3D Secure пароли в онлайн-платежах убивают ваш бизнес

Все мы давно привыкли, что 3D Secure пароли, которые мы вводим при оплате онлайн услуг и товаров на сайтах,  – это вынужденная необходимость, защищающая как покупателей, так и интернет-магазины от потенциального мошенничества.

Но также для покупателей и предпринимателей это большая головная боль  – пароли забываются, не приходят SMS, в мобильных устройствах их не очень удобно вводить. В результате из-за небольшого количества платежей, по которым реально требуются такая серьезная защита (это всего-навсего около 5%, по признаниям платежной системы Visa), страдают все: как электронный бизнес, так и конечный потребитель.

Так, конверсия из-за брошенных оплат может падать от 5% до критических 50%, когда крупные банки или мобильные операторы испытывают технические проблемы с доставкой SMS. При этом 3D Secure, активированный на карте, не защищает держателя карты в полной мере и по-прежнему позволяет мошенникам незаконно воспользоваться картой в интернет-магазинах, которые не поддерживают этот протокол безопасности.

Как известно, Visa разработала протокол 3D Secure еще в 2001 году и начала процесс его лицензирования в 2004 году для других систем, которые предлагают его под своими собственными марками. Например, в Mastercard Inc. свой сервис называется Mastercard SecureCode.

Несмотря на эффективность в предотвращении онлайн-фрода, протокол 3D Secure не нашел большой поддержки среди эмитентов карт и мерчантов из-за нестабильности работы, в том числе в его ранних итерациях, когда всплывающее окно вынуждало кардхолдера временно уходить с платежной страницы оформления заказа во время проведения покупки. При этом многие потенциальные клиенты просто отказывались завершать процесс оплаты.

И хотя применение протокола 3D Secure переносит ответственность за мошеннические транзакции в сети с мерчантов на банки-эмитенты и защищает интернет-магазины от претензий держателей карт, в США, например, только 18% платежей проходит через протокол 3D Secure (согласно данным компании Aite Group LLC), и это при том, что этот процент утроился, начиная с 2013 года.

Одной из причин низкой популярности 3D Secure является также его ограниченность, топорность и при этом довольно высокая стоимость внедрения. Так, например, протокол не предполагает анализа типа устройства, с которого осуществляется транзакция или истории платежей клиента для понимания, является ли операция типовой для конкретного плательщика, и вынуждает владельца карты вводить пароль абсолютно при каждом платеже, даже на малые суммы по вполне безопасным платежам, таким, например, как оплата коммунальных услуг. Также в современной реализации протокола не предполагается какой-либо возможности использовать машинное обучение и сторонние антифрод-системы, которые смогли бы сделать ввод пароля избирательным на основании анализа данных.

И вот спустя 15 лет в этом направлении начались некоторые сдвиги. Международная платежная система Visa заявила о том, что вместе с Mastercard они улучшат меры безопасности для своих сервисов: Verified by Visa и Mastercard SecureCode.

Заявление компании предшествует более глобальным изменениям, которые ожидают технологию 3D Secure, лежащую в основе сервиса Verified by Visa. Организация по распределению стандартов чиповых карт EMVCo, которой управляют шесть международных платежных систем, включая Visa и Mastercard, работает над усовершенствованной версией технологии, а именно 3D Secure 2.0, которую планируют запустить к концу года.

В своем посте-объявлении об изменениях, опубликованном в корпоративном блоге, Visa указала на то, что усовершенствования в моделировании рисков и прогнозной аналитике дают возможность убрать пароли, не делая систему уязвимой для мошенников. По данным Visa, многие эмитенты уже перешли на сопряженную с риском т.н. динамическую аутентификацию. Компания указала на то, что анонсированные ею изменения затронут и её клиентскую базу.

В посте говорится о том, что Visa будет постепенно отказываться от статических паролей и процесса их регистрации, подтвержденных сервисом Verified by Visa. Более того, держатели карт Visa будут освобождаться от введения Verified by Visa пароля при осуществлении покупок в сети.

Эмитенты и мерчанты все больше полагаются на контекстуальные данные, в том числе на историю транзакций кардхолдера в интернет-магазине, геолокацию, проверки устройства с целью подтверждения наличия данных о транзакциях, проведенных через компьютер, планшет или смартфон, а также оценку риска мошенничества по приостановленной транзакции.