3D Secure пароли в онлайн-платежах убивают ваш бизнес

Все мы давно привыкли, что 3D Secure пароли, которые мы вводим при оплате онлайн услуг и товаров на сайтах,  – это вынужденная необходимость, защищающая как покупателей, так и интернет-магазины от потенциального мошенничества.

Но также для покупателей и предпринимателей это большая головная боль  – пароли забываются, не приходят SMS, в мобильных устройствах их не очень удобно вводить. В результате из-за небольшого количества платежей, по которым реально требуются такая серьезная защита (это всего-навсего около 5%, по признаниям платежной системы Visa), страдают все: как электронный бизнес, так и конечный потребитель.

Так, конверсия из-за брошенных оплат может падать от 5% до критических 50%, когда крупные банки или мобильные операторы испытывают технические проблемы с доставкой SMS. При этом 3D Secure, активированный на карте, не защищает держателя карты в полной мере и по-прежнему позволяет мошенникам незаконно воспользоваться картой в интернет-магазинах, которые не поддерживают этот протокол безопасности.

Как известно, Visa разработала протокол 3D Secure еще в 2001 году и начала процесс его лицензирования в 2004 году для других систем, которые предлагают его под своими собственными марками. Например, в Mastercard Inc. свой сервис называется Mastercard SecureCode.

Несмотря на эффективность в предотвращении онлайн-фрода, протокол 3D Secure не нашел большой поддержки среди эмитентов карт и мерчантов из-за нестабильности работы, в том числе в его ранних итерациях, когда всплывающее окно вынуждало кардхолдера временно уходить с платежной страницы оформления заказа во время проведения покупки. При этом многие потенциальные клиенты просто отказывались завершать процесс оплаты.

И хотя применение протокола 3D Secure переносит ответственность за мошеннические транзакции в сети с мерчантов на банки-эмитенты и защищает интернет-магазины от претензий держателей карт, в США, например, только 18% платежей проходит через протокол 3D Secure (согласно данным компании Aite Group LLC), и это при том, что этот процент утроился, начиная с 2013 года.

Одной из причин низкой популярности 3D Secure является также его ограниченность, топорность и при этом довольно высокая стоимость внедрения. Так, например, протокол не предполагает анализа типа устройства, с которого осуществляется транзакция или истории платежей клиента для понимания, является ли операция типовой для конкретного плательщика, и вынуждает владельца карты вводить пароль абсолютно при каждом платеже, даже на малые суммы по вполне безопасным платежам, таким, например, как оплата коммунальных услуг. Также в современной реализации протокола не предполагается какой-либо возможности использовать машинное обучение и сторонние антифрод-системы, которые смогли бы сделать ввод пароля избирательным на основании анализа данных.

И вот спустя 15 лет в этом направлении начались некоторые сдвиги. Международная платежная система Visa заявила о том, что вместе с Mastercard они улучшат меры безопасности для своих сервисов: Verified by Visa и Mastercard SecureCode.

Заявление компании предшествует более глобальным изменениям, которые ожидают технологию 3D Secure, лежащую в основе сервиса Verified by Visa. Организация по распределению стандартов чиповых карт EMVCo, которой управляют шесть международных платежных систем, включая Visa и Mastercard, работает над усовершенствованной версией технологии, а именно 3D Secure 2.0, которую планируют запустить к концу года.

В своем посте-объявлении об изменениях, опубликованном в корпоративном блоге, Visa указала на то, что усовершенствования в моделировании рисков и прогнозной аналитике дают возможность убрать пароли, не делая систему уязвимой для мошенников. По данным Visa, многие эмитенты уже перешли на сопряженную с риском т.н. динамическую аутентификацию. Компания указала на то, что анонсированные ею изменения затронут и её клиентскую базу.

В посте говорится о том, что Visa будет постепенно отказываться от статических паролей и процесса их регистрации, подтвержденных сервисом Verified by Visa. Более того, держатели карт Visa будут освобождаться от введения Verified by Visa пароля при осуществлении покупок в сети.

Эмитенты и мерчанты все больше полагаются на контекстуальные данные, в том числе на историю транзакций кардхолдера в интернет-магазине, геолокацию, проверки устройства с целью подтверждения наличия данных о транзакциях, проведенных через компьютер, планшет или смартфон, а также оценку риска мошенничества по приостановленной транзакции.

«Внедрение алгоритмов в анализ этих данных позволяет оценивать рискованность каждой транзакции в режиме реального времени, предоставляя эмитентам более качественные сведения для понимания необходимости принятия решения по дополнительной проверке. Для большинства транзакций, которые считаются низкорисковыми, процесс покупки может быть продолжен без дополнительной аутентификации.»

Таким образом, от международных платежных систем в скором времени можно ожидать внедрения умных алгоритмов и продвинутых систем анализа мошенничества при работе с 3D Secure паролями, что поможет в будущем упростить платежи в сети интернет и сделать их еще более безопасными. Компания Mastercard уже сообщала, что используя свою систему Safety Net, созданную на базе алгоритмов машинного обучения, смогла отразить 3 крупные атаки на сети банкоматов в первые 2 месяца 2016 года, анализируя аномалии и географические зоны при попытках снятия средств. Также технологии искусственного интеллекта для борьбы с фродом есть и у компании Сybersource, которую платежная система Visa приобрела в 2010 году. Соответственно, вполне можно ожидать, что уже в скором времени технологии машинного обучения, искусственного интеллекта и анализа Big Data будут использоваться в интернет-платежах.

А пока мы все в ожидании революции, самыми действенными методами улучшения конверсии интернет-магазина остаются следующие:

  • выборочное использование протокола 3D Secure по низкорисковым платежам на стороне платежного провайдера
  • использование каскадного процессинга платежей –  технологии, которая позволяет в зависимости от платежных данных плательщика направить его транзакцию на наиболее подходящий банк/процессинг/страну
  • использование гибкой антифрод-системы на стороне платежного провайдера, которая отфильтрует подозрительные платежи, не влияя существенно на конверсию
  • «ручной» анализ платежей на наличие аномального поведения плательщика службой фрод-мониторинга провайдера

Понравилась публикация – подписывайтесь

Получайте еще больше полезной информации об онлайн-платежах и бизнесе

Чат