3D Secure: как защита карточных транзакций работает против мошенников
Вы когда-нибудь замечали, что при оплате картой онлайн иногда появляется окно с SMS-кодом, а иногда — нет? За этим стоит протокол 3D Secure — один из ключевых стандартов защиты карточных транзакций в интернете. Понимание того, как он работает, поможет вам лучше защитить свои деньги.
Что такое 3D Secure
3D Secure — это протокол аутентификации плательщика при карточных транзакциях в интернете, разработанный в рамках стандартов платёжных систем Visa (Verified by Visa) и Mastercard (Mastercard SecureCode). «Три домена» — это банк покупателя, банк продавца и платёжная система. Казахстанские банки обязаны поддерживать этот протокол в соответствии с требованиями АРРФР.
3D Secure переносит ответственность за мошенническую транзакцию с банка-эмитента на банк продавца, если продавец не поддерживает протокол. Это важный стимул для внедрения технологии.
3DS1 против 3DS2: в чём разница
| Параметр | 3DS версия 1 | 3DS версия 2 |
|---|---|---|
| Аутентификация | Всегда требует SMS-код | Риск-ориентированная: часто без SMS |
| Пользовательский опыт | Всплывающее окно, редиректы | Бесшовная интеграция |
| Анализ данных | Минимальный | 100+ параметров транзакции |
| Мобильная поддержка | Ограниченная | Полная (приложения, биометрия) |
| Конверсия | Ниже (много отказов) | Выше (меньше лишних проверок) |
Как работает 3D Secure пошагово
- Вы вводите данные карты на сайте продавца
- Сайт передаёт данные в банк продавца (банк-эквайер)
- Эквайер направляет запрос в платёжную систему
- Платёжная система обращается к вашему банку-эмитенту
- Банк-эмитент оценивает риск (в 3DS2 — анализирует 100+ параметров)
- При низком риске — транзакция проходит без дополнительного подтверждения
- При среднем/высоком риске — вам отправляют SMS или Push-уведомление с кодом
- После ввода кода транзакция завершается
Как мошенники атакуют 3DS
Атака через SIM-свопинг
Мошенник переоформляет вашу SIM-карту на себя и получает все SMS-коды. Это одна из самых опасных атак на 3DS. Решение: переключитесь на аутентификацию через Push в приложении банка — там SIM-своп не поможет.
Социальная инженерия
Мошенник звонит от имени банка и просит назвать «код подтверждения», который только что пришёл. Запомните: сотрудники банка никогда не запрашивают SMS-код по телефону. Код нужен только вам для подтверждения вашей операции.
Фишинговые сайты
Поддельный сайт имитирует страницу 3DS вашего банка и собирает введённые коды. Всегда проверяйте URL: официальная страница 3DS должна принадлежать домену вашего банка.
Когда 3DS не срабатывает
- Продавец не подключён к протоколу 3DS (особенно иностранные сайты)
- Транзакция прошла по токенизированным данным (Apple Pay, Google Pay)
- Сумма ниже установленного порога для проверки
- В 3DS2 система оценила риск как минимальный
Лучшие практики для защиты
- Используйте Push-уведомления в приложении вместо SMS, где возможно
- Никому не сообщайте OTP-код, пришедший от банка
- Проверяйте URL страницы подтверждения — он должен принадлежать банку
- Настройте отдельную виртуальную карту для онлайн-покупок с лимитом
- Включите уведомления о каждой транзакции
Подробнее об инструментах защиты читайте в материале как работают антифрод-системы в банках и статье о SIM-свопинге в Казахстане.
Столкнулись с блокировкой по антифроду?
Если ваша карта или счёт заблокированы, оставьте заявку — мы поможем разобраться.
Оставить заявкуПохожие статьи
Безопасность корпоративных мессенджеров: защита бизнес-переписки от мошенников
17 ноября 2025 г.
Социальная инженерия в бизнесе: корпоративные угрозы и защита персонала
30 июня 2025 г.
Фальшивые мобильные приложения: угрозы и защита в Казахстане
24 апреля 2025 г.
Кибервымогательство и ransomware: как защитить бизнес в Казахстане
18 февраля 2025 г.