12345 (нет оценки)
Загрузка...

Почему 3-D Secure пароли в онлайн-платежах убивают ваш бизнес

Автор: Maxim Maxim Kozenko

Все мы давно привыкли, что 3-D Secure пароли, которые мы вводим при оплате онлайн услуг и товаров на сайтах — это вынужденная необходимость, защищающая как покупателей, так и интернет-магазины от потенциального мошенничества. Но также для покупателей и предпринимателей это большая головная боль — пароли забываются, не приходят SMS, в мобильных устройствах их не очень удобно вводить. В результате из-за небольшого количества платежей, по которым реально требуются такая серьезная защита (это всего-навсего около 5%, по признаниям платежной системы Visa), страдают все: как электронный бизнес, так и конечный потребитель. Так, конверсия из-за брошенных оплат может падать от 5% до критических 50% когда крупные банки или мобильные операторы испытывают технические проблемы с доставкой SMS. При этом 3-D Secure, активированный на карте, не защищает держателя карты в полной мере и, по-прежнему, позволяет мошенникам незаконно воспользоваться картой в интернет-магазинах, которые не поддерживают это протокол безопасности.

Как известно, Visa разработала протокол 3-D Secure еще в 2001 году и начала процесс его лицензирования в 2004 году для других систем, которые предлагают его под своим собственными марками. Например, в MasterCard Inc., свой сервис называется MasterCard SecureCode.

Несмотря на эффективность в предотвращении онлайн фрода, протокол 3-D Secure не нашёл большой поддержки среди эмитентов карт и мерчантов из-за нестабильности работы, в том числе в его ранних итерациях, когда всплывающее окно вынуждало кардхолдера временно уходить с платежной страницы оформления заказа во время проведения покупки. При этом многие потенциальные клиенты просто отказывались завершать процесс оплаты.

И хотя применение протокола 3-D Secure переносит ответственность за мошеннические транзакции в сети с мерчантов на банки-эмитенты и защищает интернет-магазины от претензий держателей карт, например в США только 18% платежей проходит через протокол 3-D Secure (согласно данным компании Aite Group LLC), и это при том, что этот процент утроился, начиная с 2013 года. Одной из причин низкой популярности 3-D Secure является также его ограниченность, топорность и при этом довольно высокая стоимость внедрения. Так, например, протокол не предполагает анализа типа устройства с которого осуществляется транзакция, истории платежей клиента, для понимания, является ли операция типовой для конкретного плательщика и вынуждает владельца карты вводить пароль абсолютно при каждом платеже, даже на малые суммы по вполне безопасным платежам таким, например, как оплата коммунальных услуг. Также в современной реализации протокола не предполагается какой-либо возможности использовать машинное обучение и сторонние антифрод-системы, которые смогли бы сделать ввод пароля избирательным на основании анализа данных.

И вот спустя 15 лет в этом направлении начались некоторые сдвиги. Международная платёжная система Visa заявила о том, что вместе с MasterCard они улучшат меры безопасности для своих сервисов: Verified by Visa и MasterCard SecureCode.

Заявление компании предшествует более глобальным изменениям, которые ожидают технологию 3-D Secure, лежащую в основе сервиса Verified by Visa. Организация по распределению стандартов чиповых карт EMVCo, которой управляют шесть международных платёжных систем, включая Visa и MasterCard, работает над усовершенствованной версией технологии, а именно 3-D Secure 2.0, которую планируют запустить к концу года.

В своём посте-объявлении об изменениях, опубликованном в корпоративном блоге, Visa указала на то, что усовершенствования в моделировании рисков и прогнозной аналитике дают возможность убрать пароли, не делая систему уязвимой для мошенников. По данным Visa, многие эмитенты уже перешли на, сопряженную с риском, т.н. динамическую аутентификацию. Компания указала на то, что анонсированные ею изменения затронут и её клиентскую базу.

В посте говорится о том, что Visa будет постепенно отказываться от статических паролей и процесса их регистрации, подтвержденных сервисом Verified by Visa. Более того, держатели карт Visa будут освобождаться от введения Verified by Visa пароля при осуществлении покупок в сети.

Эмитенты и мерчанты всё больше полагаются на контекстуальные данные, в том числе на историю транзакций кардхолдера в интернет-магазине, геолокацию, проверки устройства с целью подтверждения наличия данных о транзакциях, проведённых через компьютер, планшет или смартфон, а также оценку риска мошенничества по приостановленной транзакции.

“Внедрение алгоритмов в анализ этих данных позволяет оценивать рискованность каждой транзакции в режиме реального времени, предоставляя эмитентам более качественные сведения для понимания необходимости принятия решения по дополнительной проверке,” говорится в блог посте. “Для большинства транзакций, которые считаются низкорисковыми, процесс покупки может быть продолжен без дополнительной аутентификации.“

Таким образом, от международных платежных систем в скором времени можно ожидать внедрения обучаемых алгоритмов и продвинутых систем анализа мошенничества при работе с 3-D Secure паролями, что поможет в будущем упростить платежи в сети интернет и сделать их еще более безопасными. Компания MasterCard уже сообщала, что используя свою систему Safety Net, созданную на базе алгоритмов машинного обучения, смогла отразить 3 крупные атаки на сети банкоматов в первые 2 месяца 2016-го года, анализируя аномалии и географические зоны при попытках снятия средств. Также технологии искусственного интеллекта для борьбы с фродом есть и у компании Сybersource, которую платежная система Visa приобрела в 2010 году. Соответственно, вполне можно ожидать, что уже в скором времени технологии машинного обучения, искусственного интеллекта и анализа Big Data будут использоваться в интернет платежах.

А пока мы все в ожидании революции, самыми действенными методами улучшения конверсии интернет-магазина остаются следующие:

  • выборочное использование протокола 3-D Secure по низкоризковым платежам на стороне платежного провайдера
  • использование каскадного процессинга платежей — технологии, которая позволяет в зависимости от деталей плательщика направить его транзакцию на наиболее подходящий банк/процессинг/страну
  • использование гибкой антифрод-системы на стороне платежного провайдера, которая отфильтрует подозрительные платежи, не влияя существенно на конверсию
  • “ручной” анализ платежей на наличие аномального поведения плательщика службой фрод-мониторинга провайдера

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *