3D Secure 2.0 для безопасных интернет-покупок
3D Secure. Исторический экскурс
Протокол 3D Secure появился 20 лет назад на фоне бурного роста интернета и электронной коммерции, когда все участники рынка (торгово-сервисные предприятия, платежные системы, банки и потребители) оказались остро заинтересованы в росте возможностей интернет-торговли. 3D Secure был призван снизить риск мошенничества при онлайн-платежах платежными картами, которые появились еще в «доинтернетную» эпоху и не предоставляли почти никаких средств для защиты при интернет-платежах.
Первой на рынок вышла компания Visa со своим брендом Verified by Visa. Услуги на базе стандарта 3D Secure были вскоре предложены и другими крупнейшими платежными системами: Mastercard SecureCode, Discover ProtectBuy, J/Secure, American Express SafeKey.
В настоящее время стандарт поддерживается и развивается консорциумом EMVCo как EMV 3D Secure.
3D Secure 1.0 vs 2.0
Очевидно, что с момента появления идет постоянное развитие протокола 3D Secure. Так, например, в версии 1.0 протокола 3D Secure в процесс покупки был добавлен один шаг: перенаправление на веб-сайт эмитента для аутентификации владельца карты с помощью статических или одноразовых паролей. Плюсы такого решения:
- для владельца карты – защита от мошенничества путем хищения реквизитов карты;
- для ТСП – перенос ответственности за мошеннический платеж (Liability Shift) на эмитента.
Все это должно было повысить привлекательность электронной коммерции, но на практике из-за ряда недостатков протокола ожидаемого роста рынка не произошло, а в некоторых странах в момент включения 3D Secure 1.0 объем операций даже упал.
Основная причина – дополнительная сложность для пользователя: лишнее перенаправление в браузере (которое часто могло завершаться просто ошибкой загрузки страницы), необходимость помнить одноразовый пароль (большая часть банков-эмитентов использовала именно такой способ аутентификации). Многим пользователям, столкнувшись с такими трудностями, проще было не завершать текущую покупку, а либо использовать карту другого эмитента, либо покупать у другого продавца.
К другим недостаткам 1.0 можно отнести следующие моменты:
- поддержка только браузерного интерфейса. Особенно это ухудшает удобство пользователя в мобильных приложениях;
- стиль страницы, на которую перенаправляется пользователь, полностью отличается от сайта продавца, что вызывает у пользователя вполне законное подозрение в фишинге;
- аутентификация на основе оценки риска практически невозможна из-за недостаточного количества данных, пересылаемых мерчантом.
3D Secure 2.0 призван устранить болевые точки версии 1.0 и значительно повысить как привлекательность технологии в целом для участников рынка, так и
качество оценки легитимности транзакции и необходимости ее аутентификации.
С учетом этих задач в 3D Secure 2.0 сделаны следующие изменения:
- добавлена поддержка различных устройств и каналов. Новые мобильные SDK позволяют проводить аутентификацию непосредственно в мобильном приложении, без необходимости перенаправления на сайт эмитента;
- вместо статических паролей используются более удобные методы аутентификации, такие как биометрия и токены;
- значительно увеличено количество передаваемых для аутентификации данных, что позволяет качественно проводить Risk-Based-Authentication (RBA).
Рис. 1. Сравнение протоколов 3DS 2.0 c 3DS 1.0
3DS 2.0 становится необходим и в связи с новыми законодательными требованиями в европейских (и некоторых АТР-странах) странах (даже при наличии контрагента вне данной страны) на дополнительную аутентификацию.
Главное нововведение 3D Secure 2.0 – Frictionless Flow, возможность проводить транзакцию без дополнительных действий по аутентификации со стороны пользователя. Если по итогам RBA транзакция признана низкорисковой, то эмитент разрешает продавцу проводить транзакцию без дополнительных запросов пользователю.
- По оценке Visa, 95% транзакций можно проводить без дополнительной верификации покупателя.
- Для клиентов это значительно повышает удобство. Большую часть регулярных платежей можно будет проводить без необходимости подтверждения по одноразовому паролю.
- Банки смогут значительно сэкономить на SMS-оповещениях.
Оценка риска 3DS 2.0 транзакции на стороне эмитента
При оценке риска транзакции на стороне эмитента важно не ошибиться и не пропустить мошенническую транзакцию без дополнительной аутентификации, т. к. в этом случае вся ответственность за возврат средств ложится на эмитента. Важно использовать как можно больше информации о транзакции, ее контексте, профиле клиента, продавца и т. п. В том числе – из других каналов обслуживания.
Рис. 2. Эволюция протокола 3DS
До появления 3DS 2.0 оценка риска многих карточных транзакций была недостаточно качественной, в частности, при CNP-транзакциях (card not present) зачастую просто не хватало информации, чтобы оценить все аспекты риска. Чаще всего были доступны лишь финансовые аспекты транзакции.
Для нашей компании «Фаззи Лоджик Лабс», которая развивает кросс-канальную систему выявления и предотвращения мошеннических транзакций в режиме реального времени Smart Fraud Detection, доступность данных 3DS 2.0 позволяет предоставлять кредитным организациям более эффективную оценку интернет-покупок (Risk-Based Authentication).
С использованием данных операции, полученных благодаря 3DS 2.0, появляется возможность использовать в оценке риска и анализе транзакций:
- типичные параметры для операций в интернет-банке и мобильном приложении о клиентских устройствах и их местоположении, скорости перемещения устройств,
- важные для профилирования операций в электронной коммерции данные, которые раньше было затруднительно получить, например, данные о платеже.
Построение сквозного кросс-канального профиля клиентских устройств и платежных операций пользователя при выполнении интернет-покупок и при работе в системах ДБО банка позволяет существенно повысить качество оценки риска.
Появляются следующие возможности:
- в режиме реального времени строить более точные профили объектов, вовлеченных в операции различных каналов, а также связей между различными объектами: клиентами, мерчантами, IP-адресами, реквизитами и геолокацией клиентских устройств, получателями платежа.
- определять кросс-канальные регулярные платежи, типовые характеристики используемых устройств, скорость перемещения – по их IP;
- сверять транзакцию с реквизитами и устройствами известных мошеннических операций, проведенных в других банковских каналах;
- ранжировать операции от наименее рискованных до наиболее рискованных путем присвоения оценки риска каждому событию, позволяя операторам системы форсировать дополнительную аутентификацию операций – как на основе риска, так и на основе дополнительных условий на параметры операций.
Верификация интернет-покупки
Процедура проведения платежной транзакции с использованием протокола 3DS 2.0 представлена на рис. 3.
Рис. 3. Процедура проведения платежной транзакции с использованием протокола 3DS 2.0
Протокол 3D Secure 2.0 позволяет не только оценить риск, но помочь в выборе механизма более всего подходящей дополнительной аутентификации, исключив по возможности каналы, которые могут оказаться скомпрометированы.
При этом задачами антифрод-решения Smart Fraud Detection являются:
- оценка риска операции, позволяющая снизить количество интернет-операций, требующих верификации, и не пропустить потенциально мошенническое действие;
- ранжирование риска для операций для каждого возможного способа аутентификации с учетом «доверия» к способу верификации и его «стоимости» для эмитента.
Таким образом:
- операция может быть продолжена с наименее рискованным методом верификации или без него;
- для клиентов повышается удобство в выполнении регулярных платежей без необходимости подтверждения их одноразовым паролем или другим средством аутентификации;
- банки смогут значительно сэкономить на SMS-рассылках.
Резюме
Переход на 3DS 2.0 объективно необходим на фоне принципиального изменения ландшафта платежей, включая повсеместное использование мобильных устройств, непредсказуемые изменения поведения пользователей (например, из-за пандемии), гораздо более высокие требования к удобству использования, стабильности и быстродействию платежных инструментов, а также недопустимость усложнения процесса покупок (friction) из-за чрезвычайно высокой конкуренции в сегменте интернет-продаж.