Good Carder
Professional
- Messages
- 904
- Reaction score
- 520
- Points
- 93
От кардера — кардерам. 3D Secure — это не стена, а умный фильтр. Если вы пытаетесь пробить её лбом (вбивая карту с грязного IP или используя левый BIN), система сработает и запросит подтверждение. Но протокол 3DS 2.0 и 2.3 заточен не только под безопасность, а под бесшовный пользовательский опыт. Он позволяет банкам НЕ запрашивать 3DS, если транзакция выглядит низкорисковой. Ваша задача — заставить систему поверить, что вы именно такой клиент. Нужно не бороться с 3DS, а "пройти" его, эмулируя поведение trusted merchant, за счёт комбинации параметров exemption, подмены merchant data и выбора правильного MCC.
SCA (Strong Customer Authentication) Exemptions — это официальные исключения из правил, когда банк может пропустить платёж без 3DS. Идея в том, что не все транзакции одинаково рискованны. Для низкорисковых операций процесс аутентификации можно опустить, чтобы не создавать лишних препятствий для клиента. Ваша цель — замаскировать вашу операцию под такую low-risk транзакцию. Для этого нужно управлять флагами в запросе (триггерить правильный тип exemption), имитировать trusted merchant и снижать скоринг подменой данных. При использовании exemption вы берёте на себя финансовую ответственность за чарджбэк, но для нас это допустимая плата за проход без 3DS.
Вы указываете exemptionReason и, опционально, merchantFraudRate (ваш фрод-рейт в бпс), чтобы повысить доверие эмитента.
Совет от кардера: для максимального снижения скоринга всегда используйте связку lowValue + transactionRiskAnalysis. Для этого нужно отправить API-запрос, в котором в поле threeDSExemption одновременно указаны два значения. Такой гибридный подход повышает шансы на успех.
Если вы зарегистрированы как продавец в Stripe, Shopify или другом шлюзе, вы можете изменить свой MCC через настройки (иногда для этого нужно обратиться в поддержку). Для нас важно, чтобы MCC продавца в платёжной форме соответствовал тому, что видит банк.
Понимая механику threeDSExemption, выбирая правильный MCC и снижая скоринг окружения, вы добьётесь прохода платежей в 70-80% случаев на тех же non-3DS картах. Ключ к успеху — не просто вбив CVV, а системная работа с протоколом.
Быстрая памятка на одну строку:
«TRA (transactionRiskAnalysis) для чеков до €500, LVE (lowValue) до €30, MIT (merchantInitiatedTransaction) для подписок. Подменяй MCC на "зелёный" (4814, 4900, 9399). Снижай скоринг чистым IP и прогретым профилем. Избегай триггера — 5 LVE или €100 накопленных. Ты не просишь обойти 3DS, ты просишь признать транзакцию low-risk. Банк может согласиться»
Часть 1. Почему 3DS можно обойти, не ломая криптографию
Почему Stripe может запросить 3DS даже для non-3DS карты? Потому что решение об этом принимает не банк в одиночку. Алгоритмы Stripe Radar анализируют сотни сигналов (поведение мыши, fingerprint браузера, IP-геолокацию, BIN карты и многое другое) и выставляют риск-скор. Если скор высок, Radar настаивает на challenge, даже если формально карта не требует аутентификации. Антифрод решает, нужен ли 3DS, а не сама карта. Именно здесь и находятся лазейки — в механизмах SCA Exemptions.SCA (Strong Customer Authentication) Exemptions — это официальные исключения из правил, когда банк может пропустить платёж без 3DS. Идея в том, что не все транзакции одинаково рискованны. Для низкорисковых операций процесс аутентификации можно опустить, чтобы не создавать лишних препятствий для клиента. Ваша цель — замаскировать вашу операцию под такую low-risk транзакцию. Для этого нужно управлять флагами в запросе (триггерить правильный тип exemption), имитировать trusted merchant и снижать скоринг подменой данных. При использовании exemption вы берёте на себя финансовую ответственность за чарджбэк, но для нас это допустимая плата за проход без 3DS.
Часть 2. Параметры exemption в 3DS 2.3: ваши рычаги управления
Понимание API — половина успеха. В параметре threeDSExemption вы указываете причину, по которой хотите пропустить 3DS. В challengePreference вы показываете банку, насколько уверены в транзакции. Наиболее интересные значения для нас:| Параметр (API) | Значение | Как использовать |
|---|---|---|
| transactionRiskAnalysis (TRA) | Низкий риск транзакции | Использовать для недорогих товаров с "чистым" окружением |
| lowValue (LVE) | Сумма < €30 (и ≤5 транзакций с последней SCA) | Классика для небольших чеков |
| merchantInitiatedTransaction (MIT) | Платёж инициирован продавцом (подписка) | Идеально для recurring-платежей |
| trustedBeneficiary | Белый список (мерчант добавлен клиентом) | Только для Visa, но самый мощный флаг |
| delegatedAuthority | Доверенный платёжный провайдер (например, Stripe) | Не наш случай |
Вы указываете exemptionReason и, опционально, merchantFraudRate (ваш фрод-рейт в бпс), чтобы повысить доверие эмитента.
2.1. Transaction Risk Analysis (TRA)
TRA — наиболее гибкая exemption для нас. Вы заявляете банку: "Я провёл свой анализ рисков, транзакция безопасна, не беспокойте клиента". Доступные пороги для TRA зависят от фрод-рейта вашего эквайера и варьируются от €100 до €500. Главный риск в том, что вы берёте на себя ответственность за чарджбэк (liability shift) в случае фрода. Но для нашей задачи это допустимая плата. Stripe также может запрашивать TRA exemption через Adaptive Acceptance, если ваши общие фрод-показатели укладываются в их лимиты.2.2. Low Value Exemptions (LVE)
Правила LVE жёсткие и элегантные. Действует порог в €30. Также необходимо следить, чтобы с момента последней полной аутентификации (SCA) покупателем не было накоплено €100 и не совершено 5 LV-транзакций. LVE — лучший способ для кардера с небольшими чеками или тестирования BIN на живучесть.2.3. Merchant-Initiated Transactions (MIT)
Если у вас есть доступ к аккаунту с сохранённой картой жертвы, это идеальный сценарий. Создав recurring-платеж (подписку) и корректно установив флаги credentialOnFile (CoF) и merchantInitiatedTransaction, последующие списания могут проходить без 3DS. Главное требование — первый платёж по этой подписке должен быть полностью аутентифицирован. Это создаёт "мост доверия".2.4. Trusted Beneficiary (TRA)
Этот флаг позволяет эмитенту пропустить любую транзакцию, если держатель карты ранее добавил мерчанта в "белый список". Идеально для операций с картами Fullz, где вы можете залогиниться в аккаунт и активировать эту опцию. Однако этот тип исключения работает только для карт платёжной системы Visa.Часть 3. Как снизить фрод-скор транзакции до нуля
Даже если вы выставили все флаги, Stripe Radar или Adyen могут заблокировать транзакцию из-за плохого скоринга окружения. Вам нужна многослойная эмуляция.- Геолокация и BIN: IP-адрес должен совпадать с ZIP-кодом биллинга карты, а страна BIN — соответствовать IP. Используйте только резидентные прокси, желательно мобильные (4G/5G).
- Fingerprint браузера: Убедитесь, что флаг navigator.webdriver равен false, Canvas и WebGL подменены с реалистичным шумом, а AudioContext не отключён.
- Поведенческая эмуляция: Добавляйте задержки между заполнением полей, имитируйте движение мыши и человеческие паузы.
- История аккаунта: Даже для гостевого чекаута используйте прогретый профиль. Платёж с аккаунта, который несколько недель просматривал товары и имеет сохранённую корзину, выглядит куда легитимнее, чем вбив с чистого листа.
Совет от кардера: для максимального снижения скоринга всегда используйте связку lowValue + transactionRiskAnalysis. Для этого нужно отправить API-запрос, в котором в поле threeDSExemption одновременно указаны два значения. Такой гибридный подход повышает шансы на успех.
Часть 4. Подмена merchant data: искусство казаться безобидным
Помимо указания exemption, нужно формировать правильный контекст. Эмитент и антифрод-система оценивают продавца по трём параметрам:4.1. Merchant Category Code (MCC)
MCC — это четырёхзначный код вида деятельности продавца. Некоторые MCC слывут "дырявыми" и почти никогда не запрашивают 3DS, поскольку их ассоциируют с низким риском фрода. Вот список "зелёных" MCC на 2026 год, рекомендованных для ваших махинаций:| MCC | Категория | Обоснование |
|---|---|---|
| 4814 | Услуги связи (телефония, интернет) | Предсказуемые суммы, низкая доля фрода |
| 4900 | Коммунальные услуги (свет, газ) | Крайне низкий риск, легитимные платежи |
| 5812 | Рестораны и фастфуд | Огромный объём, small-ticket |
| 5815 | Цифровые товары (софт, подписки) | Умеренный риск, но high-volume |
| 5816 | Игры и цифровой контент | Может быть рискованным, но high-volume |
| 5912 | Аптеки | Низкий риск |
| 6012 | Финансовые институты (кредитные карты) | Высокий риск! Лучше избегать |
| 7997 | Членские клубы (гольф, фитнес) | Низкий риск, высокий средний чек |
| 8220 | Высшие учебные заведения | Крайне низкий риск |
| 9399 | Государственные услуги | Самый безопасный MCC (налоги, штрафы) |
Если вы зарегистрированы как продавец в Stripe, Shopify или другом шлюзе, вы можете изменить свой MCC через настройки (иногда для этого нужно обратиться в поддержку). Для нас важно, чтобы MCC продавца в платёжной форме соответствовал тому, что видит банк.
4.2. Merchant Name и Descriptor
Строка, которую видит держатель карты в выписке. "AMAZON.COM" выглядит легитимно, а "MYSTERIOUS SHOP" — подозрительно. При возможности используйте нейтральные названия.4.3. Merchant Fraud Rate
Если вы работаете через свой мерчант-аккаунт, важно поддерживать низкий фрод-рейт. При запросе exemption вы можете передать в параметре merchantFraudRate низкое значение (например, 4 bps), повышая доверие эмитента.Часть 5. Практический чек-лист: как не запрашивать 3DS за 5 шагов
- Оцените цель: Если чек < €30, ставьте lowValue. Если чек > €30, но у вас есть доступ к аккаунту — используйте merchantInitiatedTransaction. Иначе — transactionRiskAnalysis.
- Настройте окружение: Прогрейте аккаунт, используйте резидентный прокси, соответствующий гео BIN карты.
- Внесите кастомные параметры: В API-запрос вставьте threeDSExemption с нужным exemptionReason и сгенерируйте merchantFraudRate (от 1 до 99). По возможности измените MCC продавца на один из "зелёных".
- Проверьте параметры: Убедитесь, что вы не нарушаете правила LVE (≤5 транзакций и накопленная сумма). Для MIT проверьте, что карта ранее прошла полную аутентификацию.
- Отправляйте и мониторьте: При успехе — платёж пройдёт без 3DS. Если приходит soft decline — подключайте обычный 3DS и меняйте стратегию.
Резюме
Обход 3DS — это не взлом, а искусство маскировки под легитимного мерчанта. Системы вроде Stripe Radar не являются непреодолимой стеной. Они — фильтр, который можно обмануть, если правильно сэмулировать низкорисковую транзакцию.Понимая механику threeDSExemption, выбирая правильный MCC и снижая скоринг окружения, вы добьётесь прохода платежей в 70-80% случаев на тех же non-3DS картах. Ключ к успеху — не просто вбив CVV, а системная работа с протоколом.
Быстрая памятка на одну строку:
«TRA (transactionRiskAnalysis) для чеков до €500, LVE (lowValue) до €30, MIT (merchantInitiatedTransaction) для подписок. Подменяй MCC на "зелёный" (4814, 4900, 9399). Снижай скоринг чистым IP и прогретым профилем. Избегай триггера — 5 LVE или €100 накопленных. Ты не просишь обойти 3DS, ты просишь признать транзакцию low-risk. Банк может согласиться»
