РБК: для безопасности онлайн-покупок нужно завести отдельную карту

РБК: для безопасности онлайн-покупок нужно завести отдельную карту

Далеко не все онлайн-магазины в России защищают платежи с помощью технологии 3D Secure, которая предусматривает подтверждение операции с помощью кода из СМС, отправленного на телефонный номер, привязанный к карте покупателя. Этой уязвимостью могут воспользоваться мошенники и оплатить товары чужой картой. Вот только для этого им потребуется найти платежные данные скомпрометированных карт. О том, как такое может происходить и можно ли защитить свои деньги от мошеннических платежей, рассказал РБК.

Когда на телефон не приходит подтверждение платежа

Эксперт направления развития продуктов электронной коммерции международного платежного провайдера Ecommpay Артур Заремба отметил, что на сегодняшний день более 50% интернет-магазинов, работающих на российском рынке, не проводят платежи с использованием 3D Secure.

По данным компании по безопасности BI.ZONE («дочка» Сбербанка), порядка 74% операций в интернет-магазинах подтверждаются с помощью 3D Secure. Для иностранных магазинов же доля операций с подтверждением через 3DS не превышает 7%, сказал представитель компании, напомнив, что крупнейшим иностранным маркетплейсом, работающим в России, является AliExpress, за ним следуют eBay и Amazon.

По словам трех источников РБК на платежном рынке, 3D Secure не всегда использует крупнейший маркетплейс — AliExpress. Об этом же говорит и Заремба.

Отказ от 3DS объясняется желанием продавца увеличить проходимость платежей и количество успешных покупок, так как очень часто пользователь может получить ошибку в проведении платежа именно при попытке его проверки, объясняет Заремба: «Например, у пользователя может не открыться страница ввода 3DS пароля или, банально, не оказаться под рукой телефона, чтобы подтвердить платеж». Также, по его словам, использование 3DS увеличивает для магазинов комиссию за прием карт к оплате, которую он платит банку-эквайеру. При проведении платежей без проверки магазин берет на себя более высокие риски, например ему могут грозить штрафы от платежных систем, если он в назначенный срок не сможет показать снижение мошеннических операций и чарджбэков, говорит Заремба. «Мерчанты, особенно крупные маркетплейсы, пытаются придерживаться номинального показателя в 1% мошеннических операций», — оценивает эксперт.

Что делать, чтобы снизить ущерб и вернуть деньги

Чтобы провести подобные платежи через интернет-магазины, мошенники должны получить платежные данные карты: ее номер, имя владельца, срок годности и трехзначный номер с обратной стороны. Так как интернет-магазин не проводит проверку с помощью 3DS, то номер телефона, привязанный к карте, не нужен. Получить данные карты злоумышленники могут в слитых базах из интернет-магазинов, банков и так далее либо с помощью фишинговых сайтов. Такие сайты создаются мошенниками для получения данных карт: клиент думает, что вводит их для оплаты покупки, а на самом деле они попадают в руки злоумышленников.

Для снижения риска крупных потерь при получении доступа мошенников к данным карты, основные средства лучше хранить на отдельном счете в банке, не привязанном к карте.  Для онлайн-покупок также можно завести отдельную карту. Если мошенники все-таки украли деньги путем проведения платежей в онлайн-магазинах без 3D Secure, то клиент сможет вернуть средства. «В рамках правил, установленных платежными системами, по несанкционированным транзакциям, проведенным без использования 3D Secure, ответственность возлагается на того участника в цепочке расчетов, кто не использует данный сервис», — объясняет представитель Промсвязьбанка. Если торгово-сервисное предприятие не поддерживает 3D Secure, то у банк-эмитента есть право запустить процедуру возврата оспариваемых средств — чарджбэк. Об этом напомнил директор департамента информационной безопасности Росбанка Михаил Иванов. Он пояснил, что для этого пользователь должен подать заявление в свой банк на оспаривание мошеннической операции, заявив, что он не распознает покупку и что он ее не совершал, главное — сделать это не позднее чем через 120 дней с даты совершения транзакции, рассказал Заремба. В некоторых случаях срок может быть даже больше. Если злоумышленник использовал карту в интернете по сценариям, не требующим двухфакторной авторизации, ее владелец сможет опротестовать такие транзакции и вернуть средства, а в некоторых случаях торговые площадки сами пойдут навстречу и вернут платеж, если заказ не был отправлен, добавляет источник РБК на рынке онлайн-торговли. «Но если вместе с картой злоумышленник получил доступ к телефону и смог подтвердить платеж с помощью двухфакторной авторизации, опротестовать такие операции и вернуть средства практически невозможно — это можно сделать только по решению суда при содействии правоохранительных органов», — предупредил он.

Мы в соцсетях           

 

 

Leave a Reply