Подтверждения платежей с банковских карт частично отменены. Держателям карт «МИР» разрешили делать покупки онлайн без смс-подтверждения. Это связано с тем, что банки и платежная система начали внедрение стандарта безопасности 3D-Secure 2.0. Будут ли безопасны такие покупки, телеканалу «МИР 24» рассказал начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности IT-компании Алексей Сизов.
- Что это за стандарт?
Алексей Сизов: Стандарт безопасности 3D-Secure 2.0 активно начинает внедряться в различных странах. В 2019 году он начал применяться в Европе, в 2020-2021 году он должен быть внедрен на территории Америки, потом на территории азиатских стран и постепенно закрыть весь мир. Этот стандарт пришел на смену первой версии, которая была выпущена больше 15 лет назад. За прошедшее время произошли существенные изменения в банковских процессах, технологиях, которые используют банки для предоставления услуг. Изменяется подход и технологии процесса оплаты банковскими картами покупок, совершаемых в интернете.
Первый фактор, зачем нужен новый стандарт, – регулировать особенности использования технологий, которые появились.
- Насколько технология безопасна?
Алексей Сизов: Этот стандарт позволит чуть более эффективно, гибко проводить аутентификацию пользователей в процессе покупок в интернете. До недавнего времени все операции в интернете, которые совершались по банковской карте, с точки зрения эмитента содержали классическую информацию об операции, как будто она проводится не в интернете, а в обычной торговой точке.
Сегодня при контроле действий пользователей в интернете существует достаточно большое количество параметров – IP-адреса, контроль устройств – которые раньше стандарт не включал, но которые позволяют более точно идентифицировать плательщика, характер операций, тем самым эффективно противодействовать потенциальным атакам, которые совершаются третьими лицами.
Как это будет работать? Дополнительная аутентификация, а мы привыкли к смс-паролям, которые мы получаем в момент совершения покупок, конечно же, не уйдет. Но этот стандарт позволяет чуть более гибко подходить к выбору способа аутентификации. В реалиях России часть покупок будет совершаться без такого подтверждения. В первую очередь, это низкорисковые торговые точки, в которых конечный владелец банковской карты достаточно часто совершает покупки. Классическая ситуация, когда вам необходимо подтверждать по одноразовому паролю операцию оплаты электроэнергии, квартплаты – это, скорее всего, уйдет. Это повышает удобство работы сервисов, потому что не секрет, что конверсия в момент включения первой версии 3D-Secure, то есть объем операций, который совершался людьми в интернете, в некоторых странах упал. Это дополнительный фактор, неудобство.
Надо признать, что если в России 3D-Secure использует смс, то в некоторых странах (это не запрещает стандарт) – некие одноразовые пароли, которые иногда генерились самим банком, которые нужно было носить с собой и помнить о них, это было не так удобно для некоторых клиентов. Этот стандарт позволяет более гибко подходить к способам аутентификации. Это могут быть смс, биометрия, которая сегодня активно используется на смартфонах, и другие средства, которые появились в последнее десятилетие и не были включены в первый стандарт.
- Только ли о безопасности речь идет? Может быть, банк хочет сэкономить на смс?
Алексей Сизов: Да, действительно, сегодня смс-уведомления клиентам – одноразовые пароли – это достаточно немаленькая статья бюджета банковских организаций. Стоимость смс выросла в некоторых случаях кратно – за последние 10 лет раз в 20-30. Конечно, мотивация для банков переходить на этот стандарт – это не только повышение безопасности, адаптивный выбор, какую операцию подтверждать, какую не подтверждать, но и возможность сэкономить расходы финансовой организации на рассылку смс-уведомлений с теми же паролями.
- Новая технология должна позволить банкам более эффективно бороться с мошенничеством, в частности, с попытками списания денег с карт при переводах?
Алексей Сизов: С точки зрения эффективности борьбы это так. Этот стандарт обязывает передавать чуть больше информации, связанной с операциями в интернете. Это позволит банку получать сведения о том, с какого устройства совершались операции, о параметрах сессии в интернете, которые совершались в процессе операции, даже дополнительные характеристики, что именно покупалось в рамках транзакции. Это хороший механизм, который позволяет минимизировать дополнительные действия, которые должны были совершать пользователи, чтобы подтверждать операцию.
Для рядового пользователя примерно 70% операций, которые совершаются в интернете, будут проходить быстрее, удобнее. С точки зрения мониторинга это более точный анализ, более правильная и полная идентификация того, что происходит, оценка рисков и выбор того способа аутентификации, который наиболее правильный для конкретного клиента, для условий, где он находится.
- Короткий совет о том, как обезопасить свои сбережения и не стать жертвой интернет-мошенников?
Алексей Сизов: Советы при появлении нового стандарта не меняются. Совет один – любые операции в интернете я бы рекомендовал осуществлять с банковской карты, на которой есть некий лимит по объему денежных средств, размещенных на ее счете. При необходимости на этот счет денежные средства лучше переводить и пользоваться ей только в сети интернет.
Классика советов – неразглашение одноразовых паролей, которые вам присылает банк для подтверждения операции, максимальное непредоставление информации о CVV/CVC2 – трех цифр, размещенных на обратной стороне карты, предоставление сведений о номере и сроке действия только в рамках веб-форм, страниц в мобильных приложениях, но не сотрудникам колл-центра, тем более, магазинов или банков, с которыми вы не имеете договорных обязательств.
Подробнее в сюжете: Гости эфира