Identifier et prévenir les fraudes dans le commerce en ligne

Comment protéger ma boutique en ligne contre les fraudeurs ?

La pandémie de Covid-19 a entraîné un boom du commerce en ligne dont on ne peut que se réjouir. Malheureusement, les tentatives de fraudes en ligne ont aussi augmenté, car les cybercriminels s'efforcent de profiter de cette aubaine. Il n'est pas toujours facile pour les commerçants en ligne de détecter les différentes tactiques des escrocs. Si la fraude entraîne un non-paiement, les frais peuvent être très élevés pour vous, gestionnaire de boutique en ligne. Dans de nombreux cas pourtant, les fraudes pourraient être déjouées, si les anomalies de la commande ou du processus de commande étaient détectées au préalable. Cela exige une vigilance accrue lors du traitement des commandes et effectué des contrôles précis et efficaces.

Dans ce blog Saferpay, découvrez comment les fraudeurs procèdent, comment ils peuvent être identifiés et comment vous, commerçant, vous pouvez vous protéger contre la fraude et éviter ainsi des préjudices financiers.

Les 4 types de fraude les plus fréquents dans l'e-commerce

Pour ne pas tomber dans les filets des fraudeurs et se prémunir efficacement en tant que commerçant contre les tentatives de fraude et de manipulation, il est important de connaître les différentes stratagèmes de fraude et de pouvoir ainsi agir dès les premiers signes.
 

1. Vol des données de carte
 

Les données nécessaires à un paiement e-commerce, telles que le numéro de carte, le nom, la date d'expiration et le numéro de vérification de la carte, peuvent facilement être « dérobées », car elles sont imprimées sur la carte de manière bien visible pour tous. Il suffit d'un bref moment d'inattention, à la réception de l'hôtel ou au bar de la plage par exemple, pour qu'un fraudeur habile puisse prendre une photo de la carte sans se faire remarquer. En ligne également, il y a des risques sérieux que les données de la carte tombent entre des mains malhonnêtes: par hameçonnage, par exemple, lorsqu'un titulaire de carte saisit par inadvertance les données de sa carte sur un site web non sécurisé où les personnes malintentionnées peuvent les récupérer, ou bien lorsque les données de la carte déjà enregistrées sur un site sont piratées.

Après le piratage réussi d'un commerçant en ligne, les données de carte volées sont souvent proposées sur le marché noir du Darknet. Là, les escrocs en ligne peuvent les acquérir de manière anonyme. Toutefois, les données de cartes piratées en ligne sont le plus souvent incomplètes, car le numéro de vérification de la carte ne doit jamais être enregistré par les commerçants et les prestataires de services de paiement (comme Saferpay). Les escrocs essaient donc souvent de deviner les données manquantes en effectuant de nombreuses tentatives de paiement. Pour ce faire, ils saisissent un petit montant de transaction afin de ne pas attirer inutilement l'attention. Si les escrocs ont toutes les données d'une carte, y compris le numéro de vérification, il faut alors s'attendre à des transactions de montants importants.

Soyez attentif aux indices suivants :

• Nombre élevé de tentatives d'achat d'un montant de transaction en général bas ayant échouées
• Le nom du titulaire de la carte ne correspond pas au nom de l'adresse de livraison
• Montant de la transaction inhabituellement élevé
   

2. Fraude par prise de contrôle de compte
 

Il y a fraude par prise de contrôle de compte (« Account Takeover » ou ATO) lorsqu'un fraudeur obtient l'accès au profil d'un client dans votre boutique en ligne. Il peut ainsi effectuer des achats au nom de votre client avec le moyen de paiement enregistré dans la boutique. Ce type d'usurpation d'identité est par exemple possible si votre client a choisi un mot de passe facile à deviner ou si le mot de passe de son compte e-commerce a pu être piraté par une attaque d’ hameçonnage. Un fraudeur, ayant piraté le compte e-mail d'un de vos clients, peut également accéder au profil de ce dernier dans votre boutique en ligne et causer des préjudices financiers.

Soyez attentif aux indices suivants :

• Un client effectue des tentatives de connexion très fréquentes
• Le mot de passe du compte du client a été récemment réinitialisé
• Le nom ou l'adresse du client a changé
• Le nom du titulaire de la carte ne correspond pas au nom de l'adresse de livraison
   

3. Escroquerie par réservation
 

Pour les escrocs, le plus simple et le plus pratique est de recevoir directement de l'argent plutôt que de commander des marchandises au nom d'un client. C'est pourquoi ils apprécient particulièrement la fraude à la réservation, notamment dans le secteur hôtelier : les données d'une carte volée sont utilisées pour réserver un séjour prolongé à l'hôtel, puis ce séjour est annulé sous un prétexte quelconque, et on demande à être remboursé sur une autre carte de crédit ou sur un autre compte. Le titulaire légitime de la carte demandera également un remboursement dès qu'il se rendra compte du préjudice.

Soyez attentif aux indices suivants :

• Le niveau élevé du montant est suspect
• Remboursement demandé sur un autre moyen de paiement que celui utilisé pour le paiement de la réservation
• Données client différentes, par ex. communication via une autre adresse e-mail
• Les raisons invoquées pour l'annulation de la réservation sont souvent les mêmes : une maladie, un accident ou une urgence médicale dans la famille
   

4. Fraude amicale
 

Il y a fraude amicale (« Friendly fraud ») lorsqu'un client demande une rétrofacturation (chargeback), au lieu d'un remboursement par le commerçant, pour des achats en ligne payés avec une carte de crédit ou de débit. Dans la plupart des cas, il n'y a pas d'intention frauduleuse. Par exemple, un article est commandé en ligne, mais, plus tard, lorsque le titulaire de la carte consulte son décompte de carte, il ne se souvient pas de l'opération. Il réclame alors un remboursement. Ou bien, l'achat a été effectué par un enfant sans surveillance qui a eu accès à un appareil sur lequel sont stockées des données de carte de crédit. Dans certains cas, il arrive pourtant que des clients nient tout simplement avoir reçu la marchandise, cherchant ainsi à obtenir une compensation. Malheureusement, il est difficile de détecter ces cas isolés.

Soyez attentif aux indices suivants :

• Difficultés répétées avec le même client
• Risque accru pour les biens numériques et les achats intégrés

Authentification forte du client contre la fraude en ligne

Les prestataires de services de paiement et les banques misent sur l'authentification forte des clients (« Strong Customer Authentication » ou SCA) par authentification à deux facteurs pour lutter contre la fraude en ligne : en plus de la saisie des données de la carte ou d'une connexion Wallet, un autre facteur (téléphone portable, mot de passe, empreinte digitale, etc.) est demandé pour vérifier l'identité du payeur. Avec une authentification forte du client la fraude est très improbable.

Avec Saferpay, les commerçants en ligne peuvent obliger un client à effectuer une authentification forte pour les moyens de paiement 3-D Secure, tels que Visa et Mastercard, en mettant le drapeau « ThreeDsChallenge » sur « FORCE » dans l'API. Cela est conseillé si vous savez, avant même la demande d'autorisation, qu'il s'agit d'une transaction particulièrement risquée (par exemple un montant de transaction inhabituellement élevé) ou si vous avez constaté des activités suspectes indiquant un probable vol de données de carte ou une usurpation d'identité.

Vous trouverez plus de détails sur le drapeau « ThreeDsChallenge » dans notre documentation API et dans le Guide d'intégration GuideSaferpay au chapitre 3-D Secure – Paramètres optionnels.

Transfert de responsabilité : qui paie en cas de dommage ?

En règle générale, c'est vous, le commerçant, qui assumez l'intégralité du risque en cas de fraude en ligne, et donc aussi les frais. Il y a transfert de responsabilité (« Liability Shift ») seulement si l'émetteur de la carte ou le prestataire de services de paiement se déclare prêt à assumer la responsabilité pour une transaction, au coup par coup. Avec les paiements 3-D Secure, vous bénéficiez presque toujours, en tant que commerçant, d'un transfert de responsabilité et vous êtes donc en sécurité. Vous courez un risque avec les moyens de paiement sans authentification forte du client et 3-D Secure, avec les paiements en dehors de l'espace PSD2 (où 3-D Secure n'est pas supporté par tous les émetteurs) ainsi que dans les cas exceptionnels et dérogations demandés par le commerçant.

En principe, s'il y a transfert de responsabilité, c'est le prestataire de services de paiement qui prendra les frais à sa charge en cas de rétrofacturation (chargeback). Mais le transfert de responsabilité ne garantit pas qu'il ne s'agit pas d'une fraude !

Identifier le transfert de responsabilité et l'authentification forte du client dans Saferpay