3D Secure паролі в онлайн-платежах вбивають ваш бізнес

Усі ми давно звикли, що 3D Secure паролі, які ми вводимо при оплаті онлайн послуг і товарів на сайтах – це вимушена необхідність, що захищає і покупців, і інтернет-магазини від потенційного шахрайства.

Але також для покупців і підприємців це великий головний біль – паролі забуваються, не приходять SMS, у мобільних пристроях їх не дуже зручно вводити. Як наслідок через невелику кількість платежів, для яких реально потрібен такий серйозний захист (це всього-на-всього близько 5%, за визнанням платіжної системи Visa), страждають усі: й електронний бізнес, і кінцевий споживач.

Так, конверсія через покинуті оплати може падати від 5% до критичних 50%, коли великі банки або мобільні оператори мають технічні проблеми з доставкою SMS. При цьому 3D Secure, активований на картці, не захищає власника картки повною мірою і, як і раніше, дозволяє шахраям незаконно скористатися карткою в інтернет-магазинах, які не підтримують цей протокол безпеки.

Як відомо, Visa розробила протокол 3D Secure ще в 2001 році і почала процес його ліцензування у 2004 році для інших систем, які пропонують його під своїми власними марками. Наприклад, в Mastercard Inc. свій сервіс називається Mastercard SecureCode.

Незважаючи на ефективність у запобіганні онлайн-фроду, протокол 3D Secure не здобув великої підтримки серед емітентів карток і мерчантів через нестабільність роботи, в тому числі в його ранніх ітераціях, коли спливаюче вікно змушувало кардхолдера тимчасово йти з платіжної сторінки оформлення замовлення під час проведення купівлі. При цьому багато потенційних клієнтів просто відмовлялися завершувати процес оплати.

І хоча застосування протоколу 3D Secure переносить відповідальність за шахрайські транзакції в мережі з мерчанта на банки-емітенти та захищає інтернет-магазини від претензій власників карток, у США, наприклад, тільки 18% платежів проходить через протокол 3D Secure (згідно з даними компанії Aite Group LLC), і це при тому, що цей відсоток потроївся, починаючи з 2013 року.

Однією з причин низької популярності 3D Secure є також його обмеженість, незграбність і при цьому досить висока вартість впровадження. Так, наприклад, протокол не передбачає аналізу типу пристрою, з якого здійснюється транзакція, чи історії платежів клієнта для розуміння, чи є операція типовою для конкретного платника, і змушує власника картки вводити пароль абсолютно при кожному платежі, навіть на малі суми за цілком безпечними платежами, такими, наприклад, як оплата комунальних послуг. Також у сучасній реалізації протоколу не передбачається будь-якої можливості використовувати машинне навчання і сторонні антифрод-системи, які змогли б зробити введення пароля вибірковим на підставі аналізу даних.

І ось через 15 років у цьому напрямку почалися деякі зрушення. Міжнародна платіжна система Visa заявила про те, що разом із Mastercard вони поліпшать заходи безпеки для своїх сервісів: Verified by Visa і Mastercard SecureCode.

Заява компанії передує більш глобальним змінам, які очікують технологію 3D Secure, що лежить в основі сервісу Verified by Visa. Організація з розподілу стандартів чіпових карт EMVCo, якою управляють шість міжнародних платіжних систем, включаючи Visa і Mastercard, працює над вдосконаленою версією технології, а саме 3D Secure 2.0, яку планують запустити до кінця року.

У своєму пості-оголошенні про зміни, опублікованому в корпоративному блозі, Visa вказала на те, що удосконалення в моделюванні ризиків і прогнозній аналітиці дають можливість прибрати паролі, не роблячи систему вразливою для шахраїв. За даними Visa, багато емітентів уже перейшли на пов’язану з ризиком так звану динамічну аутентифікацію. Компанія вказала на те, що анонсовані нею зміни торкнуться і її клієнтської бази.

У пості йдеться про те, що Visa буде поступово відмовлятися від статичних паролів і процесу їх реєстрації, підтверджених сервісом Verified by Visa. Більш того, власники карток Visa будуть звільнені від введення Verified by Visa пароля при здійсненні покупок у мережі.

Емітенти та мерчанти дедалі більше покладаються на контекстуальні дані, в тому числі на історію транзакцій кардхолдера в інтернет-магазині, геолокацію, перевірку пристрою з метою підтвердження наявності даних про транзакції, проведених через комп’ютер, планшет або смартфон, а також оцінку ризику шахрайства по призупиненій транзакції.

«Впровадження алгоритмів в аналіз цих даних дає можливість оцінювати ризикованість кожної транзакції в режимі реального часу, надаючи емітентам більш якісні відомості для розуміння необхідності прийняття рішення щодо додаткової перевірки. Для більшості транзакцій, які вважаються низькоризиковими, процес покупки може бути продовжений без додаткової аутентифікації.»

Таким чином, від міжнародних платіжних систем незабаром можна очікувати впровадження розумних алгоритмів і просунутих систем аналізу шахрайства при роботі з 3D Secure паролями, що допоможе в майбутньому спростити платежі в мережі інтернет і зробити їх ще більш безпечними. Компанія Mastercard уже повідомляла, що, використовуючи свою систему Safety Net, створену на базі алгоритмів машинного навчання, змогла відбити 3 великі атаки на мережі банкоматів в перші 2 місяці 2016 року, аналізуючи аномалії та географічні зони при спробах зняття коштів. Також технології штучного інтелекту для боротьби з фродом є і у компанії Cybersource, яку платіжна система Visa придбала в 2010 році. Відповідно, цілком можна очікувати, що вже незабаром технології машинного навчання, штучного інтелекту та аналізу Big Data будуть використовуватися в інтернет-платежах.

А поки ми всі в очікуванні революції, найбільш дієвими методами поліпшення конверсії інтернет-магазину залишаються такі:

  • вибіркове використання протоколу 3D Secure за низькоризиковими платежами на стороні платіжного провайдера
  • використання каскадного процесингу платежів – технології, яка дозволяє залежно від платіжних даних платника направити його транзакцію на найбільш підходящий банк/процесинг/країну
  • використання гнучкої антифрод-системи на стороні платіжного провайдера, яка відфільтровує підозрілі платежі, не впливаючи істотно на конверсію
  • «ручний» аналіз платежів на наявність аномальної поведінки платника службою фрод-моніторингу провайдера

Сподобалась публікація – підписуйтесь

Отримуйте ще більше корисної інформації про онлайн-платежі та бізнес

Чат