10 conseils pour prévenir la fraude à la carte non présente (fraude CNP)

Vous vous souvenez peut-être des débats au début des années 2000 sur la viabilité des achats en ligne. Aujourd’hui, les achats en ligne font partie de notre quotidien, et le e-commerce ne cesse de croître. D’après une étude de McKinsey, la croissance du commerce en ligne en 2020 a été entre 2 et 5 fois plus rapide qu’au cours des années précédentes, et a continué à un rythme de 14,2 % en 2021.

Les cybercriminels ont également suivi cette évolution et ont su tirer parti de cette opportunité. Par exemple, pendant les fêtes de fin d’année 2021, les sites de vente en ligne ont subi une augmentation de 13 % des attaques par bots, dont 1/3 ont abouti à des account takeovers.

Dans ce guide sur la prévention de la fraude à la carte non présente (ou fraude CNP), vous en apprendrez davantage sur :

• la définition de la fraude CNP ;
• l’importance de la prévention de la fraude CNP ;
• les secteurs et entreprises ciblés par les cyberattaquants ;
• comment se déroule la fraude CNP ;
• nos conseils pour empêcher la fraude CNP.

Qu’est-ce que la fraude à la carte non présente ?

La fraude à la carte non présente (ou fraude CNP) est une forme de fraude à la carte bancaire dans laquelle un criminel dispose des informations essentielles de la carte : le numéro, le nom du titulaire, le code de sécurité à trois chiffres et l’adresse. Le commerçant traite le paiement non autorisé parce qu’il ne manipule jamais la carte physique au cours de la transaction. La victime étant toujours en possession de la carte, elle ne se rend généralement pas compte de l’activité non autorisée.

Pourquoi la prévention de la fraude CNP est-elle cruciale ?

La fraude à la carte non présente peut sérieusement réduire les revenus de votre entreprise, et c’est pourquoi il est important d’investir dans des solutions de protection contre la fraude à la carte bancaire. Bien que votre entreprise et vos clients soient tous deux victimes, ce sont les commerçants qui assument la responsabilité totale d’une rétrofacturation, y compris les frais supplémentaires et pénalités. Selon une étude, chaque dollar de fraude coûte en réalité 3,60 $ aux commerçants américains, soit une augmentation de 7,1 % entre 2020 et 2021. Les taux de rétrofacturation grimpent souvent pendant les périodes de forte affluence, comme les fêtes, où la fraude CNP est à son pic.

De plus, si vos clients associent le vol de leurs informations de carte de crédit à votre entreprise, ils risquent de ne plus revenir. En prévenant la fraude en ligne et la fraude CNP, vous protégez non seulement vos revenus, mais aussi la réputation de votre entreprise.

Qui est exposé à la fraude CNP ?

Toute entreprise qui accepte des paiements en ligne est vulnérable à la fraude à la carte non présente, qui présente des risques majeurs tant pour l’entreprise que pour ses clients. Cependant, certains secteurs sont particulièrement prisés par les criminels.

Commerce en ligne

Les boutiques de e-commerce sont des cibles privilégiées pour la fraude CNP, car les criminels peuvent facilement acheter des articles pour les revendre. Les entreprises de vente en ligne doivent être particulièrement vigilantes pendant les périodes de soldes ou sur les produits en stock limité, qui peuvent être revendus avec profit.

Billetterie

Le secteur de la vente de billets en ligne est également fortement exposé à la fraude numérique. Les fraudeurs utilisent souvent des bots pour acheter massivement des billets au prix initial, qu’ils revendent ensuite à des prix plus élevés à l’approche de l’événement.

Jeux en ligne

Le secteur des jeux en ligne, souvent peu réglementé, est une cible de choix pour la fraude CNP, notamment pour les achats intégrés, en particulier sur mobile. Comme les gens stockent souvent leurs informations sur les plateformes de jeux, les cybercriminels pratiquent des account takeovers dans le cadre de leurs activités frauduleuses.

Comment se déroule la fraude CNP ?

La fraude à la carte non présente est l’équivalent numérique du vol à la tire, sauf que la victime met plus de temps à s’apercevoir des paiements frauduleux.

Vol d’informations de carte de crédit

Bien que la fraude à la carte non présente se produise en ligne, les informations peuvent être volées à partir d’une carte physique. Par exemple, les criminels peuvent installer un skimmer sur un terminal de paiement pour capturer les données lors d’un achat, puis revendre ces informations sur le dark web.

Attaques de phishing

Dans une attaque de phishing, les cybercriminels envoient des e-mails frauduleux incitant les destinataires à cliquer sur des liens malveillants déguisés en liens légitimes. Une fois que la victime saisit ses informations, les fraudeurs les récupèrent sans qu’elle s’en rende compte.

Piratage des bases de données de commerçants

Les cybercriminels exploitent les failles de sécurité dans les bases de données des commerçants pour voler des informations en masse. Ils peuvent réaliser des attaques par force brute ou utiliser d’autres méthodes pour accéder à ces bases de données et s’emparer de grandes quantités de données.

Utilisation de cartes-cadeaux frauduleuses

Pour dissimuler leurs traces, les cybercriminels utilisent les informations volées et activent des cartes-cadeaux, qu’ils revendent ensuite, convertissant ainsi les données volées en fonds numériques.

Comment prévenir la fraude CNP ?

La fraude à la carte non présente se base sur l’incapacité des commerçants à vérifier l’identité du titulaire de la carte. Pour l’empêcher, il est essentiel de mettre en place plusieurs couches de protection, notamment :

• vérifier la localisation géographique du client ;
• valider l’identité du client ;
• vérifier l’adresse de facturation ;
• exiger le code CVV ;
• analyser l’adresse IP utilisée ;
• utiliser la technologie 3 Domain Secure (3-D Secure) ;
• comparer les nouvelles commandes avec un réseau de commerçants partenaires ;
• utiliser des protocoles SSL pour sécuriser les transactions ;
• analyser les adresses e-mail ;
• mettre en place l’authentification multifacteurs (MFA).

Adopter ces mesures renforce la sécurité des transactions et protège à la fois votre entreprise et vos clients contre la fraude.

10 conseils pratiques pour prévenir la fraude CNP

Pour réduire efficacement la fraude à la carte non présente et prévenir les attaques de carding, il est crucial de vérifier que les acheteurs sont bien des clients légitimes. Bien que les consommateurs soient de plus en plus enclins à acheter en ligne, vous devez protéger votre entreprise contre les transactions frauduleuses.

Collecter les informations essentielles des clients

En tant qu’entreprise en ligne, il est essentiel de bien connaître vos clients, même à distance. Pour ce faire, vous devez vous assurer qu’ils fournissent un maximum d’informations lors de leurs achats, notamment :

• leur adresse e-mail ;
• leur adresse de facturation ;
• les informations sur l’appareil utilisé (navigateur, système d’exploitation, etc.) ;
• les détails de la carte de crédit (numéro de carte, émetteur, date d’expiration, code CVV) ;
• leur numéro de téléphone.

Plus vous collectez d’informations détaillées sur vos clients, plus vous êtes en mesure de repérer les anomalies et de détecter les tentatives de fraude, renforçant ainsi la sécurité de votre entreprise et celle de vos transactions.

Utiliser l’empreinte numérique du navigateur et de l’appareil

L’empreinte numérique de l’appareil consiste à collecter des informations sur l’appareil d’un utilisateur pour l’identifier de manière unique. Voici quelques données que vous pouvez recueillir :

• la qualité de l’IP ;
• le comportement de la souris ;
• les en-têtes HTTP ;
• les empreintes mobiles ;
• les plugins ou polices installées ;
• les informations sur la batterie ;
• le système d’exploitation ;
• le user-agent ;
• les données Flash ;
• les informations sur les VPN et navigateurs ;
• le fuseau horaire et la langue.

Mettre en place des contrôles de sécurité des données

Les fraudeurs cherchent à voler des informations sensibles. S’ils réussissent à dérober des données de carte de crédit chez vous, ils pourront utiliser ces informations contre vous. Prévenir une violation de données protège non seulement votre entreprise, mais aussi vos clients et d’autres commerçants.

Suivre le comportement des clients

Même si vous ne pouvez pas connaître chaque client individuellement, il est crucial de comprendre les tendances générales au sein de votre clientèle. La surveillance des comportements peut vous aider à repérer des activités suspectes telles que :

• un volume élevé de demandes de rétrofacturation ;
• de multiples changements de compte en une seule session ;
• des tentatives de connexion échouées ;
• des transferts importants de points de fidélité ;
• des navigateurs, FAI, emplacements géographiques ou utilisation de VPN suspects ;
• des achats de gros montants ;
• la présence de bots.

Surveiller ces indicateurs vous permet d’identifier plus rapidement les tentatives de fraude et de mieux protéger votre entreprise.

Surveiller les petites transactions

Les cybercriminels testent souvent la validité des informations de cartes volées en effectuant de petites transactions avant de passer à des achats plus importants. En surveillant ces petites transactions, qui pourraient autrement passer inaperçues, vous pouvez rapidement identifier des tentatives de test de cartes frauduleuses.

Offrir plusieurs canaux de paiement

Si votre programme de fidélité propose des cartes-cadeaux, vous devez empêcher les criminels de les utiliser pour des fraudes. En offrant plusieurs canaux de paiement pour votre programme de fidélité, vous pouvez réduire ce risque et contribuer à la prévention de la fraude aux cartes-cadeaux.

Documenter l’information sur les rétrofacturations

Une partie de la fraude CNP relève de la fraude amicale, où le client demande une rétrofacturation pour des achats qu’il a réellement effectués. Il peut prétendre à une erreur ou à une fraude, puis utiliser une autre carte pour effectuer des achats. Si vous avez des documents solides prouvant la légitimité de la transaction, vous avez plus de chances que la banque ou l’émetteur de la carte tranche en votre faveur.

Effectuer des contrôles de vélocité

Les contrôles de vélocité vont au-delà du simple suivi du comportement des utilisateurs. En utilisant l’intelligence artificielle (IA), ces contrôles permettent d’analyser des combinaisons d’activités suspectes, souvent basées sur des profils de transactions frauduleuses.

Protéger vos applications mobiles, sites web et API

Les cybercriminels utilisent fréquemment des bots d’achat pour réserver et acheter des articles à disponibilité limitée afin de les revendre. En protégeant vos applications mobiles, sites web et API contre ces bots, vous réduisez considérablement le risque de transactions frauduleuses.

Détecter les faux comptes

Lorsque les criminels accèdent à des numéros de carte volés, ils tentent souvent de créer de faux comptes pour utiliser ces informations illégalement. Vous pouvez mettre en place une liste d’acteurs de confiance, puis automatiser le blocage du trafic indésirable pour protéger votre entreprise.

Prévenir la fraude à la carte non présente avec DataDome

La fraude CNP est un problème numérique qui peut être résolu grâce à une technologie adéquate. Protéger vos applications mobiles et sites web avec une solution de protection contre les bots réduit les risques liés aux paiements en ligne où la carte n’est pas physiquement présente. DataDome est un outil de prévention automatisée qui atténue les risques de fraude CNP, ainsi que d’autres attaques automatisées telles que le credential stuffing et les account takeovers.

FAQ sur la prévention de la fraude CNP

Qui est responsable en cas de fraude CNP ?

Les commerçants sont responsables du montant de la rétrofacturation, ainsi que des frais supplémentaires et des évaluations imposés par la société de carte de crédit ou les banques.

Comment prévenir la fraude CNP ?

Pour prévenir efficacement la fraude à la carte non présente, il est essentiel de mettre en place plusieurs couches de détection et de protection. Cela inclut la collecte, la vérification, la surveillance et l’analyse de divers éléments, tels que :

• la localisation géographique,
• l’identité du client,
• l’adresse de facturation,
• le code CVV,
• l’adresse IP,
• l’utilisation de la technologie 3-D Secure,
• la protection contre les bots,
• les protocoles SSL,
• les adresses e-mail,
• l’authentification multi-facteurs (MFA).

Qu’entend on par transaction CNP ?

Une transaction carte non présente ou CNP se produit lorsque la personne effectuant un achat fournit les informations de la carte de crédit, sans présenter la carte physique. Cela inclut, par exemple, les achats en ligne et les paiements sans contact.

Qu’est-ce que CP et CNP ?

On parle de carte présente (CP) lorsqu’une personne fournit une carte de paiement physique, comme une carte de crédit, lorsqu’elle achète un produit ou un service. Dans le cas d’une transaction carte non présente (CNP), la personne ne fournit que les informations de paiement, telles que le numéro de la carte de crédit, le CVV et la date d’expiration.