DataDome

Détection de la fraude aux paiements – comment détecter et prévenir la fraude

Table des matières
Dernière mise à jour : 20 Oct, 2022
|
min

Europol décrit la fraude aux paiements comme une activité criminelle à faible risque et à haut rendement. La fraude aux paiements affecte les entreprises de toutes tailles et de tous secteurs. Cependant, en raison de la pandémie de COVID-19 et de la popularité croissante du commerce électronique, la fraude aux paiements est devenue une préoccupation particulière pour les entreprises vendant leurs biens et services en ligne. Juniper Research a estimé les pertes mondiales dues à la fraude dans le commerce électronique à 20 milliards de dollars en 2021, soit une augmentation de 18 % par rapport à 2020. Ces chiffres ne sont pas près de diminuer, c’est pourquoi vous devez limiter la possibilité de fraude dans votre entreprise.

Qu’est-ce que la fraude aux paiements ?

La fraude aux paiements survient lorsqu’un cybercriminel vole ou obtient des informations de paiement volées et les utilise pour effectuer des transactions non autorisées. Le criminel parvient à trouver juste assez de détails pour acheter des biens et services en utilisant les données de la victime. Ces données peuvent inclure le numéro de carte, l’adresse de facturation, le code de sécurité, la date d’expiration de la carte, etc.

Il existe deux types de fraude daux paiements : la fraude par carte non présente (CNP) et la fraude par carte présente. La fraude CNP est la plus courante en ligne, tandis que la fraude par carte présente est la plus courante dans les magasins de détail physiques et les distributeurs automatiques de billets. Les victimes de fraude par CNP ne se rendent généralement pas immédiatement compte qu’elles sont ciblées, car leurs cartes de crédit ou de débit sont presque toujours encore en leur possession, et elles ne vérifient pas forcément leurs relevés très souvent.

Comment se produit la fraude aux paiements ?

La fraude aux paiements commence lorsqu’un criminel obtient les données de paiement de quelqu’un d’autre. Il peut le faire en naviguant sur le dark web et en les achetant sur place, par des techniques de phishing sophistiquées où il obtient volontairement les informations de la victime, ou par des attaques automatisées qui franchissent les cyberdéfenses d’un commerçant et piratent le compte d’un utilisateur.

Une fois que le criminel possède les informations de carte volées, il peut les utiliser pour payer des biens et services ou pour trouver des détails de paiement manquants afin de les revendre à profit sur le dark web.

Si le commerçant ne détecte pas la fraude, il traitera le paiement et enverra le bien ou service au criminel, qui disparaîtra ensuite généralement. La victime dont les détails de carte ont été volés verra éventuellement une transaction non autorisée sur son relevé de carte et demandera un remboursement. Le commerçant n’aura d’autre choix que de supporter le coût du remboursement, les frais de traitement du paiement, ainsi que le coût du bien ou service perdu.

Vous souhaitez empêcher les criminels d’utiliser des bots automatisés pour commettre des fraudes sur vos sites web ou applications mobiles ? DataDome fournit une protection en temps réel contre les bots qui arrête les menaces de fraude immédiatement. Commencez un essai gratuit de 30 jours dès aujourd’hui.

Qui est affecté par la fraude aux paiements en ligne ?

Dans la plupart des pays, les lois de protection des consommateurs permettent aux personnes de contester facilement les transactions non autorisées sur leur carte de débit ou de crédit. Il y a de fortes chances qu’un consommateur récupère son argent s’il a été victime de fraude aux paiements. La fraude aux paiements est une nuisance, mais c’est une nuisance qui ne leur coûte généralement pas d’argent.

Le commerçant supporte la majeure partie du fardeau sous forme de rétrofacturations, de frais de traitement des paiements et de perte de biens et de services. De plus, si le commerçant est fréquemment la cible de fraude aux paiements, sa banque ou son processeur de paiement peut décider d’annuler son compte marchand. C’est pourquoi il est dans l’intérêt de chaque commerçant de réduire au minimum toute forme de fraude aux paiements.

Les types de fraudes aux paiements & comment les détecter

Il existe de nombreuses façons pour un criminel de prendre de l’argent à un consommateur et de s’en tirer. Voici cinq types de fraudes aux paiements qui peuvent être particulièrement dommageables pour votre entreprise :

  • la fraude par triangulation,
  • la fraude par account takeover,
  • la fraude amicale,
  • la fraude par carding,
  • la fraude par skimming.

Fraude par triangulation

La fraude par triangulation est un type de fraude aux paiements dans lequel les fraudeurs mettent en place une fausse vitrine ou un faux marché pour accepter un paiement légitime de la part d’un acheteur, après quoi les fraudeurs utilisent une carte volée pour passer la commande de l’acheteur auprès d’un commerçant qui ne se doute de rien.

La fraude par triangulation passe souvent inaperçue parce que l’acheteur reçoit son produit et le commerçant reçoit son argent. La personne qui est dupée est celle dont les détails de carte ont été volés. Elle contestera souvent la transaction, ce qui entraînera finalement un coût de rétrofacturation pour le commerçant.

Comment détecter la fraude par triangulation ?

Les criminels utilisent fréquemment Facebook, eBay et Amazon comme fausses boutiques. Regardez sur ces sites si vos produits uniques y sont revendus à des prix trop beaux pour être vrais. Si c’est le cas, demandez à la plateforme de fermer les boutiques des criminels dès que possible.

Pour détecter la fraude par triangulation de votre côté, vous devez surveiller les activités suspectes. Par exemple, l’adresse de facturation est-elle similaire à l’adresse de livraison ? Les coordonnées sont-elles réelles ? À quoi ressemble l’empreinte digitale de l’appareil ? La bonne solution de lutte contre la fraude détectera automatiquement ces détails et signalera tout ce qui sort de l’ordinaire.

Fraude par account takeover

La fraude par account takeover se produit lorsqu’un criminel accède au compte en ligne d’un client par le biais de credential stuffing, d’ingénierie sociale ou d’autres méthodes. Il s’agit d’un type de vol d’identité, car le criminel prétend être quelqu’un qu’il n’est pas.

La fraude par account takeover est souvent difficile à détecter, puisque le client reste inconscient de la situation, tandis que le commerçant suppose qu’il s’agit d’un utilisateur légitime, qui peut même avoir un bon historique. Ils ont peu de raisons de penser qu’un compte existant sera malveillant, mais ils peuvent certainement l’être dans le cas d’une fraude par account takeover.

Comment détecter la fraude par account takeover ?

Les entreprises peuvent réduire la fraude par account takeover de deux manières. Premièrement, en incitant leurs clients à adopter de meilleures pratiques de cybersécurité. Encouragez-les à activer l’authentification multifactorielle (MFA), à intégrer des données biométriques, à changer leur mot de passe régulièrement et à suivre les meilleures pratiques en matière de mots de passe.

Mais vous ne pouvez pas tout demander à vos clients. Il est peu probable qu’ils activent l’authentification multifactorielle sur chaque site e-commerce où ils ont un compte. La deuxième manière de réduire la fraude par account takeover consiste donc à surveiller une série de signaux. Recherchez des éléments inhabituels :

  • Tentatives de connexion à partir de différents appareils
  • Comportement d’achat inhabituel
  • Adresses de livraison modifiées
  • Multiples tentatives de connexion échouées
  • Navigateurs et systèmes d’exploitation plus anciens
  • Empreintes digitales d’appareils suspectes

Fraude amicale

La fraude amicale se produit lorsqu’un client achète un produit, puis demande un remboursement en prétendant qu’il n’a jamais reçu le produit, qu’il l’a retourné ou qu’il ne se souvient pas d’avoir effectué l’achat. On appelle cela une fraude amicale parce que le criminel n’est pas un tiers, mais le client lui-même, généralement considéré comme amical.

La fraude amicale peut être un type de fraude aux paiements particulièrement préjudiciable, car la contestation de chaque demande de fraude amicale peut rapidement devenir un cauchemar administratif. Mais si vous ne les contestez pas, vous détériorez votre réputation et vous finissez par payer la rétrofacturation et les frais de traitement.

Comment détecter la fraude amicale ?

L’une des méthodes les plus efficaces pour éviter la fraude amicale est de faire signer une preuve de livraison au client lorsqu’il reçoit le produit et une preuve de retour s’il souhaite le retourner. Cela l’empêchera de prétendre qu’ils n’a jamais reçu l’article ou qu’il l’a retourné alors qu’il ne l’a pas fait. Vous devrez toujours contester les réclamations pour fraude amicale, mais au moins vous disposerez de preuves raisonnables pour gagner le litige.

Fraude par carding

La fraude CNP (carte non présente) est souvent appelée carding. En raison du nombre croissant de violations de données, d’attaques de phishing et de bots voleurs de données, les informations de carte complètes ou partielles sont désormais couramment trouvées sur les forums et marchés noirs, où elles sont généralement vendues jusqu’à un dollar par carte.

Les cybercriminels utilisent des bots pour tester les données de cartes volées contre les processus de paiement jusqu’à ce qu’ils touchent le jackpot. Ces bots essaient soit de commettre une fraude aux paiements, soit d’identifier les détails manquants dans les données de la carte. Les attaques de carding sont particulièrement fréquentes pendant les périodes de soldes, comme le Black Friday et le Cyber Monday, où les bots peuvent passer inaperçus parmi le trafic intense.

Comment détecter la fraude par carding ?

Les données volées que les cybercriminels achètent sur le dark web sont souvent incomplètes. Ils doivent d’abord trouver les détails manquants et veulent le faire sans se faire remarquer. Ils testent donc souvent les détails des cartes volées sur de petites commandes. Si vous constatez une augmentation soudaine et inexplicable des petites commandes, il y a de fortes chances que vous soyez victime d’une attaque de carding.

Dans le même ordre d’idées, vérifiez la rapidité avec laquelle un client essaie d’acheter quelque chose. Un humain ne peut pas effectuer plusieurs transactions par seconde, mais un bot le peut. Surveillez la vitesse des transactions, par montant, adresse IP, adresse de facturation ou toute autre variable qui vous convient le mieux. C’est particulièrement pertinent pour les entreprises qui ne demandent pas de créer un compte en ligne pour acheter des biens ou des services.

D’autres moyens de détecter la fraude par carding consistent à utiliser le système de vérification d’adresse (AVS) et la valeur de vérification de la carte (CVV). Vous pouvez également utiliser la géolocalisation IP pour vérifier si l’IP correspond à l’adresse de facturation. Mais restez prudent, car cette dernière méthode détectera aussi les clients soucieux de leur confidentialité qui utilisent un VPN. Utilisez cette méthode en même temps que d’autres activités suspectes.

Fraude par skimming

La fraude par skimming est un type de fraude par carte présente où les criminels installent de petits dispositifs avec des caméras cachées et des caches-écrans sur les distributeurs automatiques de billets (DAB), les terminaux de point de vente, les pompes à essence, etc., pour capturer les données de paiement et enregistrer les codes PIN des titulaires de cartes. Ils utilisent ensuite ces données pour les vendre sur le dark web ou acheter des biens et services.

Bien que la fraude par skimming concerne principalement les consommateurs plutôt que les commerçants, vous devez tout de même garder un œil sur les terminaux de point de vente et les distributeurs automatiques de billets dans vos magasins de détail ou à proximité, afin de repérer les dispositifs de skimming. Cela ne vous concerne peut-être pas directement, mais vos clients doivent avoir l’assurance que leurs données de paiement sont en sécurité dans vos magasins ou à proximité.

Comment détecter la fraude par skimming ?

En tant que consommateur, inspectez les guichets automatiques et les terminaux de paiement avant de les utiliser. Si quelque chose semble endommagé, tordu ou rayé, soyez prudent. Couvrez également le clavier avec votre main lorsque vous saisissez votre code PIN afin qu’aucune caméra cachée ne puisse voir le numéro. En outre, utilisez autant que possible des distributeurs automatiques de billets situés à l’intérieur et évitez les terminaux situés dans les zones touristiques populaires.

Assurez-vous que vos clients connaissent ces précautions afin de renforcer leur confiance dans la sécurité des transactions effectuées dans vos magasins ou à proximité.

Comment prévenir la fraude aux paiements ?

Il existe plusieurs moyens efficaces pour prévenir la fraude aux paiements, et ils reposent tous sur le big data. Il n’est plus possible d’arrêter manuellement la fraude aux paiements en ligne. Les cybercriminels agissent trop rapidement et utilisent des outils qui submergeraient même la plus grande équipe de cybersécurité. Les entreprises doivent s’appuyer sur des logiciels puissants utilisant le big data et l’apprentissage automatique pour lutter contre la fraude aux paiements.

Utiliser une solution de gestion de la fraude

Tout comme vous ne vous protégeriez pas manuellement contre la fraude aux paiements, les cybercriminels ne ciblent pas non plus les consommateurs et les entreprises manuellement. Cela prendrait beaucoup trop de temps de saisir les détails de cartes volées ou d’essayer de trouver des failles dans les défenses de cybersécurité des entreprises.

Ils utilisent plutôt des solutions automatisées. Ils conçoivent, copient ou achètent des bots qui tentent de commettre des fraudes aux paiements à des vitesses incroyables et à grande échelle.

Ces bots sont souvent très avancés et peuvent contourner les défenses de sécurité statiques comme un WAF.

DataDome est une solution de protection contre la fraude qui détecte et bloque les menaces automatisées dès qu’elles arrivent sur vos sites web, applications mobiles ou API. DataDome utilise des algorithmes de pointe et l’apprentissage automatique pour stopper les menaces anciennes et nouvelles, y compris tous les types de fraude aux paiements en ligne. Il faut moins de dix minutes pour l’installer et elle s’intègre parfaitement à votre architecture technique existante.

Activer les mesures de sécurité du processeur de paiement

La plupart des processeurs de paiement offrent des mesures de sécurité de base. Par ordre décroissant de fréquence, il s’agit des mesures suivantes :

  • Vérification de l’adresse de l’acheteur (service de vérification d’adresse, AVS)
  • Vérification de la valeur de vérification de la carte (CVV)
  • Empreinte digitale de l’appareil
  • Évaluation du risque des acheteurs
  • Authentification du payeur (protocole 3-D Secure)
  • Vérification de l’historique de crédit
  • Vérification de l’email

Bien que vous deviez certainement chercher à rendre votre passerelle de paiement aussi sûre que possible, les processeurs de paiement ont tendance à donner le bénéfice du doute à l’acheteur. La protection du vendeur est souvent beaucoup plus faible que celle de l’acheteur. Par exemple, PayPal a une liste de douze éléments que son programme de protection des vendeurs ne couvre pas, y compris les réclamations, les rétrofacturations, les remboursements pour « article significativement différent de la description », les licences pour les contenus et les biens numériques et les paiements effectués à l’aide de leur système de paiement de masse.

Connaître votre client

Mieux vous connaîtrez votre client, plus il vous sera facile de comprendre s’il y a quelque chose de louche. Dans la mesure du possible, vérifiez l’identité des clients lors de la création du compte et confirmez-la lors du paiement. Comprenez leur comportement d’achat, les appareils avec lesquels ils achètent généralement, les heures auxquelles ils accèdent habituellement à leurs comptes, etc.

La collecte de ces données en toute sécurité et leur utilisation appropriée permettront d’obtenir un modèle pour chaque client que les cybercriminels auront du mal à reproduire fidèlement. La bonne solution anti-fraude peut surveiller ces schémas automatiquement et à grande échelle, et vous alertera en cas de problème. Sur Internet, seules les meilleures solutions de gestion de la fraude sauront que vous êtes un chien.

FAQ sur la détection de la fraude aux paiements

Comment identifier la fraude aux paiements ?

La fraude aux paiements se présente sous de nombreuses formes et est difficile à identifier. Mais ce n’est pas impossible. Les cybercriminels utilisent souvent des outils automatisés qui se trahissent par de petits détails. Une adresse IP avec une mauvaise réputation, des clics anormalement rapides, une souris qui ne se promène pas sur le site web, plusieurs achats à la seconde, etc. L’identification de la fraude aux paiements peut se faire à l’aide d’une solution de gestion de la fraude conçue pour détecter ces indices et prévenir la fraude aux paiements automatiquement et à grande échelle.

Quelle est la méthode de détection de fraude la plus courante ?

La méthode de détection de fraude la plus courante est la détection automatisée. Les cybercriminels utilisent des outils automatisés et il n’y a aucune raison pour que vous ne le fassiez pas non plus. Vous pouvez vous protéger contre leurs bots souvent à la pointe de la technologie avec une solution de gestion de la fraude dynamique qui les arrêtera en temps réel sur vos sites web, applications mobiles et API.

Comment venir à bout de la fraude aux paiements ?

La manière la plus rentable de prévenir la fraude aux paiements est de mettre en place une solution de gestion de la fraude qui empêchera les menaces automatisées de tenter de commettre des fraudes aux paiements sur vos sites web et vos applications mobiles. Les meilleures solutions de ce type vous protégeront également contre d’autres types de menaces automatisées, telles que les attaques DDoS et les attaques de scraping.

Comment les transactions en ligne détectent-elles la fraude ?

Les transactions en ligne ne détectent pas la fraude par elles-mêmes. Votre processeur de paiement peut avoir des mesures de sécurité de base pour prévenir certains types de fraude, mais la manière la plus efficace d’empêcher les cybercriminels de commettre des fraudes est d’utiliser une solution de gestion de la fraude qui bloquera toutes les menaces automatisées en temps réel.