Previous Entry Share Next Entry
Сбербанк - 3D secure
uralpanda
Давно мне не было так забавно над техническими новинками :)

На новой работе у меня зарплатная карта эмитирована Сбербанком. Совершенно случайно в процессе поиска по инету по работе выяснилось, что Сбер внедрил 3D secure по своим пластиковым картам.
Технология интересная, в ней применено сразу несколько остроумных ИБ-подходов:
- эмитент карты требует при совершении операции дополнительной аутентификации (одноразовый пароль, токен и пр.), тогда как обычные интернет-транзакции защищены только CVC2 кодом;
- трафик разделён так, что теперь эмитент и эквайер взаимодействуют с пользователем по отдельности. То есть эквайер аутентификационной информации не знает, соответственно эквайера ломать бесполезно;
- эмитента ломать тоже бесполезно, поскольку закрытые ключи сейчас длинные, а добраться до следующего одноразового пароля это тоже та ещё задача.
В первый момент находка меня обрадовала, я даже думала, что смогу отказаться от отдельной карты для покупок в интернете. Но тут из пространства вариантов пришло озарение - а транзакции, не помеченные как 3D secure, Сбер не авторизует ли случайно?!
На второй линии поддержки Сбера вопрос даже поняли, что удивительно, и заверили меня, что Сбер примет любую транзакцию, даже не от 3D-секьюрного магазина. Засим всё, поскольку достаточно украсть PAN и CVC2 по 3D секьюрной транзакции и лихо применить их в интернет-магазине, не поддерживающем 3D secure. Я понимаю, что деньги мне вернут в этом случае, через месяц, но сам факт! А ведь подаётся это так, что 3D secure обеспечивает высокую защищённость операций. И хорошо, что есть голова, которую можно включить, и понять, что да, защищает-таки, только не меня. А эквайера и мерчанта, потому что риски по мошеннической транзакции, проведённой через 3D secure ложатся на эмитента.
Вторая забавность - платёжные системы придумали остроумный способ насаждения этого протокола :) Так, по правилам МПС, если мерчант поддерживает 3D secure, а эмитент нет, то это личные проблемы эмитента, риски всё равно будет нести он :) А отклонять 3D секьюрную транзакцию только потому, что эмитент не поддерживает 3D secure, запрещено. Сами же мерчанты и эквайеры понятно бросились туда сломя голову - риски-то по мошенничеству теперь будут нести эмитенты. Вот так всех туда и загоняют :)

Вобщем получила удовольствие :)

  • 1
почти все понял. а пример 3д-магаза можно? как хоть оно выглядит-помечается?

можно
http://www.rupayexpert.com/service/dolgoprudny.php
если платить банковской картой, то вылезет 3D secure эквайер - Раффайзен. Помечается значочком Verified by Visa и/или MasterCard Secure code

честно все прошарил но не нашел бы куда заплатить.

а вот запрос пароля на телефон, это оно?

не в курсе, не пользовалась :)
интернет-эквайеров в России очень мало, столкнётесь ещё с Райфом в другом магазине, посмотрите

да я как-то все через хронопей получаюсь.
гадский гадский хронопей ))

они тоже 3D secure, значки стоят на сайте

так. прости дилетанта, а в чем разница-то? данные с карты спрашивают как обычно..

а чья карта-то

да, все ради liability shift и делалось.
мало того, если украли портмоне, где есть почтовый адрес и кредитка, то узнать 3d secure пароль очень легко - добрая тетя из поддержки с радостью его поменяет на новый и тут же по телефону вам сообщит.

у Сбера одноразовые пароли :)

Неожиданно )
Безусловно, это лучше, чем как у меня - с постоянным паролем. Шапо сбербанку

  • 1
?

Log in

No account? Create an account