причина проста - использование 3D Sec не более чем аутентификация клиента, которая служит доп. защитой для интернет транзакций.
      При этом, если эквайрер и мерчант ее не использовали при оформлении сделки, то перенос отвественности при чардбеке переносится на них т.е. при оспаривании такой сделки они булут вынуждены взместить средства клиенту и эмитенту.
      Да нет, я читал про такое "перекладывание ответственности", просто мне кажется, что любая аутентификация, будь это вход в Windows, на форум или совершение транзакции направленна именно против злоумышленников.
      А здесь получается функция нужна исключительно для того что бы переложить ответственность на банк клиента, а никак не обезопасить последнего от злоумышленников.
      Т.е. я трачу время, вводя пароль, при оплате того же интернета, веря, что поставил дополнительный заслон против ЗМ, а на самом деле играю в чужую игру по решению проблем во взаимоотношениях двух банков.
      Ерунда какая-то.

      Комментарий


      • #4
        Salder, это вам так только именно - кажется.
        Если банк эмитент не заблокировал возможность проведения интернет транакций без 3D Sec, то она пройдет.
        Тут тоже есть нюанс. Возможно что эквайрер вашего мерчанта использует не корректную передачу mcc кода.
        Иными словами - эмитент не понимает, что транзакция идет не через интернет.
        Но тут есть опять нюанс - нет признака считывания карты - и опять вопрос к эмитенту.
        Если смотреть правде в глаза, то так оно и есть - именно для того, чтобы переложить ответственность.
        Наша жизнь состоит из цитат. Лишь немногим удается написать что-то своё. (с)

        Комментарий


        • #5
          И дополнительно простимулировать банк-эквайрер внедрять технологии 3D Secure, дабы в дальнейшем снижать свои риски.

          Комментарий


          • #6
            ValentineS
            Понятно.
            Спасибо.

            Сообщение от M.Potter Посмотреть сообщение
            И дополнительно простимулировать банк-эквайрер внедрять технологии 3D Secure, дабы в дальнейшем снижать свои риски.
            Т.е. если я правильно понимаю, то поддержка торговым ресурсом в Интернете 3D Secure зависит не от того захочет ли владелец этого ресурса реализовывать на своем сайте технологию 3D Secure, а поддерживает ли данную технологию тот банк, с которым он заключает договор?

            Или все таки это зависит от желания и возможностей владельца сайта?

            Просто я к чему если это зависит от банка теоретически когда все банки на планете перейдут на такую технологию, то мошеннику не удастся списать д/с с карты с какого бы ресурса он не пытался это сделать.
            Если же все зависит от ресурса, то получается, что вне зависимости от того поддерживает ли банк или нет - всегда будут существовать такие сайты, которые будут использовать технологию, позволяющую миновать эту т.н. защиту?

            Комментарий


            • #7
              Кстати, если верить википедии, то для 3-D Secure характеры три варианта работы:
              1) Если банк-эмитент пластиковой карты не поддерживает эти системы, а мерчант не требует обязательной поддержки системы банком, то транзакция пройдет без 3-D Secure аутентификации.
              2) Если мерчант не поддерживает эти системы, то транзакция пройдет без 3-D Secure аутентификации.
              3) Мерчант поддерживает эти системы и требует поддержки этих систем банком - эмитентом карты покупателя. Без поддержки банком транзакция не пройдет.

              А вот интересно какие еще есть способы обойти 3-D Secure?
              Т.е. если обладать данными карты?

              Комментарий


              • #8
                Сообщение от Salder Посмотреть сообщение
                Или все таки это зависит от желания и возможностей владельца сайта?
                Сайт не член МПС, следовательно всё зависит от банка-эквайрера. Никто сайтовладельцу не мешает выбрать тот банк, который эту технологию поддерживает.

                Обойти можно если полностью получить ВСЕ данные Держателя (реквизиты карты, пароли или токены и т.п.).

                Комментарий


                • #9
                  Сообщение от Salder Посмотреть сообщение
                  ValentineS
                  Понятно.
                  Спасибо.


                  Т.е. если я правильно понимаю, то поддержка торговым ресурсом в Интернете 3D Secure зависит не от того захочет ли владелец этого ресурса реализовывать на своем сайте технологию 3D Secure, а поддерживает ли данную технологию тот банк, с которым он заключает договор?

                  Или все таки это зависит от желания и возможностей владельца сайта?

                  Просто я к чему если это зависит от банка теоретически когда все банки на планете перейдут на такую технологию, то мошеннику не удастся списать д/с с карты с какого бы ресурса он не пытался это сделать.
                  Если же все зависит от ресурса, то получается, что вне зависимости от того поддерживает ли банк или нет - всегда будут существовать такие сайты, которые будут использовать технологию, позволяющую миновать эту т.н. защиту?
                  1. Да.
                  2. Нет.
                  3. Это мечта всех платежных систем, чтобы сделать максимально защищенный фронт, позволяющий однозначено верифицировать своего клиента.
                  4. Для того, чтобы ответить на этот вопрос - нужно понимать как работает 3D Sec. Вне зависимости от того поддерживает эквайрер 3D Sec или нет - существуют эмитенты (тут нужно понимать, что 3D Sec должна обязательно поддерживать и эмитентом и информация о поддерживаемых бинах должна быть заявлена в directory), которые ее не поддерживают. В этом случае у эквайрера есть возможность роутить данную транзакцию обычным путем без 3D Sec. А далее на усмотрение эмитента. Он конечно может и не роутить, но тогда он потеряет оборот. При этом отвественность по транзкциям падает на эмитента. Единственный риск - пробивание фродового потолка и открытие окна. Тут уж самэквайрер должен мониторить объем фрода.

                  Сообщение от Salder Посмотреть сообщение
                  Кстати, если верить википедии, то для 3-D Secure характеры три варианта работы:



                  А вот интересно какие еще есть способы обойти 3-D Secure?
                  Т.е. если обладать данными карты?
                  Можно. При помощи универсального средства по взлому криптосистем - паяльника.
                  Поскольку, как известно, - стокйость любой криптосистемы обратно пропорциональна температуре жала паяльника.
                  Наша жизнь состоит из цитат. Лишь немногим удается написать что-то своё. (с)

                  Комментарий


                  • #10
                    Сообщение от ValentineS Посмотреть сообщение
                    Можно. При помощи универсального средства по взлому криптосистем - паяльника.
                    Поскольку, как известно, - стокйость любой криптосистемы обратно пропорциональна температуре жала паяльника.
                    Можно и без паяльника. Есть прецеденты получения мошенником у ОПСОСа дубликата сим карты.

                    Комментарий

                    Обработка...
                    X