3-D Secure: що це і чому без нього небезпечно

3d secure що це: це протокол додаткового підтвердження онлайн-платежів картками Visa (Visa Secure) та Mastercard (Identity Check). Коли ви платите на сайті, банк просить підтвердити операцію - кодом із SMS, пушем у застосунку або біометрією. Без цього підтвердження платіж не пройде. Простими словами, 3-D Secure - це другий замок на ваших грошах: навіть якщо шахрай дізнався номер картки, термін дії та CVV, без коду підтвердження він не зможе оплатити покупку на сайті, який підтримує цей протокол.

Захист платежу - лише частина безпечної покупки. Не менш важливо обрати правильний спосіб розрахунку з продавцем: ми детально порівняли накладений платіж і передоплату з погляду ризиків для покупця. Якщо коротко: передоплата карткою безпечна лише на перевірених сайтах із 3-D Secure, а з незнайомими продавцями краще платити при отриманні.

Як працює 3-D Secure простими словами?

Назва розшифровується як Three-Domain Secure - три домени, тобто три сторони, що беруть участь у перевірці: банк-емітент (який випустив вашу картку), банк-еквайр (який обслуговує магазин) і платіжна система (Visa або Mastercard) як посередник. Коли ви вводите дані картки на сайті, запит проходить через усі три ланки.

1. Ви вводите номер картки, термін дії та CVV на сторінці оплати інтернет-магазину.
2. Магазин передає запит платіжній системі, а та - вашому банку-емітенту.
3. Банк оцінює ризик операції: суму, країну магазину, типовість покупки для вас.
4. Якщо потрібне підтвердження - ви бачите сторінку 3-D Secure: вводите код із SMS або підтверджуєте пушем чи біометрією в застосунку банку.
5. Після успішного підтвердження банк дає дозвіл, і гроші списуються з картки.

Весь процес займає секунди. Важливий нюанс: сторінка введення коду належить вашому банку, а не магазину - магазин ваш код підтвердження не бачить і не зберігає.

Чим 3-D Secure 2.0 відрізняється від першої версії?

Перша версія протоколу з'явилася ще на початку 2000-х і працювала просто: на кожен платіж - статичний пароль або SMS-код. Це дратувало покупців і не враховувало контекст операції. Версія 2.0 (EMV 3-D Secure), яку зараз використовують українські банки, працює розумніше.

Саме тому іноді платіж проходить без жодного коду - це не означає, що захисту немає. Банк просто оцінив операцію як низькоризикову: ви платите зі звичного пристрою, типову суму, знайомому продавцю.

Чому платити на сайтах без 3-D Secure небезпечно?

Якщо магазин не підтримує 3-D Secure, для списання грошей із вашої картки достатньо трьох реквізитів: номера, терміну дії та CVV. Усі вони надруковані на самій картці або вводяться на сайтах. Це означає, що будь-який витік цих даних - фішинговий сайт, злам бази магазину, фото картки - відкриває шахраю прямий шлях до ваших грошей.

• Фішингові сайти збирають реквізити карток і одразу пробують списати гроші саме через майданчики без 3DS - як розпізнати підробку, ми розібрали в матеріалі про ознаки фішингового сайту.
• Витоки баз даних: реквізити мільйонів карток продаються в даркнеті, і без 3DS вони повністю робочі.
• Подвійна відповідальність: за правилами платіжних систем, якщо операція пройшла без 3DS, відповідальність за фрод частіше лягає на магазин, а спір триває довше.
• Закордонні сайти: частина іноземних сервісів і досі не вимагає підтвердження - саме там найчастіше тестують вкрадені картки.

За даними НБУ, переважна більшість випадків карткового шахрайства в Україні відбувається в інтернеті, а не з фізичною карткою, і найпоширеніша схема - соціальна інженерія, коли жертва сама повідомляє реквізити або код підтвердження шахраям. Тобто 3DS захищає від крадіжки реквізитів, але не від ситуації, коли ви самі продиктували код.

Як перевірити, чи увімкнено 3-D Secure на вашій картці?

В українських банках 3-D Secure зазвичай активується автоматично під час випуску картки - окремо реєструватися, як 15 років тому, не потрібно. Але перевірити налаштування варто, особливо спосіб отримання кодів.

1. Відкрийте застосунок банку і зайдіть у налаштування картки (розділ на кшталт 'Безпека' або 'Ліміти й безпека').
2. Знайдіть пункт про інтернет-платежі або 3-D Secure: переконайтеся, що онлайн-розрахунки дозволені і підтвердження увімкнене.
3. Перевірте, куди приходять коди: пуш у застосунок надійніший за SMS, бо SMS можна перехопити через підміну SIM-картки.
4. Переконайтеся, що в банку актуальний ваш номер телефону - інакше коди підуть на старий номер.
5. Якщо пункту немає - зверніться в підтримку банку: у редакційній перевірці застосунків великих українських банків налаштування інтернет-платежів знаходилося за 2-3 кліки.

Чому іноді платіж проходить без коду підтвердження?

Це найчастіше питання користувачів. Причин кілька, і не всі вони небезпечні.

• Frictionless flow у 3DS 2.0: банк оцінив операцію як низькоризикову і пропустив без коду - захист при цьому працював.
• Токенізовані платежі: оплата через Apple Pay або Google Pay підтверджується біометрією на телефоні, окремий код не потрібен, бо біометрію платіжні системи визнають еквівалентом 3DS.
• Збережена картка з підпискою: рекурентні списання (Netflix, таксі) після першої підтвердженої оплати проходять без 3DS - так влаштовані правила платіжних систем.
• Магазин не підтримує 3DS: найгірший варіант - запит просто не дійшов до перевірки. Так трапляється з частиною закордонних сайтів.

Якщо з картки списали гроші за покупку, якої ви не робили, і код ніхто не питав - діяти треба швидко: заблокувати картку і звернутися в банк. Покрокову інструкцію ми зібрали в статті що робити, якщо списали гроші з картки.

Чи захищає 3-D Secure від шахраїв повністю?

Ні, і це важливо розуміти. 3DS закриває один вектор атаки - використання вкрадених реквізитів. Але шахраї адаптувалися і тепер атакують найслабшу ланку - саму людину.

• Виманювання коду: 'співробітник банку' або 'покупець з ОЛХ' просить продиктувати код із SMS. Банк ніколи не питає коди підтвердження - нікому і ніколи їх не називайте.
• Фішингова сторінка 3DS: підроблений сайт показує фальшиве вікно введення коду, а справжній платіж шахрай проводить паралельно на іншому сайті.
• Підміна суми та отримувача: вам кажуть, що код 'для скасування операції', а насправді ним підтверджується переказ шахраю. Завжди читайте текст SMS: там вказані сума і назва магазину.

Окрема категорія обману - фейкові SMS про посилки та виграші з посиланням на сторінку 'оплати доставки': там у вас просять реквізити картки і код підтвердження, після чого списують значно більшу суму, ніж було вказано на екрані. Такі схеми ми детально розібрали в матеріалі про шахрайські SMS про посилку. Правило одне: будь-яка несподівана вимога ввести дані картки за посиланням із повідомлення - привід зупинитися і перевірити сайт.

Якщо платіж усе ж пройшов на шахрайський магазин, шанс повернути гроші є - через процедуру оскарження в платіжній системі. Як вона працює і які потрібні документи, читайте в інструкції як оформити чарджбек покроково.

Як посилити захист картки понад 3-D Secure?

3DS - базовий рівень. Для регулярних онлайн-покупок, особливо на закордонних сайтах, варто додати ще кілька рівнів захисту.

• Окрема картка для інтернету: тримайте на ній лише суму поточної покупки і поповнюйте перед оплатою - так навіть успішна атака не спустошить основний рахунок.
• Віртуальна картка: для разових оплат на незнайомих сайтах зручно створити віртуальну картку і закрити її після покупки.
• Ліміти на інтернет-операції: встановіть денний ліміт у застосунку банку - навіть якщо реквізити витечуть, шахрай не зніме більше.
• Сповіщення про всі операції: миттєво побачите підозріле списання і встигнете заблокувати картку.
• Apple Pay / Google Pay замість введення реквізитів: магазин отримує токен, а не справжній номер картки.

Окремо подбайте про дані, які ви залишаєте в магазинах разом із карткою: ім'я, телефон, адресу доставки. Що менше сайтів зберігають ваші реквізити і персональні дані, то менша поверхня атаки. Видаляйте збережені картки з акаунтів, якими не користуєтеся, не реєструйтеся в магазинах через сторонні сервіси без потреби і вмикайте двофакторну автентифікацію в облікових записах. Базові правила ми зібрали в гіді про захист персональних даних під час онлайн-покупок. Пам'ятайте: витік даних з акаунта магазину часто стає першим кроком до атаки на вашу картку, навіть якщо сам платіж захищено 3-D Secure.

Що робити, якщо код 3-D Secure не приходить?

Поширена побутова проблема: оплата висить на сторінці підтвердження, а SMS немає. Найчастіші причини і рішення:

1. Перевірте зв'язок: у роумінгу або при слабкому сигналі SMS затримуються - спробуйте увімкнути/вимкнути авіарежим.
2. Перевірте номер у банку: якщо ви міняли номер телефону і не оновили його в банку, код іде на старий номер.
3. Подивіться пуш-повідомлення: можливо, банк надсилає підтвердження в застосунок, а не SMS.
4. Не натискайте 'Оплатити' повторно кілька разів: можливі дублі авторизації і подвійне холдування коштів на картці.
5. Якщо код так і не прийшов - скасуйте оплату, зверніться в підтримку банку і повторіть платіж після вирішення проблеми.

Висновки: коротка пам'ятка про 3-D Secure

3-D Secure - обов'язковий мінімум безпеки для онлайн-покупок: він блокує платежі за вкраденими реквізитами, вимагаючи підтвердження від власника картки. Версія 2.0 робить це непомітно для більшості звичних операцій. Але протокол не захищає від соціальної інженерії: код підтвердження - це ваш підпис, і називати його не можна нікому. Перевірте налаштування 3DS у застосунку банку, переведіть підтвердження на пуш, заведіть окрему або віртуальну картку для інтернету - і ризик втратити гроші при онлайн-оплаті знизиться в рази. А якщо товар оплатили, але він не приїхав чи не підійшов, пам'ятайте: за законом про захист прав споживачів у вас є 14 днів на повернення якісного товару, придбаного дистанційно, тому зберігайте підтвердження оплати і листування з продавцем.

Часті запитання

Джерела

1. Національний банк України - безпека платежів і протидія шахрайству
2. Visa Secure - офіційна сторінка технології
3. Mastercard Identity Check - офіційна інформація
4. Кіберполіція України - попередження про платіжне шахрайство