Sécurité des API et banalisation de la fraude à la carte bancaire en tant que service

La fraude par carte bancaire est plus facile que jamais. Mais pourquoi ?

Les outils et services conçus pour faciliter les activités frauduleuses telles que le carding et le card cracking sont de plus en plus accessibles au grand public. Les données de cartes volées, les techniques de carding et les outils sophistiqués de fraude en tant que service sont chaque jour plus disponibles, plus avancés, plus faciles à utiliser et moins chers à l’achat ou à la location.

Les fraudeurs, même les plus inexpérimentés, peuvent facilement accéder à d’innombrables services et outils et perpétrer des attaques rapides à l’aide de techniques sophistiquées, augmentant ainsi les dommages potentiels causés à votre entreprise.

Les sites web et les applis mobiles des entreprises sont très visibles et souvent protégés contre les bots ou bien la fraude, mais les API sont parfois oubliées. Les API peuvent en effet être considérées comme des cibles plus « faciles » et bénéficient donc d’outils de protection plus légers, notamment les pare-feux d’applications web (WAF) et les CAPTCHA traditionnels.

Du fait de leur manque de protection sophistiquée, les API sont aujourd’hui de plus en plus ciblées à grande échelle par des cybercriminels qui utilisent des outils très banalisés et donc plus accessibles.

Que sont les outils de fraude en tant que service ?

Les outils de fraude en tant que service (fraud-as-a-service) permettent aux attaquants d’automatiser le travail de fond de la fraude en ligne, notamment la fraude à la carte bancaire, ce qui facilite considérablement la tâche des fraudeurs. La fraude à la carte bancaire en ligne comporte plusieurs étapes, notamment (mais pas exclusivement) :

1. Obtenir des numéros de cartes : les fraudeurs obtiennent ou volent des données de cartes bancaires valides (via le carding et le card cracking ou l’achat sur le Deep Web) pour les utiliser dans leurs transactions frauduleuses. Les bots sont souvent utilisés en masse pour inférer (c’est-à-dire « tester » ou « craquer ») les données de cartes et les coordonnées des titulaires de cartes qui y sont associées. Les détails de paiement peuvent être plus faciles à trouver derrière des points de terminaison moins protégés, tels qu’une API utilisée par le processeur de paiement ou le commerçant.
2. Collecter les coordonnées du titulaire de la carte : les fraudeurs font correspondre les numéros de carte bancaire aux données du titulaire de la carte, comme le nom, l’adresse de facturation, le code postal, etc. afin d’utiliser la carte en ligne. Les bots peuvent être utilisés pour déduire des informations sur les titulaires de cartes. Parfois, les attaquants achètent des fullz, qui comprennent des informations de paiement et des informations personnelles sur le titulaire de la carte.
3. Effectuer des transactions frauduleuses : les fraudeurs, armés d’informations de cartes bancaires volées, s’efforcent d’effectuer l’ensemble du processus de paiement sur le site web ciblé, sans éveiller les soupçons. Les bots sont souvent utilisés pour automatiser le processus et augmenter le volume des transactions possibles.

Toutes les étapes ci-dessus peuvent être intensives si elles ne sont pas automatisées, et c’est là que les outils de fraude en tant que service entrent en jeu. Tout comme les bots en tant que service, la fraude en tant que service peut envoyer des bots collecter des informations sur les cartes et des informations personnelles, effectuer une transaction, ou les deux. Des extensions telles que des proxys FAI ou résidentiels permettent au fraudeur de ne pas être détecté.

Utiliser un outil de fraude en tant que service permet d’externaliser les risques et les difficultés liés à la fraude à la carte bancaire, ce qui permet à n’importe qui (même à ceux qui n’ont aucune connaissance en programmation) de frauder.

La banalisation de la fraude en tant que service augmente le risque de fraude par carte bancaire des API

La banalisation des outils et des services de fraude à la carte bancaire rend celle-ci plus facile à effectuer, notamment quand des API front-end non protégées sont face aux bots malveillants avancés. La fraude en ligne va persister, voire s’aggraver, et toute plateforme d’e-commerce non protégée laisse aux acteurs malveillants de nombreuses possibilités de voler de l’argent, des données personnelles et des produits à l’aide de cartes volées.

Les entreprises et les institutions financières sont confrontées à des défis importants alors que la fraude en ligne continue de gagner en popularité et que les gains pour les fraudeurs ne cessent de croître.

Alors que les cybercriminels trouvent de nouveaux moyens d’exploiter les vulnérabilités des systèmes de prévention de la fraude existants, les entreprises et les institutions financières s’empressent de développer de nouveaux systèmes pour détecter et arrêter la fraude. Les tendances montrent que les fraudeurs se tournent vers les API au lieu des sites web, qui tendent à être mieux protégés.

Les API sont des portes d’accès aux données organisées dans des formats prédéfinis, ce qui en fait une cible utile pour les fraudeurs recherchant des informations spécifiques. De plus, la sécurité des API est plus difficile à mettre en œuvre que la protection des sites web et des applications mobiles, ce qui rend les API des cibles « plus faciles ». Par exemple, un navigateur sans interface utilisateur se connectant à un site web est suspect—mais un navigateur sans interface utilisateur se connectant à une API est considéré comme normal.

Les outils de fraude en tant que service fournissent aux acteurs malveillants les ressources dont ils ont besoin pour créer et utiliser des bots sophistiqués — comme des proxies ayant une bonne réputation — pour contourner facilement les outils de sécurité de base tels que les WAFs.

Protégez les APIs orientées utilisateurs contre la fraude automatisée par carte bancaire

L’automatisation croissante et la banalisation de la fraude en ligne par carte ne peuvent être contrées que par une solution sophistiquée de protection contre les bots intelligents et la fraude en ligne. Et la meilleure solution protégera tous les points d’accès de votre entreprise. L’une des mesures de sécurité les plus couramment utilisées devant les APIs orientées utilisateurs sont les web application firewalls (WAFs) conçus pour protéger contre les attaques connues basées sur un ensemble de règles. Mais les WAFs ne peuvent bloquer que les menaces familières, ce qui les rend inefficaces contre les bots avancés d’aujourd’hui.

La protection contre les bots et la fraude en ligne de DataDome renforce les points d’accès aux données des APIs, défendant les entreprises et les clients contre le scraping, le credential stuffing, les attaques par force brute, et plus encore.

La solution de DataDome, alimentée par le machine learning, analyse chaque requête en temps réel, à chaque fois, pour protéger les sites web, les applications mobiles, et les APIs contre les activités malveillantes des bots avec rapidité et précision. Notre protection réduit les risques de sécurité, renforce la confiance entre les commerçants et les partenaires, et aide les entreprises à éviter les frais excessifs de rétrofacturation dus aux transactions frauduleuses.

Vous voulez voir comment DataDome peut protéger votre entreprise contre la fraude par carte bancaire ? Essayez-le gratuitement pendant 30 jours pour voir quelles menaces ciblent votre plateforme, ou planifiez une démo dès aujourd’hui.