Полное техническое руководство по пониманию различий между 2D и 3D Secure платежами и практическим методам определения типа обработки платежей на сайте.
Понимание разницы между 2D и 3D Secure
Бро, прежде чем перейти к методам, давай проясним, что именно мы ищем. Термины "2D" и "3D" относятся к принципиально разным процессам обработки платежей.
2D Secure (Non-3DS)
Платёжный шлюз 2D обрабатывает транзакции, используя только базовые данные карты: номер карты, срок действия и CVV. После ввода этих данных и подтверждения сумма списывается со счёта
без какой-либо дополнительной аутентификации безопасности.
Ключевые характеристики 2D Secure:
- Скорость: Быстрый, бесшовный чекаут — без лишних экранов и задержек
- Безопасность: Низкая — полностью полагается на безопасность самих данных карты
- Ответственность: Продавец принимает на себя весь риск мошенничества и чарджбэков
- Участники: Только покупатель и продавец, без домена аутентификации 3D Secure
- Лучшее применение: Низкорисковые транзакции, повторяющиеся платежи и рынки, где 3DS не обязателен
3D Secure (3DS)
Платёжный шлюз 3D добавляет этап аутентификации, на котором держатель карты должен подтвердить свою личность перед авторизацией платежа. Это может быть OTP, биометрическая верификация, подтверждение в банковском приложении или пароль.
Ключевые характеристики 3D Secure:
- Безопасность: Высокая — добавляет аутентификацию держателя карты поверх базовых данных
- Ответственность: Банк-эмитент принимает на себя ответственность за мошенничество при использовании 3DS
- Участники: Покупатель, продавец, банк-эмитент, банк-эквайер и инфраструктура платёжных систем
- Процесс: Банк-эмитент проверяет сигналы аутентификации перед тем, как транзакция переходит к авторизации
- Обязательность: Требуется во многих регионах (PSD2 в Европе, RBI в Индии)
Как определить, использует ли сайт 3D Secure
В отличие от поиска скрытой настройки, обнаружение 3D Secure — это наблюдение за потоком транзакций и понимание поведения продавца и эмитента. Вот как это сделать:
Метод 1: Опыт транзакции (самый надёжный)
Что искать: Транзакция 3D Secure всегда будет пытаться аутентифицировать держателя карты, если этого требует банк-эмитент.
| Наблюдаемое поведение | Что это означает |
|---|
| Запрос OTP — Вас просят ввести одноразовый пароль с телефона | 3D Secure: Банк-эмитент проводит челлендж транзакции |
| Подтверждение в приложении банка — Вас перенаправляют в банковское приложение для подтверждения платежа | 3D Secure: Это распространённый метод челленджа в 3DS2 |
| Ввод пароля — Вас просят ввести статический пароль или код | 3D Secure (обычно 3DS1) |
| Биометрическая верификация — Вас просят подтвердить отпечаток пальца или Face ID | 3D Secure (3DS2) |
| Нет дополнительного шага — Вы вводите данные карты, и транзакция завершается сразу | 2D Secure ИЛИ бесшовный поток 3D |
Важно: На сайте может быть
включён 3D Secure, но вы увидите челлендж, только если банк сочтёт транзакцию высокорисковой. В
бесшовном потоке эмитент одобряет аутентификацию в фоновом режиме, потому что транзакция выглядит низкорисковой на основе данных устройства и транзакции.
Метод 2: Изменения URL и редиректы
Что искать: Адресная строка браузера во время процесса оплаты.
| Наблюдение | Что это означает |
|---|
| Редирект на домен банка/платёжной системы — URL меняется на поддомен visa.com, mastercard.com или домен банка-эмитента | 3D Secure: Страница аутентификации размещена банком или платёжной системой |
| Без изменения URL — Весь чекаут остаётся на домене продавца | Может быть 2D Secure ИЛИ 3D Secure с использованием iframe (реже) |
Метод 3: Тестирование на основе BIN
BIN банка-эмитента (первые шесть цифр карты) определяет, будет ли запрошен 3DS. Некоторые BIN известны тем, что редко вызывают 3DS, в то время как другие (например, европейские банки в рамках PSD2) почти всегда его вызывают.
| Тип BIN | Типичное поведение 3DS |
|---|
| Карты США | Меньше вероятность вызвать 3DS (нет мандата SCA) |
| Европейские карты | Очень высокая вероятность вызвать 3DS (PSD2/SCA) |
| Крупные банки (Chase, BofA) | Переменная — зависит от риска транзакции |
| Мелкие/региональные банки | Часто имеют менее агрессивную политику 3DS |
Практический подход:
- Используй тестовые карты разных банков
- Отмечай, какие BIN последовательно вызывают или избегают 3DS
- Составь свой собственный список BIN на основе наблюдаемого поведения
Метод 4: Тестовые номера карт
Многие платёжные шлюзы предоставляют тестовые номера карт, которые вызывают определённые ответы 3DS. Например, Shift4 предоставляет тестовые карты для бесшовных потоков:
| Тип карты | Тестовый номер карты | Результат |
|---|
| Visa | 4176660000000027 | Бесшовный 3DS |
| Mastercard | 5299990270000368 | Бесшовный 3DS |
Метод 5: Панель управления платёжным шлюзом (сторона продавца)
Если у вас есть доступ к аккаунту продавца, вы можете проверить, использовалась ли 3DS в транзакции в панели управления. Для Adyen это делается путём добавления столбцов для «3D authenticated», «3D offered» и «Liability indicator» в представлении платежей.
Что вы увидите:
- Проверьте столбец «Liability indicator» — Указывает, была ли транзакция аутентифицирована
- Буквы в столбцах «3D offered» и «3D authenticated» — Показывают, была ли попытка 3DS и успешна ли она
Метод 6: ECI (Electronic Commerce Indicator)
Значение ECI указывает на уровень безопасности аутентификации плательщика:
| Значение ECI | Значение | Защита от чарджбэков |
|---|
| 05 | Полностью аутентифицировано (3DS) | Да |
| 06 | Попытка аутентификации | Да (в некоторых случаях) |
| 07 | Интернет, не аутентифицировано | Нет |
Это более продвинутый метод, но он даёт окончательное подтверждение типа транзакции.
Техническая сторона: как работает 3DS
Для тех, кто хочет понять механику, вот технический процесс:
Метод URL и сбор отпечатков устройства
В 3D Secure 2.0 (3DS2)
Method URL является критическим компонентом. Перед началом аутентификации SDK 3DS продавца отправляет данные об устройстве из браузера держателя карты через JavaScript на Access Control Server (ACS).
Собираемые данные включают:
- Характеристики браузера
- Операционная система
- Установленные плагины
- Разрешение экрана
- Часовой пояс
- IP-адрес
- Поведенческие паттерны
Почему это важно:
ACS использует эти данные для оценки риска. Если данные устройства указывают на низкорисковое поведение, ACS применяет
бесшовный поток (без челленджа). Если риск выше, он запускает
поток с челленджем (OTP, биометрия и т.д.).
Принятие решения Access Control Server (ACS)
ACS аутентифицирует транзакцию и решает:
- Продолжить аутентификацию (AReq) — Отправить запрос аутентификации
- Разрешить бесшовную аутентификацию — Одобрить без челленджа
- Заблокировать транзакцию — Отклонить, если данные устройства указывают на мошенничество
Пример (Node.js реализация ACS):
JavaScript:
app.post('/method-url', (req, res) => {
const deviceData = req.body;
if (deviceData.plugins.includes("UnknownPlugin") ||
deviceData.userAgent.includes("Bot")) {
return {
methodURLStatus: "FAILED",
transactionStatus: "REJECTED",
reasonCode: "DEVICE_FRAUD_DETECTED"
};
}
});
Версии 3DS
| Особенность | 3DS1 | 3DS2 |
|---|
| Дизайн чекаута | Много редиректов | Разработан для веб-, мобильных и приложений |
| Данные, отправляемые эмитенту | Ограниченные | Более богатые данные о платеже, устройстве и браузере |
| Челлендж клиента | Чаще с челленджем | Может быть бесшовным или с челленджем |
| Мобильный опыт | Может быть неудобным | Лучше подходит для мобильного чекаута |
Практическая стратегия для кардинга
Как найти продавцов с низкими показателями 3DS
Не ищи видимую надпись «2D». Вместо этого:
- Нацеливайся на продавцов из США — В США нет мандата SCA
- Тестируй с низкорисковыми BIN — Карты мелких банков часто вызывают меньше челленджей
- Мелкие и средние продавцы — Их мониторинг мошенничества часто слабее
- Избегай категорий высокого риска — Подарочные карты, криптовалюта и электроника часто вызывают больше проверок
- Понимай бесшовные потоки — Даже с 3DS вы не увидите челлендж, если транзакция выглядит низкорисковой
Твоя стратегия
| Шаг | Действие |
|---|
| 1 | Получи низкорисковые BIN (США, Classic/Platinum) |
| 2 | Нацелься на средних продавцов в США с дружественными к 2D шлюзами |
| 3 | Тестируй с небольшими суммами, чтобы оценить поведение |
| 4 | Отслеживай, был ли ты вызван на челлендж |
| 5 | Увеличивай масштаб, если видишь бесшовное одобрение |
Сводная таблица
| Метод | Что искать | Надёжность |
|---|
| Запрос OTP | Вас просят ввести SMS-код или подтвердить в приложении | Очень высокая |
| Редирект URL | Чекаут перенаправляет на домен банка | Высокая |
| Тестирование BIN | Определённые BIN постоянно вызывают 3DS | Средняя |
| Тестовые карты | Используй известные тестовые номера 3DS | Высокая |
| Панель управления шлюзом | Проверь «Liability indicator» | Очень высокая |
| Значение ECI | Проверь индикатор аутентификации | Очень высокая |
Итог
Бро, определение того, использует ли сайт 2D или 3D Secure, не сводится к поиску скрытой настройки. Это понимание потока платежей и знание того, что наблюдать.
Ключевые выводы:
- 2D Secure = нет OTP. Транзакция обрабатывается только с данными карты.
- 3D Secure = этап аутентификации. OTP, биометрия, подтверждение в приложении банка или бесшовное одобрение.
- Вы не всегда можете увидеть 3DS на странице. Современный 3DS2 может быть бесшовным — вы не увидите челленджа.
- BIN имеет значение. Некоторые банки вызывают 3DS, другие — нет. Составь свой собственный список BIN.
- Регион продавца имеет значение. Американские продавцы часто не требуют 3DS; европейские почти всегда требуют.
- Данные устройства определяют бесшовный поток. Если твоя настройка выглядит легитимной, ты можешь обойти челленджи даже на сайтах с включённым 3DS.
Золотое правило: Решение о челлендже принимает банк-эмитент, а не сайт. Даже если 3DS включён, ты всё равно можешь пройти бесшовно, если банк доверяет транзакции.
Удачи, брат. Если что — пиши.
