3D Secure: Куда списали деньги с карты Привата без подтверждения — «не» безопасные платежи 2025

На написание этой статьи подтолкнул случай мошенничества, с которым столкнулся мой клиент. У него списали деньги с карты Привата — немалую сумму. Больше всего меня вдохновили ответы поддержки, а в особенности Premium поддержки для владельца карты Visa Infinite. Материала много, давай по порядку.

Как может произойти платеж в интернете без введения кода 3D Secure?

В ходе выяснений (помогал клиенту понять, что отвечает поддержка), я нашел не мало интересной информации которой хочу поделится, а также расскажу как при помощи данных банковской карты можно расплатится в интернете без подтверждения — без ОТП пароля и в обход 3D Secure, это все может плохо закончится — если эти данные попадут в руки злоумышленников. Даже снял небольшой ролик, как картой Привата можно расплатится без введения 3DS и без подтверждения платежа в мобильном приложении. Смотрим ролик — а потом тезисно по этому поводу:

• Как можешь видеть — технология, разработанная платежными системами Visa (Verified by Visa) и Mastercard (SecureCode) — 3D Secure не сработала — почему это происходит непонятно, я об этом знал давно, а информацию освежил у websecurity.com.ua и благодаря тому что мой хостер использует интернет-эквайринг от Stripe — мне удалось записать экспериментальный ролик для наглядности;
• Все мы привыкли, что наши интернет платежи оберегает 3D Secure — который не даст списать деньги без нашего ведома. Так вот, как оказывается двухфакторная аутентификация может не прийти на помощь. Платежные системы распространенные в США и Европе, такие как Stripe (он-лайн эквайринг похожий на Fondy, WayForPay, LiqPay, EasyPay, Portmone) — при расчетах не требуют пароля из смс или подтверждения 3DS
• Номер карты, срок действия карты и CVV код — по прежнему очень важные реквизиты, которым необходимо обеспечить безопасность — не давать никому в руки (продавцам, официантам и всем остальным), не хранить скрин банковской карты в галерее телефона, не светить под камерами и т. д.;
• Кстати на физической карте Visa Infinite от Привата CVV код отсутствует и посмотреть его можно только в приложении. В приложении от Аккорд Банка, чтоб посмотреть этот код нужно дополнительно ввести ОТП пароль, а у monobanka он динамический (то есть дается на 20 минут и потом код становится недействительным). Так что мошенники не могли бы списать таким способом деньги, даже если бы они украли или сфотографировали карту — по причине того, что нет CVV кода, поэтому я продолжил поиски метода, который они использовали.

Куда списали деньги с карты без подтверждения?

Пока служба поддержки молчала, я решил, что клиент стал жертвой фишинговой атаки, ввел данные на сомнительном сайте со скидками. Тем более там было место в разговоре, что сначала хотели купить кроссовки в одном магазине, но нашли намного дешевле на сайте Nike (я подумал, что как раз этот сайт может быть фишинговым — мошенническим). Но после проверки сайтов, все было в порядке — сайты официальные, да и покупки были доставлены, а за отмену некоторых покупок вернулись деньги. Вопрос по фишингу был снят, поиски продолжились.

Тем временем служба поддержки давала неоднозначные ответы:

Скрины — пруфы переписки с поддержкой у меня все есть, но я не буду их выкладывать, так как они не мои личные и принадлежат получателю. Тебе придется поверить мне на слово или считать, что вся эта ситуация — плод моей фантазии:

• Выяснилось что все снятия мошенники сделали в Home Depot (строительный супермаркет в США) — снятия были на протяжении определенного количества дней, при этом не было ни одного сообщения от банка (ровные суммы — круглые: 100, 150, 200 долларов США за одно снятие), с периодичностью 40-60 минут. Это была единственная точная информация, но мы её и так видели по выписке.

На вопрос почему не было сообщений — ответ был достаточно странный — «обычно не приходят».

• География снятий поражала: LOS ANGELES, JAMAICA, HOLLYWOOD… (и еще с десяток локаций) — и все это в приделах часа, но система посчитала такие транзакции нерискованными и не заблокировала карту. По факту, клиент был тоже в США, но совершенно в другом штате.

На вопрос о широкой географии списаний, поддержка отвечала — «место списаний могло быть одно, а запросы на списание от сервиса приходили с разных точек» — жесть. (Представь рассчитался в АТБ по одному адресу — а в чеке другой, отошел на 40 минут, вернулся, ещё раз рассчитался — а в чеке уже новый адрес).

• Поддержка (обычная, не премиум) через день ответила, что все оплаты были совершены методом EMV — то есть проведение транзакции с использованием пластиковой карты — стандарт EMV (Europay, Mastercard, Visa) это бесконтактная оплата чиповой картой (но карта была с клиентом).

Персональная поддержка не отвечала, — у неё был кстати выходной.

• В тот же день, поддержка приняла заявку на возврат средств — звучало не плохо (но в течении 120 дней).

• На второй день — персональная поддержка ответила, что все операции происходили с введением кода 3DS — поэтому никакого возврата не будет. Никакого chargeback. Мы обращаясь в поддержку через reportaproblem.apple.com — но в кабинете нет транзакций которые могут подлежать возврату.

Как так? Еще вчера поддержка отвечала, что это была бесконтактная оплата картой, и вот тебе на следующий день появилось 3D Security? Ну ведь это протокол безопасности для онлайн-платежей? Вопросов стало ещё больше, — а как же Home Depot?

Магазин то может быть и он-лайн, так а как же EMV метод расчета — он подразумевает расчет по терминалу?

Ок. Если карта (метод EMV) — все понятно, а вот если оплата с 3DS — это интернет платежи, а у клиента стоял лимит на интернет операции — 100$. На вопрос почему не сработало ограничение, был любопытный ответ —

«Интернет лимит срабатывает при проведении рисковых операций, система анализирует сайт используя тысячи факторов — и оплата прошла, потому как сайт считается доверенным.» — я даже не могу описать этот бред одним словом!

Кроме того, даже если клиент где и засветил карту, то на ней нет CVV кода, что делает невозможным расчёты в интернет магазине — в интернет эквайринге это обязательный реквизит.

Пару, или несколько лет назад, у Привата была такая фича — раз заплатишь с паролем 3DS на сайте, в следующий раз не спрашивает. Но тут и первого раза не было. И как его сделать без CVV?

• На четвертый день, когда мы начали спрашивать, так это интернет платеж или бесконтактная оплата картой? Мол, вы отвечаете каждый раз по разному, пора бы определиться… Нас ждал сюрприз! Появился третий вариант:

«Все оплаты в Home Depot проводились через ApplePay».

Но в выписке ApplePay Wallet, по валютной карте — этих транзакций не было.

• Тогда мы решили попросить банк подать арбитраж МПС VISA согласно пункта 2.1.4.10.1 «Умов та Правил надання банківських послуг» — но нам ответили, что этот пункт только для операций с использованием карточки или реквизитов карты. А у нас ApplePay — это согласно «третьей версии банка», так что этот пункт нам остался недоступным.

Какие отличия между оплатой картой способом EMV и расчетами ApplePay?

На самом деле (в нашем споре с банком) ничем не отличаются. Как оказалось.

Основное отличие заключается в способе аутентификации и дополнительной безопасности: оплата картой EMV использует физическую карту с чипом, а Apple Pay — цифровой образ карты в телефоне, требующий подтверждения через биометрию (Face ID/Touch ID) или пароль, а также использует токен (виртуальный номер карты) вместо реальных данных карты для защиты от кражи. Оба способа работают через технологию NFC — поэтому банк и говорил о бесконтактных платежах (как и отражалось в логах.

В Apple Pay — 3DS работает автоматически — его запрашивает один раз при токенизации карты и потом система считает Apple Pay «доверенным», так как Apple обеспечивает более высокий уровень защиты от несанкционированного использования в случае утери устройства. Вот так вот.

Но полученные ответы нам уже ничем не помогли — а получили мы их аж на пятый день.

Как так? Так все защищено, а все равно оплаты прошли — деньги списали?

Телефон был с клиентом в момент списания и списания не отображены в ApplePay Wallet. Появилась мысль, что расчет происходил другим телефоном.

Поддержка ответила, что не видит, каким именно телефоном рассчитывались в Home Depot. Но можно было проверить, каким «уникальным токеном» били проведены оплаты.

Известно, что при добавлении карты в электронный кошелек, происходит токенизация — после чего твоя банковская карта которая имеет PAN номер из 16 цифр, информацию о сроке действия — не участвует в процессе расчетов напрямую, а в чеке будет отражаться последние 4 цифры не твоей карты, а карты MPAN (Merchant PAN — An Apple Pay merchant token) — его ещё называют уникальный токен.

У меня было ошибочное знание из практики, что номер MPAN банк не видит, но оказалось что это не так. Я провел эксперимент, рассчитался картой и спросил у поддержки MPAN который использовался в момент операции.

В примере у меня GPay, так как я пользуюсь Samsung, но с Apple Pay все аналогично:

После удачной проверки на себе, для понимания, мы задали вопрос поддержке по списаниям клиента.

Каким токеном (MPAN) рассчитались в Home Depot и когда он был создан, и какой был при расчетах которые делал обычно клиент месяц назад — которые кстати отражаются в ApplePay Wallet, и когда он был создан?

• В отличии от меня — который получил ответ за одну минуту в обычном чате, премиум клиент ждал свой ответ около суток. И в общем мы выяснили, что при списании средств участвовал «не наш» токен.

Как появился второй токен и как списывали деньги мошенники?

Суммы снятий были очень ровными, и я решил, что это снятие наличных на кассе Home Depot, но Google сказал, что в отличии от других супермаркетов (например как в нашем АТБ), Home Depot не платит кэшбэк (не путайте с банковским) — не выдает наличные на кассе. Скорее всего злоумышленники покупали «Подарочные карты», которые продает Home Depot — разных номиналов от $5 до $1000. Которые потом можно продать через Amazon, Target, eBay:

Срок действия подарочных карты Home Depot никогда не истекает, кроме того они не имеют скрытых сборов, поэтому на них есть спрос.

Но давай вернемся к списанию денег с карты:

Добавить карту в ApplePay Wallet можно двумя способами: или через приложение банка или в ручную.

1. Через приложение все происходит на автомате — после чего в сообщениях приложения остается уведомление, что такая карта добавлена в кошелек (это в Привате так, у некоторых банков нужно ввести ОТП, но в нашем случае карта Приват) — и у нас такого сообщения нет.
2. Но на телефон на котором не установлено Приват24 (как в случае с мошенниками) — карту можно добавить только в ручную, — это когда вводишь реквизиты карты в ApplePay Wallet через функцию добавить карту и потом нужно подтвердить, что ты владелец карты. И тут тоже дают два способа на выбор: нужно ввести код 3DS который придет на телефон собственника в виде СМС или подтвердить токенизацию в приложении (П24) собственника — приходит PUSH сообщение — с пятизначным кодом или кнопками подтвердить/отменить ). Если подверждать через СМС — на телефоне собственника останется СМС от Привата (а такого мы не наши), во втором случае — когда приходит PUSH, — ничего не остается.

Скорее всего — 99,9%, мошеннический способ был ручным — через подтверждение PUSH сообщением в приложении.

Но как это могло произойти по собственной воле? Только через фишинг.

Социальная инженерия в мошеннических схемах списания денег:

По материалам финансового портала Минфин — «Чаще всего в Украине мошенники используют сообщения от придуманной «Почты Украины», но известны случаи поступления таких сообщений от фиктивных (поддельных) операторов, которые называют себя (действуют от имени): DHL, Meest, Новой Почты и других операторов, но по факту человек отправляется не на сайт компании, а на подделку. Например вместо DHL — сообщение приходит от DHL_UA и т. д.»

Доставка посылок очень плотно вошла в нашу жизнь со времен COVID (на сегодня только Новая Почта насчитывает 11 миллионов клиентов), а с учетом того, что еще в конце 2020 года, в Украине у GPay и ApplePay насчитывалось 7 миллионов пользователей, то можно предположить, что достаточно большое количество людей, прямо в данный момент (прямо сейчас) ожидает доставку посылки.

Все что остается мошенникам разослать по «купленой» базе телефонов — спам о неверном адресе доставки вашей посылки, за пересылку которой нужно уплатить символическую сумму — и все будет хорошо.

На фишинговом сайте «жертва» вводит реквизиты карты, которые злоумышленники добавляют в GPay или ApplePay, а следующий шаг — это подтверждение. Нужно ввести код 3DS, который тут же «жертва» вводит в следующее поле (или на последующей странице — эмитируя оплату) — и передает все необходимые данные для мошенников.

Историю похожую на нашу мы встретили на сайте dev.ua — которая случилась с Юлией Ковальчук, — при помощи ApplePay у неё списали через Mercado Pago (Финансовая платформа, которая помогает предпринимателям принимать платежи онлайн и управлять финансовыми операциями в Мексике) 75000 гривен в эквиваленте (так как снимали в песо) с карты monobank. Ну прям как ситуация с Stripe, а суммы как у нашего клиента в Home Depot — ровные и круглые. И по словам Юлии, она ждала как раз посылку с DHL.

В нашем случае, клиент тоже активно пользовался доставками, делал покупки в интернет и ожидал разные посылки, и поймался на пересылке от UPS (United Parcel Service — частная компания в США, одна из крупнейших мировых служб экспресс-доставки и логистики) — точнее на фиктивной пересылке, то есть попал на фишинговое сообщение и сообщил мошенникам все данные, которые позволили токенизировать его карту в мошеннический ApplePay Wallet. Обидно и досадно и вернуть деньги практически невозможно. Так как Apple не будет возвращать деньги совершенные «мошенническим кошельком» и даже не заблокирует его, так как технически токенизация прошла вполне законно.

Вывод которые бы хотелось озвучить:

1. Каждый должен следить за своими действиями с платежными инструментами как в офф-лайн так и в он-лайн мире. Бдительность, понимание того, что ты и куда вводишь, какие данные передаешь — об этом постоянно сообщают в банках, на сайтах, в подписании соглашений при использовании приложений (которые 99,9% никто не читает). Это понятно.
2. Другим вопросом остается бездействие банка. Нетипичность транзакций видна невооруженным глазом. Каждые полчаса в одном магазине но в разных локациях происходит снятие. Это было более десяти транзакций, возможно можно настроить систему — хотя бы один раз из пяти, потребовать введения PIN кода? Или блокировки карты — сопровождающийся звонком от безопасности банка…
3. Почему банк с первого раза считает платежную систему Stripe доверенным?
4. И почему премиум поддержка, с первого раза не смогла разъяснить, что происходит. Я являюсь сотрудником банка с двадцатилетнем стажем, и даже мне понадобилось какое то время, что бы понять, что расчеты EMV и Apple Pay — отражаются одинаково. И что снятия с карты происходили через токенезированый мошеннический Apple Pay. Возможно в другом случае это могло бы спасти деньги клиента. А такие неоднозначные ответы, с учетом как долго они предоставлялись — никак не ассоциируются с работой «премиум» поддержки.

Вместо однотипных сообщений о том, что это сам клиент делает оплаты, менеджер тех поддержки должен был с первого раза написать:

Жека, с твоей карты **** 7845 идут списания по токену Apple Pay **** 5522, а твой предыдущий токен Apple Pay **** 0217 — какой сейчас у тебя токен в кошельке? **** 0217? О! Так **** 5522 — это скорее всего мошенники.

Но вместо этого, премиум поддержка (и премиум и обычная) писала про EMV, о 3DS, о Apple Pay — тем самым сбивая с толку клиента. Заблокировала и уничтожила токен клиента, а мошеннический токен просуществовал ещё пять дней и самостоятельно удалился.

Поддержка оказала максимум давления на клиента, и предоставила минимум помощи. Ответы которые приходилось практически выжимать у менеджеров, были похожи на — «сам дурак». В случае описанном на сайте dev.ua — которая случилась с Юлией Ковальчук, при помощи ApplePay у неё списали 75000 гривен в МоноБанке — аналогичен. Так же само клиент бился о безразличие банка, который одно отвечал, что со стороны банка всё «чики-пики».

Понятно, что клиент сам сообщил данные мошенникам и в нашем случае и в случае с моно, но явно не хватает профессионализма и заинтересованности в профессиональной помощи и консультации клиента в обоих банках.

Кстати, на форумах reddit.com — зафиксированы сотни таких случаев и у пользователей из США, и ответы таких банков как Chase — на 100% идентичные, как и в наших банках.

Так что, оберегайте свои платежные инструменты, будьте бдительны и подписывайтесь на мой канал, чтоб ничего не пропустить.