Katie (uralpanda) wrote,
Katie
uralpanda

Сбербанк - 3D secure

Давно мне не было так забавно над техническими новинками :)

На новой работе у меня зарплатная карта эмитирована Сбербанком. Совершенно случайно в процессе поиска по инету по работе выяснилось, что Сбер внедрил 3D secure по своим пластиковым картам.
Технология интересная, в ней применено сразу несколько остроумных ИБ-подходов:
- эмитент карты требует при совершении операции дополнительной аутентификации (одноразовый пароль, токен и пр.), тогда как обычные интернет-транзакции защищены только CVC2 кодом;
- трафик разделён так, что теперь эмитент и эквайер взаимодействуют с пользователем по отдельности. То есть эквайер аутентификационной информации не знает, соответственно эквайера ломать бесполезно;
- эмитента ломать тоже бесполезно, поскольку закрытые ключи сейчас длинные, а добраться до следующего одноразового пароля это тоже та ещё задача.
В первый момент находка меня обрадовала, я даже думала, что смогу отказаться от отдельной карты для покупок в интернете. Но тут из пространства вариантов пришло озарение - а транзакции, не помеченные как 3D secure, Сбер не авторизует ли случайно?!
На второй линии поддержки Сбера вопрос даже поняли, что удивительно, и заверили меня, что Сбер примет любую транзакцию, даже не от 3D-секьюрного магазина. Засим всё, поскольку достаточно украсть PAN и CVC2 по 3D секьюрной транзакции и лихо применить их в интернет-магазине, не поддерживающем 3D secure. Я понимаю, что деньги мне вернут в этом случае, через месяц, но сам факт! А ведь подаётся это так, что 3D secure обеспечивает высокую защищённость операций. И хорошо, что есть голова, которую можно включить, и понять, что да, защищает-таки, только не меня. А эквайера и мерчанта, потому что риски по мошеннической транзакции, проведённой через 3D secure ложатся на эмитента.
Вторая забавность - платёжные системы придумали остроумный способ насаждения этого протокола :) Так, по правилам МПС, если мерчант поддерживает 3D secure, а эмитент нет, то это личные проблемы эмитента, риски всё равно будет нести он :) А отклонять 3D секьюрную транзакцию только потому, что эмитент не поддерживает 3D secure, запрещено. Сами же мерчанты и эквайеры понятно бросились туда сломя голову - риски-то по мошенничеству теперь будут нести эмитенты. Вот так всех туда и загоняют :)

Вобщем получила удовольствие :)
Tags: Электронные услуги
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 12 comments