email HỖ TRỢ marketing@mkgroup.com.vn
Hotline Hà Nội (+84) 903 481 456
Hotline TP.HCM (+84) 988 476 756
0

EMV 3DS: Bước đột phá trong xác thực thanh toán thẻ trực tuyến

20/02/2019 10:35

Với sự phát triển mạnh mẽ của thương mại điện tử, nhu cầu phát hành thẻ và thanh toán trực tuyến đã chứng kiến quá trình tăng trưởng nhảy vọt trong những năm qua; đồng thời các ngân hàng và tổ chức tài chính đã chuyển đổi từ công nghệ thẻ từ sang nền tảng công nghệ chip EMV với độ bảo mật an toàn cao hơn, tuy nhiên gian lận thẻ vẫn còn là một rủi ro lớn trong lĩnh vực tài chính ngân hàng.

Theo thống kê của tổ chức thẻ Mastercard, ngày nay, giao dịch thẻ trực tuyến (giao dịch thẻ CNP) chiếm 22% khối lượng giao dịch, nhưng chiếm tới 59% gian lận, và nhiều giao dịch đang dần chuyển sang các kênh trực tuyến mỗi ngày. Quá trình chuyển dịch này cũng mang lại thách thức lớn đối với các đơn vị chấp nhận thẻ (ĐVCNT) và đơn vị phát hành thẻ (ĐVPHT) trong công cuộc ngăn chặn gian lận, nhưng đồng thời yêu cầu không làm gián đoạn trải nghiệm mua sắm của chủ thẻ.

Đến thời điểm hiện tại, các chủ thẻ đã không còn xa lạ với bước xác thực trong quá trình giao dịch trực tuyến tại các đơn vị chấp nhận thẻ qua giao thức 3D Secure 1.0 được ra mắt từ năm 1999. Và trong khi giao thức 3DS 1.0 giúp nâng cao tính bảo mật của thanh toán trực tuyến và chuyển đổi trách nhiệm đối với các tổn thất gian lận giữa các ĐVCNT và ĐVPHT, song song với đó, giao thức này cũng có một số điểm cần khắc phục, có thể kể đến như: làm gián đoạn quá trình mua sắm của chủ thẻ, mang lại trải nghiệm không tốt với sự không nhất quán trong giao diện người dùng và đặc biệt chủ yếu giới hạn ở các giao dịch qua trình duyệt.

Trải nghiệm xác thực được thiết kế một cách kém thân thiện mang lại tác động không tốt đối với sự gắn bó của người dùng, chuyển đổi mức độ rủi ro và ảnh hưởng tới hiệu quả hoạt động nói chung. Bài viết dưới đây sẽ phân tích chi tiết những bước tiến vượt trội của giải pháp EMV 3DS (hay còn được biết đến với tên gọi giải pháp 3D Secure 2.0), cách mà giải pháp này cân bằng giữa trải nghiệm người dùng và tính bảo mật ở mức độ cao nhất, mục tiêu mà các ĐVPHT và ĐVCNT luôn hướng đến.

THÁCH THỨC VÀ NHU CẦU CỦA THỊ TRƯỜNG

Sự phát triển không ngừng của thương mại điện tử và gian lận

  • Giao dịch thẻ trực tuyến đang trên đà tăng trưởng
  • Gian lận trực tuyến đồng thời leo thang

Năm 2018, trung bình cứ $10 chi tiêu trên toàn cầu thì có $1 được thực hiện qua kênh trực tuyến. Điểm giao thoa giữa kỹ thuật số, cách mạng IoT và sự đa dạng của các kênh và công cụ giao dịch đã cộng hưởng góp phần thúc đẩy sự tăng trưởng cho thị trường trực tuyến. Bên cạnh đó, ngành ngân hàng đang trở nên mở hơn, tạo điều kiện thuận lợi cho những người gia nhập mới tham gia thị trường và bành trướng hơn nữa.

Cùng với một lượng lớn các tương tác giữa người tiêu dùng và các ĐVCNT chuyển dịch sang phương thức trực tuyến, kéo theo các mối đe dọa gian lận cũng leo thang. Sự gia tăng trong cả độ tinh vi và cường độ của các cuộc tấn công gian lận cũng tăng lên nhanh chóng qua kênh này. Trong một báo cáo gần đây, Javelin Research ước tính gian lận trong các giao dịch thẻ trực tuyến (CNP) cao hơn 81% so với gian lận tại điểm bán hàng và chiếm 7% tổng thiệt hại bán lẻ. Tương tự, tại Châu Âu, gian lận CNP chiếm 73% tổng số gian lận thẻ, với tổng thiệt hại ở mức 1,31 tỷ Euro trong năm 2016 (theo EBA).

Hạn chế của 3D Secure 1.0

  • Thực trạng áp dụng 3DS 1.0
  • Những điểm cần khắc phục của 3DS 1.0

Danh tính, bảo mật và sự tin tưởng là nền tảng của thương mại. Đối với các nhà cung cấp dịch vụ thanh toán, các biện pháp chống gian lận và xác thực tin cậy được coi là yếu tố then chốt để duy trì đà tăng trưởng. Các ĐVCNT và ĐVPHT đã triển khai 3DS 1.0 để cung cấp thêm một lớp bảo mật nhằm chống lại các mối đe dọa gian lận. Về phương diện thương mại, 3DS đã mang lại những lợi ích đáng kể. Dịch vụ sử dụng phương pháp xác thực trong thời gian thực để giảm thiểu gian lận bằng cách áp dụng mức độ bảo mật trong giao dịch thẻ trực tuyến cho các giao dịch từ xa. Điều này thúc đẩy niềm tin trong người tiêu dùng và xây dựng một quy trình truy vấn cho các giao dịch phát sinh tranh chấp. Các ĐVCNT cũng được hưởng lợi từ việc chuyển dịch trách nhiệm sang các ĐVPHT, giảm các khoản bồi hoàn của ĐVCNT cũng như giảm chi phí trên mỗi giao dịch.

Tuy nhiên, ở một số quốc gia, việc áp dụng 3DS 1.0 bị chậm trễ. Một trong những thách thức lớn nhất trong vấn đề phát hiện gian lận là người tiêu dùng kỳ vọng dịch vụ ngay lập tức. Một giao dịch cần được hoàn tất trong chớp mắt, do đó, các biện pháp kiểm soát gian lận cần được thực hiện dưới nền, ẩn với người tiêu dùng. Tuy nhiên, để sử dụng 3DS khách hàng cần hoàn tất quy trình đăng ký một lần với ngân hàng phát hành. Khi nhập chi tiết thông tin thẻ, khách hàng sẽ được chuyển hướng đến một trang web khác, tại đó ĐVPHT yêu cầu nhập mật mã để xác thực giao dịch mua hàng. Bước này kết hợp với sự chuyển hướng web khó hiểu sẽ tác động đến việc kiểm tra nhanh, từ đó làm hạn chế trải nghiệm của khách hàng và các ĐVCNT không mong muốn áp dụng trải nghiệm này.

Tại Hoa Kỳ, tỷ lệ áp dụng của các ĐVCNT thấp ở mức 5% do trải nghiệm khách hàng không thân thiện và tỷ lệ khách hàng dừng giao dịch trong quá trình thanh toán ở mức cao. Tại châu Âu, giao thức 3DS được các đơn vị phát hành thẻ sử dụng rộng rãi, khoảng 50% chủ thẻ được đăng ký nhưng chỉ 25% các giao dịch thương mại điện tử được xác minh. Chỉ hai phần ba trong số 100 ĐVCNT hàng đầu ở Anh đang sử dụng SecureCode (Mastercard), tại Đức, con số này thậm chí còn thấp hơn một phần ba.

Ngoài ra, 3DS 1.0 còn dễ bị tấn công bởi những phương thức tấn công mạo danh và man-in-the-middle. Nguyên nhân là do việc chuyển hướng đến một URL khác trong quy trình 3DS. Kẻ lừa đảo có thể tạo ra một cửa sổ web bật lên trông tương tự để đánh cắp thông tin thẻ.

Giao thức 3DS 1.0 cũng thiếu hỗ trợ thanh toán tại chính ứng dụng; đây là một nhược điểm lớn khi nền kinh tế di động đang phát triển mạnh.

LỘ TRÌNH ÁP DỤNG EMV 3DS

  • Quá trình phát triển của giao thức 3DS
  • Lộ trình áp dụng EMV 3DS đối với Visa và Mastercard

3DS là giao thức được Visa và Arcot Systems đồng phát triển vào năm 1999 với mục tiêu gia tăng thêm một lớp bảo mật cho các giao dịch thương mại điện tử. Mastercard, Discover, JCB và American Express sau đó cũng áp dụng giao thức này.

Visa đã nhượng lại quyền sở hữu trí tuệ 3DS cho EMVCo (thuộc sở hữu chung của American Express, Discover, JCB International, MasterCard, China UnionPay và Visa) để giao thức này có thể được phát triển và áp dụng rộng rãi. Tuy nhiên công nghệ thanh toán đã phát triển vượt bậc kể từ thời điểm năm 1999. Do đó, phiên bản mới của 3DS đã được EMVCo giới thiệu vào tháng 10 năm 2016. Để cung cấp giải pháp EMV 3DS, các bên tham gia phải vượt qua quá trình kiểm thử và chứng nhận của EMVCo.

Lộ trình áp dụng EMV 3DS được thiết lập theo quy định của từng TCTQT.

Cụ thể, đối với Visa, đến năm 2020, tất cả các ĐVPHT phải áp dụng tiêu chuẩn mới EMV 3DS cho giao dịch trực tuyến, có hiệu lực từ tháng 4 năm 2020. Tất cả các ĐVCNT có rủi ro cao, như các hãng hàng không và đại lý du lịch trực tuyến, phải hỗ trợ EMV 3DS từ thời điểm đó. Quy định này sẽ giúp hỗ trợ sự phát triển nhanh chóng của thương mại điện tử, tăng sự thuận tiện cho ĐVCNT và đồng thời tăng niềm tin bảo mật của chủ thẻ.

Trong khi đó, Mastercard yêu cầu tất cả các ĐVPHT không được dùng mật khẩu tĩnh làm phương thức xác thực chính kể từ ngày 31 tháng 12 năm 2018. Bên cạnh đó, chương trình Mastercard SecureCode (3DS 1.0) sẽ chấm dứt và được thay thế bằng chương trình Mastercard ID Check (EMV 3DS) mới vào ngày 31 tháng 12 năm 2019.

HƯỚNG TIẾP CẬN MỚI: CÂN BẰNG GIỮA RỦI RO VÀ TRẢI NGHIỆM NGƯỜI DÙNG

Sự phát triển của EMV 3DS giải quyết các hạn chế còn tồn đọng trong phiên bản giao thức trước đó để phù hợp với nhu cầu hiện hành của các ĐVCNT và người tiêu dùng. Được thiết kế riêng để cân bằng nhu cầu trải nghiệm thanh toán chỉ qua một thao tác cùng với các yêu cầu thanh toán bảo mật, tiêu chuẩn mới này sẽ mang đến một loạt các cải tiến, bao gồm:

  • Xác thực liền mạch
  • Phương pháp tiếp cận thích ứng theo mức độ rủi ro
  • Hỗ trợ các thiết bị di động và thương mại IoT
  • ĐVCNT không đưa ra quyết định (Merchant Opt-Out)

So sánh giữa 3DS 1.0 và EMV 3DS

Xác thực liền mạch

Giao thức mới đặt trải nghiệm của khách hàng là trọng tâm, loại bỏ các tính năng tạo nên sự bất tiện dẫn đến làm chậm các giao dịch, bao gồm luồng cửa sổ bật lên yêu cầu chủ thẻ đăng ký và nhập thông tin. EMV 3DS khai thác dữ liệu chủ thẻ và thiết bị phong phú hơn được trao đổi giữa ĐVCNT và ĐVPHT để đánh giá liệu chủ thẻ có nên được cho phép giao dịch hoặc thách thức để xác minh thêm hay không.

Nhằm khắc phục nhược điểm của mật khẩu, yếu tố có thể dễ dàng bị lãng quên và bị xâm phạm, EMV 3DS tiếp tục hợp lý hóa quy trình giao dịch bằng cách loại bỏ sự phụ thuộc vào mật khẩu tĩnh và các câu hỏi kiểm tra thông tin để xác minh độ tin cậy của chủ thẻ trong luồng giao dịch thách thức. Giao thức mới sử dụng các cơ chế xác thực sinh trắc học và xác thực ngoài băng tần (OOB), như phương thức kích hoạt xác thực hai nhân tố để khuyến khích chủ thẻ thực hiện mua hàng bằng phương tiện ưa thích mà không ảnh hưởng đến tính bảo mật.

Các phương thức xác thực

Phương thức tiếp cận thích ứng theo mức độ rủi ro

Cốt lõi của EMV 3DS là xác thực dựa trên mức độ rủi ro, cho phép các ĐVCNT mang lại trải nghiệm giao dịch liền mạch, lấy khách hàng làm trung tâm. Phương thức tiếp cận xác thực thích ứng theo mức độ rủi ro áp dụng công nghệ học máy và khoa học dữ liệu tiên tiến để liên tục nghiên cứu các mô hình gian lận và tinh chỉnh các quyết định xác thực, trong bối cảnh các mối đe dọa gian lận không ngừng phát triển và biến đổi. Xác thực dựa trên mức độ rủi ro có thể chạy ẩn trong nền ứng dụng mà không làm gián đoạn trải nghiệm người dùng và mang lại bước tiến mới trong các phương thức xác thực áp dụng cho các giao dịch đáng ngờ.

Giao thức mới của EMVCo khai thác dữ liệu phong phú được trao đổi trong quá trình yêu cầu xác thực giữa ĐVCNT và ĐVPHT để xác định các giao dịch tiềm ẩn rủi ro. Hơn 150 yếu tố dữ liệu được trao đổi giữa chủ thẻ, ĐVCNT và ĐVPHT và dữ liệu được chia sẻ theo ngữ cảnh nhiều hơn phiên bản trước đó gấp 10 lần. Một loạt các biến số được tận dụng để phân loại chỉ số rủi ro cho mỗi giao dịch và đưa ra quyết định xác thực.

Dữ liệu cung cấp rất nhiều thông tin hữu ích và có thể được sử dụng như một công cụ dự đoán gian lận hiệu quả. Bằng cách kết hợp nhiều điểm dữ liệu, ĐVPHT có thể đánh giá điểm rủi ro của giao dịch, thực hiện một loạt kiểm tra để đảm bảo khách hàng hợp pháp và nhận diện chính xác các giao dịch gian lận. Dựa trên dữ liệu theo ngữ cảnh, nếu rủi ro dưới ngưỡng xác định, ĐVPHT có thể chấp thuận các giao dịch mà không cần phải xác thực bổ sung.

Nguồn dữ liệu

Thông tin giao dịch

  • Giao dịch lặp đi lặp lại trong một khoảng thời gian ngắn
  • Tốc độ di chuyển không tưởng (ví dụ: các giao dịch có nguồn gốc từ hai vị trí địa lý khác nhau hoặc thay đổi ĐVCNT trong một khoảng thời gian rất ngắn)
  • Khác biệt so với các thói quen giao dịch thông thường - ví dụ cao hơn về khoản tiền, tần suất, vị trí ĐVCNT hoặc thiết bị, quốc gia hoặc khung giờ mua sắm khác nhau.
  • Đơn vị tiền tệ giao dịch.
  • Kiểm tra địa chỉ kiểm tra không khớp giữa địa chỉ giao hàng và địa chỉ thanh toán
  • Không khớp giữa địa chỉ giao hàng và hóa đơn
  • Khách hàng có địa chỉ giao hàng khác nhau, nhưng có cùng mã zip.
  • Giao dịch tái diễn đều đặn và lâu dài
  • Mua hàng lần đầu tại một ĐVCNT

Thông tin ĐVCNT

  • Các giao dịch có nguồn gốc từ các ĐVCNT được coi là rủi ro
  • Tốc độ và khối lượng giao dịch cao hơn mức cho phép
  • Lượng bồi hoàn cao và số giao dịch giảm
  • Điểm rủi ro của ĐVCNT
  • Quốc gia của ĐVCNT bảo vệ chống lại rủi ro của quốc gia cụ thể
  • Mã ID ĐVCNT của đơn vị chấp nhận thanh toán

Thông tin chủ thẻ

  • Thông tin cơ bản trên thẻ như: số tài khoản, số BIN, tên chủ thẻ, ngày hết hạn để xác minh khách hàng.
  • Thói quen sử dụng tài khoản của chủ thẻ
  • Dữ liệu về quá trình xác thực giao dịch trước đây, liệu chủ thẻ có từng bị thách thức để xác minh thêm hay chưa.

Thông tin thiết bị

  • Loại nền tảng sử dụng, địa chỉ IP, model thiết bị, độ phân giải màn hình, phần mềm thiết bị như hệ điều hành.
  • Thông tin thiết bị như mã nhà điều hành mạng, mã quốc gia mạng, tên nhà khai thác mạng.
  • Thông tin cụ thể về iOS và Android - bao gồm các yếu tố dữ liệu bổ sung lên hàng đầu trong số các dữ liệu thu thập tạo nên thông tin thiết bị thông thường.
  • Chi tiết trình duyệt bao gồm IP trình duyệt, chi nhánh và vị trí để phát hiện nguồn gốc của giao dịch.

Hỗ trợ thương mại qua thiết bị di động và IoT

Khách hàng giao dịch qua màn hình di động với màn hình nhỏ kỳ vọng khả năng kết nối tức thì và giảm thiểu các phương thức bảo mật khiến quá trình thanh toán trở nên bất tiện và EMV 3DS có khả năng tích hợp liền mạch với các ứng dụng di động cũng như môi trường trình duyệt. EMV 3DS mở rộng xác thực cho trải nghiệm mua hàng tại ứng dụng và ví kỹ thuật số lưu trữ thông tin thẻ để đáp ứng nhu cầu trải nghiệm mua sắm di động liền mạch.

ĐVCNT không đưa ra quyết định

EMV 3DS mang lại cho các ĐVCNT sự linh động để sử dụng việc đưa ra quyết định của mỗi cá nhân để thực hiện hoặc bỏ qua 3DS trên cơ sở từng giao dịch hoặc sử dụng các mô hình rủi ro để chấp thuận hoặc từ chối giao dịch. Song song với khả năng thay đổi trách nhiệm nếu việc mua hàng là gian lận, phương thức này cũng có thể làm giảm nguy cơ giả mạo và mang lại trải nghiệm tối ưu cho khách hàng đáng tin cậy.

KẾT LUẬN

Với phiên bản EMV 3DS mới này, chúng ta có thể khẳng định rằng các ĐVPHT và ĐVCNT sẽ có khả năng nâng cao tính bảo mật và ngăn chặn gian lận, trong khi đồng thời cải tiến trải nghiệm người dùng. Chính nhờ những ưu điểm vượt trội này, giải pháp EMV 3DS sẽ mang lại nền tảng vững chắc để tăng khả năng áp dụng công nghệ 3DS trên toàn cầu.

Để tận dụng những ưu điểm vượt trội của giao thức EMV 3DS trong công cuộc bảo vệ chủ thẻ khỏi nguy cơ gian lận giao dịch trực tuyến, đồng thời tuân thủ thời hạn chuyển đổi đặt ra bởi Visa và Mastercard, các ĐVPHT cần sớm chuẩn bị cho thời kỳ chuyển giao sắp tới.