Étude de cas : un site Web de mode réduit ses coûts de paiement en bloquant la fraude à la carte de crédit
Récemment, un détaillant de mode en ligne dépourvu de système de protection contre les bots a reçu un message inquiétant de la part de son processeur de paiement : « Vous avez trop de tentatives de transactions frauduleuses », indiquait l’alerte.
Aussitôt prévenu, le directeur technique comprit que la société était probablement victime d’attaques frauduleuses par carte de crédit, ou attaques dites de « carding ».
Dans ce type de menaces, les cybercriminels testent un grand nombre de numéros de carte de crédit usurpés, le plus souvent en effectuant de petites transactions sur des sites Web vulnérables, afin de vérifier que les cartes fonctionnent toujours. Si ces tentatives de transaction aboutissent, elles confirment la validité des numéros de carte. Les fraudeurs n’ont plus alors qu’à les réutiliser pour effectuer des achats plus importants, voire les revendre à d’autres criminels.
En savoir plus : Protection contre les détournements et fraudes à la carte de crédit : comment bloquer les attaques perpétrées par des bots
Bien que la fraude à la carte de crédit puisse être effectuée manuellement, les fraudeurs préfèrent généralement utiliser des robots. Ceux-ci sont en effet capables d’exécuter des tâches répétitives beaucoup plus rapidement que les êtres humains, et ils permettent aux fraudeurs de tester aisément plusieurs milliers de cartes sans recourir à des artifices manuels.
Pourquoi le site Web a-t-il été signalé par son organisme de traitement des paiements ?
Le site de mode en ligne en question est hébergé sur la plateforme BigCommerce. Lorsqu’un client effectue un paiement par carte, le site Web génère un jeton qui autorise le processeur de paiement à traiter la transaction.
Chaque fois qu’un bot est parvenu à compléter et à soumettre le formulaire de paiement avec un numéro de carte dérobé, le site Web génère le jeton et l’adresse au processeur de paiement, conformément à la procédure normale. En revanche, si le numéro de carte est non valide ou signalé comme volé, le processeur de paiement refusera la transaction.
En raison des attaques agressives qui sont perpétrées par ces bots de carding, de plus en plus de transactions se trouvent ainsi refusées. Au final, le taux d’acceptation du site Web a chuté en deçà du seuil autorisé par le processeur de paiement, d’où le déclenchement de l’alerte.
Pour les entreprises en ligne, ce cas de figure très courant engendre toutes sortes de problèmes et de coûts inutiles : à supposer, par exemple, que le numéro de carte soit incorrect et que la transaction ait été refusée, vous devrez quand même régler les frais d’authentification imposés par le processeur de paiement.
Si le processeur considère votre site Web comme présentant un « risque élevé », il est également susceptible d’augmenter vos frais de transaction, voire de décliner tout autre règlement tant que le problème n’a pas été résolu. Et si vous faites appel à l’authentification bifactorielle par SMS, le coût sera encore plus élevé.
Mesurer les fraudes à la carte de crédit : essai gratuit de DataDome
L’alerte envoyée par le processeur de paiement a contraint le directeur technique de ce site de mode en ligne à rechercher une solution de sécurité capable d’être testée et déployée rapidement. Notre solution de protection anti-bots remplit à cet égard tous les critères : il s’agit d’une solution SaaS non intrusive, que n’importe quel administrateur de site Web peut configurer et tester par lui-même en toute simplicité.
En mode d’essai gratuit, la solution DataDome affiche tout le trafic de bots visant le site Web sur le tableau de bord personnel de l’utilisateur en temps réel.
Les soupçons du responsable technique se sont alors avérés : en l’espace de seulement deux jours, soit entre le 28 et le 30 avril, plus de 8 400 tentatives d’attaques de carding ont été détectées par DataDome. La décision de s’abonner à la protection DataDome, puis de l’activer, a alors été prise rapidement.
La protection a été activée le 1er mai. La solution DataDome bloque désormais instantanément toutes les tentatives de transaction générées par les robots logiciels avant que le jeton du processeur de paiement ne soit généré. Le site Web a donc recouvré un taux d’acceptation normal et le processeur de paiement est satisfait (tout comme le directeur technique !).
Comme on peut le voir à l’extrémité du graphique ci-dessus, les fraudeurs ont rapidement abandonné lorsqu’ils ont réalisé que leurs tentatives d’attaques étaient interceptées. Au lieu de tenter de contourner la protection, ils ont probablement opté pour une voie plus facile : rechercher un autre site Web vulnérable où ils pourraient poursuivre leurs tentatives de fraude. En espérant que ce ne soit pas le vôtre !
Une attaque hautement distribuée… mais moyennement intelligente
Aujourd’hui, la plupart des attaques de bots à grande échelle sont réparties sur un grand nombre d’adresses IP différentes. Grâce à des services tels que Luminati, qui est le plus grand service de proxy au monde, les opérateurs de bots disposent d’un moyen à la fois aisé et peu coûteux d’effectuer des rotations entre plusieurs milliers, voire plusieurs millions d’adresses IP distinctes.
L’attaque dont il est question ici n’a pas fait exception à cette règle : pour tenter de masquer le trafic illicite, les opérateurs de bots ont utilisé des adresses Internet provenant de 17 pays différents.
De surcroît, étant donné que le site Web ciblé n’était initialement équipé d’aucune protection, les programmes n’ont pas eu trop de mal à se faire passer pour des humains. Alors qu’un tiers des robots illicites utilisent désormais des adresses IP résidentielles pour se fondre dans le trafic humain et contourner les systèmes de sécurité IP, les fraudeurs dans cette étude de cas sont passés exclusivement par des adresses IP de datacenter, moins onéreux.
Coment mettre fin à la fraude par les bots de carding
Chez DataDome, nous sommes fiers de pouvoir détecter même les bots les plus sophistiqués, mais pour être honnêtes, cette attaque a été facilement contrée par notre moteur de détection. De fait, les opérateurs de bots n’ont même pas pris la peine d’équiper leurs robots d’agents utilisateurs, ce qui s’explique dans la mesure où le site Web visé n’avait mis en place aucune protection anti-bots.
Cela signifie-t-il que le directeur technique aurait pu facilement résoudre le problème au moyen d’une solution de détection de bots gratuite telle que reCaptcha ? La réponse est assurément non.
Bien que les Captchas offrent une protection décente contre les bots basiques, les opérateurs de bots font de plus en plus appel à l’intelligence artificielle et à des fermes de Captchas pour déjouer les vérifications. Une fois le Captcha résolu, ils peuvent ainsi poursuivre leur attaque en toute quiétude.
En outre, comme tout utilisateur d’Internet peut l’attester, le taux de faux positifs associé aux Captchas est élevé. Qui plus est, l’identification de passages piétons, de devantures de magasins ou de bornes à incendie n’est pas vraiment l’idée que l’on se fait d’une expérience utilisateur optimale, notamment lors d’une procédure de règlement et de paiement. Pour bénéficier d’un taux de conversion élevé, vous devez réduire les frictions au minimum, ce qui suppose la mise en place de mesures de sécurité invisibles pour les utilisateurs légitimes.
Enfin, une solution robuste de protection contre les bots se doit de protéger également votre site Web contre les autres dommages liés aux robots logiciels : usurpation de contenu, usurpation d’informations d’identification, fraude par bots, ou attaques par DDoS, pour ne citer que quelques exemples.
Mais le mieux est que vous en jugiez par vous-même. En moins d’une heure, vous pouvez configurer et démarrer un essai gratuit de DataDome pendant 30 jours, afin de découvrir en temps réel les dégâts causés à votre site Web par les bots illégitimes. Commencez par ici pour connaître la vérité !
Articles liés
Présentation de Priority Protect : la seule salle d'attente virtuelle conçue pour l'ère agentique
En savoir plus
Salles d'attente virtuelles : la faille que les bots exploitent
En savoir plus
Comment choisir un système de gestion de file d'attente en ligne
En savoir plus
Qu'est-ce qu'une salle d'attente virtuelle ? Guide de gestion des files d'attentes en ligne
En savoir plus
