3D Secure okiem ignoranta

W centrum handlowym natknąłem się na stoisko – ładna hostessa proponowała karty kredytowe, a do tego za darmo bilet do kina. Wypełniłem wniosek, dostałem kartę. Plastiku użyłem kilka razy. Potem przyszły wakacje i podróżnicze plany. Podobno kartą można płacić w sieci, zdecydowałem się spróbować.


Kupuję sprzęt turystyczny na internetowej aukcji. Zwykle płaciłem przelewem, ale na koncie pustawo, więc sięgam po kredytówkę. Początek jest prosty – formularz, w którym muszę wpisać numer karty.

Czytam dokładnie wszystko, co znajduje się na stronie. Kod CVV2 udało mi się znaleźć – punkt dla mnie. Obok jest jeszcze komunikat, że mogę zostać poproszony o dodatkową weryfikację karty „na stronach banku”. Klikam „płacę”.

Wyświetla się coś dziwnego. Gdybym był lepiej obeznany „w internetach”, zapewne zakrzyknąłbym „WTF?”, ale jako ignorant próbuję tylko rozeznać się, o co chodzi. Po pierwsze, ta strona wygląda jakoś podejrzanie Zdecydowanie nie jest to strona mojego banku. Niby MasterCard to moja karta, ale co to za adres? Secure5.arcot.com? Po drugie, brakuje jakiegoś obrazka w lewym górnym rogu. Tak chyba nie wygląda typowa strona instytucji finansowej. Po trzecie, kwota się zgadza, ale ta data wygląda raczej jak godzina (i to nieaktualna)?

Po chwili odzywa się mój telefon. SMS z banku, a w nim kod. Wygląda na to, że wszystko jest w porządku. Wpisuję kod, potwierdzam. Okno przeglądarki mruga kilka razy i jestem już z powrotem tam, skąd przyszedłem. Zapłaciłem, potwierdziłem, zapominam o sprawie.

Czy tak ma wyglądać „poczucie bezpieczeństwa”?


Wróćmy do rzeczywistości. Wiem, jak działa 3D Secure, ten cudowny lek na kartowe oszustwa w transakcjach internetowych. Sens jest łatwy do uchwycenia – złodziejowi nie powinna już wystarczyć sama karta, będzie potrzebował mojego telefonu (lub będzie musiał znać specjalne hasło w innych wersjach rozwiązania). Dalej jednak nie przestaje mnie zadziwiać, jak niechlujnie dobra idea została zrealizowana.

Pierwsze spotkanie ze stroną MasterCard SecureCode sprawia, że w głowie zapala się lampka – to chyba phishing. Płacący zupełnie nie spodziewa się, że w trakcie zakupów „wyleci” do serwisu, w którym nie ma żadnego wizualnego śladu, iż ma on coś wspólnego z bankiem-wydawcą, organizacją płatniczą czy agregatorem (u którego przed chwilą wpisywał numer karty). Brak logo banku można akurat w tym przypadku łatwo wyjaśnić – link do obrazka jest nieaktualny. Ale skąd nieszczęsny posiadacz karty ma wiedzieć, czym zajmuje się firma Arcot i jaką pełni tutaj rolę?

Do tego dochodzi dziwne zachowanie przeglądarki po wpisaniu kodu. Widać, że jesteśmy kilka razy przekierowywani, a mógłbym nawet przysiąc, że płacąc MasterCardem, przez chwilę widziałem w paradzie przekierowań adres „verifiedbyvisa”.

Niektórzy użytkownicy donoszą też, że nie zawsze dodatkowe zabezpieczenie działa, a hasła SMS znikają w drodze do telefonu płatnika. O sprawie pisał w zeszłym roku Niebezpiecznik.pl, wyjaśniając zresztą szczegółowo, że w pewnych przypadkach rezygnacja ze ścieżki 3D Secure jest dopuszczalna.

Drobiazgi się liczą


Rok temu na łamach PRNews narzekałem, że 3D Secure w polskich bankach pojawia się bardzo powoli. Powody są prozaiczne – skomplikowane i kosztowne wdrożenie, mała popularność kart płatniczych w e-commerce, konkurencja pay-by-linków. To, co ostatecznie otrzymują użytkownicy, wizualnie nie budzi zbytniego zaufania i zdaje się nie mieć znaczących przewag nad internetowymi przelewami. Z punktu widzenia doświadczenia płacącego, e-przelew jest nawet wygodniejszy – nie szukam karty w portfelu, a po telefon i tak będę musiał sięgnąć.

Na razie 3D Secure to jedyny pomysł na zabezpieczenie transakcji kartowych w sieci, który doczekał się standaryzacji. Tym bardziej dziwne jest, że traktowany jest tak po macoszemu od strony „user experience” – kładzie się to przecież cieniem zarówno na postrzeganiu marek organizacji kartowych, jak i wydawców.