# 3D Secure: как защита карточных транзакций работает против мошенников

> 3D Secure — стандарт защиты онлайн-платежей картой. Разбираем, как работает технология, в чём разница между 3DS1 и 3DS2, и почему мошенники всё равно пытаются её обойти.

- **Дата публикации:** 2025-07-03
- **Автор:** Динара Молдабекова
- **Язык:** Русский
- **Теги:** антифрод, банки, кибербезопасность, мошенничество, Казахстан

---
Вы когда-нибудь замечали, что при оплате картой онлайн иногда появляется окно с SMS-кодом, а иногда — нет? За этим стоит протокол _3D Secure_ — один из ключевых стандартов защиты карточных транзакций в интернете. Понимание того, как он работает, поможет вам лучше защитить свои деньги.

## Что такое 3D Secure

3D Secure — это протокол аутентификации плательщика при карточных транзакциях в интернете, разработанный в рамках стандартов платёжных систем Visa (Verified by Visa) и Mastercard (Mastercard SecureCode). «Три домена» — это банк покупателя, банк продавца и платёжная система. Казахстанские банки обязаны поддерживать этот протокол в соответствии с требованиями Национальный банк.

> 3D Secure переносит ответственность за мошенническую транзакцию с банка-эмитента на банк продавца, если продавец не поддерживает протокол. Это важный стимул для внедрения технологии.

## 3DS1 против 3DS2: в чём разница

Параметр

3DS версия 1

3DS версия 2

Аутентификация

Всегда требует SMS-код

Риск-ориентированная: часто без SMS

Пользовательский опыт

Всплывающее окно, редиректы

Бесшовная интеграция

Анализ данных

Минимальный

100+ параметров транзакции

Мобильная поддержка

Ограниченная

Полная (приложения, биометрия)

Конверсия

Ниже (много отказов)

Выше (меньше лишних проверок)

## Как работает 3D Secure пошагово

1.  Вы вводите данные карты на сайте продавца
2.  Сайт передаёт данные в банк продавца (банк-эквайер)
3.  Эквайер направляет запрос в платёжную систему
4.  Платёжная система обращается к вашему банку-эмитенту
5.  Банк-эмитент оценивает риск (в 3DS2 — анализирует 100+ параметров)
6.  При низком риске — транзакция проходит без дополнительного подтверждения
7.  При среднем/высоком риске — вам отправляют SMS или Push-уведомление с кодом
8.  После ввода кода транзакция завершается

## Как мошенники атакуют 3DS

### Атака через SIM-свопинг

Мошенник переоформляет вашу SIM-карту на себя и получает все SMS-коды. Это одна из самых опасных атак на 3DS. Решение: переключитесь на аутентификацию через Push в приложении банка — там SIM-своп не поможет.

### Социальная инженерия

Мошенник звонит от имени банка и просит назвать «код подтверждения», который только что пришёл. Запомните: сотрудники банка никогда не запрашивают SMS-код по телефону. Код нужен только вам для подтверждения вашей операции.

### Фишинговые сайты

Поддельный сайт имитирует страницу 3DS вашего банка и собирает введённые коды. Всегда проверяйте URL: официальная страница 3DS должна принадлежать домену вашего банка.

## Когда 3DS не срабатывает

-   Продавец не подключён к протоколу 3DS (особенно иностранные сайты)
-   Транзакция прошла по токенизированным данным (Apple Pay, Google Pay)
-   Сумма ниже установленного порога для проверки
-   В 3DS2 система оценила риск как минимальный

## Лучшие практики для защиты

-   Используйте Push-уведомления в приложении вместо SMS, где возможно
-   Никому не сообщайте OTP-код, пришедший от банка
-   Проверяйте URL страницы подтверждения — он должен принадлежать банку
-   Настройте отдельную виртуальную карту для онлайн-покупок с лимитом
-   Включите уведомления о каждой транзакции

Подробнее об инструментах защиты читайте в материале [как работают антифрод-системы в банках](/blog/antifraud-sistemy-bankov-kazakhstan) и статье о [SIM-свопинге в Казахстане](/blog/sim-svoping-kazakhstan).