Identifier et prévenir les fraudes dans le commerce en ligne

La pandémie de Covid-19 a entraîné un boom du commerce en ligne dont on ne peut que se réjouir. Malheureusement, les tentatives de fraudes en ligne ont aussi augmenté, car les cybercriminels s'efforcent de profiter de cette aubaine. Il n'est pas toujours facile pour les commerçants en ligne de détecter les différentes tactiques des escrocs. Si la fraude entraîne un non-paiement, les frais peuvent être très élevés pour vous, gestionnaire de boutique en ligne. Dans de nombreux cas pourtant, les fraudes pourraient être déjouées, si les anomalies de la commande ou du processus de commande étaient détectées au préalable. Cela exige une vigilance accrue lors du traitement des commandes et effectué des contrôles précis et efficaces.

Dans ce blog Saferpay, découvrez comment les fraudeurs procèdent, comment ils peuvent être identifiés et comment vous, commerçant, vous pouvez vous protéger contre la fraude et éviter ainsi des préjudices financiers.

Pour ne pas tomber dans les filets des fraudeurs et se prémunir efficacement en tant que commerçant contre les tentatives de fraude et de manipulation, il est important de connaître les différentes stratagèmes de fraude et de pouvoir ainsi agir dès les premiers signes.

Les données nécessaires à un paiement e-commerce, telles que le numéro de carte, le nom, la date d'expiration et le numéro de vérification de la carte, peuvent facilement être « dérobées », car elles sont imprimées sur la carte de manière bien visible pour tous. Il suffit d'un bref moment d'inattention, à la réception de l'hôtel ou au bar de la plage par exemple, pour qu'un fraudeur habile puisse prendre une photo de la carte sans se faire remarquer. En ligne également, il y a des risques sérieux que les données de la carte tombent entre des mains malhonnêtes: par hameçonnage, par exemple, lorsqu'un titulaire de carte saisit par inadvertance les données de sa carte sur un site web non sécurisé où les personnes malintentionnées peuvent les récupérer, ou bien lorsque les données de la carte déjà enregistrées sur un site sont piratées.

Après le piratage réussi d'un commerçant en ligne, les données de carte volées sont souvent proposées sur le marché noir du Darknet. Là, les escrocs en ligne peuvent les acquérir de manière anonyme. Toutefois, les données de cartes piratées en ligne sont le plus souvent incomplètes, car le numéro de vérification de la carte ne doit jamais être enregistré par les commerçants et les prestataires de services de paiement (comme Saferpay). Les escrocs essaient donc souvent de deviner les données manquantes en effectuant de nombreuses tentatives de paiement. Pour ce faire, ils saisissent un petit montant de transaction afin de ne pas attirer inutilement l'attention. Si les escrocs ont toutes les données d'une carte, y compris le numéro de vérification, il faut alors s'attendre à des transactions de montants importants.

Il y a fraude par prise de contrôle de compte (« Account Takeover » ou ATO) lorsqu'un fraudeur obtient l'accès au profil d'un client dans votre boutique en ligne. Il peut ainsi effectuer des achats au nom de votre client avec le moyen de paiement enregistré dans la boutique. Ce type d'usurpation d'identité est par exemple possible si votre client a choisi un mot de passe facile à deviner ou si le mot de passe de son compte e-commerce a pu être piraté par une attaque d’ hameçonnage. Un fraudeur, ayant piraté le compte e-mail d'un de vos clients, peut également accéder au profil de ce dernier dans votre boutique en ligne et causer des préjudices financiers.

Pour les escrocs, le plus simple et le plus pratique est de recevoir directement de l'argent plutôt que de commander des marchandises au nom d'un client. C'est pourquoi ils apprécient particulièrement la fraude à la réservation, notamment dans le secteur hôtelier : les données d'une carte volée sont utilisées pour réserver un séjour prolongé à l'hôtel, puis ce séjour est annulé sous un prétexte quelconque, et on demande à être remboursé sur une autre carte de crédit ou sur un autre compte. Le titulaire légitime de la carte demandera également un remboursement dès qu'il se rendra compte du préjudice.

Il y a fraude amicale (« Friendly fraud ») lorsqu'un client demande une rétrofacturation (chargeback), au lieu d'un remboursement par le commerçant, pour des achats en ligne payés avec une carte de crédit ou de débit. Dans la plupart des cas, il n'y a pas d'intention frauduleuse. Par exemple, un article est commandé en ligne, mais, plus tard, lorsque le titulaire de la carte consulte son décompte de carte, il ne se souvient pas de l'opération. Il réclame alors un remboursement. Ou bien, l'achat a été effectué par un enfant sans surveillance qui a eu accès à un appareil sur lequel sont stockées des données de carte de crédit. Dans certains cas, il arrive pourtant que des clients nient tout simplement avoir reçu la marchandise, cherchant ainsi à obtenir une compensation. Malheureusement, il est difficile de détecter ces cas isolés.

Les prestataires de services de paiement et les banques misent sur l'authentification forte des clients (« Strong Customer Authentication » ou SCA) par authentification à deux facteurs pour lutter contre la fraude en ligne : en plus de la saisie des données de la carte ou d'une connexion Wallet, un autre facteur (téléphone portable, mot de passe, empreinte digitale, etc.) est demandé pour vérifier l'identité du payeur. Avec une authentification forte du client la fraude est très improbable.

Avec Saferpay, les commerçants en ligne peuvent obliger un client à effectuer une authentification forte pour les moyens de paiement 3-D Secure, tels que Visa et Mastercard, en mettant le drapeau « ThreeDsChallenge » sur « FORCE » dans l'API. Cela est conseillé si vous savez, avant même la demande d'autorisation, qu'il s'agit d'une transaction particulièrement risquée (par exemple un montant de transaction inhabituellement élevé) ou si vous avez constaté des activités suspectes indiquant un probable vol de données de carte ou une usurpation d'identité.

Vous trouverez plus de détails sur le drapeau « ThreeDsChallenge » dans notre documentation API et dans le Guide d'intégration GuideSaferpay au chapitre 3-D Secure – Paramètres optionnels.

En règle générale, c'est vous, le commerçant, qui assumez l'intégralité du risque en cas de fraude en ligne, et donc aussi les frais. Il y a transfert de responsabilité (« Liability Shift ») seulement si l'émetteur de la carte ou le prestataire de services de paiement se déclare prêt à assumer la responsabilité pour une transaction, au coup par coup. Avec les paiements 3-D Secure, vous bénéficiez presque toujours, en tant que commerçant, d'un transfert de responsabilité et vous êtes donc en sécurité. Vous courez un risque avec les moyens de paiement sans authentification forte du client et 3-D Secure, avec les paiements en dehors de l'espace PSD2 (où 3-D Secure n'est pas supporté par tous les émetteurs) ainsi que dans les cas exceptionnels et dérogations demandés par le commerçant.

En principe, s'il y a transfert de responsabilité, c'est le prestataire de services de paiement qui prendra les frais à sa charge en cas de rétrofacturation (chargeback). Mais le transfert de responsabilité ne garantit pas qu'il ne s'agit pas d'une fraude !

• Le montant de la transaction est-il inhabituellement élevé ?
• Bénéficiez-vous d'un transfert de responsabilité ?
• Une authentification forte du client a-t-elle été effectuée ?
• Y a-t-il eu plusieurs transactions avec le même moyen de paiement ou par le même client en peu de temps ?
• Y a-t-il eu des modifications de compte qui pourraient indiquer une usurpation d'identité ou une fuite des données de la carte ?
• Le pays émetteur de la carte correspond-il au pays de l'adresse IP et de l'adresse de livraison ?
• L'adresse de livraison se trouve-t-elle dans un pays vers lequel vous n'expédiez normalement pas ou rarement ?
• S'agit-il d'un nouveau client qui utilise une adresse e-mail combinant des chiffres et des lettres (par ex. skyblue123@gmail.com) d'un fournisseur d'accès gratuit ?
  

Même avec un contrôle minutieux, il peut arriver qu'un rejet de débit soit dû à une fraude. Tant que cela reste un cas isolé, cela ne pose pas de problème. La situation devient toutefois critique si les frais engendrés par la fraude réduisent sensiblement votre chiffre d'affaires ou si les sociétés exploitantes de cartes exigent des pénalités en raison du nombre élevé de fraudes.

Les mesures possibles suivantes vous aideront à agir correctement en cas de fraude, sans perdre de temps inutilement :

Une analyse de risque manuelle approfondie est coûteuse et souvent impossible à réaliser de manière rentable chez les grands commerçants. Si vous souhaitez réduire votre taux de fraude, nous vous aidons volontiers à le faire. Qu'il s'agisse d'un problème de fraude en cours ou que vous souhaitiez protéger et optimiser encore davantage votre chiffre d'affaires, bien que le taux de fraude est faible. Nous avons la solution adaptée à vos besoins : n'hésitez pas à nous contacter !

fraud_eu@worldline.com (Europe)
fraud@worldline.com (Suisse)