How can machine learning detect fraud?

Machine learning can detect fraud by analyzing huge amounts of raw data under specific instruction to identify patterns and anomalies that indicate suspicious user behavior. It can be human-supervised for more accurate results without false positives.

What is the best machine learning algorithm for fraud detection?

It depends on the volume and complexity of the data, the type of fraud that you're looking for, and the level of accuracy and speed you're willing to accept. The best algorithm will require little human oversight when it's up and running.

What is ML based financial fraud detection?

This is a technology that uses algorithms and statistical models to identify fraudulent transactions in financial accounts. Scanning through large amounts of data, ML algorithms identify problematic actions and either block or highlight them for review.

Comment prévenir le Carding, le Card Cracking et l’API Abuse sur votre API de paiement ?

Les entreprises en ligne utilisent des Application Programming Interfaces (API) pour exécuter facilement des actions sur Internet, telles que déclencher un paiement. Les API sont méticuleusement organisées et extrêmement utiles, ce qui explique pourquoi elles sont fréquemment ciblées par les fraudeurs et les bots malveillants.

Une autre raison pour laquelle les API de paiement sont fortement ciblées par les cybercriminels est leur important potentiel de ROI. Non seulement les attaquants peuvent vendre les données récupérées à des tiers, mais ils peuvent aussi exploiter les voies d’accès à l’API d’une application légitime pour mener d’autres activités frauduleuses.

Par conséquent, afin de protéger votre entreprise en ligne contre le carding, le card cracking et l’API Abuse, vous devez protéger vos API aussi soigneusement que vous protégez vos sites web et applications mobiles.

Le rôle des API dans le traitement des paiements

Les API permettent à toutes sortes d’appareils et d’applications d’échanger des informations via tous types de protocoles de communication, aidant ainsi les développeurs à créer de bonnes expériences utilisateur facilement et efficacement. Les entreprises qui utilisent les API augmentent plus rapidement leurs revenus, créent plus souvent des offres intégrées avec des partenaires et lancent de nouveaux produits et services plus vite que les concurrents qui n’utilisent pas les API.

Comment les API facilitent les transactions de paiement

Les API de paiement permettent aux entreprises en ligne d’intégrer facilement la fonctionnalité de traitement des paiements dans des applications, des sites web et d’autres plateformes numériques. Les API permettent aux applications web et mobiles d’accepter et d’envoyer des paiements rapidement et avec précision, en agissant comme un intermédiaire entre les entreprises et leurs processeurs de paiement qui gèrent leurs transactions.

Les API de paiement peuvent prendre en charge diverses formes de paiements en ligne, y compris par carte de débit, carte de crédit, transfert bancaire, chambre de compensation automatisée (ACH), et via des passerelles de paiement telles qu’Apple Pay, PayPal et Google Pay. Peut-être plus important encore, que votre entreprise soit dans l’e-commerce, le B2C ou le B2B, les API de paiement l’aident à fournir une expérience de paiement fluide pour vos clients.

Les risques d’exposition des API à des menaces externes

Malheureusement, avec l’intégration facile et la commodité de paiement offertes par les API vient aussi le potentiel d’exposition d’une application et de ses données, élargissant considérablement votre surface d’attaque pour les fraudeurs. Parce que les API sont utilisées pour la communication et le transfert de données, une API non sécurisée peut exposer des données sensibles de clients ou de l’entreprise, causant des pertes de revenus et des dommages à la réputation de votre marque.

Beaucoup des violations de données les plus tristement célèbres de l’histoire récente ont été causées par des vulnérabilités des API, y compris la brèche de Facebook en 2018 qui a exposé les données personnelles de 50 millions d’utilisateurs et a coûté des millions de dollars à l’entreprise. Et les attaques d’API ne vont pas disparaître. Gartner a prédit que les attaques d’API deviendraient le vecteur d’attaque le plus fréquent causant des violations de données pour les applications web d’entreprise.

Pourquoi les fraudeurs ciblent-ils les API de paiement ?

Les fraudeurs, les attaquants et autres opérateurs de bots malveillants apprécient les API pour leur accès facile à des informations stables et structurées. En fait, les données clients montrent que 70 % du trafic sur certaines des API les plus ciblées est généré par des bots.

Mais pour de nombreuses entreprises, les avantages des API l’emportent sur les risques de sécurité, conduisant à une utilisation croissante des API par les applications mobiles jour après jour pour interagir avec les services et informations en back-end.

Comment les bots malveillants procèdent-ils aux attaques d’API ?

Très peu de bons bots s’intéresseront à vos API, donc la plupart des bots qui tentent d’y accéder sont des bots malveillants. Les opérateurs de bots disposent de quelques techniques courantes pour mener des attaques et abuser des API. Ils peuvent :

faire de la rétro-ingénierie sur l’API ;
exécuter l’application avec un émulateur ;
utiliser un logiciel d’automatisation et une ferme mobile.

Notre article sur comment protéger les applications mobiles contre les bots fournit plus de détails sur chaque méthode.

Qu’est-ce que le Carding, le Card Cracking et la Card Not Present (CNP) Fraud ?

La Card Not Present Fraud (CNP), le carding et le card cracking sont des sous-catégories de la fraude à la carte, le type de vol d’identité le plus courant, qui a considérablement augmenté ces dernières années. Voici un bref résumé des différents types de fraudes à la carte :

La fraude CNP est un type de fraude à la carte bancaire où le cybercriminel dispose du numéro de la carte, du nom du titulaire, de l’adresse du titulaire et du code de sécurité CVV à trois chiffres. Souvent, le fraudeur achète une liste de numéros de carte de crédit et de CVV, puis les associe aux données personnelles (par exemple, l’adresse du domicile) nécessaires pour utiliser la carte sans en avoir physiquement possession.
Le carding (OAT-001) implique que les cybercriminels utilisent des bots pour tester la validité des données de carte volées, souvent avec de petites transactions pour éviter d’attirer l’attention.
Le card cracking (OAT-010, également connu sous le nom de “card testing”) est un type d’attaque par force brute qui implique l’utilisation de bots pour deviner les valeurs manquantes pour des données de carte de crédit ou de débit volées sur l’interface de paiement d’une plateforme de commerce électronique (ou API de paiement).

Comme le rapporte security.org, le nombre de victimes de fraudes à la carte en Amérique a atteint 151 millions en 2022, augmentant le pourcentage de titulaires de carte qui en ont été victimes à 65%, contre 58% en 2021. Alors que la fréquence et le coût de la fraude à la carte bancaire continuent d’augmenter, l’utilisation généralisée des API de paiement pour les entreprises en ligne augmente aussi, et la sécurité de vos API devrait en faire autant.

Le coût de la fraude à la carte pour votre API de paiement

Au premier semestre 2022, les Américains ont perdu un montant record de 3,56 milliards de dollars à cause de la fraude en ligne, et la Federal Trade Commission a reçu 800 000 plaintes pour fraude, avec 27 % des cas entraînant une perte financière. Les attaquants partout dans le monde veulent une part du gâteau, et les API de paiement semblent être une cible facile.

87 % des consommateurs ne sont pas disposés à faire affaire avec une entreprise s’ils ne sont pas certains de sa sécurité, même si les titulaires de carte individuels ont une responsabilité limitée en cas de fraude à la carte. La majorité des coûts de la fraude à la carte bancaire retombent sur le marchand ou la banque pour rembourser.

Coût du traitement des paiements échoués

De nombreuses entreprises paient des frais d’autorisation de 0,15 $ à 0,25 $ pour chaque transaction, y compris les refus et les annulations. Les paiements échoués et refusés peuvent s’accumuler avec le temps, coûtant jusqu’à 375 000 $ par an, et peuvent même aboutir à ce que votre processeur de paiement menace de vous couper le service.

Le volume des paiements échoués a commencé à augmenter, à tel point que notre processeur de paiement nous a avertis que nous devions faire quelque chose ou le service pourrait être coupé. Nous avons donc bloqué le trafic en provenance des pays que nous ne desservons pas, ajouté beaucoup de règles Fastly différentes, etc. — et puis les attaques ont explosé.

– Vincent Cerone, Senior Manager of Development chez KISS USA

Sanctions pour non-conformité aux normes PCI DSS

Le Payment Card Industry Data Security Standard (PCI DSS) est une norme pour les entreprises qui gèrent des paiements par carte.

Les 12 exigences du PCI DSS comprennent l’obligation de protéger les données des titulaires de carte et de « traiter les nouvelles menaces et vulnérabilités de manière continue ». De manière générale, les amendes pour non-conformité peuvent aller de 5 000 à 100 000 dollars par mois.

Les impacts financiers négatifs des attaques de bots malveillants et de l’API Abuse peuvent être immédiats ou différés, et s’avérer à la fois graves et durables. C’est pourquoi la plupart des dirigeants d’entreprise s’accordent à dire que trouver la bonne protection contre les bots leur permet d’économiser de l’argent sur le long terme.

En quoi la protection des API de paiement diffère-t-elle de la protection des sites web ?

La protection des API contre les bots et les fraudeurs est très différente de la protection des sites web, car les entrées sont différentes, nécessitant des algorithmes spécifiques pour reconnaître les intrus. La protection des API doit pouvoir collecter et analyser de multiples capteurs et événements. Cependant, il existe peu d’outils de protection des API actuellement disponibles, et la plupart ne sont pas très sophistiqués.

Par exemple, les WAF (Web Application Firewalls) et les passerelles d’API sont impuissants à protéger les API contre les bots avancés qui utilisent les bonnes clés API, l’authentification et les protocoles corrects. Si un bot sait falsifier des attributs tels que les empreintes digitales côté serveur, et que ce sont les seuls signaux disponibles pour votre outil de protection des API, alors votre API sera aveugle aux menaces avancées.

Plus il y a de signaux de types différents collectés et traités par votre protection des API, plus la précision et la capacité à détecter des menaces sophistiquées sont grandes. Le résultat ? Une API de paiement globalement plus sécurisée.

Les deux aspects de la détection des attaques sur les API de paiement dans les applications mobiles

Pour détecter toutes sortes d’accès non autorisés aux API, une protection efficace contre les bots et la fraude en ligne doit s’appuyer sur une combinaison d’intégrations côté client et côté serveur.

Un module server-side installé sur votre API.
Un module client-side intégré directement dans votre application mobile via des SDK (idéalement, des SDK très légers).

Note : La plupart des experts en protection contre les bots et la fraude savent qu’un module côté client est essentiel pour collecter les propriétés de l’appareil et les données comportementales, et pour afficher un CAPTCHA (mais seulement si l’appel API du visiteur est bloqué par le module côté serveur).

Une implémentation obscurcie peut garantir que la rétro-ingénierie de votre code de protection soit suffisamment difficile, de sorte que les fraudeurs jugent que la cible ne vaut pas l’effort.

Défendre les applications à page unique contre les attaques d’API de paiement

L’implémentation typique d’une application monopage envoie au navigateur une “coquille” vide d’une page HTML sans contenu. Ensuite, le contenu est chargé dynamiquement à la demande via des requêtes AJAX, et présenté côté client par un framework JavaScript (JS) tel que Angular, React ou Vue.

Parce qu’elles dépendent fortement des appels AJAX, les applications single pages sont plus difficiles à défendre contre les bots que les sites multipages.

Lorsqu’une application monopage effectue un appel AJAX, le framework JavaScript attend une réponse très spécifique de l’API — spécifique, mais unique pour chaque implémentation. Il n’y a pas de norme. Lorsqu’une requête est bloquée, l’API ne renverra pas la réponse attendue par l’application à page unique, et l’application sera incapable d’interpréter correctement la réponse inattendue.

Certains fournisseurs de protection contre les bots bloquent durement toute requête suspecte d’une application monopage vers votre API, sans même afficher un CAPTCHA. Lorsque cela se produit, de vrais visiteurs (humains) peuvent se voir refuser l’accès, tandis que votre entreprise est laissée dans l’ignorance, sans boucle de rétroaction, sans vue des faux positifs et sans moyens d’évaluer la précision de votre protection.

Le résultat ? Des dommages non identifiés à votre expérience utilisateur.

Inacceptable. Pour conserver les clients aujourd’hui, les entreprises doivent refuser de compromettre l’expérience utilisateur pour une sécurité efficace.

Une solution unique est le tag JS de DataDome qui surveille chaque appel AJAX vers n’importe quelle URL et affiche un CAPTCHA devant une application à page unique (encore une fois, seulement lorsqu’un appel API est bloqué par le module côté serveur). Le tag JS a été testé et déployé avec succès sur les principaux frameworks JavaScript, y compris Angular, React et Vue.

Considérations supplémentaires pour la protection des API de paiement

Mécanismes d’authentification forte

L’authentification à deux facteurs (2FA) et l’authentification multifacteurs (MFA) sont couramment utilisées par les plateformes en ligne pour confirmer l’identité revendiquée des utilisateurs en utilisant l’un des éléments suivants :

une information qu’ils connaissent (qui n’est pas de connaissance commune/publique), telle que des réponses à des questions de sécurité, des mots de passe à usage unique (OTP), ou des codes envoyés par SMS ou email aux coordonnées du compte ;
un objet propriétaire qu’ils possèdent, tel qu’un dongle, un jeton ou une carte que vous avez fourni et qui peut être reconnu par votre système ;
une caractéristique physique unique, telle que leur empreinte digitale, reconnaissance faciale ou scan de l’iris.

Chiffrement des données et transmission sécurisée

Le chiffrement SSL/TLS est essentiel dans la cybersécurité moderne. Les chiffrements des données par Secure Sockets Layer (SSL) et Transport Layer Security (TLS) travaillent de concert pour sécuriser une connexion Internet et protéger les données en transit contre l’interception par des acteurs malveillants.

Le chiffrement SSL/TLS crée un tunnel chiffré entre deux points sur un réseau — typiquement un serveur web et le navigateur de l’utilisateur final. Le chiffrement brouille les données lorsqu’elles se déplacent à travers le tunnel, empêchant les fraudeurs d’intercepter et d’accéder à des données sensibles.

Surveillance et détection des anomalies

Surveillance des requêtes/transactions en temps réel

Alors que la fraude et la détection de la fraude continuent d’évoluer avec les avancées en intelligence artificielle (AI), en science des données et en apprentissage automatique (machine learningn ML), une détection efficace de la fraude requiert une surveillance des menaces en temps réel à la périphérie du réseau.

Notez que les systèmes basés sur des règles ne peuvent pas s’adapter assez rapidement pour arrêter les nouvelles menaces, et les mécanismes de détection en silo n’offrent pas de boucle de rétroaction pour assurer la précision ou informer la prévention des attaques futures (ou pour protéger votre expérience utilisateur). La technologie ML adaptative surveillée 24/7 par des experts humains est la meilleure solution pour sécuriser les API de paiement, maintenant et à l’avenir.

Identification des activités suspectes

Une partie importante de la surveillance de la sécurité de votre API de paiement est la détection des anomalies, qui implique l’identification des points de données qui ne devraient normalement pas se produire dans votre système pour une analyse plus approfondie. La détection des anomalies dans les données transactionnelles est essentielle pour détecter les transactions frauduleuses et autres types d’attaques sur vos sites web, applications et API.

Assurer une performance fluide et une utilisation équitable

La limitation et la régulation du débit de l’API sont deux moyens de soutenir les performances optimales, l’utilisation équitable et la sécurité de votre API de paiement.

La limitation du débit est un moyen de contrôler le nombre de demandes envoyées à votre API afin d’éviter qu’elle ne soit submergée et d’assurer son bon fonctionnement. Si le nombre de demandes est trop élevé, l’API peut soit refuser la demande, soit répondre par un message d’erreur, soit prendre du temps avant de répondre.
La régulation de l’API est une technique utilisée pour contrôler le nombre de demandes d’API en bloquant temporairement les clients qui dépassent le taux de demandes autorisé, en les empêchant d’effectuer d’autres demandes pendant un certain temps. La régulation est plus agressive que la limitation du débit.

Détection et prévention de la fraude

La détection de la fraude basée sur l’IA

La bonne solution de détection de la fraude basée sur l’AI utilisera une variété de signaux et de sources de données pour assurer une protection au-delà de votre API de paiement, sécurisant tous vos points de terminaison à travers le parcours client sur vos sites web, applications et API en mode automatique. La clé est de trouver un fournisseur avec la bonne combinaison de modèles de détection ML avec une surveillance constante par des experts en recherche de menaces.

Services de vérification d’adresses (AVS)

Les outils AVS visent à vérifier, corriger et standardiser les adresses résidentielles et d’entreprise, ainsi que d’autres données d’identification physiques pour aider à limiter la fraude et les rétrofacturations. L’AVS est souvent fourni aux marchands par les processeurs de cartes de crédit et les banques émettrices. L’AVS ne garantit pas la prévention de la fraude et peut parfois générer des refus erronés ou des refus partiels.

Conclusion : comment commencer à prévenir les abus en matière d’API de paiement ?

Apprendre les tenants et les aboutissants des API de paiement, de l’API Abuse et des attaques de fraude sur les API est un excellent pas vers le renforcement de la sécurité de vos API. Si vous souhaitez en savoir plus sur la protection des API, DataDome dispose de plusieurs ressources :

Si vous êtes prêt à plonger dans votre trafic pour voir quels types d’attaques de bots et de fraudes ciblent vos sites web, applications et API, vous pouvez commencer un essai gratuit de DataDome pour accéder à votre tableau de bord en temps réel dès maintenant. Nous vous invitons également à nous contacter à tout moment pour des questions et des retours.

Paige Tester

Director of Content Marketing

Paige est directrice du marketing de contenu chez DataDome. Forte d'une expertise de plus de dix ans dans la création de contenu, elle dirige le développement de contenu stratégique approfondi qui met en avant les techniques avancées de détection des bots et de la fraude en ligne. Son travail fournit aux professionnels de la cybersécurité des informations exploitables et des connaissances de pointe, qui leur permettent de garder une longueur d'avance sur les menaces émergentes.