Обхід захисту 3-D Secure на прикладі карт ПриватБанку
16:30 28.03.2025Існує технологія 3-D Secure (3DS) - це протокол розрахунків платіжними картками, що застосовується в операціях без наявності картки в місці платежу (зокрема, при розрахунках через мережу Інтернет). Передбачає двофакторну аутентифікацію держателя, тобто до CVV і даних карти ще додається OTP код, що надходить по смс.
Відома під назвами Verified by Visa, Mastercard SecureCode та від інших платіжних систем. Багато років маю карти МС і Visa та давно користуюся 3-D Secure для онлайн платежів. А в 2024 році я двічі обійшов цей захист під час легальної оплати. І на початку 2025 також.
Торік виявив можливість, як знімати гроші з карти без підтверджень по смс, тобто з обходом захисту від MC і Visa. Перевірив у березні та в грудні на одному українському сайті. Тестував на своїх картах ПБ, але я впевнений, що воно стосується всіх карт усіх наших банків.
Раніше я писав про нові уразливості на bonus.privatbank.ua.
Атака проводиться на сайтах, як то на Імена, де я двічі торік оплачував свій домен, що приймають карти через Stripe - це західних онлайн еквайєр. Коли я весь минулий рік та раніше платив онлайн з карт через еквайрінги ПБ та інших українських банків, то завжди приходив OTP по смс, але не на сайтах, які працюють через Stripe. Гроші просто знімаються з карти без підтвердження, тобто без двофакторної аутентифікації.
Вже в січні та лютому я робив оплату за електрику через онлайн еквайєр ПУМБ і так само жодного коду по смс не надійшло, спокійно гроші з карти списалися.
Якщо вкрадуть дані карт і CVV в українців, то далі заберуть гроші при оплаті через систему Stripe чи сервіс ПУМБ, обійшовши захист 3DS для карт, що його мають, як мої банківські карти.