La fraude à la carte bleue
La fraude à la carte bleue
De quoi s’agit-il ?
La fraude à la carte bleue consiste tout simplement pour un internaute a effectuer un paiement avec une carte bleue qui ne lui appartient pas.
Cette carte bleue a été soit volée soit perdue par un tiers, il peut s’agir aussi de l’utilisation d’un numéro de carte bleue, d’une date d’expiration et d’un code de sécurité existant.
Si vous êtes un « Pure Player e-commerce », le risque d’être confronté à des fraudes à la carte bleue est important puisque le secteur de la vente à distance est le plus exposé à cette menace. Outre le préjudice sur les achats concernés par la fraude, il vous faudra investir en communication pour rétablir votre notoriété sur les réseaux. S’il s’agit d’attaques multiples à la carte bleue déclenchées par des bots, vous devrez alors payer des amendes auprès de votre banque, pour avoir permis l’ensemble de ses attaques.
Quelles sont les données que cherchent à obtenir les Hackers ?
Les hackers cherchent principalement à récupérer les coordonnées de vos clients, avec lesquelles ils pourront se loguer à l’espace client, mais également l’ensemble des coordonnées bancaires que vous pouvez être amené à stocker sur votre back-office e-commerce.
Comment repérer un achat frauduleux ?
- En achat hors du commun, trop beau pour être vrai !
- Un acheteur en provenance de l’étranger quand l’immense majorité du temps vos clients sont français.
- Le fait d’exiger une livraison expresse peut être suspect.
- L’internaute qui a masqué son adresse IP pour masquer le pays depuis lequel il se connecte.
- Méfiez-vous aussi du client qui réclame une livraison à l’étranger.
Quelles sont les mesures à prendre ?
Vous pouvez imposer à vos clients l’utilisation de mots de passe complexes.
Le protocole d’activation du compte du client peut lui aussi revêtir plusieurs précautions. Par exemple ne jamais lui envoyer dans un corps de mail son login et son mot de passe.
Privilégier l’activation d’un compte par l’envoi d’un SMS sur son téléphone mobile.
L’intégralité de votre site doit être en Https et l’ensemble des pages doivent être protégées par un certificat SSL.
Si par le passé, seuls les pages relatives à la transaction bancaire était Https, actuellement l’intégralité du site est Https. Cela permet de garantir que l’ensemble des échanges de données s’effectue exclusivement entre l’internaute et le site en question, sans qu’aucune autre partie tierce puisse accéder à ces données.
En ce qui concerne l’hébergement, il faut impérativement vérifier qu’il est effectué sur des serveurs hautement sécurisés. Veillez aussi à ce que l’accès au Back-Office qui vous permet d’administrer le contenu soit le plus restreint possible. Par exemple sachez qu’il est possible de limiter l’accès à une adresse IP spécifique, et d’être alerté si une tentative de connexion extérieure est détectée.
Dernière consigne, il vous faut effectuer des scans de vulnérabilité.
Quelles sont les solutions techniques à mettre en place au niveau du paiement ?
Le système 3D Secure, par exemple, permet de vérifier que le détenteur de la carte bleue est bien le propriétaire puisque le paiement doit être validé après avoir renseigné un code qu’il a reçu par SMS sur son téléphone portable.
Et sur Mobile ?
Le RSA Fraud Report, indique que les transactions sur le téléphone portable représentent 56 % de l’ensemble des transactions marchandes, soit une hausse de 14 % par rapport à 2015.
Du coup, 71 % des fraudes ont désormais lieu sur le téléphone portable (+9 % par rapport au premier trimestre 2018, +16 % depuis 2015). « Cette tendance est particulièrement lourde dans les pays qui ont de très fortes pratiques digitales comme l’Inde, où la plupart des consommateurs gèrent désormais leurs comptes depuis leur portable et ne se déplacent quasiment plus en agence ». A titre d’exemple, le Canada, les Etats-Unis, L’Inde et les Pays-Bas figurent respectivement dans le top 10 des pays les plus touchés par cette pratique. Les Etats-Unis, l’Inde et le Canada sont également les 3 pays abritant le plus de hackers.
Le RSA Fraud Report recense les modes d’attaques les plus répandus :
- 41 % par le phishing,
- 28 % d’applications frauduleuses , pas moins de 9185 applications illégitimes rien que sur le second trimestre 2018.
- 16 % par des chevaux de Troie / malware
- 15 % Brand abuse (sites frauduleux, sites fantômes)
Toutefois, les méthodes des hackers diffèrent selon les modes de paiement. Ainsi, sur les applications bancaires, 28 % des fraudes sont effectuées via des appareils et des mots de passe identifiés.
Et qu’en est-il des risques et des conséquences d’une fraude depuis un mobile.
Le montant moyen d’un achat frauduleux est de 392 dollars, alors que le montant moyen d’une transaction sur carte se monte à 171 dollars pour l’Europe. En effet, lorsque les fraudeurs dérobent des cartes de crédit, ils effectuent des achats rapides et à forte valeur marchande, afin de pouvoir écouler rapidement les cartes volées.
En raison des paiements en ligne de plus en plus fréquents, le RSA Fraud Report décompte le piratage de 5 millions de cartes bleues dans le monde, et cela uniquement pour le second trimestre (+60 % depuis le premier trimestre).
A noter que la France se situe depuis plusieurs années dans le top10 des pays d’où partent les attaques, ce qui est révélateur du nombre de hackers présents en France.
Solutions
L’entrée en vigueur récente de la RGPD et les affaires de fuite de données ayant fait la une des journaux montrent à quel point les enjeux sur la protection des données personnelles sont importants. La prolifération des logiciels malveillants impacte surtout les mobiles Android, à hauteur de 95 %, versus 5% pour les mobiles IOS.
Pour lutter contre ce nouveau phénomène plusieurs constructeurs de téléphones mobiles se rapprochent de sociétés spécialisées pour équiper les téléphones de protections.
Le piège du paiement « One Clic »
Cette méthode de paiement qui a permis à Amazon d’accélérer de manière exponentielle son chiffre d’affaires depuis des années constitue aujourd’hui un risque majeur. Bon nombre de services en ligne y ont recours. C’est tellement pratique de pouvoir payer son Uber en un clic ou encore la location de sa trottinette électrique. Avec ce dispositif, les Hackers n’ont plus qu’à se procurer les identifiants des internautes pour accéder à leurs applications favorites et le tour est joué.
Le paiement simplifié exige en effet qu’en amont vous ayez enregistré toutes vos données, dont votre numéro de carte bancaire, une fois pour toutes, sur l’application ou le site utilisé. “Les pirates ont réalisé que rafler et revendre ces données sur le Dark Net (le Web caché) représentait un business très juteux. Durant les deux dernières années, Yahoo s’est ainsi fait voler plus de 500 millions de comptes clients, LinkedIn 167 millions, Sony 67 millions et Uber 57 millions.
Mais alors, que faire ?
L’une des solutions les plus efficaces, et qui commence à émerger, serait de procéder systématiquement à une validation des paiements en s’appuyant sur la biométrie ou sur la reconnaissance digitale.
C’est déjà le cas lorsque vous déverrouillez votre mobile par empreinte digitale. C’est le choix de la banque ING, qui impose à ses clients, de recueillir leurs empreintes digitales pour accéder à l’application en ligne.
D’autres ont opté pour la reconnaissance vocale ou la reconnaissance faciale.
La bonne nouvelle, c’est que des solutions existent, reste désormais à les mettre en place pour enfin évoluer dans un monde sécurisé.
