3D Secure паролі в онлайн-платежах вбивають ваш бізнес

Усі ми давно звикли, що 3D Secure паролі, які ми вводимо при оплаті онлайн послуг і товарів на сайтах – це вимушена необхідність, що захищає і покупців, і інтернет-магазини від потенційного шахрайства.

Але також для покупців і підприємців це великий головний біль – паролі забуваються, не приходять SMS, у мобільних пристроях їх не дуже зручно вводити. Як наслідок через невелику кількість платежів, для яких реально потрібен такий серйозний захист (це всього-на-всього близько 5%, за визнанням платіжної системи Visa), страждають усі: й електронний бізнес, і кінцевий споживач.

Так, конверсія через покинуті оплати може падати від 5% до критичних 50%, коли великі банки або мобільні оператори мають технічні проблеми з доставкою SMS. При цьому 3D Secure, активований на картці, не захищає власника картки повною мірою і, як і раніше, дозволяє шахраям незаконно скористатися карткою в інтернет-магазинах, які не підтримують цей протокол безпеки.

Як відомо, Visa розробила протокол 3D Secure ще в 2001 році і почала процес його ліцензування у 2004 році для інших систем, які пропонують його під своїми власними марками. Наприклад, в Mastercard Inc. свій сервіс називається Mastercard SecureCode.

Незважаючи на ефективність у запобіганні онлайн-фроду, протокол 3D Secure не здобув великої підтримки серед емітентів карток і мерчантів через нестабільність роботи, в тому числі в його ранніх ітераціях, коли спливаюче вікно змушувало кардхолдера тимчасово йти з платіжної сторінки оформлення замовлення під час проведення купівлі. При цьому багато потенційних клієнтів просто відмовлялися завершувати процес оплати.

І хоча застосування протоколу 3D Secure переносить відповідальність за шахрайські транзакції в мережі з мерчанта на банки-емітенти та захищає інтернет-магазини від претензій власників карток, у США, наприклад, тільки 18% платежів проходить через протокол 3D Secure (згідно з даними компанії Aite Group LLC), і це при тому, що цей відсоток потроївся, починаючи з 2013 року.

Однією з причин низької популярності 3D Secure є також його обмеженість, незграбність і при цьому досить висока вартість впровадження. Так, наприклад, протокол не передбачає аналізу типу пристрою, з якого здійснюється транзакція, чи історії платежів клієнта для розуміння, чи є операція типовою для конкретного платника, і змушує власника картки вводити пароль абсолютно при кожному платежі, навіть на малі суми за цілком безпечними платежами, такими, наприклад, як оплата комунальних послуг. Також у сучасній реалізації протоколу не передбачається будь-якої можливості використовувати машинне навчання і сторонні антифрод-системи, які змогли б зробити введення пароля вибірковим на підставі аналізу даних.

І ось через 15 років у цьому напрямку почалися деякі зрушення. Міжнародна платіжна система Visa заявила про те, що разом із Mastercard вони поліпшать заходи безпеки для своїх сервісів: Verified by Visa і Mastercard SecureCode.

Заява компанії передує більш глобальним змінам, які очікують технологію 3D Secure, що лежить в основі сервісу Verified by Visa. Організація з розподілу стандартів чіпових карт EMVCo, якою управляють шість міжнародних платіжних систем, включаючи Visa і Mastercard, працює над вдосконаленою версією технології, а саме 3D Secure 2.0, яку планують запустити до кінця року.

У своєму пості-оголошенні про зміни, опублікованому в корпоративному блозі, Visa вказала на те, що удосконалення в моделюванні ризиків і прогнозній аналітиці дають можливість прибрати паролі, не роблячи систему вразливою для шахраїв. За даними Visa, багато емітентів уже перейшли на пов’язану з ризиком так звану динамічну аутентифікацію. Компанія вказала на те, що анонсовані нею зміни торкнуться і її клієнтської бази.

У пості йдеться про те, що Visa буде поступово відмовлятися від статичних паролів і процесу їх реєстрації, підтверджених сервісом Verified by Visa. Більш того, власники карток Visa будуть звільнені від введення Verified by Visa пароля при здійсненні покупок у мережі.

Емітенти та мерчанти дедалі більше покладаються на контекстуальні дані, в тому числі на історію транзакцій кардхолдера в інтернет-магазині, геолокацію, перевірку пристрою з метою підтвердження наявності даних про транзакції, проведених через комп’ютер, планшет або смартфон, а також оцінку ризику шахрайства по призупиненій транзакції.