Карта не прошла 3DS-аутентификацию, либо отклонена платежной системой – что это означает
Ошибка при проведении 3DS-аутентификации – проблема, встречающаяся в момент оплаты товаров и услуг в сети. Для ее решения необходимо знать нюансы подтверждения данных.
Особенности аутентификации
3DS-аутентификация – уникальная система защиты данных банковских карт от совершения финансовых операций без согласия держателя.
Для оплаты покупок в интернет-магазинах нужно указывать следующую информацию:
Если для карты подключена дополнительная защита 3DS-Secure, то пользователю при оплате онлайн следует пройти еще одну процедуру, направленную на противодействие потенциальным мошенникам. Одноразовые пароли поступают в виде смс-сообщения на номер держателя карты. Ввод данных осуществляется на официальной странице одного из банков: ПАО “Сбербанк России”, “ВТБ”, ” Альфа-Банк” и другие.
После прохождения 3DS-аутентификации происходит оплата с учетом последующей переадресации покупателя на сайт продавца. Транзакция не может быть осуществлена без данной операции, ни при каких обстоятельствах.
Плюсы и минусы технологии
Метод защиты 3DS-аутентификации имеет очевидные преимущества и недостатки. В целях самостоятельной оценки работоспособности технологии следует ознакомиться с возможными рисками.
Плюсы
Описание
Безопасность транзакций
Клиенты всех финансовых организаций заинтересованы в индивидуальном сохранении доступа к денежным средствам. В подавляющем большинстве случаев пароли действуют исключительно для единичных операций.
Удобство покупок
Применение одноразовых кодов автоматически освобождает покупателей от необходимости повторного ввода платежных данных.
Простота пользования
Технология доступна для всех категорий лиц, даже для тех, кто проводит электронные транзакции в первый раз.
Массовость
Большинство точек интернет-магазинов поддерживают подключение к 3D-Secure. Продавцы используют технологию в целях защиты клиентской информации и собственной репутации.
Среди наиболее весомых недостатков 3DS-аутентификации пользователи выделяют:
Основные причины блокировки транзакции
В ряде случаев при попытке онлайн-оплаты на экране используемого устройства высвечивается сообщение: “Authentication failed: неверный CVV код”. Существует несколько причин появления такого уведомления:
При неудачной 3DS-аутентификации на экран выводится один из доступных кодов ошибки.
Код
Описание
05
Отказ без указания причины
17
Отклонение операции держателем карты
19
Техническая ошибка со стороны обслуживающего банка
51
Недостаточно средств
61
Превышение доступного лимита за одну операцию
62
Невозможность транзакции по причине блокировки карты
65
Превышение доступного количества операций
75
Превышение максимального количества неверно введенных паролей
91
Невозможность отправления запроса на обработку платежа по техническим причинам
95
Сбой связи с банком
Z3
Отсутствие онлайн-соединения. Отключение терминалом возможности приема средств в режиме офлайн.
3DS-аутентификация уязвима для вирусных атак. Если телефон, на который поступают сообщения с паролем, работает на операционной системе Android, то пользователям рекомендуется установить антивирусное приложение. Ряд вирусов направлены на инициирование карточных операций и кражу данных.
Специалисты не рекомендуют сохранять реквизиты карт в настольных браузерах. Мошенники могут получить информацию и им не будут нужны одноразовые коды, чтобы воспользоваться чужими деньгами.
Порядок исправления проблемы некорректной аутентификации
Если на экране при оплате появилась надпись “Ваш платеж был отклонен”, то поводов для паники нет. Защитные алгоритмы системы постоянно развиваются и процент несанкционированного доступа злоумышленников к данным предельно низкий.
Оперативное исправление проблемы возможно путем звонка на горячую линию обслуживающего банка.
Представители центра обслуживания проверят настройки карты и дадут первичную консультацию по поводу причин возникшей проблемы. Если это произошло по вине банка или платежной системы, решение займет не более 10 минут.
Минимизация рисков мошенничества
Для снижения рисков необходимо следовать общепринятому алгоритму действий описанных в таблице.
Действие
Описание
Оформление отдельной карты
Для электронных платежей не рекомендуется использовать зарплатные карты, на которые поступает основная часть дохода держателя. Оптимальным вариантом считаются виртуальные карты с предустановленной функцией возврата части суммы покупки.
Проверка адреса сайта продавца
Сайт платежной страницы должен в обязательном порядке начинаться с https.
Снятие части денег с карты через банкоматы перед транзакцией
Покупателям не следует держать все имеющиеся средства на карте. Идеальный вариант – сохранение суммы, равной цене покупки. 10% от общей стоимости закладывается на возможную комиссию.
Совершение покупок только в проверенных магазинах
Перед покупкой важно ознакомиться с отзывами о продавце на страницах популярных агрегаторов.
Заключение
Дополнительная мера защиты 3DS-аутентификация дает возможность обеспечения безопасности платежей, совершаемых в режиме онлайн. Снять деньги с карты без согласия владельца практически невозможно. Протокол защиты не обеспечивает 100% гарантию безопасности.
Карта не прошла 3DS-аутентификацию, либо отклонена платежной системой — что это значит
Торговля через интернет становится все более популярной, как и инструменты онлайн платежей. Созданные механизмы обеспечивают надежность и безопасность проведения финансовых операций, но и в них возможны сбои. Все чаще при онлайн оплате пользователи получают сообщение «Ваша карта не прошла 3DS-аутентификацию, либо отклонена платежной системой». Сбой возникает с картами Сбербанка, ВТБ24, Альфа банк. В статье мы расскажем что это за ошибка и почему она появляется.
Что это за аутентификация?
3DS аутентификация – специальный защитный протокол пользователей, путем ввода двухфакторной авторизации. Главное назначение разработанной технологии – повысить безопасность проведения сделки, снизить вероятность использования карты без ведома владельца путем дополнительного этапа подтверждения. Первой платежной системой, которая начала использовать эту функцию, является VISA, а остальные, оценив надежность технологии, подключили ее позднее.
Не все магазины используют 3DS Secure, позволяющую защитить пользователя, торговую точку и банк во время проведения оплаты. Об использовании технологии говорят логотипы:
Суть технологии в том, что при оформлении покупки добавляется дополнительный этап — подтверждение кода. Стандартно, схема приобретения товара через интернет в этом случае выглядит так.
Обратите внимание, что магазины не получают полные данные о карте, имея доступ лишь к части информации.
3DS Secure представлена отправкой защитного кода со стороны держателя карты. Он имеет несколько вариантов:
Таким образом, для проведения операции требуется карта, мобильный телефон, но если кодовое число выбрано владельцем пластикового носителя, то использование мобильного не требуется. Опция активируется в момент привязки данных карты и оплаты с нее.
Причины ошибки «Карта не прошла 3DS-аутентификацию»
Существует несколько основных факторов, которые приводят к появлению оповещения о неудачной транзакции:
Как исправить?
Начать нужно с проверки счета, если с этим не возникло проблем, то наиболее простой и оперативный способ решения – позвонить на горячую линию вашего банка. Например, в случае со Сбербанком звоните на 900, либо +7 495 500-55-50. Сотрудник кол-центра проверит настройки и подскажет, как решить проблему и вероятные причины возникновения. Если речь идет не о неполадках со стороны банка или платежной системы, то с помощью оператора решение проблемы займет 5-10 минут. Нет возможности разговаривать по телефону – все современные банковские структуры имеют штат онлайн-консультантов, с которыми можно связаться через форму чата на сайте.
Звонок оператору поддержки — самый оптимальный вариант
Если же вы хотите решить проблему самостоятельно, то начать нужно с проверки подключения функции. Для этого нужно сделать следующее.
Для подключения 3DS аутентификации оператор попросит предоставить:
Подключение занимает не более 1-2 суток. Услуга 3DS аутентификации в большинстве случаев платная, но есть банки, предлагающие бесплатное подключение.
Подведем итоги
3DS Secure – дополнительная мера защиты для повышения безопасности онлайн платежей. Пройти ее без наличия карты, владельца и номера телефона крайне проблематично, что снижает вероятность мошенничества. В обычных условиях этот этап включается в схему оплаты покупок от 3000 рублей и выше. Если карта не проходит 3DS-аутентификацию — обязательно проверьте активные опции у себя в кабинете, либо прозвоните оператору за прояснением.
Однако не стоит надеяться, что защитный протокол обеспечит 100% гарантию безопасности. Еще есть много магазинов, которые работают без этой технологии. Таким образом можно сказать, что эта функция полезна в комплексе с другими защитными средствами.
Часто при покупках онлайн жизнь покупателю омрачают разные технические заморочки. Одна из частых ситуаций – сбои в обработке платежей с пластиковых карт, в частности статус “Ваша карта не прошла 3DS-аутентификацию, либо отклонена платежной системой”. Обычно это уведомления выглядит так, хотя у некоторых банков могут быть свои обозначения, как у ВТБ: threedsservertransid. Например, такая ошибка частенько выскакивает при оплате на Авито.
Рассмотрим возможные причины такого отказа.
3Ds аутентификация – то же самое, что и 3-D Secure
Во-первых, определимся с терминологией. 3Ds аутентификация (она же 3D-secure) это по сути двухфакторная авторизация, двойное действие при подтверждении платежа.
От обычной оплаты в “один клик” 3д-секуре отличает то, что в этапах оплаты появляется еще один шаг – ввод кода на специальной странице вашего банка, который выпустил карту.
3D Secure – это когда при оплате в интернете Вам приходит SMS от Вашего банка, и Вы вводите полученный код в специальном окне.
Код может быть как постоянным, придуманным вами на этапе включения опции 3D-secure в личном кабинете или интернет-банкинге, так и одноразовым, который приходит в СМС или берется из карты кодов банка (всё это зависит от конкретной банковской сети, у разных брендов свои правила на этот счёт).
Данная опция включается при заключении договора обслуживания в банке или самостоятельно клиентом через интернет-банк. Вот как это выглядит в моём кабинете (но у каждого банка структура настроек отличается, и у вас всё может быть по-другому).
Банковские карты без проблем 3DS:
Карта Тинькофф Банк
Карта Альфа-Банк
Карта Банк Открытие
Самых частых причин, по которым карта не проходит и появляется статус “карта не прошла 3D-аутентификацию, либо отклонена платежной системой”, всего три:
Поэтому в момент оплаты пользователь видит незнакомое (не часто используемое для 3ds-secure) окно для ввода пароля, но по привычке или не имея под рукой нужного пароля – еще раз вводит пароль для интернет-банка. Пароль неверный, не для этого этапа, и происходит отказ в обслуживании пластиковой карты.Решения данной проблемы, исходя из вышеизложенных причин, тоже очевидны:
Если же решение не найдено – стоит копнуть глубже: проверить лимиты карты на выполнение суточных операций по сумме, на полный запрет интернет-транзакций или платежей в иностранных магазинах.
3D Secure, или что скрывают механизмы безопасности онлайн-платежей
Электронная коммерция — одна из самых больших и быстро растущих областей, в связи с чем она привлекает внимание как исследователей информационной безопасности, так и злоумышленников. Поэтому хотелось бы разобраться в некоторых аспектах механизмов безопасности, применяемых при проведении онлайн-платежей.
Один из протоколов, используемых для увеличения безопасности онлайн-платежей — 3D Secure. Это протокол, который был разработан на основе XML в качестве дополнительного уровня безопасности платежей, проводящихся без физического участия карты (card not present payment). VISA создала первую версию этого протокола, но вскоре его начали использовать и другие компании (Master Card, JCB International, AmEx, Мир), впоследствии объединившиеся с VISA в содружество EMV. EMV занимается поддержкой и развитием протокола 3DS.
Почему протокол 3D Secure называется именно так?
Полное название этого протокола — Three Domain Secure. Первый домен — домен эмитента — это банк, выпустивший используемую карту. Второй домен — домен эквайера — это банк и продавец, которому выплачиваются деньги. Третий домен — домен совместимости (interoperability domain) — инфраструктура, используемая при оплате картой (кредитной, дебетовой, предоплаченной или другими типами платежных карт) для поддержки протокола 3D Secure. Он включает в себя Интернет, подключаемый модуль продавца (merchant plug-in), сервер контроля доступа (access control server) и других поставщиков программного обеспечения.
Зачем это нужно?
3D Secure обеспечивает новый уровень безопасности путем предоставления дополнительной информации. Еще одним важным моментом является «перенос ответственности». Это означает, что в случае мошенничества вся ответственность ложится на банк-эмитент. Этот момент является очень важным для продавца (мерчанта), т.к. до появления 3D Secure урегулированием спорных вопросов приходилось заниматься мерчанту.
Также не стоит забывать о двух важных психологических аспектах: повышении доверия к онлайн-платежам и увеличении конверсии. Конверсия может быть увеличена за счет обновлений протокола 3DS, направленных на сокращение взаимодействия с пользователем.
Версии протокола 3D Secure
В настоящее время большинство платежных сервисов используют версию 1.0.2 при проведении онлайн CNP-платежей, запрашивающих OTP-код. Версия 1.0.2 была создана в 2001 году и в ней есть некоторые проблемы.
На данный момент актуальной версией является v2.2, и EMV планирует, что к концу 2020-го года она будет использоваться везде.
Как это устроено?
Это основная схема, необходимая для понимания всего процесса платежа с использованием механизма 3DS.
На этом рисунке мы видим все три домена, используемые в протоколе, а также последовательность сообщений между всеми участниками платежной операции.
Как это работает?
Главное, что необходимо понять, — это то, что при использовании своей карты (виртуальной или реальной) для онлайн-оплаты, вы сталкиваетесь именно с протоколом 3DS. Поэтому сейчас мы проиллюстрируем все этапы совершения онлайн-платежа.
1 — Покупатель уже добавил все необходимые ему товары в корзину и нажал кнопку «Оплатить». В этот момент он попадает на страницу MPI-сервиса, где вводит данные своей карты.
После нажатия кнопки оплаты продавец (MPI) инициализирует старт платежного потока и, согласно протоколу, отправляет CRReq-запрос (Card Range Request). Данный запрос необходим, чтобы найти банк-эмитент вашей карты и получить CRR из домена взаимодействия. Этот запрос нас мало интересует.
После этого MPI отправляет VeReq (Verification Request). Этот запрос отправляется банку-эмитенту для проверки того, что 3DS для данной карты включен и карту можно использовать для оплаты.
VeRes (Verification Response) содержит дополнительную информацию для следующего этапа платежа.
Клиенты не могут видеть эти два типа сообщений.
2 — MPI создает PaReq (Payment Request) — запрос на оплату. Этот запрос отправляется через редирект в браузере клиента.
Итогом отправки PaReq становится отображение запроса на ввод OTP-кода.
3 — Клиент вводит OTP-код и возвращается на сайт продавца. Опять же в процессе этого через редирект от банка-эмитента к MPI передается PaRes (Payment Response), который содержит информацию о статусе проверки.
А поподробнее?
CRReq/CRRes для нас не очень важны. А вот VeReq/VeRes рассмотреть нужно.
В VeReq самым важным параметром является идентификатор сообщения, информация о продавце и PAN карты.
VeRes возвращает message id, который необходим, чтобы сопоставить запрос с этим ответом. А status enrolled показывает, что карта поддерживается. Однако наиболее важным параметром в данном сообщении является URL-адрес. Этот параметр указывает, где находится ACS сервер эквайера и куда нужно отправить PaReq.
Pareq
Браузер клиента, совершающего оплату, может произвести достаточно много редиректов по различным компонентам, участвующим в совершении платежа. Так, в России есть некоторое количество запросов, обрабатывающихся на стороне Национальной Системы Платежных Карт. Но сегодня нас интересует только традиционный этап, описанный в спецификации протокола. А именно этап передачи PaReq.
Платежный запрос, содержащий PaReq (метод POST), имеет три параметра: 1) MD — данные продавца. Он нужен MPI, чтобы сопоставить PaReq и PaRes одной транзакции; 2) PaReq — параметр этого платежного запроса. Он содержит всю важную информацию о платеже; 3) TermUrl — URL-адрес, на который клиент будет возвращен в конце процесса аутентификации 3D Secure.
Параметры TermURL и MD всегда отражаются в ответе на данный запрос. Поэтому могут встречаться имплементации ACS, уязвимые к атакам типа reflected XSS. В процессе аудита различных систем такие сервера были найдены.
Важный момент №1: ACS сервера обрабатывают все входящие PaReq!
Что входит в параметр PaReq? Вы можете получить его значение, раскодировав PaReq. Это сделать достаточно легко, потому что PaReq — это Xml-> zlib-> base64-> urlencode. Для упрощения работы с этими запросами был написан плагин для burp.
Теперь мы видим, что из себя на самом деле представляет PaReq, а именно сообщение формата xml. Это сообщение содержит информацию о сумме платежа (purchAmount, amount и currency), некоторую информацию о продавце и MessageId (из VeReq).
При отправке правильно сформированного PaReq (в большинстве случаев вам не нужен полный набор запросов на оплату — требуется отправить лишь PaReq, содержащий параметры правильного типа и длины), мы получим PaRes — ответ на платеж, подобный следующему:
Первая мысль, которая может прийти в голову веб-исследователю, который видит XML-запрос — это попробовать выполнить XXE. И это правильный путь!
Но для начала посмотрим на то, что случится, если отправить некорректно сформированный PaReq. Мы получим ошибку! Вот несколько примеров таких ошибок:
Ошибка может помочь получить дополнительную информацию о версии ACS. Некоторые из них могут также оказаться полезными для получения данных из XXE.
Раскрутим XXE
Рассмотрим следующий пример:
acqBIN, merID, xid, date, purchAmount и currency отражаются в PaRes. Однако во всех реализациях ACS, которые мы нашли, удалось использовать только merID. Остальные параметры проверяются на соответствие типам данных.
Еще один интересный параметр (и наиболее полезный для атаки) — это URL. Этот параметр не отражается, но и не проверяется. Поэтому его можно использовать для эксплуатации XXE.
Вернемся к нашему примеру. В одной из реализаций ACS мы обнаружили, что можем читать короткие файлы, а также получать ответ в PaRes error через параметр merID. Таким образом, используя PaReq из примера выше, мы получали следующий ответ:
Тем не менее в большинстве случаев оставалось только использовать параметр URL для получения DNS или HTTP-запроса к нашему сервису. Другой вектор — это выполнить DOS через XXE-атаку «billion laughs» (проверялось на тестовом сервере).
Где это можно найти?
В ходе нашего исследования мы обнаружили несколько распространенных URL-адресов:
И распространенные имена поддоменов:
Впрочем, иногда вы можете найти и другие интересные пути. Если вы хотите найти что-то новое, используйте proxy interceptor и записывайте процесс совершения платежей для интересующей вас платежной системы.
3D Secure v 2. *
Как мы писали ранее, в 3DS v1.0 есть некоторые проблемы.
Основная проблема в том, что покупатель может использовать множество разных типов устройств. Планшет, мобильный телефон, умные часы, умный чайник и т.д. Но сайт ACS не всегда разработан для взаимодействия со всеми типами устройств.
Для этого в 3DS 2.0 предусмотрели 3DS SDK.
Другая проблема состоит в том, что новый тип защиты требует дополнительного взаимодействия с клиентом. И этот момент влияет на конверсию. Решением проблемы конверсии стала возможность использования механизма управления рисками, который позволяет не заставлять пользователя вводить дополнительные секретные данные, если банк обладает достаточным количеством информации, подтверждающей личность клиента.
Следующий важный момент заключается в том, что технологии аутентификации развиваются. Соответственно, 3DS могла бы использовать не только OTP. Поэтому v2 задумывалась с возможностью расширения поддержки различных механизмов аутентификации.
Интересный факт про v1.0. Люди некоторых стран не доверяли этому протоколу, потому что видели редирект и думали, что это мошенничество!
Этот психологический момент послужил причиной изменения спецификации второй версии протокола для сокрытия момента перенаправления.
Как работает 3D Secure v2?
Начало потока платежей аналогично предыдущей версии. Клиент должен указать данные своей карты.
Первый и самый важный момент — это Risk Engine. В версии 1.0.2 клиенты всегда должны вводить второй фактор, например OTP. Однако в версии 2. * клиент может никогда не увидеть этот дополнительный защищенный запрос.
Особенности работы v2
Если вы посмотрите на схему потока платежей, вы увидите, что она похожа на предыдущую, но во 2-й версии больше этапов. Это происходит за счет добавления дополнительных аутентификационных запросов и механизма Risck Engine, который может совершать как один дополнительный запрос (при платеже через браузер), так и множество (используется 3DS SDK).
Условно, 2-ю версию можно разделить на два блока. Красный, где пользователь непосредственно влияет на передаваемую информацию, и желтый, где система сама собирает и передает информацию о пользователе.
А поподробнее?
AReq (base64url) расскажет все о вас и об устройстве, с которого совершена покупка. Если вы задумаетесь о том, какой информацией о вас располагают рекламные агентства, то данные AReq вас не удивят. Но если вам кажется, что это плохо, рассмотрите следующий момент: банки знают все о ваших покупках и о вас. С этой точки зрения, некоторая дополнительная информация не так уж и плоха)
Это сообщение необходимо для работы системы управления рисками и упрощения покупок. Если этой информации оказалось недостаточно, Risk Engine сперва попытается получить дополнительную информацию, и именно в этот момент клиент может получить OTP-запрос.
Что контролирует пользователь?
CReq (base64url json) — challenge request — сообщение, отправляемое браузером пользователя, в случае если ARes вернет сообщение о необходимости провести Challenge Flow.
Если платежный процесс использует 3D Secure SDK, это сообщение будет зашифровано (JWE).
В CReq вы можете увидеть следующие поля:
К сожалению, нам пока не удалось провести достаточно подробное исследование 2-й версии протокола 3DS, поэтому сложно сказать, какие уязвимости встречаются чаще. Вы можете стать первым, кто опубликует исследование на данную тему.
Подведем итоги
Проблемы (найденные и возможные)
На что смотреть в v1
На что смотреть в v2
Тем, кто подумывает обратить свой взгляд на платежные системы, я бы посоветовал остановиться еще и на сервисах, предоставляющих 3DS как SaaS. Там может оказаться еще достаточно много вещей, которые помогут вам понять, как устроен мир онлайн-платежей.
