Как 3D‑Secure создаёт иллюзию безопасности, которой пользуются мошенники

от

Безопасность, это не набор технологий, которые ставят галочку, а осознанное движение против течения привычек. То, что защищает от вчерашних угроз, становится уязвимостью перед завтрашними, потому что мы начинаем им доверять.”

Почему стандартная защита перестаёт работать

В российской экосистеме онлайн-платежей сформировался определённый ритуал: ввёл данные карты, получил СМС, ввёл код. 3D‑Secure, одноразовые пароли, пуш-уведомления создают иллюзию замкнутого защищённого контура. Мозг перестаёт оценивать каждый шаг, доверяя процессу как целому. Именно на эту автоматизацию реакции и рассчитывают атакующие.

Современный фишинг редко выглядит как топорная копия сайта банка с опечатками. Он встраивается в легитимный поток, маскируясь под его логичное продолжение или неизбежную техническую ошибку. Пользователь видит не подмену, а якобы следующий шаг в знакомом сценарии от банка, маркетплейса или платёжного агрегатора.

Сценарий 1: Двойная оплата через «упавшую» сессию

Распространённый метод, использующий привычку пользователя повторять действие при ошибке. После успешного ввода 3D‑Secure кода страница завершения оплаты якобы зависает, выдаёт сообщение «сессия истекла», «платеж не завершён» или «произошла ошибка». Естественная реакция — нажать «Повторить», «Обновить» или «Вернуться к оплате».

При этом первая транзакция уже успешно проведена банком. Ошибка сгенерирована искусственно на стороне магазина или через внедрённый код. Когда пользователь пытается «оплатить снова», его снова направляют на платёжный шлюз, и он, полагая, что первая попытка не засчиталась, подтверждает вторую идентичную транзакцию.

Как это технически реализуется

Атакующий может:

  • Внедрить скрипт на странице успешного редиректа от платёжного шлюза к магазину. Вместо отображения статуса «Оплачено» скрипт показывает кастомную страницу с сообщением об ошибке, стилизованную под магазин.
  • Использовать особенность обработки callback от платёжного агрегатора. Если магазин некорректно обрабатывает успешный статус (не фиксирует факт оплаты в сессии пользователя или не очищает корзину), пользователю снова предлагается оплата.
  • Сымитировать технический сбой на стороне агрегатора, заставив его вернуть в магазин статус «неопределён» или «в обработке», что провоцирует систему рекомендовать повторную попытку оплаты.

Сценарий 2: Фишинг в момент доставки одноразового кода

Атака на стыке технологического процесса и социальной инженерии. Пользователь инициирует платёж и ожидает СМС с кодом для подтверждения. В этот же момент, в течение критического окна в 30–60 секунд, ему поступает звонок. Звонивший представляется сотрудником безопасности банка и сообщает о подозрительной активности: «Видим попытку несанкционированного списания. Для блокировки операции назовите код, который сейчас придёт в СМС».

Давление, авторитетный тон и дефицит времени часто приводят к тому, что пользователь диктует одноразовый пароль. Этого достаточно для завершения транзакции, которую в это же время инициировал сам мошенник на другую карту или счёт. Код, предназначенный для защиты, превращается в инструмент авторизации мошеннического платежа.

Сценарий 3: Подмена платёжного агрегатора или реквизитов

Пользователь переходит к оплате на небольшой или новой площадке. Его перенаправляют на страницу платёжного шлюза. Внешне всё соответствует ожиданиям: узнаваемый дизайн, логотипы, стандартные поля для данных карты.

Однако адрес в строке браузера оказывается не доменом крупного известного агрегатора. Это может быть поддомен с добавленными словами (например, *payments.agregator.ru.com*), домен с опечаткой или полностью фальшивый, но стилизованный ресурс. На мобильных устройствах браузер часто скрывает полный адрес, что упрощает подмену.

Введённые данные карты, включая CVV и срок действия, мгновенно перехватываются. Далее возможны варианты:

  1. Пользователя всё равно перенаправят обратно в магазин с сообщением об успешной оплате для сокрытия следов, товар при этом не поступит.
  2. Сайт запросит прохождение 3D‑Secure, но направит пользователя не на страницу банка-эмитента, а на собственную фишинговую форму для ввода одноразового пароля, который также будет скомпрометирован.

Сценарий 4: Автоплатежи и скрытые подписки

Риск заключается не только в разовой потере средств. Совершая покупку, пользователь может неявно дать согласие на recurring-платежи (регулярные автоматические списания). Технически продавец может зарегистрировать карту в системе периодических платежей, используя токенизацию или сохранённые реквизиты.

Юридически это часто оформляется пунктом в оферте, который пользователь принимает галочкой: «Оплачивая заказ, вы соглашаетесь на еженедельную подписку на доступ к контенту…». В дальнейшем деньги начинают списываться автоматически. Банк рассматривает такие транзакции как повторяющиеся платежи по ранее данному согласию и не блокирует их по умолчанию.

Особенно характерно для площадок, продающих цифровые товары, подписки на сервисы или онлайн-курсы, где факт отсутствия доступа сложнее доказать.

Что делает вас мишенью

Ключевые факторы уязвимости:

  • Контекстуальная усталость. Фокус сосредоточен на цели — получить товар или услугу. Внимание к деталям процесса, таким как URL или формулировки системных сообщений, притупляется.
  • Делегированное доверие. Пользователь доверяет маркетплейсу или известному магазину, но не контролирует, на какой именно платёжный шлюз происходит фактическое перенаправление. Платёжный модуль у мелкого продавца может быть скомпрометирован или заменён.
  • Привычка к ритуалу. Стандартная последовательность действий — ввод данных, получение кода, подтверждение — выполняется на автомате. Любое отклонение от сценария воспринимается как техническая помеха, которую нужно обойти, а не как потенциальная угроза.

Как не стать жертвой

Правила сводятся к восстановлению контроля над каждым микро-действием в процессе:

  1. Всегда проверяйте URL на странице ввода платёжных данных. Должен быть HTTPS и точное, без лишних слов, доменное имя известного агрегатора или банка. На мобильном устройстве можно тапнуть по адресной строке, чтобы увидеть его полностью.
  2. Никогда не подтверждайте платёж кодом из СМС, если вам параллельно звонят. Настоящий сотрудник банка никогда не попросит у вас этот код. Положите трубку и перезвоните в банк по официальному номеру с сайта или карты.
  3. При «падении» платежа не спешите платить повторно. Сначала проверьте историю операций в онлайн-банке или через push‑уведомление. Если первая транзакция прошла (даже со статусом «в обработке»), повторять её не нужно.
  4. Используйте для онлайн-покупок отдельную карту или виртуальную карту. Установите на ней низкий лимит или пополняйте ровно на сумму покупки. Это локализует риски.
  5. Внимательно читайте всё, что написано мелким шрифтом перед оплатой, особенно пункты о подписках и автоплатежах. Снимайте галочки с согласий по умолчанию.
  6. Включите в настройках карты уведомления обо всех операциях, даже на 1 рубль. Моментальное оповещение — лучший способ обнаружить несанкционированный платёж.

Что делать, если деньги уже списались

Порядок действий зависит от ситуации:

  • При двойном списании. Свяжитесь сначала с магазином, предоставив два идентичных чека. Добросовестный продавец вернёт одну из сумм. Если магазин не реагирует — обратитесь с заявлением о спорной транзакции в банк, выпустивший карту. Для операций с 3D‑Secure у банка-эмитента больше возможностей для оспаривания.
  • При оплате фишинговому сайту. Немедленно позвоните в банк и заблокируйте карту. Напишите заявление о несанкционированной операции. Чем быстрее вы это сделаете, тем выше шанс вернуть средства по процедуре chargeback (обратного списания). Сохраните все доказательства: скриншоты страницы оплаты, переписку с продавцом.
  • При подписке на автоплатежи. Отзовите согласие на списание непосредственно у получателя платежа (через его сайт или поддержку). Если это невозможно — отзовите мандат на recurring-платежи в своём банке. Банк обязан прекратить следующие списания по вашему требованию.

Ключевой инструмент безопасности — способность замедлить автоматизированный процесс оплаты и проверить его на каждом шагу. Мошенники играют на скорости и доверии к знакомому ритуалу. Разорвите этот ритм — и вы лишите их главного преимущества.

Оставьте комментарий